威胁环境态势:端点安全,第 2 部分

Andrew 2020-10-14
专栏 - 观点观察 发布于 2020-10-14 17:44:09 阅读 52 评论 0

第2部分:LOLBins,操作系统和威胁类型

当保护您的组织时,了解威胁态势可能是一个有价值的工具。如果您的消息灵通,那么您就可以决定如何最好地保护资产并相应地分配资源。紧跟最新的突破性攻击技术和新威胁很重要,但同时紧跟总体趋势也同样重要。

事实是,对于每一种发现的新颖技术,在同一时间范围内都会发生无数次攻击,这些攻击都使用了众所周知且被广泛采用的策略。对于一个民族国家进行的每一次攻击,都有一百万美元的勒索软件攻击,这些攻击以简单的网络钓鱼电子邮件开始。

这就是为什么观察趋势如此重要的原因:它提供了您最有可能遇到的情况的视图。这是本新博客系列“威胁景观趋势”的目的。在其中,我们将研究威胁态势中的活动并分享我们所看到的最新趋势。通过这样做,我们希望阐明在保护资产方面可以迅速产生影响的领域,尤其是在处理有限安全资源的情况下。

第1部分中,我们研究了Cisco端点安全解决方案中的威胁指示(IoC)功能发现的严重严重性威胁和MITER ATT&CK策略。在第二部分中,我们将退后一步,查看更多的IoC警报,以了解最常遇到的问题。

方法与第1部分中的方法相同,我们将在此博客的结尾再次提供。简而言之,此处显示的数据类似于您在Cisco Endpoint Security解决方案的仪表板中看到的警报,仅在各个组织中汇总。这次,我们按照特定主题对组织遇到的IoC进行排名。数据集涵盖2020年上半年,即1月1日至6月30日。

Signal from Noise

根据思科的2020年CISO基准报告,IT人员面临的最大问题之一是警报疲劳。在声称自己遭受这种疲劳的受访者中,有93%的受访者表示他们每天至少收到5,000条警报。在这种情况下,至关重要的是能够从可以丢弃的内容中得出重要的内容。

正如我们在第1部分中显示的那样,绝大多数警报属于低和中严重性类别(分别为35%和51%)。可能会完全降低较低的严重性。确实,在某些情况下,这可能是正确的做法。

例如,某些较常见的低严重性IoC(例如以管理员身份运行PsExec或使用NetSh停止防火墙)有时可能会触发IT管理人员执行的活动,无论这些活动是否被视为最佳实践。虽然不是攻击,但是在时间分配时,可能需要与IT部门进行此类对话。

但是,警报的重要性不应仅基于严重性。在某些情况下,低严重性警报可能与严重性警报一样令人担忧。诀窍是弄清楚围绕它们的上下文。警报前后发生了什么?在同一时间范围内是否还有其他严重性较低的警报?将一系列可疑警报串联在一起,可以更清楚地了解可能仅对严重性较低的IoC发出警报的潜在攻击。

例如,假设攻击者向您的组织发送了网络钓鱼电子邮件。如果收件人打开Word附件,则其中包含的宏将启动脚本(触发IoC W32.WinWord.Powershell.ioc)。该脚本依次运行已编码的PowerShell命令(W32.PowershellEncodedBuffer.ioc),以设置下载更多恶意代码(W32.PowershellDownloadString.ioc)的阶段。

此方案完全由低和中级别的IoC组成。它们本身不一定都指向攻击,但是当被视为一串IoC时,除了恶意活动之外,它们几乎不可能与任何其他事物相关联。归根结底,具有较低IoC类别的想法是,它们表示应该调查您环境中的活动,尤其是如果IT部门表示他们没有这样做时。

考虑到这一点,在下面的指标中,我们将研究中等,高和严重级别的IoC。这是因为,当查看顺序出现的一系列警报时,低严重度的IoC至关重要,但当分析整个组织中的更大恶意趋势时,它们可能会各自为战。过滤掉这些IoC可以确保我们关注的活动是实际的恶意活动,而不是环回管理解决方案。

因此,不用多说,让我们看一下更多的威胁趋势,涵盖LOLBins,OS和其他威胁。

LOLBins

如今,利用操作系统内置的工具是一种非常常见的攻击策略。与可以脱颖而出的定制化恶意工具相比,利用这种随时可用的二进制文件减少了发现攻击者的机会。使用现成的工具进行恶意活动通常被称为“逃离土地”,所使用的二进制文件被称为LOLBins。(要了解有关LOLBins的更多信息,Talos已发布了有关其在威胁领域中的用法的详细博客。)

根据2020年上半年出现的警报,使用LOLBins似乎对恶意活动非常普遍。在我们的研究中,在给定月份内至少遇到一次的IoC警报组织中,有20-27%的组织与可疑LOLBin有关活动。

遇到与可疑LOLBins相关的IoC警报组织的百分比。

值得注意的是,四月份见证了5%的增长。这主要归因于与名为“浏览器助手”的广告软件应用程序相关的活动。该广告软件通常将JavaScript注入Web浏览器以显示广告。在四月份,可以看到Browser Assistant使用PowerShell可以将自身加载到内存中而无需启动文件(具体来说是使用 反射DLL注入)。这是无文件恶意软件经常使用的一种技术,对此高度怀疑。

特别是,两个LOLBins似乎主导了所看到的顶级LOLBin IoC:PowerShell和Windows脚本宿主(同时覆盖WScript和CScript)。这两个LOLBins都有助于在Windows操作系统中执行脚本。

顶级LOLBin IoC

顶级LOLBin IoC

总体而言,PowerShell参与了与LOLBins有关的十大IoC中的五项,约占所有LOLBin警报的59%。在许多情况下,PowerShell用于将恶意代码下载到内存中或下载其他可执行文件。Windows脚本宿主通常被用来启动恶意文件,执行侦查,在整个网络中移动或联系远程位置。Windows脚本宿主占所有LOLBin警报的23%。

研究恶意使用这些本机二进制文件的有趣之处在于,不良行为者经常利用一个LOLBin来启动另一个LOLBin。这在我们列表中的第八和第十个条目中很明显,并且可以在排名前十的其他IoC中看到。恶意攻击者可能会在攻击过程中交换LOLBins,以隐藏其踪迹。

顶级操作系统IoC

让我们看一下Windows和macOS这两个主要的桌面操作系统,以了解攻击者如何针对它们。

Windows

当然,PowerShell会在前十名中的三个IoC中亮相,以彰显其存在感。Windows脚本宿主也会出现两次,显示Windows环境中LOLBins的流行程度。总体而言,Windows上排名前10的IoC中有一半使用LOLBins。

顶级Windows IoC

广告软件在Windows上也很突出,三个广告软件安装程序和注入广告的IoC进入前十名。但是,这些IoC不应被视为广告软件。这些实例是一些更糟糕的广告软件安装程序,通常远远超出了合法安装过程的范围。

其他值得注意的活动包括:

  • 洋葱路由器(TOR)连接的存在排名很高。可以合理地使用TOR来允许通过防火墙的加密流量,充其量可以避开IT策略,最糟糕的是用于数据泄露。
  • 攻击者可能会通过注册表悄悄地禁用UAC,以运行需要提升特权的恶意代码。
  • 使用NSlookup发送DNS TXT查询是不良参与者通常用于C2通信的一种技术。

苹果系统

广告软件也经常出现在macOS上,包括前十大IoC中的四个。有趣的是,此处LOLBins的出现频率不如Windows上的频繁。相反,攻击者可能会通过禁用安全程序来隐藏它们的存在,将其文件从隔离区中排除,清除命令历史记录并隐藏文件。

顶级macOS IoC
顶级macOS IoC

威胁类别

最后,让我们了解一些特定的威胁类型。以下是对当前威胁领域中四种主要威胁类型的详细了解。

勒索软件

与勒索软件有关的最常见的IoC警报是卷影副本的删除,卷影副本是Windows操作系统用于备份的文件系统的快照。勒索软件威胁经常删除这些文件,以防止从本地备份还原加密的文件。该特定的IoC占所有与勒索软件相关的IoC警报的66%。

顶级勒索软件IoC

还值得注意的是,勒索软件通常使用Windows脚本宿主来执行包含恶意JavaScript的.zip文件。这是安装勒索软件的恶意参与者(例如WastedLocker)使用的一种技术。但是,由于此类压缩的JavaScript文件还用于勒索软件之外的其他恶意攻击中,例如Emotet的电子邮件活动,因此它不在上面的列表中。

凭证窃取

在我们与Endpoint Security相关的趋势的第1部分中,介绍了最常见的凭据窃取工具Mimikatz 。该临界严重性,凭证转储工具占28%,超过了其他常规使用的技术,可能是该工具提供的多合一方法。

除了Mimikatz以外,还发现恶意行为者在文件上使用Findstr实用程序,通过LSASS进行挖掘,并通过注册表进行梳理以查找凭据。

顶级凭据窃取IoC

广告软件

Windows和macOS操作系统上的广告软件均具有很高的功能。出现在前五名中的广告软件的行为方式通常比恶意软件更接近恶意软件,而不是向您显示意外的广告。

顶级广告软件IoC
顶级广告软件IoC

加密矿

虽然目前在整体IoC列表中加密矿的使用并不多,但最常见的活动包括与加密矿相关的常规活动,例如从加密矿服务器提交和请求工作或与钱包相关的活动。但是,无文件加密矿工的实例以及试图阻止其他矿工的尝试也出现在前五名中。

顶级加密货币IoC

如何保护

尽管无疑很有趣,但此博客中的信息也可以用作防御计划的蓝图。如果在有限的资源下工作,而在最需要的时候优先采取防御措施则至关重要,这一点尤其重要。如果您打算用这一新信息来保护您的组织,则将精力集中在这些列表中始终出现的内容上:LOLBins。

当然,这可能说起来容易做起来难,不仅因为这些二进制文件已经烘焙到OS中,而且因为许多IT组织在日常操作中都使用了它们。那么,如何区分正常操作和恶意活动呢?虽然某些行为是由不良行为者执行的,这是很明显的,但其他行为并不清楚。

首先,重要的是要确保启用足够的系统日志记录。事实是,如果没有恶意活动的记录,就无法查明。

清楚了解这些日志中可以期望的命令和活动的类型也很重要。过滤掉您知道是通过自动化或IT活动执行的内容,将消除大部分噪音,从而更轻松地深入了解应该存在的内容。

寻找模式也很重要。单独的活动和命令可能不会单独表现为恶意,但是在一系列命令前后运行的情况下,可能会出现恶意模式。创建解决这些模式的剧本,并使用自动化来检测它们何时触发。

当涉及到预期的命令和活动时,每个组织都是不同的。建立您的方法通常需要来自不同团队的各种人员的参与。建立这些通信不仅会为制定防御计划提供帮助,而且对于迅速解决事件(如果发生)至关重要。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!