威胁环境态势：端点安全，第 1 部分

第1部分：严重性威胁和MITER ATT＆CK策略

在捍卫组织的持续斗争中，决定将资源分配到哪里是至关重要的。为了有效地做到这一点，您需要对本地网络拓扑，云实施，软件和硬件资产以及适当的安全策略有深入的了解。最重要的是，您需要了解环境中正在经历和驻留的事物，以及在发现不该存在的事物时如何应对。

这就是为什么威胁情报如此重要。威胁情报不仅可以保护您的财产，还可以告诉您潜在的弱点以及过去遭受攻击的位置。它最终可以帮助告知将安全资源专用于何处。

威胁情报无法告诉您的正是下一个要攻击的地方。事实是，没有完美的方法来预测攻击者的下一步行动。您可以最接近地了解更大的威胁环境中正在发生什么—攻击者如何针对整个组织进行攻击。这样就有可以根据手头的数据做出关键的，明智的决定。这是该博客系列“威胁环境态势”的目的。在其中，研究人员将研究威胁态势中的活动并分享我们看到的最新趋势。通过这样做，希望阐明在哪些领域您可以迅速发挥作用，保护您的资产，特别是在处理有限的安全资源时。

从端点开始

首先，我们将从思科的Endpoint Security解决方案开始。该系列有两篇博客文章，我们将研究在2020年上半年在端点上看到的活动类型。在第一篇文章中，我们将研究严重威胁和MITER ATT＆CK框架。在接下来的几周中将发布的第二部分中，我们将更深入地研究数据，提供有关威胁类型和攻击者使用的工具的更多技术细节。

为了保护端点，思科的端点安全解决方案利用了由多种可协同工作的技术组成的保护点阵。将在这里从其中一种技术中深入研究遥测技术：威胁云指示（IoC）功能，该功能可以检测在端点上观察到的可疑行为，并查找与恶意活动相关的模式。

就随后进行分析的方法论而言，数据类似于您在Cisco Endpoint Security解决方案的仪表板中看到的警报，仅跨组织汇总，以将遇到特定IoC的组织百分比作为基准。数据集涵盖2020年上半年，从1月1日到6月30日。

威胁严重性

使用思科的Endpoint Security解决方案时，您会在仪表板上注意到的第一件事就是警报被分为四个威胁严重性类别：低，中，高和严重。以下是根据组织遇到IoC警报的频率来分类这些严重性类别：

低，中，高和严重IoC的百分比

如您所料，绝大多数警报属于中低类别。这些严重程度中有各种各样的IoC。导致这些警报的活动所构成的威胁有多严重，取决于许多因素，我们将在本系列博客的第二部分中更广泛地探讨这些因素。

现在，让我们从Cisco Endpoint Security解决方案将要警告的最严重的IoC开始：严重性IoC。尽管这些仅占整体IoC警报的一小部分，但可以说它们是最具破坏性的，如果发现，则需要立即关注。

严重程度IoC

将关键的IoC划分为相似的组，最常见的威胁类别是无文件恶意软件。这些IoC表示存在无文件威胁-恶意代码在初始感染后在内存中运行，而不是通过存储在硬盘驱动器上的文件运行。在这里，思科的Endpoint Security解决方案可以检测到可疑进程注入和注册表活动等活动。在这里经常看到的一些威胁包括Kovter，Poweliks，Divergent和LemonDuck。

其次是可用于开发和开发后任务的双重用途工具。PowerShell Empire，CobaltStrike，Powersploit和Metasploit是目前在此处看到的四个此类工具。这些工具非常适合用于非恶意活动，例如渗透测试，但不良行为者经常使用它们。如果您收到这样的警报，并且没有进行任何此类主动的网络安全演习，请立即进行调查。

IoC组中最常出现的第三类是另一类双重使用的工具。凭据转储是恶意行为者从受感染计算机中抓取登录凭据的过程。在2020年上半年，这些工具中最常见的是Mimikatz，Cisco的Endpoint Security解决方案从内存中转储了凭证。

总而言之，这三个类别构成了所看到的关键严重性IoC的75％。剩余的25％包含已知由已知威胁类型执行的多种行为：

• Ryuk，Maze，BitPaymer等勒索软件威胁
• Ramnit和Qakbot等蠕虫
• 诸如Corebot和Glupteba的远程访问木马
• 银行木马，例如Cridex，Dyre，Astaroth和Azorult
• …最后是下载程序，抽头和Rootkit的组合

MITRE ATT＆CK策略

查看IoC数据的另一种方法是使用MITER ATT＆CK框架中列出的策略类别。在思科的Endpoint Security解决方案中，每个IoC都包含有关采用的MITER ATT＆CK策略的信息。这些策略可以为攻击的不同部分的目标提供上下文，例如通过网络横向移动或泄露机密信息。

多种策略也可以应用于单个IoC。例如，涵盖双重用途工具（例如PowerShell Empire）的IoC涵盖了三种策略：

• 防御规避：它可以隐藏其活动，以免被发现。
• 执行：它可以运行其他模块来执行恶意任务。
• 凭据访问：它可以加载窃取凭据的模块。

考虑到这种重叠，让我们将每种策略占看到的所有IoC的百分比：

MITRE ATT＆CK策略分组的IoC

到目前为止，最常见的战术是防御规避，它出现在57％的IoC警报中。这不足为奇，因为积极尝试避免检测是大多数现代攻击的关键组成部分。

由于不良行为者经常在多阶段攻击中启动更多恶意代码，因此执行频率也很高，占41％。例如，使用双重用途工具建立持久性的攻击者可以通过在受感染计算机上下载并执行凭据转储工具或勒索软件来跟进。

两种常用的获得立足点的策略，初始访问和持久性，进来的第三和第四，分别示出了的时间11％和12％。通过命令与控制进行的交流完善了前5种策略，在所看到的IoC中占10％。

关键策略

尽管这描绘了威胁态势的景象，但将MITER ATT＆CK策略与严重程度的IoC相结合时，事情变得更加有趣。

按MITER ATT＆CK策略分组的严重严重程度IoC

首先，在严重程度IoC中根本看不到其中两种策略，而另外两种策略则不足1％。这有效地消除了策略的三分之一。

同样有趣的是频率是如何被打乱的。前三名保持不变，但在关键严重性IoC中执行比防御规避更常见。按严重性过滤时，其他重要动作包括：

• 持续性出现在38％的关键IoC中，而不是总体上12％的IoC。
• 横向运动从IoC的4％跃升至22％。
• 凭据访问权限上升了三个位置，从4％增加到21％。
• “影响”和“ 收集”策略都看到了适度的增长。
• 特权升级从8％下降到0.3％。
• 初始访问完全从列表中删除，以前出现在第四位。

防御关键

这总结了IoC数据的高级摘要。因此，有了有关常见威胁类别和策略的信息，您可以如何保护端点？以下是一些有关要看的事情的建议：

限制执行未知文件

如果无法执行恶意文件，则它们将无法进行恶意活动。对允许在您环境中的端点上运行的应用程序使用组策略和/或“允许列表”。这并不是说应该利用所有可用的控件来完全锁定端点-过于严格地限制最终用户权限会造成完全不同的可用性问题。

如果您的组织将双重用途工具用于远程管理等活动，请严格限制允许运行该工具的帐户数量，仅在需要该工具时才授予临时访问权限。

监视进程和注册表

注册表修改和进程注入是无文件恶意软件用来隐藏其活动的两种主要技术。监视注册表中的异常更改并查找奇怪的进程注入尝试将有助于防止此类威胁获得立足点。

监视端点之间的连接

密切注意不同端点之间的连接以及与环境中服务器的连接。研究是否有两台计算机不应该连接，或者端点是否以不正常的方式与服务器通信。这可能表明不良行为者正试图在网络中横向移动。