攻击团伙发现与基于攻击战术的检测思考

在真实的网络攻击中,攻击者常常使用团伙的方式进行攻击。团伙通常分为两种,一种是攻击方式相同,使用相同的攻击方式,漏洞利用方式等等对不同或者相同的资产目的进行攻击,这种攻击团伙具有相同的攻击战术,甚至使用相同的脚本和漏洞,IP处在相同的网段等,这些相对来说比较容易识别。另外一种是具有分工明确的团伙,在攻击的每个阶段都有不同的成员负责不同的攻击阶段,这种团伙由于其攻击阶段不具备溯源性,团伙的隐蔽性较高,则较难发现和识别。无论是使用相同方式还是分工合作,团伙攻击的一个较大共性就是更加具有隐蔽性。

下面介绍对抗中记录的一次团伙发现过程,并就此思考总结了对攻击战术研究的重要性。

团伙攻击分析思路

个人攻击方式发现

本次分析团伙的思路主要是基于第一种,是通过对团伙的攻击方式,攻击的资产范围,以及本身的ip地址范围等特征的分析发现的。在攻击的初始,发现了第一个属于攻击团队的攻击方式(10.70.40.1xx),以及其账号,名称ip等等,对此账号的ip,动作等特征进行记录,确认方式部分截图(证据)如下。

  1. 攻击行为概览
  1. SQL注入
  1. Webshell后门访问
  1. 远程携带脚本
  1. 攻击线路尝试分析

分析其攻击路线和攻击手段如下,其攻击的方式目的明确,方法也比较成熟,因此认定这个攻击者是一个值得关注的攻击者,但此时并未发现团伙特征。

团伙攻击发现

随着攻击的持续,在后序接连发现了具有相似攻击模式的攻击者,同时发现其ip与最初攻击者的ip所属的域名相同,因此对攻击方式进行了详细的分析和统计,得到结果如下(部分信息以xx代替表示不同的字符,yy代替相同字符)。

  1. 多攻击者属于同网段、同位置
攻击者ip姓名位置
10.70.40.1xxx杰研发中心1
10.70.40.1xxxx辉研发中心1
10.70.40.1xxXxxunsure
  1. 攻击目标相似性
攻击者ip攻击目标范围
10.70.40.1xx192.1yy.1.*
10.70.40.1xx192.1yy.1.*
10.70.40.1xx192.1yy.2.*、192.1yy.18.*
  1. 攻击手法相似性
攻击者ip触发的告警、事件概述
10.70.40.1xxWeblogic漏洞攻击、SQL注入、Webshell
10.70.40.1xxWeblogic漏洞攻击、SQL注入Webshell
10.70.40.1xxWebshell、文件上传漏洞、SQL注入、
  1. 使用的工具相似性
攻击者ip使用的工具名称(如上传文件名称等)
10.70.40.1xx使用相同的webshell脚本:/_async/webshell.jsp、/JspSpy.jsp、/OA_HTML/OA.jsp
10.70.40.1xx使用相同的webshell脚本:/x.php、/upload/test.php、/upload/1.php、/test.jsp、/test.aspx、/test.asp、/spy.aspx、/_async/shell.jsp、/shell.php、/psquare/x.jsp、/maintenance/test.php等
10.70.40.1xxWebshell脚本:/test.php、/x.php、/upload/1.php、/upload/test.php、/test.jsp、/test.aspx、/test.asp、/spy.aspx、/shell.php、/psquare/x.jsp、/maintenance/test.php、/aspxspy.aspx、/bea_wls_internal/a2e2gp2r2/x.jsp、/adminer/adminer.php

总结和思考

上述的分析方式时基于第一种攻击团伙的攻击思路下实现的,也就是说,我们事先知道存在这种特征的攻击方式的团伙,就能结合现有的结果进行推断并主动溯源,实际上这是一种实用且比较理想的攻击检测方式,这次团伙发现给我的启示更多的是对攻击战术的理解。

攻击战术的重要性

所谓攻击战术,从本例的发现可以看出,团伙的ip,攻击的目的ip实际上都是变量,只是因为在理想环境下具有一定的关联,实际的攻击中,ip,资产等信息通产不具有可溯源性,因为ip和资产信息可以被伪造,跳板机等的存在,也会造成干扰,而只有攻击的战术,也就是攻击手段,使用的脚本是一个不变的量,可以作为一个稳定的团伙发现因素,造成这种原因就是,一般来说更换ip和资产等信息,对攻击者来说比较容易,但是更换一套切实有效的战术,实际的消耗是比较大的,因此可以认为对攻击者来说,攻击战术和攻击工具是他们最不愿意替换的,因为其费时费力,同时切实有效的攻击方式有限。

攻击识别引擎的思考

通过这次实战分析,我对攻击识别引擎的原理有了一些更切实体会,我认为目前我们的引擎需要引进对攻击战术的思考,目前攻击识别引擎除了需要提升其事件检测的广度和准确度,相应的,也需要考虑在事件检测的后期,是否也可以做一个综合分析的模块,比如存储一些典型的团伙攻击特征,在一个更大的时间跨度内,使用检测的事件对团伙特征进行匹配,可以在团伙分析上提供新的思路。

除了团伙分析,之前读过的一篇文章也提到了攻击战术在APT检测中的应用,我当时读这篇文章实际上对于战术的理解没有那么深刻,觉得作者的理解略微有些理想化,偏向于一种模型,结合此次分析再回过头重新读了那篇文章,认识到攻击战术这一部分的虽然存在很多挑战,但是在提升引擎检测能力上来看,是值得投入和研究的。

附上文章链接,建议收藏阅读:

https://projectsharp.org/2020/02/23/APT%20%E5%88%86%E6%9E%90%E5%8F%8A%20TTPs%20%E6%8F%90%E5%8F%96/?from=groupmessage&isappinstalled=0

发表评论