启明星辰XDR:针对免杀C2工具的场景化检测利器
近年来,大量的后渗透利用(Post-Exploitation)工具包、自定义恶意软件和开源远程控制木马(RAT)等具备丰富的检测规避技术和反溯源能力的工具,活跃于各种实战对抗演练、勒索攻击甚至是具有国家背景的APT攻击之中。入侵者可以运用这类工具进行终端行为以及网络通信流量的免杀。
在这类经过深度改造的免杀C2工具面前,迫切需要更加强大的协同作战体系来应对。启明星辰XDR方案是以紧耦合方式实现快速威胁检测和响应的工具集,通过完整覆盖终端威胁检测与响应(EDR)、加密隧道检测、全流量取证分析、沙箱样本分析、攻击链还原等核心能力,有效检测和拦截主流免杀C2工具。
本文以Cobalt Strike为例,看启明星辰XDR方案如何精准拿捏它。(Cobalt Strike作为一款渗透测试工具,集成了多种功能,又善于“团战”,被业界人称为CS神器。)
“终端侧+网络侧”双管齐下 精准拦截各类下载行为
Cobalt Strike将入侵执行的内容payload拆分为两部分,即stager和stage(也就是beacon)。stager通常是经过手工优化的汇编指令,用于下载shellcode,解密出beacon并注入内存,由beacon负责后续的C&C相关工作,整个过程被称为“staging”。
对于下载器stager,启明星辰XDR方案中的流量检测及沙箱检测功能可以准确识别大部分stager及shellcode的下载行为。
然而,经验老道的入侵者通常不会使用该攻击框架原生的stager,而是使用自己开发的工具替代stager下载执行beacon。
面对这种情形,启明星辰XDR方案可以从终端侧进行检测拦截。stager在落地过程中一般都会有shellcode下载、文件落地、内存注入行为。启明星辰EDR通过构建终端行为基线,对这类时序错误行为、基线偏离行为进行检测防护,并凭借自身有效过程级监控采集与威胁研判能力,构建终端登陆流水、进程快照、帐号快照等,及时发现帐户提权及进程提权行为、预警风险点、完善采集信息,为后续威胁溯源提供有力支撑。
机器学习助力 精准识别加密隧道
Cobalt Strike Beacon落地后,会建立C2隧道,定期发送心跳包与服务器通信,等待获取后续入侵指令。在终端侧,启明星辰EDR通过命令执行内容研判及反弹连接行为研判,对C2隧道持续监控和及时预警;在网络侧,启明星辰XDR方案中的流量检测引擎可对高度定制化的HTTP Beacon、HTTPS Beacon及DNS Beacon进行有效检测。
对于HTTP Beacon,入侵者可以自由地修改配置文件来进行高度自定义化的配置,甚至可以将通信流量伪装成其它正常应用网站的访问流量,以规避流量安全审查和检测。启明星辰XDR方案通过泛化处理请求头的不同部分,如请求方法method、url结构、请求头集合等,聚类出HTTP Beacon的请求模板,并根据每个模板组件的出现频率,分配不同分值。同时结合流行为特征计算流行为分值。最后根据请求模板、流行为的各自权重做出综合判定,得到泛化能力较强的HTTP Beacon检测模型。
对于HTTPS Beacon,入侵者会借助CDN接入服务或域前置技术将流量转至真实C2服务器,以规避流量审查。启明星辰XDR方案通过指纹、SNI、证书、流行为等多个维度针对大量恶意流量进行学习,有效识别使用CDN、免费证书、API等方式的HTTPS Beacon,并对域前置技术进行深入研究,提取通用域前置识别方法,能最大限度检测域前置入侵。
对于DNS Beacon,入侵者通过接管某个域名解析,使得对该域名的所有子域解析请求最终到达C2服务器上,而后利用DNS请求和响应来承载经过编码或加密的数据内容。启明星辰XDR方案针对DNS隧道与正常DNS请求的差异性,如:请求大小、请求域名、请求间隔、频次等多个维度抽取特征向量进行机器学习识别,得到泛化能力较强的DNS Beacon检测模型。
完整还原攻击链 入侵足迹无处遁形
启明星辰XDR方案凭借独有的攻击链还原功能,通过线索发现、扩线关联、攻击模型映射三个主要步骤,帮助用户可视化还原出完整的攻击链路图,找到入侵路径及系统脆弱性环节,快速了解造成入侵事件的原因、攻击源、后续操作、损失范围,精准剖析入侵事件,详细描绘入侵手法,预测入侵者目的与计划。
线索发现即确定性线索和非确定性线索的关联过程。确定性线索即网络侧、终端侧确定入侵成功并且能相互印证的准确线索。非确定性线索即在网络侧、终端侧发现的不能确定是否入侵成功的辅助线索。确定性线索与非确定性线索进行扩线关联后,启明星辰XDR方案会按照时间、入侵者受害者关系、ATT&CK模型映射拟合等将各个扩线完成的攻击线索串联成完整的攻击链,再结合人工确认、剪枝等处理过程最终形成对整个入侵事件的描述。
启明星辰XDR方案坚守创新,针对监管侧、关基、工业互联网、政府、集团型企业等重点应用场景的高级威胁检测与防护需求,通过整合网络侧及终端侧事件和情报信息,综合利用自动取证和拓线技术,以体系化方式实现对高级威胁或入侵的快速精准检测和响应,进一步提高用户的纵深防御效果。
