2019年基于ATT&CK的APT威胁跟踪和狩猎.pdf

1、基于ATT&CK的APT威胁跟踪和狩猎 奇安信威胁情报中心 “红雨滴”团队 奇安信下专注于威胁情报方向和高级威胁分析的团队 主要方向为定向攻击事件和高级威胁分析、发现和响应，机读威胁情报的生产和输出 曾发现和披露数个APT组织，并长期跟踪活跃APT组织活动团队介绍目录什么是 ATT&CK？数据与处理战术和技术分析与狩猎目录ATT&CK图片来源网络兵者，诡道也ATT&CKATT&CKhttps:/stixproject.github.io/documentation/idioms/c2-ip-list/TTP in STIX 1.2Attack Pattern in STIX 2.0ATT&CK

2、 映射到映射到STIX 2.0ATT&CK侦查侦查武器化武器化分发分发利用利用安装安装命令控命令控制制行动行动PRE-ATT&CKEnterprise团队介绍初始进入代码执行持久性权限提升防御绕过凭据获取内部探测横向移动信息收集数据窃取命令控制影响攻击组织攻击技术战术目的攻击武器使用使用实现达成战术目的技术实现数据与处理-ATT&CK攻击团伙攻击团伙战术战术技术技术日志数据日志数据攻击团伙历史战术技术攻击团伙历史战术技术常用攻击技术常用攻击技术检测点、检测特征检测点、检测特征TI、OSINT公开报告技术研究Adversary EmulationRed Team 分析分析狩猎狩猎驱动文件网络流模

3、块进程注册表服务线程用户会话 WINDOWS日志 SYSMON AUTORUNS 自定义的终端网络行为监测程序 自定义的系统行为监测程序数据与处理-ATT&CKTechniqueBehavior(Contextual)Observable/IOC战术与技术 ATT&CKEnterprise Techniques：覆盖Windows、Linux、MacOS，涉及244项攻击技术Groups：覆盖了公开活跃的APT组织或黑客团伙86个Software：覆盖了常用恶意代码、攻击工具或系统工具377个战术与技术Red Canary“Threat Detection Report”2019https:/

4、 系统命令net,certutil,ipconfig,bitsadmin,netsh,系统内置环境Msbuild,csc,PubPrn.vbs 应用环境IIS：appcmd.exe 其他psexec,分析与狩猎图片来源网络窥一斑而知全貌通过碎片化的证据还原攻击全貌分析与狩猎侦查侦查武器化武器化分发分发利用利用安装安装命令控命令控制制行动行动突破与立足维持持久化攻击攻击工具工具脚本、shellcode自制的木马、后门公开或开源工具系统命令鱼叉邮件网络钓鱼水坑攻击诱饵文档横向移动内网探测凭据窃取数据回传分析与狩猎动机和意图长期/短期TTP思路和习惯工具基础设施历史威胁情报内部/外部易变的技术分析特

5、征战术分析阶段意图分析目标归属分析可靠性分析与狩猎Drive-by Compromise 利用失陷站点作为基础设施URI路径 修改失陷站点文件插入JS片段外链JS脚本分析与狩猎PowerShellbehavior:powershell.exe AND behavior:csc.exe语法灵活特殊参数-exec bypass-enciex分析与狩猎Shortcut Modification分析与狩猎事件事件1事件事件2事件事件3域名注册：一次注册，分批使用分析与狩猎摩诃草Confucius91.195.240.82DNS记录的变更 C&C的重叠分析与狩猎 COBALT STRIKE TEAM SERVERS响应头部多的空格ANIMAL FARMUser-Agent MSIE-MSITURLA劫持APT34的控制基础设施https:/blog.fox- ATT&CK对APT威胁的分析、跟踪和狩猎提供了指导性知识基础 在实际的APT威胁中，ATT&CK的覆盖程度和粒度并不能完全适用，需要加以丰富 ATT&CK是由运营IOC层面进一步到运营TTP层面THANKS