入侵分析鑽石模型與基于網絡的威脅複制（二）

本文講的是<b>入侵分析鑽石模型與基于網絡的威脅複制（二）</b>，本文為作者Justin Warner (@sixdub)近期在 BSides DC 峰會上與 Chris·Ross的共同演講内容的擴充，嘶吼編輯翻譯。由于内容過長，分為兩篇放出。前文見入侵分析鑽石模型和基于網絡的威脅複制。

那又怎樣?為什麼紅軍如此關心？

由于藍軍可以準确、科學地使用這個模型跟蹤對手，而紅軍也正試圖模仿一個特定的對手，是以利用這個模型也能夠複制所選擇的威脅，這一點非常有意義。通過我們對要模拟的對手的了解開始，紅軍可以來定義和模拟鑽石模型中具有各種特征的對手。

對手

首先，紅軍應該與客戶合作，識别環境中可能存在的威脅，或采取他們之前觀察到的已知的威脅，來決定對哪些特定的對手進行仿真模拟。紅軍需要研究攻擊者的所有方面，并尋求威脅情報團隊，事件響應人員和私人威脅共享組織的幫助以擷取關于要仿真模拟的對手的額外資訊，這些組織要允許分發相關的資訊，包括報告，惡意軟體的HASH值，研究結果，分析名額等等。要在這個領域找到這些組織，我個人建議與藍軍團隊的成員或惡意軟體分析師一起工作，他們可能也與同行業的合作夥伴一起合作。在私人部門，情報往往是專屬的，密切的，并且很少在競争組織之間共享，因為擔心聲譽損失或競争優勢，是以這使得與私人組織的合作變得非常困難。在演習期間，紅軍将扮演對手的客戶和對手操作人員的角色，是以沒有必要區分兩者。紅軍團隊應該把主要的精力放在按照預先的計劃進行操作以及仿真模拟客戶意圖的操作。

能力

為了達到發揮能力的目的，紅軍可以選擇與對手密切相關的TPP鏡像以及對手使用的惡意軟體，但不需要使用對手所擁有的整個“武器庫”。由于該演習是為了模拟單個活動組中的一系列惡意事件，是以對手不太可能被迫使用每個可用的工具。是以，可以引入“白卡”，以便允許紅軍仿真模拟能力和名額中比較重要的那一方面。在BSides DC的演講和示範中，紅軍可以開發工具，專門用于模仿對手的幾乎同等水準的能力。

基礎設施

對于基礎設施，沒有必要（可能）獲得對手所使用的确切的基礎設施。紅軍可以非常逼真的模拟基礎設施的使用類型，如：類型I或類型II，以及對手擁有的基礎設施形式。例如，如果對手使用WordPress部落格分階段的執行攻擊payload，紅軍可以輕易地安裝和配置模拟的受攻擊的WordPress頁面來托管其初始攻擊階段。此外，如果對手正在使用VPS提供商，則紅軍也有複制這些操作的可能。作為基礎設施特征和技術元特征的一部分，紅軍将希望確定他們的指令和控制（C2伺服器）機制與對手的指令和控制機制密切比對。Cobalt Strike提供的Malleable C2以及Empire2.0引入的可擴充的C2子產品，均可以在這方面幫助紅軍實作目标控制。

受害者

在所有的參與階段，紅軍将希望確定每個受害者能被選擇用于特定的目标。一些受害者資産将被當作進一步控制其他受害者的一種手段，在整個攻擊鍊路中（情報的收集，憑證濫用，特權提升），這些受害者及其資産将作為到達最終目标的中轉點。紅軍所選擇的最終目标涉及到社會政治元特征，“皇冠寶石”所選擇的最終目标應該是基于對所選擇的對手的了解，而不僅僅是紅軍的盲目選擇。這往往是準确執行中的最難的部分，因為對手的内心和意圖往往是未知的。在一般情況下，紅軍可以執行目标定位分析和行動重心分析來确定對于對手或組織來說對他們有利或有害的東西，但是這個結果的判斷将始終是一個近似值。

元特征

一些模型元特征可以用于在演習期間進一步複制威脅。元特征在上面的圖中已經列出，并且對紅軍演習有着不同的影響。我發現一個比較有用的功能是內建攻擊者的資源。例如，如果我們模拟一個擁有少量資源的對手，那麼紅軍就應該将其納入其參與的每個方面。有限的工具集，軟體，教育訓練，設施等都可以進行仿真模拟，以便更好地模仿對手。在我看來這種做法是帶有攻擊性的，因為我堅信不是每個威脅複制的演習都應該成為一個真正的“進階”威脅。許多在資源方面極為有限的對手，利用開源工具集最終也成功的達到了目标。

方法論是另一個元特征，在有充分有關對手行動方法的報告的情況下，這很容易建構到複制工作的流程中。許多成熟的APT團體對這些組織進行了大量的報告，并根據應對的努力程度編寫了研究案例。

複制威脅的挑戰

簡單地說，将威脅複制作為一種服務的挑戰是我們并非真實世界中的對手。操作此類型的服務會有很高的門檻。這裡有一些我們經常會面臨的挑戰：

此外，作為旨在提升我們藍隊副本的倫理提供者，我們的行動會有很多阻止我們複制某些方面的威脅的限制。以下是一些将模拟對手作為服務時會遇到的障礙的清單：

案例分析

讓我們假設我們是一個國防工業公司的紅軍，特别是涉及航空航天的領域。通過我們當地的執法聯系人和許多威脅情報提供商，我們知道PUTTER PANDA就是面向我們的一個威脅，現在我們想要複制它。我們可以使用上述模型進行規劃并啟動威脅複制演習。

首先，我們要對對手進行一些研究以便更加了解對手。通過Crowdstrike的分析報告，我們掌握到了很多關于對手包括可能存在的潛在聯系的資訊：解放軍3GSD十二局61486。我們還了解到對手可能具有很強的計算機科學背景和基礎軍事訓練能力。此外，由于與共享的受害者空間中的其他對手的聯系，PUTTER PANDA（推杆熊貓）可能具有大量的資源。通過分析解釋各種報告後，我們可以假設，雖然對手沒有使用最複雜的攻擊技術，但是他們在很大程度上成功的使用了很多簡單的方法，并專注于中間跳闆的通路控制直到最終實作目标。

接下來轉向基礎架構模型特征的模拟，我們可以在開始時對我們的工作進行細分或專門規劃。我們可以注冊與報告中列舉的一些名額相似的DNS域，比如域名的形式和名稱。我們可能會混合使用與技術相關的域名，“正常”的域名和與航空航天相關的域名。基于對手在以前的活動中使用的IP位址的分析，我們得知“推杆熊貓”使用類型I的雲基礎架構和資料中心來承載其C2節點（即100.42.216.230 -&gt; WEBNX）。有了這些了解，我們可以在同一個雲托管公司的地理分布位置上注冊一個VPS系統。

對于能力模型特征，我們必須規劃，開發和測試用于複制威脅的一些工具。如果你隻是進行一般的威脅複制，而不進行高度具體的複制，那你可以利用一個流行的平台，如Cobalt Strike，它提供了一個TON的功能來執行這些類型的操作。Cobalt Strike可以産生類似于“推杆熊貓”使用的那些惡意的微軟Word文檔同時還具有可擴充的C2功能，使用Beacon RAT與可配置名額進行通信。此外，Empire RAT具有即插即用的通信方式，使我們能夠直接的反映“推杆熊貓”的C2連接配接方式。對于更特殊，準确或特定的威脅複制，你可能需要自己開發自定義的功能。使用C / C＃，我們可以開發一個簡單的惡意.scr或.exe檔案來模拟PUTTER PANDA在初始攻擊階段使用的惡意程式，并使用相同的XOR進行混淆。接下來，該惡意程式可以用于執行來自RAT的指令并模拟版本。在所有的可能性方面，這些工具的一些方面将需要修改和改進，以提高操作的安全性，并防止操作過程中的資料缺陷利用或丢失。攻擊者在後期所使用的一些能力大多是開源的工具，并且可以通過RAT進行傳送。

在執行之前，可以進行操作規劃以分析和識别對于對手客戶來說哪些結果狀态可被認為是成功的。一般來說，懷疑中國APT組織的涉嫌意圖是盜竊知識産權和情報。考慮到這一點，紅軍可能會進行這些操作，目标是獲得該公司生産的軍用硬體的敏感設計圖。關于配置設定相關項目的工程師的個人資訊的将會作為次要的目标而被優先考慮，因為這些資訊可以回報這些工程師的一些情報資訊。在整個操作過程中，紅軍應該根據這些資産在攻擊鍊中帶來的價值或對兩個目标的影響能力，來仔細選擇要通路控制的資産。

分析方法元特征，我們可以計劃将要執行的攻擊操作，利用網絡釣魚獲得初始通路，然後進行基本的後期資訊收集。我們将利用憑證濫用，鍵盤記錄和截圖來收集資訊并橫向擴充，内網滲透。一旦我們實作了我們的目标，我們将使用Cobalt Strike進行控制。方法元特征與時間戳元特征相結合來确定我們要操作的時間，在這種特定的情況下，要求我們可能需要根據目标的歸屬地（在美國的夜間）的時間期間内（在上海的白天）進行操作。

結論

在紅軍演習中，進行現實威脅複制的确有一定的障礙。為了完全準确的複制威脅，将需要逆向工程，開發和正确的模組化，但大多數組織不能真正了解如何準确地估量他們要試圖複制的威脅。入侵分析的鑽石模型提出了一個非常清晰的方法，作為紅軍的團隊成員，我們可以布置和提出我們的計劃，來複制特定的威脅，就像SOC布置和分類事件活動一樣。我會鼓勵紅軍和藍軍對他們所使用的内部或外部提供者如何執行威脅複制以及他們是否真正地複制了對手涉及的多個方面的問題提出質疑。我還将挑戰紅軍團隊成員，以便更熟悉威脅挑戰組織和藍軍團隊成員，這樣可以将你所在的組織面臨的威脅進行分類，跟蹤而不是補救和繼續前進。這些方法是的雙方在其各自的行動方法論中不斷成熟。

原文釋出時間為：2017年4月25日

本文作者：絲綢之路

本文來自雲栖社群合作夥伴嘶吼，了解相關資訊可以關注嘶吼網站。

<a href="http://www.4hou.com/info/news/4405.html" target="_blank">原文連結</a>