2019年基于ATT&CK的APT威脅跟蹤和狩獵.pdf

1、基于ATT&CK的APT威脅跟蹤和狩獵 奇安信威脅情報中心 “紅雨滴”團隊 奇安信下專注于威脅情報方向和高級威脅分析的團隊 主要方向為定向攻擊事件和高級威脅分析、發現和響應，機讀威脅情報的生產和輸出 曾發現和披露數個APT組織，并長期跟蹤活躍APT組織活動團隊介紹目錄什么是 ATT&CK？數據與處理戰術和技術分析與狩獵目錄ATT&CK圖片來源網絡兵者，詭道也ATT&CKATT&CKhttps:/stixproject.github.io/documentation/idioms/c2-ip-list/TTP in STIX 1.2Attack Pattern in STIX 2.0ATT&CK

2、 映射到映射到STIX 2.0ATT&CK偵查偵查武器化武器化分發分發利用利用安裝安裝命令控命令控制制行動行動PRE-ATT&CKEnterprise團隊介紹初始進入代碼執行持久性權限提升防御繞過憑據獲取內部探測橫向移動信息收集數據竊取命令控制影響攻擊組織攻擊技術戰術目的攻擊武器使用使用實現達成戰術目的技術實現數據與處理-ATT&CK攻擊團伙攻擊團伙戰術戰術技術技術日志數據日志數據攻擊團伙歷史戰術技術攻擊團伙歷史戰術技術常用攻擊技術常用攻擊技術檢測點、檢測特征檢測點、檢測特征TI、OSINT公開報告技術研究Adversary EmulationRed Team 分析分析狩獵狩獵驅動文件網絡流模

3、塊進程注冊表服務線程用戶會話 WINDOWS日志 SYSMON AUTORUNS 自定義的終端網絡行為監測程序 自定義的系統行為監測程序數據與處理-ATT&CKTechniqueBehavior(Contextual)Observable/IOC戰術與技術 ATT&CKEnterprise Techniques：覆蓋Windows、Linux、MacOS，涉及244項攻擊技術Groups：覆蓋了公開活躍的APT組織或黑客團伙86個Software：覆蓋了常用惡意代碼、攻擊工具或系統工具377個戰術與技術Red Canary“Threat Detection Report”2019https:/

4、 系統命令net,certutil,ipconfig,bitsadmin,netsh,系統內置環境Msbuild,csc,PubPrn.vbs 應用環境IIS：appcmd.exe 其他psexec,分析與狩獵圖片來源網絡窺一斑而知全貌通過碎片化的證據還原攻擊全貌分析與狩獵偵查偵查武器化武器化分發分發利用利用安裝安裝命令控命令控制制行動行動突破與立足維持持久化攻擊攻擊工具工具腳本、shellcode自制的木馬、后門公開或開源工具系統命令魚叉郵件網絡釣魚水坑攻擊誘餌文檔橫向移動內網探測憑據竊取數據回傳分析與狩獵動機和意圖長期/短期TTP思路和習慣工具基礎設施歷史威脅情報內部/外部易變的技術分析特

5、征戰術分析階段意圖分析目標歸屬分析可靠性分析與狩獵Drive-by Compromise 利用失陷站點作為基礎設施URI路徑 修改失陷站點文件插入JS片段外鏈JS腳本分析與狩獵PowerShellbehavior:powershell.exe AND behavior:csc.exe語法靈活特殊參數-exec bypass-enciex分析與狩獵Shortcut Modification分析與狩獵事件事件1事件事件2事件事件3域名注冊：一次注冊，分批使用分析與狩獵摩訶草Confucius91.195.240.82DNS記錄的變更 C&C的重疊分析與狩獵 COBALT STRIKE TEAM SERVERS響應頭部多的空格ANIMAL FARMUser-Agent MSIE-MSITURLA劫持APT34的控制基礎設施https:/blog.fox- ATT&CK對APT威脅的分析、跟蹤和狩獵提供了指導性知識基礎 在實際的APT威脅中，ATT&CK的覆蓋程度和粒度并不能完全適用，需要加以豐富 ATT&CK是由運營IOC層面進一步到運營TTP層面THANKS