钻石模型和基于网络的威胁复制

我最近在BSides DC与Chris Ross(@xorrior)就复制对抗性后利用工具和传统手段进行了交谈。在演讲中,我们简要介绍了特定对手仿真的概念,并在非常高的层面上讨论了入侵分析钻石模型如何被用作对手仿真的框架。为了更好地解释这个概念,我决定最好在一篇博客文章中扩展我们的想法,发表在相当长的一篇文章中。

和我的大部分帖子一样,我尽力提供尽可能多的参考资料。我在整个帖子中引用了这些项目,并希望确保原作者得到应得的信用:

如何复制威胁?

以前我曾经介绍过关于红队的操作以及进行这些操作的各种组件和注意事项。红队操作的一个子集是威胁复制练习。在这些演习中,红队负责建模和模拟特定的威胁,以便测量环境中检测,响应和减轻的有效性。这种方法有优点和缺点,往往需要巨大的资源准确地复制对手。

我常常问的一个常见问题,直到现在还没有得到足够的答案,那就是你如何复制威胁,因为在对手的操作,意图,目标,能力等方面缺乏商业上的智慧呢?我目前不知道任何广泛接受的红队框架正式确定进攻队伍如何有效地模拟威胁。在钻石模特刷新自己之后,我看到在红色队伍环境中使用它的最终价值,以更好地塑造红队如何在参与过程中有效地效仿对手。

这个模型是什么?

概观

入侵分析的钻石模型由Sergio卡尔塔吉罗(发表在一张白纸在2013年@cnoanalysis),安德鲁·彭德格斯特(@ 0xAndrew)和克里斯托弗·贝茨。该模型是基于图表的,并且努力为入侵活动进行适当分类创建一个框架。该模型的基础是有一个原子元素(“事件”),由至少四个相互关联(链接)的特征(节点)组成:对手,基础设施,能力和受害者。事件是对手必须采取的完整攻击路径的一个步骤,以实现其目标。活动线程是一系列有序的事件,代表了操作员执行的操作流程。线程可以通过各种活动进行相互关联和匹配,形成共享战术,技术和程序(TTP)的活动组。

DiamondModel

从任何一个具体的特征,入侵分析人员能够观察其他链接元素的活动。例如,从受害者那里,分析人员将能够识别事件中使用的功能和基础设施。从能力或基础设施,入侵分析人员可以观察对手。

现在,让我再分解一些这些原语。

对手

入侵分析钻石模型的Axiom 2:存在一组攻击计算机系统或网络的对手(内部人员,外部人员,个人,团体和组织),以进一步扩大其意图并满足他们的需求。

对手是专注于定义恶意行为负责人的模范功能。虽然一个简单的概念,它可以很容易地打破对手的客户和对手的操作员。客户是对手的组成部分,界定操作的最终目标,并收集收集到的情报。操作员是负责执行操作的技术组件。

能力

此模型功能集中在描述和定义对手使用的工具和技术。重要的是要注意,在某个恶意事件或活动线索的内部,敌方武器的能力的一小部分可能会被观察到。

基础设施

此模型功能描述了用于提供,分段,控制和与功能通信的物理和逻辑资产。在白皮书中,作者定义了两种类型的基础设施

  • I型 – 由对手完全控制或拥有
  • II类 – 由不愿意的中介机构控制或拥有

基础设施功能可以显示有关正在调查的恶意行为的有趣对手细节; 然而,基础架构也可以用于将多个恶意行为链接到单个对手。互联网服务提供商(ISP)是基础设施功能的子组件,可用作选择器,以识别不同事件之间的潜在关系(演员通常在各个操作之间重复使用相同的ISP)。此外,基础设施(基于云,VPS,数据中心,私人/住宅等)的类型可能特别有趣,因为它反映了对手的运营基础设施方法,这些方法在运动中可能不会改变,特别是对于具有组织的演员划分各种操作功能(开发人员,运营商,网络运营商等)。

受害者

受害者模型特征描述了受害者的通用分类,例如行业,市场,组织或角色以及被攻击的受害者资产的具体分类。在有针对性的攻击的情况下,受害者通常是一种手段,可能会被用作演员基础设施的一部分。在攻击链的早期部分可以最好地认识到这一点,系统将因为升级特权时的技术重要性而受到影响。例如,如果对手试图折衷一个高度针对性的组织,他们可能会首先妥协已知被目标用户使用的弱势Web服务器。接下来,他们可以对现场进行排水以获得组织的初步立足点。使用凭据滥用,他们将横向扩展到可用的系统,以最终获得域管理员。直到这一点,所包含的资产对最终目标没有直接的影响,只是让他们保持立足点,直到达到目标。

元特征/扩展模型

除了基本功能之外,还有一些元功能集中在并定义了更高级别的结构和模型中概述的基本功能之间的关系。在扩展钻石模型中,增加了两个关键的元特征来扩展入侵分析涉及的关系和复杂性:社会政治因素和技术

 

ExpandedDiamond

社会政治元功能定义中的所有恶意活动的潜在敌对意图/目标。这与战略动机的较大策略联系起来,并且至关重要,因为它侧重于受害者的概念。对手的意图和目标导致选择性地选择受害者,以及这些受害者如何进入更广泛的计划。

技术元功能引入并在基础设施和能力之间的关系展开。该元功能将所有后端技术结合在一起,从而使能力和基础设施之间的通信成为可能。诸如DNS,云VPS,受损博客等等都可能会陷入这个领域,并为演员的能力做出贡献。

把它放在一起

把它们放在一起,一个事件可以定义为:
DiamondEvent

使用该模型,事件响应小组可以将钻石模型上的可观察活动分类为事件的一个方面,然后将其调查从单一功能开始。当分析关于该节点的相关数据时,它们能够转向相应的特征以扩展对手的知识。此外,这种模式允许维权者使用活动分组,详细分析共享TTP的模式来对特定的威胁行为者及其相关活动进行分组。

所以呢?为什么红队关心?

由于蓝队可以准确,科学地利用这一模式来跟踪对手,而红队正试图效仿具体对手,因此利用这一模式也可以复制选择的威胁,这是很有意义的。从我们正在仿效的对手的知识开始,红队可以通过钻石模型的各种功能来定义和模仿对手。

对手

首先,红队应该与客户合作,以​​确定对环境的可能威胁,或者采取已知的威胁,并决定对特定对手进行仿效。红队将需要研究该演员的所有方面,并可能从威胁情报队,事件响应者和私人威胁共享组中获取额外的信息,允许其分发信息以包括报告,恶意软件散列,研究,指标等。在这个领域找到组织和联系,我建议与那些可能与同行业合作伙伴合作的蓝色团队成员或恶意软件分析师进行合作。在私营部门,智力通常是专有的,紧密的关系,很少有竞争的组织共享,因为担心声誉丧失或竞争优势,这使得这一步非常困难。在演习中,红队将扮演对手客户和对手的角色,所以没有必要区分两者。红队负责人应根据模拟客户的预定义的计划和意图大力引导操作行动。

能力

为了实现能力,红队可以选择紧密反映演员使用的TTP和恶意软件,但不需要使用对手的整个“武库”。由于该练习是在一个活动组内模拟一系列恶意事件,所以对手被迫使用所有可用的工具是不太可能的。因此,可以引入“ 白卡”,允许红队模拟能力和指标的重要方面。如在BSidesDC演示中所展示的,红队可以开发工具来专门模拟近乎相同级别使用的功能。

基础设施

对于基础设施而言,没有必要(或可能)获得确切的基础设施。红色团队可以密切模拟基础设施使用类型,类型I或类型II以及对手拥有的基础设施的形式。例如,如果对手使用WordPress博客进行有效载荷的分期,红队可以轻松设置和配置模拟的受害者WordPress页面来托管其初始分段。此外,如果对手正在使用VPS提供商,红队可能会复制这些行为。另外作为基础设施功能和技术元功能的一部分,红队希望确保他们的命令和控制(C2)机制与对手的机制紧密相配。Cobalt Strike提供了一种执行可延展C2的方法,而Empire 2.0还引入了可扩展的C2模块,可以帮助红队进行此项工作。

受害者

在所有阶段的参与过程中,红队希望确保每个受害者都被选定为具体的目标。一些受害者资产将被用作在整个杀人阶段结束的手段(英特尔收集,证书滥用,特权升级),而其他受害者的资产将作为中介点,以达到最终目标。这也与社会政治元特征相结合,因为红队和“皇冠宝石”目标的最终目标应该以对手的知识为基础,而不仅仅是红队的盲目选拔。这通常是准确执行的最难的部分,因为对手和意图的头脑往往是未知的。一般来说,红队可以执行定位分析和重心分析,以定义对对手特别有用或对组织有害的东西,但这几乎总是近似的。

元功能

一些模型元功能可以用于在练习期间进一步复制威胁。元功能在上图中列出,对红队练习有不同的影响。我觉得有用的一个功能就是攻击者资源。例如,如果我们用很少的资源来模拟对手,那么红队应该将其纳入其参与的各个方面。可以模拟有限的工具集,软件,培训,设施等,以更好地模拟演员。这让我感到高兴,因为我热切地相信并不是每一次威胁复制都应该是真正的“先进”威胁。许多成功的对手在资源上非常有限,并利用开源工具集。

方法论是另一个元功能,易于构建到复制工作流程中,如果有关于所涉及的演员的方法的充分报告。许多成立的APT团体对其进行了大量报告,并根据回应努力编写了案例研究。

复制威胁的挑战

简单地说,复制威胁作为一项服务的挑战是,我们不是真正的世界对手。执行这些服务有很大的障碍。以下是我们经常遇到的一些挑战:

  • 反向工程和开发时间要求较高
  • 定制工具需要特定的操作员培训和测试
  • 英特尔必须进行丰富和修改,以适应运营环境
  • 必须将情报分析师和网络运营商混合在一起,使现有的威胁正在使用

此外,作为旨在改善我们的蓝队同行的伦理提供者,我们的行动有很多限制,阻止我们复制某些交易方面。以下列出了一些模拟对手作为服务的潜在障碍:

  • 勒索/敲诈勒索是桌上的
  • HUMINT招聘不在范围之内
  • 禁止对家庭网络或个人设备进行定位
  • 由于网络权限不足,无法对BYOD网络或细分
  • 任何形式的拒绝服务都不被批准
  • 不能妥协第三方的漏洞或收集英特尔
  • 未经明确许可,无法指定关联企业或子公司
  • 使用0天漏洞进行咨询是不划算,实用的

案例分析

我们假装我们是一个专门从事航空航天的国防工业公司的红队。通过我们当地的执法联络人和许多威胁情报提供者,我们知道PUTTER PANDA是一个针对我们的威胁,我们想复制它。我们可以使用上述模型来规划和启动威胁复制练习。

首先,我们研究并获得对手的知识。通过Crowdstrike的报道,我们学习了很多关于对手的潜在信息,包括可能的隶属关系:PLA 3GSD第12局局长61486.我们知道对手可能资助计算机科学背景和军事训练。此外,由于与共同受害者空间中的其他对手的关系,PUTTER PANDA可能具有中等到高数量的资源。对各种报告进行解释,我们认为,虽然对手并没有使用最先进的技术,但在使用简单的方法之前,他们在很大程度上是成功的,并且专注于中期访问,直到达到目标。

转向基础设施模式功能,我们可以开始分解,并专门为我们的参与计划。我们可以注册类似于报告指标的风格和命名的DNS域。我们可能会混合技术相关领域,“正常”领域和航空航天相关领域。基于对以前运动中使用的IP地址的分析,我们了解到,PUTTER PANDA使用I类云基础设施和数据中心来托管其C2节点(即100.42.216.230 – > WebNX)。有了这些知识,我们可以在同一个云托管公司的地理位置上注册系统。

对于能力模型功能,我们必须规划,开发和测试我们用于复制威胁的工具。如果您使用一般的威胁复制而不是高度复制,您可以利用一个受欢迎的平台,例如Cobalt Strike,它提供了TON的功能来执行这些操作。钴打击可以生成类似于PUTTER PANDA使用的MS Word droppers,并且还具有可扩展的C2功能,使Beacon RAT与可配置指示器通信。此外,帝国RAT具有即插即用的通信方式,可以直接反映PUTTER PANDA的C2方法。对于更加定制,准确和特定的威胁复制,您可能需要开发自定义功能。使用C / C#,我们可以使用一个简单的.scr或.exe文件夹来模拟PUTTER PANDA使用的初始缓冲区,并使用相同的XOR混淆。接下来,该滴管可用于执行其RAT的重用和嘲笑版本。在所有可能性中,这些工具的某些方面将需要进行修改和改进,以提高操作安全性并防止在操作期间的数据泄露/丢失。演员所使用的后续开发功能主要是开源工具,可以通过RAT传送。

在执行之前,可以进行运营规划,以分析和确定对手客户可能认为结束状态是成功的。一般来说,怀疑中国APT集团,怀疑的意图是知识产权盗窃和情报目标。考虑到这一点,红队可能会进入运营,目的是获得该公司生产的军用硬件的敏感计划或原理图。关于分配给项目的工程师的个人信息的次要目标可以优先考虑,因为它可以为这些工程师招募情报。在整个操作过程中,红色团队应根据这些资产对攻击链带来的价值或影响两个目标的能力,仔细选择哪些资产进行访问。

分析方法元功能,我们可以计划,我们将执行一个粉碎和抓取风格的操作,利用网络钓鱼获取初始访问权限,然后进行基本的后期开发收集。我们将利用凭据滥用,键盘记录和截图来收集信息和横向传播。一旦我们完成我们的目标,我们将要以大块的形式将其分解到各种死亡地点,供以后检索。方法元特征与时间戳元特征相结合,定义了我们运营的时间,在这种具体情况下,根据提出的归属(美国的夜间),我们可能希望在上海的白天工作

结论

在红队练习期间进行现实的威胁复制有进入的明确障碍。要完全准确,它将需要逆向工程,开发和适当的建模,但大多数组织并不真正了解如何准确地衡量他们正在尝试复制的威胁。入侵分析的钻石模型提出了一个非常明确的方法,我们作为红队成员,可以制定和呈现我们的计划,复制一个特定的威胁,与SOC将展示和分类事件活动的方式相同。我会鼓励红队和蓝队同样质疑内部/外部的提供者,他们如何进行威胁复制,以及他们是否真正复制了与敌手相关的多方面的方面。我也会挑战红队成员,更加熟悉挑战组织和蓝队成员的威胁,以便对组织所面临的威胁进行分类,跟踪和描述,而不是进行修复和改进。这些方法允许双方在其方法上成熟。 

评论

还没有任何评论,你来说两句吧

你必须 登录 才能发表评论.