五眼联盟,由英国、美国、加拿大、澳大利亚、新西兰,这五个盎格鲁撒克逊人种国家组成的情报共享联盟组织。近日发布了一份报告,该报告介绍了发现恶意网络攻击活动的技术方法,并提出了缓解这些攻击的步骤。发布报告的目的是增强合作伙伴和网络管理员之间的安全事件响应能力,并可将报告充当安全事件调查手册。

翻译不准确之处,敬请谅解。

五眼联盟提出网络安全响应步骤:

  • 首先,收集并删除以进行进一步分析:

  • 网络活动相关程序,日志和数据。

  • 实施缓解步骤,避免提示对手其已在网络中被发现。

  • 最后,考虑从第三方IT安全组织寻求应急响应帮助:

    • 为应急响应的角度提供专业知识和技术支持

    • 确保从网络上消除了攻击者所有攻击痕迹

    • 避免存在残留问题(如漏洞未修补,后门未清除),一旦事件结束,这些残留问题可能导致后续被入侵。

技术细节

事件响应过程需要多种技术方法来发现恶意活动。事件响应者应考虑以下步骤,黑鸟认为基本是威胁情报和机器学习的方法,自动化的进行恶意活动发现。

  • 入侵威胁指标(IOC)搜索 :

    从各种各样的来源收集已知的恶意指标,并在网络和主机中搜索那些指标。搜索结果可以进一步确认是否存在恶意活动,以消除误报。

  • 频次分析 :

    利用大型数据集来计算网络和主机系统中的正常流量。使用这些预测性算法来识别与正常模式不一致的网络活动。通常考虑的变量包括时间,源位置,目标位置,端口利用率,协议遵循性,文件位置,通过哈希的完整性,文件大小,命名约定和其他属性。

  • 模式分析 :

    分析数据以识别repeating patterns,这些重复模式指示自动化机制(例如,恶意软件,脚本)或例行的攻击者活动。筛选出包含正常活动的数据,并评估其余数据以识别可疑或恶意活动。

  • 异常检测 :

    对收集到的程序进行分析检查(基于团队对系统管理的知识和经验),以识别是否恶意。审查各种数据集的唯一值,并在适当的情况下研究相关数据,以发现异常活动,该活动可以指示威胁行为者的活动。

如果检测到疑似恶意活动,在搜查恶意活动过程中,推荐搜查的应用程序、文件

在搜寻和/或调查网络时,重要的是要检查各种各样的程序文件,以识别可能与事件相关的任何可疑活动。下面是推荐在受害者主机进行搜查的部分:

主机层

  • 正在运行的进程

  • 正在运行的服务

  • 父进程和子进程

  • 后台可执行文件的完整哈希

  • 已安装的应用程序

  • 本地以及域账号用户

  • 异常的身份验证

  • 非标准格式的用户名

  • 监听端口和相关服务

  • 域名系统(DNS)解析设置和静态路由

  • 最近建立的网络连接

  • 运行着密钥或其他正在自动运行的持久化程序

  • 计划任务

  • Artifacts of Execution (Prefetch and Shimcache)

  • 事件记录

  • 杀软检测记录

主机信息收集分析

  • 标记任何未签名,并正在试图连接到Internet的进程,以查找beacon或传输的重要数据。

  • 收集所有PowerShell命令行请求以查找Base64编码的命令,以帮助识别恶意的无文件攻击。

  • 寻找过.RAR,7zip或WinZip过程,尤其是可疑的文件名,以帮助发现投递的恶意压缩包(可疑文件的名称,例如,1.zip,2.zip等)。

  • 收集所有用户登录名并查找异常行为,例如对于用户而言不寻常的登录时间或来自用户通常不使用的Internet协议(IP)地址的登录。

  • 在Linux / Unix操作系统(OS)和服务上,收集所有文件cron和systemd /etc/passwd文件以查找不寻常的帐户和日志文件,例如看起来是system/proc用户,但具有交互式shell的帐户,例如/bin/bash而不是/bin/false/nologin

  • 在Microsoft操作系统上,收集目标主机上的计划任务,组策略对象(GPO)和Windows管理规范(WMI)数据库存储,以查找恶意持久化。

  • 使用Microsoft Windows Sysinternals自动运行工具,该工具可使IT安全从业人员查看自动加载到系统上的大多数程序(如果需要,可以轻松禁用)。

  • 检查Windows注册表和Volume Shadow Copy服务以获取入侵证据。

  • 考虑禁止脚本文件运行,如.js,.vbs,.zip,.7z,.sfx甚至微软Office文档或PDF文件。

  • 从/dev/shm/tmp 和/var/tmp 收集任何脚本或二进制ELF文件。

  • 列出的内核模块(lsmod)是rootkit的标志;dmesg命令输出可以显示Rootkit加载和设备连接的迹象。

  • 存储导出/var/log所有主机的内容。

  • 从journald导出日志。这些日志与/var/log几乎相同;但是,它们提供了一些完整性检查,并且不那么容易修改。这最终将替换系统某些方面的/var/log内容。检查是否有添加到用户的其他安全外壳(SSH)密钥authorized_keys。

网络层

  • 异常的DNS流量和活动,意外的DNS解析服务器,未经授权的DNS区域传输,通过DNS的数据泄露以及对主机文件的更改

  • 远程桌面协议(RDP),虚拟专用网(VPN)会话,SSH终端连接以及其他评估入站连接,未经批准的第三方工具,明文信息和未经授权的横向移动的远程功能

  • 统一资源标识符(URI)字符串,用户代理字符串和代理实施操作,用于恶意使用,可疑或恶意的网站访问

  • 超文本传输协议安全/安全套接字层(HTTPS / SSL)

  • 未经授权与已知威胁指标(IOC)的连接

  • 远程登录

  • 互联网中继聊天(IRC)

  • 文件传输协议(FTP)

审查信息以进行网络分析

  • 在以前从未使用的端口上寻找新的连接。(如奇怪的高端口)

  • 查找网络连接的时间,频率和字节数相关的流量模式。

  • 保留代理日志。如果可能,将URI参数添加到事件日志中。

  • 在公司网络上禁用LLMNR;如果无法禁用,请收集LLMNR(UDP端口5355)和NetBIOS-NS(UDP端口137)。

  • 查看对路由表的更改,例如权重,静态条目,网关和对等关系。

事故处理中的常见错误

在确定一个或多个系统可能受到威胁之后,通常会诱使系统管理员和/或系统所有者立即采取措施。尽管有很好的意图来限制系统不被破坏,但是其中一些行为可能会造成负面影响:

  1. 修改容易丢失的数据

  2. 向攻击者提示受害者组织知道了已经被入侵,容易造成报复性行为,例如投放勒索软件或破坏。

下面(图1中部分列出)是避免采取的措施以及采取此类措施的某些后果。

  • 在响应者可以保护和恢复数据之前恢复受影响的系统

    • 这可能会导致易失性数据(例如内存和其他基于主机的工件)丢失。

    • 对手可能会注意到并更改其战术,技巧和程序。

  • 接触攻击者的网络基础架构(Ping,NSlookup,浏览等)(黑鸟备注:看见C2就想ping)

    • 这些动作可以提示对手已被检测到。

  • 抢先阻断攻击者的网络基础设施

    • 网络基础设施相当便宜。对手可以轻松地更改为新的命令和控制基础结构,并且您将失去对其活动的了解。

  • 提前进行密码重置

    • 对手可能具有多个凭据,或更糟糕的是,可以访问整个Active Directory。

    • 对手将使用其他凭据,创建新凭据或伪造票证。

  • 无法保存或收集日志数据,这可能对于识别对受感染系统的访问至关重要

    • 如果未收集关键日志类型,或者未将关键日志类型保留足够长的时间,则可能无法确定有关事件的关键信息。保留日志数据至少一年。

  • 正在与事件响应一起在同一网络上进行通信(确保所有通信都被带外保留)

  • 仅修复症状,而不是根本原因

    • 通过阻止IP地址来“打招呼”,而无需采取措施确定二进制文件的含义以及如何到达二进制文件,这使对手有机会改变策略并保持对网络的访问。

图1:响应事件时应避免的常见错误

黑鸟由于比较关心溯源部分,因此,总结一下五眼联盟发现恶意活动并进行应急的技术方法的中心思想:

在完全了解攻击者的攻击手段和受害的范围之前,不要轻举妄动,打草惊蛇,防止攻击者做出破坏性行动或者改变攻击策略,从而加大发现恶意活动和应急响应难度。

同时也是为了减轻取证以及日后的溯源的难度,不要乱访问攻击者的网络资产,修改受害者主机的数据等。

受害主机的信息搜集的越全越好,见列表。

缓解措施部分请自行查看PDF阅读,实际上与国内很多方案类似,有时间黑鸟会继续翻译,敬请关注。

PDF下载:

https://us-cert.cisa.gov/sites/default/files/publications/AA20-245A-Joint_CSA-Technical_Approaches_to_Uncovering_Malicious_Activity_508.pdf

参考链接:

https://us-cert.cisa.gov/ncas/alerts/aa20-245a

这些链接同样可以参考哦

声明:本文来自黑鸟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。