蓝队ATA之“谍纸天眼”系统

主动下桩收集情报是蓝队ATA的重要手段之一

读文前先说明下,这个专栏的文章可能会比较碎片化,专注于红蓝对抗的话题,大部分会偏科普,大家可以不用过于抠技术细节。总之记住一句话攻防无极限,永远不要进入鄙视链,大家都是井中蛙,只是各自的井不同。

紧接上文开始来说说蓝队的ATA(Advanced Threat Analytics 高级威胁分析),咱们先来轻松一下,去下面的链接看看《楚乔传》的电视剧片段“谍纸天眼的精巧设计”

https://v.qq.com/x/page/o0511mee1dd.html 

追过剧的同学看完后,应该有所了解,谍纸天眼是楚乔传的一个情报组织,获取情报的方式忒是有趣,在电视剧片段中,一支穿云箭就把谍报文书送到了宇文灼的手中,并给出了有效的情报线索,查明了害他们的毒是寒尸散,来自西域。而蓝队的一个重要工作也是收集情报,需要收集安全信息和安全事件,在茫茫大数据中提取出有价值的信息分析,才能和红队对抗,而收集信息和分析信息的方式和这个“谍纸天眼”有异曲同工之妙。以前的收集信息都是被动的,由软件自己产生的日志大都和安全无关,而现在流行的是自己主动下桩比较容易理解的技术解释是蓝队在终端上对红队攻击的点做手脚下桩(比如HOOK、驱动监控等),等红队的攻击触发了蓝队的桩,也就产生了特别的日志“谍纸”,日志传到蓝队的“天眼”决策中心,以供蓝队分析并进行下一步的动作。

蓝队关心日志中的安全信息和安全事件,专注于这些日志的处理分析,也就变成了更广为信息安全同学所知道的SIEM(security information and event management 安全信息和事件管理)系统,蓝队的谍纸天眼系统!

介绍两个工具,一个是ELK(ElasticSearch, Logstash, Kibana),这个是一整套的日志收集、查询和分析的开源解决方案。另外一个工具是sysmon,这是一个可以使用配置文件的轻量级windows系统监控工具。sysmon和ELK可以搭配成个人单机上的SIEM简单实验环境,同时这也是一套简易版的病毒分析沙盒。对这个感兴趣的同学可以去下面参考中的两个链接看看想了解更高级的谍纸天眼系统,我推荐大家关注下微软自己的ATA(Advanced Threat Analytics 高级威胁分析 )产品,它是基于机器学习来分析终端和网络的异常行为,是可以发现APT攻击的智能SIEM系统。

参考:

1.https://cyberwardog.blogspot.com/2017/03/building-sysmon-dashboard-with-elk-stack.html (需要翻墙)

2.https://blogs.technet.microsoft.com/motiba/2016/10/18/sysinternals-sysmon-unleashed/

dash40.PNG

回到主题,其实“谍纸天眼”只是一套日志收集实时查询分析系统,蓝队最关键的其实还是“谍纸”的产出手段!按老的思路,如果一个病毒出现我们通常会要给这个病毒出yara规则也就是静态文件特征,扫描文件产生的查杀日志这不是好的“谍纸”!它没有办法关联上下文和真实的攻击场景!那怎么样才算是好的“谍纸”呢?

针对这个问题,我再来举一个真实的例子,比如我之前有篇文章《正义组织需要你来拯救!》提到了CIA感染共享文件的霍乱流感工具,这个工具的攻击非常隐蔽和低调,只针对文件共享的运行时环境时加料,当你从受害者的电脑拷贝共享文件的时候,这个文件会被加入感染代码,而受害者的电脑里的本地文件不会做任何改变。针对这种情况,蓝队就需要比yara规则更有效的“谍纸”,比如下面的同学针对CIA工具给出的SIEM类型的IOC(Indicator of Compromise 感染指标或入侵指标),基于这样的IOC规则我们既能探查哪些是中招的机器,也能阻断即将中招的机器,甚至能进一步的观察红队的行为抓大鱼!

参考:https://github.com/Neo23x0/sigma/blob/master/rules/apt/apt_pandemic.yml


EventID: 13

TargetObject:

- ‘\REGISTRY\MACHINE\SYSTEM\CurrentControlSet\services\null\Instance*’

- ‘\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\null\Instance*’

- ‘\REGISTRY\MACHINE\SYSTEM\ControlSet002\services\null\Instance*’

EventID: 1

Command: ‘loaddll -a *’


最后总结一下,主动下桩收集情报是蓝队ATA的重要手段之一,懂攻击才能下对桩。反过来红队也可以破坏桩,甚至伪造情报,以扰乱蓝队的视线,这些就不在本文过多描写了。下一篇应该会继续讲讲ATA的其他重要手段…

2

发表评论

已有 4 条评论

取消
Loading...

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php