为什么ATT&CK对APT关联归属分析用处不大

围观次数:2,454 views

本文作者:汪列军

https://mp.weixin.qq.com/s/Cb7tROj0BXSOxnqyjftlRw

前两天看到个文章,综述了厂商在APT检测和分析方面的实践,其中提到了利用ATT&CK框架这个工具分析关联APT攻击。我司威胁情报中心做APT分析也有几年了,有限的经验告诉我们这个事情是不靠谱的。当时在朋友圈里简单说了几句,表达实在受限,这里再展开说一下。

为什么我那么说

ATT&CK这个当红炸子鸡是什么我就不多说了,介绍的文章汗牛充栋,但跟APT的关联分析扯上边还远了点,下面是为什么。

记录事实的能力受限

参加过RSA、Blackhat这样的安全展会可能会有些印象,厂商给你产品展示的Demo,一个攻击从初始的Payload投递、CC连接到最终的数据外泄整个过程在产品里一目了然,各种日志和原始数据随时可下钻展现在你面前,还给出了在ATT&CK矩阵里的对应的条目。对不起,这个只是Demo,成年人都应该知道Demo和实际到手的区别,现实要骨感得多。

大部分的组织采集威胁元数据的能力非常有限,我们可能收到一些终端和网络安全软件的告警,准确度先不论,最大的问题是这些告警本质上是观点而不是事实。历史记录的原始信息收集不完整,免杀做得好的攻击环节一旦漏掉就永远错过,所以大多数情况下我们看不到攻击的全过程,事后排查,断链随处可见。我们看到有些分析报告似乎过程环环相扣,如果不是有其他的甚至是外部的数据弥补手段的资源,你可以很有把握地说:编的。

很多安全产品从终端的EDR到网络的NDR在努力覆盖ATT&CK矩阵,这也是ATT&CK指导安全能力增强的路线图价值所在,另一个主要价值同时也是评估对比安全产品的检测能力。但是从APT分析的角度看,光看到环节本身是远远不够的,目击到一系列环节本身并不足以导向足够的区分度,甚至都不是关联归属的核心点所在。

关联分析的核心在于细节

ATT&CK本质上是一个TTP知识库,目前正在经历由粗到细的进化,正向总结APT团伙的TTP对了解对手来说当然是有用的,但是从观察到的一些活动反向确认来源归属则是另外一回事。

因为ATT&CK所枚举的技术手段应该理解为Key,除非手法本身已经有高度的独特性,不然绝大多数用于关联的特征存在于Key对应的Value或“参数”中,而不是手法本身。

下面是洛马Kill Chain文档中的一个基于鱼叉邮件渗透的关联分析,大多数APT活动都有鱼叉邮件的Payload投递,使其能被关联到一起的并不是大致的攻击过程环节,而是恶意代码执行阶段的特定文件名和C2阶段的同一个域名这些攻击“参数”。

这些分析所需要的细节的获取,ATT&CK框架提供不了什么指导,这也是为什么说ATT&CK所提供的泛泛的TTP枚举对APT分析帮助不大的原因。

现实世界的APT关联

读过各家厂商的APT报告,结合自己的实践,我的结论是目前的APT关联分析还是基于强特征的。什么是强特征,就是体现足够独特性的细节:

  • 非常特定的目标

特定的行业和人群,比如沙特的某些异见人士经常成为NSO工具的对象,攻击来源可以非常容易地猜测到。

  • 只被某特定团伙使用的数字武器

比如海莲花团伙以前所使用的Denis家族木马(现在基本都用商业产品CobaltStrike了);恶意代码在机器上执行过程中输出的特征数据,如互斥体、执行路径、命令参数、创建的文件和注册表项等等。

  • 已有明确归属的网络资源

攻击者使用的特定IP、域名、邮箱、社交账号、服务器及相应的“业务系统”,目前的IOC主力就是这类数据。

  • 需要特定资源操控能力的手法

0day的使用、BGP的劫持甚至海底光缆的窃听,从能力上体现出来的鹤立鸡群。

上面这些特征的列举暗合了钻石模型的分析需求,钻石模型定义了对手、能力、基础设施和受害者这四个核心对象,给出了它们之间的Pivot交互方式。分析人员按照其约束的Pivot方向循环挖掘相关的特征信息,确认其中的Overlap,这才是关联归属分析比较有成效的工作方法,因此,分析APT的需求方面钻石模型是比ATT&CK有用得多的工具。

从信息论的角度看,特征的价值高低取决于其消除不确定性的能力,所以不是所有的特征都是平等的,比如知道已知某个攻击团伙的C2域名用到了某个域名注册商远不如知道其用到了某个特定IP,因为域名注册商并不只服务于攻击者,而IP在特定阶段只被特定攻击者使用,排他性消除了很大部分不确定性。

元数据为王

APT分析的核心是看见的能力,获取信息量的能力,分析方法上其实并不需要多复杂,没必要搞得高深莫测。随着摩尔定律主导下的计算存储成本的指数级降低,以及支持大数据处理技术的完善,我们正在进入到一个元数据为王的时代。不理解这一点的读一下当年美国司法部对Lazarus团伙成员的起诉书就知道了:

https://www.justice.gov/opa/press-release/file/1092091/download

上图是部分对文档中提到的一些对象的梳理,文档中体现的美国人收集元数据的能力是惊人的:

  • 特定IP的访问记录
  • 特定IP与社交账号的关系
  • 人员所使用的IP
  • 人员使用的社交账号
  • 人员的邮件记录
  • 人员的社交信息收发
  • 人员的搜索记录

掌握这些信息,还需要什么特别的机器学习方法吗?简单的图关联就够了。

我司高级威胁检测产品天眼的功能之一就是基于网络的元数据收集,网络上视野范围内的TCP会话记录、邮件活动、DNS交互、URL访问、文件下载都被以日志的形式作为元数据记录下来,可以方便地检索到,这远比强行使用粗糙的ATT&CK的TTP枚举有意义。

1人评论了“为什么ATT&CK对APT关联归属分析用处不大”

发表评论

电子邮件地址不会被公开。 必填项已用*标注

广告赞助