简介
微软的威胁情报团队认为,防御者不仅要尽早发现攻击,而且要迅速确定攻击的范围,并预测其发展,这一点至关重要。攻击如何进行取决于攻击者的目标以及他们的策略、技术和过程(TTPs)。因此,快速将观察到的行为和特征与威胁攻击者联系起来,可以更好地应对攻击。
攻防对抗是一场此消彼长的持久战:随着防御者实施新的检测和应对方法,攻击者也会迅速修改其技术和行为,以逃避检测。随着时间的推移,通过传统的威胁指标(例如文件,IP地址或已知攻击手法)发现攻击者的最新攻击行为,越来越难以奏效。
为了应对这一挑战,微软建立了概率模型,能够快速预测可能造成攻击的威胁群体,以及可能进行的下一个攻击阶段。本文将介绍微软威胁情报团队推出的,用于追踪威胁攻击者的概率图形建模框架。
预测人工操作的勒索软件模型
本文讨论的概率模型可以帮助威胁分析人员在攻击的最初阶段向客户快速地发送有关威胁攻击者属性的通知。例如,在最近的一个案例中,该模型以较高的可信度,预测出了一个新的勒索软件攻击事件。这使得分析人员能够快速确认攻击行为和相关攻击者,然后向客户发送有针对性的威胁通知,从而在攻击者加密数据和索要赎金之前阻止威胁:
攻击者通过远程桌面危及设备。该信号是许多信号中的一个,它开始由模型检查攻击,模型知道通过远程桌面进行初始访问是特定威胁参与者经常使用的一种技术。
攻击者将常见的开源工具和自定义有效载荷复制到设备上,用于破坏杀毒软件和窃取证书等恶意活动,这将允许发现和横向移动。通过这些设备上的工具,模型的置信度增加了。
攻击者开始运行工具并显示与通常威胁行为者攻击的相关行为。
攻击仅进行了两分钟,模型就达到了阈值,表明组织中存在可疑威胁攻击者的活动。
威胁专家分析人员会收到模型识别出的可疑攻击者活动的通知,他们会迅速给受害者发送一个威胁通知,其中包括技术信息和攻击者的归因。
当发现攻击者试图篡改反病毒解决方案时,模型就会拦截攻击。从而使威胁攻击者停止执行其他已知的TTPs,最终阻止勒索软件的部署和激活。
图1 预测人工操作的勒索软件攻击链模型
通过自动威胁攻击者跟踪模型,威胁专家分析人员能够在攻击发生时向该组织提供有关攻击的信息。如果及时通知使客户,就可能阻止人工操作的勒索软件造成重大损害。如果未阻止,威胁攻击者将能够执行其典型的攻击行为,包括清除事件日志、创建持久化方法、禁用和删除设备的备份和恢复选项,以及加密和勒索。
通过概率图形建模跟踪威胁攻击者
正如上面的案例研究所显示的,通过快速地将恶意行为与威胁攻击者联系起来,可以提高在早期阶段以高可信度识别攻击的能力。使用概率模型来预测攻击背后可能的威胁攻击者,分析人员就不用根据攻击者的已知行为人工评估和比较其技术和工具。
即使攻击者为了逃避检测,经常调整他们的工具、有效载荷和技术手法,该模型也可以帮助分析人员学习新的TTPs,然后快速评估威胁行为以确认模型的预测是否准确。这种情报可以帮助分析人员查找攻击者最近创建的基础设施和工具,并增强了报告、检测、减缓和阻止攻击者的能力。
数据采集
威胁预测的第一个挑战是将收集到威胁指标转换成一组定义明确的TTP。其思想是定义一个知识库,这样该方法就可以在不同的威胁攻击者之间泛化。
攻击行为需要在正确的粒度级别上仔细映射。如果行为被映射到一个太宽泛的类别(例如像横向移动这样的MITRE ATT&CK 框架技术),就无法区分不同的攻击者。如果攻击行为太具体(例如,记录的攻击者使用特定文件哈希),那么攻击者任何细微的修改,都会导致无法检出。
在贝叶斯网络模型中,TTPs被用作变量,贝叶斯网络模型是一种非常适合处理特定问题挑战的统计模型,包括高维、TTPs之间的相互依赖性以及缺失或不确定数据。
贝叶斯网络
单独的TTP很难提供足够的证据,将攻击归因于一个威胁攻击者,而多个TTP的结合为识别威胁攻击者提供了必要的证据。
微软使用贝叶斯网络模型的TTPs和威胁攻击者的联系进行建模。贝叶斯网络是一种强大的工具,它在一组变量上建立一个联合分布,并对它们之间的关系进行编码,这可以表示为一个有向无环图。贝叶斯网络的特性使其非常适合这个问题。
图2显示了一个样例,变量X对应威胁攻击者,其中6个TTPs的灵感来自于MITRE ATT&CK框架,包括T1570(横向移动工具)、T1046(网络服务扫描)、T1021(远程服务)、T1562.001(损害防御)、T1543(创建/修改系统进程)和影响(TA0040)。举例来说,传输工具和攻击者之间的有向边,表示观察到攻击者的可能性与我们是否看到他们传输攻击工具直接相关。
图2 条件概率表样例
威胁情报启发
将最小训练实例与可能技术的高维集合相结合,使安全领域知识和威胁情报专业知识变得至关重要。
统计人员与威胁分析师密切合作,将分析师庞大的现有知识库合并到模型中。分析人员通过事先告知哪些节点可能相互关联,来帮助统计人员了解贝叶斯网络的结构。例如,分析师可能会说,他们经常看到网络扫描后出现横向移动。由于主要关注的是入侵后攻击,因此攻击链定义了一个固有的阶段序列,这些阶段被视为攻击进程,例如从获得访问权到利用。这种排序可以帮助确定边缘的方向。使用一种结构学习算法从训练示例中学习任何剩余的可能边。[3]
一旦确定了攻击图,威胁分析人员就可以分析出节点之间关系的强度(例如,看到给定传输工具的情况下,禁用安全工具的可能性有多少),该数据在完成模型的规范之前被编码。
最后,当威胁攻击者的行为随着时间的推移而改变时,可能需要从图中添加或删除与新的TTP相对应的新节点。可以通过来自威胁情报专家的信息设置先验,并使用警报数据库来评估与图中其他技术的相关性。
图3说明了专家增强的概率图形建模框架。在这些构建的图上应用概率学习,这些图是根据从真实攻击收集的数据和威胁情报社区的大量知识构建的,为预测可能的威胁攻击者和预测攻击如何发展提供了一个框架。
图3 概率统计模型框架
[1]使用因果网络的攻击计划识别和预测(https://ieeexplore.ieee.org/document/1377244)
[2]使用贝叶斯网络实时报警关联和预测(https://ieeexplore.ieee.org/document/7387905)
[3]使用贝叶斯网络学习指南(http://heckerman.com/david/tutorial.pdf)
本文为CNTIC编译,不代表本公众号观点,转载请保留出处与链接。
联系信息进入公众号后点击“论坛信息”可见。
原文标题:Automating threat actor tracking: Understanding attacker behavior for intelligence and contextual alerting
原文链接:
https://www.microsoft.com/security/blog/2021/04/01/automating-threat-actor-tracking-understanding-attacker-behavior-for-intelligence-and-contextual-alerting/
编译:CNTIC情报组
声明:本文来自国家网络威胁情报共享开放平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。