面向組織溯源的威脅行為技術(shù)關(guān)聯(lián)研究

陳柏翰, 王俊峰, 唐賓徽, 于忠坤, 葛文翰, 余 堅(jiān)

(1.四川大學(xué)計(jì)算機(jī)學(xué)院, 成都 610065; 2. 四川大網(wǎng)絡(luò)空間安全學(xué)院, 成都 610065)

1 引 言

奇安信威脅情報(bào)中心指出,在2020年的上半年,多個(gè)國(guó)外威脅組織利用新冠疫情相關(guān)熱點(diǎn)事件對(duì)中國(guó)境內(nèi)目標(biāo)和機(jī)構(gòu)實(shí)施高級(jí)可持續(xù)威脅(Advanced Persistent Threat, APT)活動(dòng)[1].這些組織多次向我國(guó)各政要部門發(fā)起網(wǎng)絡(luò)攻擊,企圖以各種方式滲透,以備日后開展破壞工作.2020年12月,美國(guó)網(wǎng)絡(luò)安全公司FireEye遭遇黑客入侵[2],黑客成功竊取了FireEye的紅隊(duì)滲透測(cè)試工具,并搜索了與該公司某些政府客戶有關(guān)的信息;同期,某黑客組織利用美國(guó)網(wǎng)絡(luò)管理軟件供應(yīng)商 SolarWinds的產(chǎn)品,并在其中植入木馬后門,發(fā)動(dòng)“SUNBURST”攻擊[3],成功入侵美國(guó)財(cái)政部、商務(wù)部、國(guó)家電信和信息管理局(NTIA)等政府網(wǎng)絡(luò).大量入侵事件表明,網(wǎng)絡(luò)攻擊組織化和入侵工具武器化已成為常態(tài),如何有效抵御數(shù)量日益增多的網(wǎng)絡(luò)攻擊成為一個(gè)艱難挑戰(zhàn).為了從根源上阻斷網(wǎng)絡(luò)攻擊,人們往往需要追查入侵的源頭.對(duì)威脅組織的追蹤溯源,已然成為網(wǎng)絡(luò)安全防御建設(shè)中必不可少的內(nèi)容.

然而隨著入侵者攻擊能力的不斷提升,其躲避追蹤的手段也日漸先進(jìn),如虛假IP地址、網(wǎng)絡(luò)跳板、僵尸網(wǎng)絡(luò)、隱蔽信道等方式在網(wǎng)絡(luò)入侵事件中被大量使用,這些都給網(wǎng)絡(luò)入侵的追蹤溯源帶來嚴(yán)峻的挑戰(zhàn).傳統(tǒng)的溯源技術(shù)往往只能獲取局部的攻擊信息,無法構(gòu)建完整的攻擊鏈條.而在面向威脅組織的溯源中,攻擊鏈條一旦中斷,溯源工作則會(huì)無功而返.如果無法確定攻擊的根本源頭,則難以防止攻擊者的再次入侵.

研究表明,當(dāng)入侵者成功進(jìn)入受害者的系統(tǒng)時(shí),往往表現(xiàn)出一致的行為模式[4].在面向組織溯源的過程中,威脅行為作為一種高級(jí)特征,于威脅組織而言很難改變,FireEye公司安全專家David Bianco提出的“痛苦金字塔”模型[5]說明了這一點(diǎn).“痛苦金字塔是”對(duì)攻擊方所使用的IoC(Indicator of Compromise)進(jìn)行分類和價(jià)值排序的層次結(jié)構(gòu),由下往上依次為哈希值、IP地址、域名、網(wǎng)絡(luò)特征或主機(jī)特征、攻擊工具和TTPs(Tactics, Techniques & Procedures).于攻擊方而言,由下往上改變對(duì)應(yīng)IoC所付出的成本逐層遞增,于防守方而言其利用價(jià)值也隨之增加.其中最頂層的TTPs是對(duì)攻擊者攻擊行為、戰(zhàn)略戰(zhàn)術(shù)層次的描述,它表示攻擊者的行為模式,而調(diào)整TTPs對(duì)于攻擊方而言所付出的時(shí)間和金錢成本最為昂貴.因此基于TTPs的檢測(cè)和響應(yīng)會(huì)對(duì)攻擊方造成更多的“痛苦”.

文獻(xiàn)[6]提出的使用基于ATT&CK的分析發(fā)現(xiàn)網(wǎng)絡(luò)威脅方法指出,相比于入侵者通過修改IoC來躲避基于特征碼的檢測(cè),結(jié)合行為分析的入侵檢測(cè)能更有效抵御攻擊,因?yàn)樾袨闄z測(cè)方法與入侵者對(duì)IoC進(jìn)行的特定更改無關(guān),而這也是推動(dòng)ATT&CK不斷發(fā)展的前提.文獻(xiàn)[7]提出的基于模糊哈希特征表示的惡意軟件聚類方法，將惡意軟件按一定的行為模式進(jìn)行聚類，使得新型攻擊更加容易被檢測(cè)出來.由此可見,作為入侵者的一種高級(jí)特征,行為模式的提取對(duì)威脅組織的追蹤溯源意義重大.

基于以上原因,本文以ATT&CK知識(shí)庫為基礎(chǔ),通過對(duì)組織威脅行為技術(shù)進(jìn)行關(guān)聯(lián)分析,從組織行為模式的角度提出威脅行為技術(shù)關(guān)聯(lián)算法,以有效關(guān)聯(lián)組織的威脅行為技術(shù),并提取對(duì)應(yīng)的TTPs.該算法結(jié)合了霍普金斯統(tǒng)計(jì)量和統(tǒng)計(jì)假設(shè)檢驗(yàn),以此擴(kuò)展Ward連接的凝聚層次聚類.本文通過該算法生成面向組織溯源的威脅行為技術(shù)關(guān)聯(lián)模型,該模型具有以下幾個(gè)特點(diǎn):(1) 從攻擊者的視角描述攻擊過程,每一類覆蓋了完整的APT攻擊生命周期；(2) 彌補(bǔ)了ATT&CK中對(duì)于不同戰(zhàn)術(shù)下技術(shù)之間關(guān)聯(lián)性不強(qiáng)的問題,以95%的置信度水平證明了攻擊技術(shù)之間的關(guān)聯(lián)性；(3) 指導(dǎo)防御方通過采集和分析的方式來識(shí)別攻擊行為,預(yù)測(cè)未檢測(cè)到的攻擊模式,并為組織溯源奠定理論基礎(chǔ).

2 相關(guān)工作

追蹤溯源是網(wǎng)絡(luò)安全領(lǐng)域的一種主動(dòng)防御手段,是網(wǎng)絡(luò)安全事故事后響應(yīng)的重要組成部分.按照攻擊源頭的不同,可將溯源劃分為溯源攻擊主機(jī)、控制主機(jī)、攻擊者和威脅組織機(jī)構(gòu)四個(gè)層次[8].

第一層對(duì)攻擊主機(jī)的溯源技術(shù)在學(xué)術(shù)界得到了廣泛研究.如文獻(xiàn)[9]中的概率包標(biāo)記方法,主要思想為路由器以一定的概率給數(shù)據(jù)包做標(biāo)記,當(dāng)收到來自攻擊方大量的數(shù)據(jù)包后,通過路徑重構(gòu)算法,重構(gòu)其路徑.文獻(xiàn)[10]是對(duì)概率包標(biāo)記方法的改進(jìn),可以實(shí)現(xiàn)從少量數(shù)據(jù)包中重構(gòu)攻擊路徑.Nur等[11]提出的基于路由記錄的IP追蹤溯源方法利用IP協(xié)議的路由記錄功能來實(shí)現(xiàn)概率數(shù)據(jù)包的標(biāo)記,比其他技術(shù)需要的數(shù)據(jù)包更少.文獻(xiàn)[12]提出了一種IP黑名單關(guān)聯(lián)聚類算法,用于尋找惡意IP簇.對(duì)攻擊主機(jī)的溯源方法大多由包標(biāo)記、日志存儲(chǔ)等基本技術(shù)演變而來,其弱點(diǎn)也十分明顯,攻擊者若對(duì)IP地址等IoC進(jìn)行偽裝和隱藏,那么防御方則會(huì)無功而返.

第二層溯源的目標(biāo)是定位控制主機(jī).相應(yīng)的技術(shù)主要集中在對(duì)攻擊者采取的不同隱藏技術(shù)進(jìn)行溯源分析,分別是虛假IP的溯源、僵尸網(wǎng)絡(luò)的溯源、匿名網(wǎng)絡(luò)的溯源、跳板溯源和局域網(wǎng)的溯源[13].文獻(xiàn)[14]提出了一種不可見的網(wǎng)絡(luò)流水印技術(shù)DROPWAT,用于在數(shù)據(jù)泄漏攻擊中識(shí)別接收泄漏數(shù)據(jù)的暫存服務(wù)器.文獻(xiàn)[15]提出的一種多群粒子群優(yōu)化算法,用于將數(shù)據(jù)包追溯到僵尸網(wǎng)絡(luò)的攻擊源.同第一層溯源攻擊主機(jī),對(duì)控制主機(jī)的溯源也是在其入侵路徑上進(jìn)行追蹤的過程,若要面向組織溯源,則僅從IoC層面出發(fā)是不充分的.

第三層和第四層是對(duì)攻擊者和威脅組織機(jī)構(gòu)的溯源,是在前兩層溯源的基礎(chǔ)上對(duì)網(wǎng)絡(luò)空間和物理世界的信息數(shù)據(jù)加以分析,將網(wǎng)絡(luò)空間中的事件與物理世界中的個(gè)人或組織聯(lián)系起來的過程,這就要求追蹤者必須找到網(wǎng)絡(luò)威脅行為與攻擊者或威脅組織之間的因果關(guān)系.目前對(duì)第三和第四層次的溯源研究相對(duì)較少,但在網(wǎng)絡(luò)威脅趨勢(shì)逐漸國(guó)家化和軍事化的今天,對(duì)威脅組織的溯源研究是十分必要的.

3 威脅行為技術(shù)關(guān)聯(lián)算法

TTPs描述了組織的行為模式,它通過對(duì)組織使用的技戰(zhàn)術(shù)進(jìn)行關(guān)聯(lián)性分析得到.本文設(shè)計(jì)了一種威脅行為技術(shù)關(guān)聯(lián)算法,以實(shí)現(xiàn)對(duì)組織威脅行為技術(shù)關(guān)聯(lián)性的分析和TTPs的提取.詳細(xì)流程如圖1所示,它擴(kuò)展了凝聚層次Ward連接聚類算法,根據(jù)數(shù)據(jù)的不同選擇合適的距離度量,使用霍普金斯統(tǒng)計(jì)量進(jìn)行聚類趨勢(shì)評(píng)估,最后通過統(tǒng)計(jì)假設(shè)檢驗(yàn)來確定截?cái)嘀狄酝瓿纱氐膭澐?并以此推斷有意義的威脅行為技術(shù)關(guān)聯(lián).

3.1 距離度量

由于輸入數(shù)據(jù)的性質(zhì)不同,聚類相似度和距離度量的計(jì)算方式也存在差異.常用的距離度量有歐式距離、曼哈頓距離、余弦相似度等,歐氏距離和曼哈頓距離計(jì)算的對(duì)象必須是連續(xù)變量,余弦相似度要求計(jì)算的樣本在每一個(gè)維度上都要有取值.

通常威脅行為技術(shù)是多源、異構(gòu)的非標(biāo)準(zhǔn)數(shù)據(jù),其特征由離散的非對(duì)稱二值變量組成,因此常用

的距離度量并不適用.本文選擇適用于非對(duì)稱二值變量的Phi相似度來表示樣本間的相似性.任意兩個(gè)技術(shù)Ti和Tj之間的Phi相似度定義如式(1).

(1)

式中,n代表數(shù)據(jù)集中威脅組織的數(shù)量;nij表示同時(shí)使用過技術(shù)Ti和Tj的組織數(shù)量;ni′j′表示都沒使用過技術(shù)Ti和Tj的組織數(shù)量;nij′表示使用過技術(shù)Ti但沒有使用過技術(shù)Tj的組織數(shù)量,同理ni′j表示使用過技術(shù)Tj但沒有使用過技術(shù)Ti的組織數(shù)量.ni表示使用過技術(shù)Ti的組織數(shù)量,ni′表示沒有使用過技術(shù)Ti的組織數(shù)量;nj表示使用過技術(shù)Tj的組織數(shù)量,nj′表示沒有使用過技術(shù)Tj的組織數(shù)量,相關(guān)參數(shù)如表1所示.

表1 相似度相關(guān)參數(shù)矩陣Tab.1 Similarity related parameter matrix

Phi距離d(P)(Ti,Tj)用于表示樣本Ti和Tj之間的差異性,定義如式(2)所示.

d(P)(Ti,Tj)=1-Phi(Ti,Tj)

(2)

式中,Phi(Ti,Tj)表示樣本Ti和Tj之間的相似度.

3.2 聚類趨勢(shì)評(píng)估

聚類趨勢(shì)評(píng)估是評(píng)估數(shù)據(jù)集是否包含有意義的聚類,以及存在集群的數(shù)量.

對(duì)數(shù)據(jù)集進(jìn)行聚類趨勢(shì)評(píng)估是必要的,因?yàn)閷?duì)于聚類而言,任何結(jié)構(gòu)的數(shù)據(jù)集都能返回一個(gè)聚類的結(jié)果,即使其中的數(shù)據(jù)不相關(guān).本文采用霍普斯金統(tǒng)計(jì)量[16]來進(jìn)行聚類趨勢(shì)的評(píng)估,算法過程如算法1所示.

3.3 Ward連接凝聚層次聚類

與傳統(tǒng)聚類算法不同,層次聚類使用指定的距離矩陣來創(chuàng)建基于樹的數(shù)據(jù)表示.雖然層次聚類算法已經(jīng)存在很多種類型,但本文針對(duì)所使用的數(shù)據(jù)集設(shè)計(jì)了一種層次聚類算法.該方法擴(kuò)展了凝聚層次聚類和Ward連接方法.

凝聚聚類在尋找相似性最大的樣本節(jié)點(diǎn)時(shí)具有出色的性能,因?yàn)樗谌诤蠜Q策的過程中會(huì)關(guān)注數(shù)據(jù)集的完整局部信息,因此,凝聚聚類會(huì)在樣本最相似的地方創(chuàng)建更小的簇[17].在凝聚層次聚類的過程中,合并兩個(gè)較大的簇需要用合適的連接方法來判斷兩個(gè)簇之間的距離.本文使用Ward連接來推斷威脅行為技術(shù)之間的關(guān)聯(lián)性.Ward連接使用離差平方和來度量?jī)蓚€(gè)簇之間的距離大小,當(dāng)合并兩個(gè)簇時(shí),合并后的離差平方和會(huì)增大,選擇使離差平方和的增量最小的兩個(gè)簇合并,直到所有的簇合并為一個(gè)大簇為止,詳細(xì)過程如算法2所示.因此,Ward連接可以使聚類后的簇更加緊湊,同時(shí)它對(duì)數(shù)據(jù)集中的噪聲樣本不太敏感[18].

3.4 統(tǒng)計(jì)假設(shè)檢驗(yàn)

執(zhí)行聚類之后,需要對(duì)結(jié)果進(jìn)行檢驗(yàn).最后的步驟分為兩部分,第一是在樹狀圖的樹高上設(shè)置一個(gè)截?cái)嘀?以創(chuàng)建最終的聚類集群,即簇的劃分.第二是驗(yàn)證技術(shù)之間的關(guān)聯(lián)性.

本文采用統(tǒng)計(jì)假設(shè)檢驗(yàn)的方法來對(duì)聚類結(jié)果進(jìn)行檢驗(yàn).用于統(tǒng)計(jì)假設(shè)檢驗(yàn)的聚類樹是由與原始數(shù)據(jù)集TD具有相同的隨機(jī)伯努利分布的數(shù)據(jù)生成的,用T0表示.如果TD中的簇與T0中的簇在指定的截止點(diǎn)上有很大的不同,那么學(xué)習(xí)產(chǎn)生的聚類樹將產(chǎn)生具有統(tǒng)計(jì)意義的結(jié)果,而具有統(tǒng)計(jì)意義的層次聚類樹說明了葉節(jié)點(diǎn)之間的關(guān)聯(lián)性并不是隨機(jī)產(chǎn)生的結(jié)果,這為推斷技術(shù)關(guān)聯(lián)提供了有效性.算法3進(jìn)一步解釋了統(tǒng)計(jì)假設(shè)檢驗(yàn)的具體過程.

4 算法仿真與實(shí)驗(yàn)結(jié)果

本文基于ATT&CK知識(shí)庫數(shù)據(jù),將ATT&CK技戰(zhàn)術(shù)數(shù)據(jù)通過算法1、算法2、算法3依次執(zhí)行完成聚類,并將生成的層次聚類結(jié)果與ATT&CK組織數(shù)據(jù)進(jìn)行交集運(yùn)算,以得到威脅行為技術(shù)關(guān)聯(lián)模型.

4.1 數(shù)據(jù)源

本文使用的數(shù)據(jù)源為MITRE公司官方網(wǎng)站提供的開源數(shù)據(jù)集[19].該數(shù)據(jù)集由MITRE ATT&CK團(tuán)隊(duì)分析各類威脅情報(bào)所產(chǎn)生,是多源、異構(gòu)的非標(biāo)準(zhǔn)數(shù)據(jù)集,具體數(shù)據(jù)如表2所示.

表2 ATT&CK數(shù)據(jù)集Tab.2 ATT&CK dataset

4.2 聚類結(jié)果

本文首先通過聚類趨勢(shì)評(píng)估算法得到數(shù)據(jù)集的霍普金斯統(tǒng)計(jì)量為0.71,說明存在有意義的聚類簇;其次以95%的置信度水平得到凝聚Ward連接的層次聚類樹的最佳樹高值為2.6,即劃分簇的截?cái)嘀?最后,統(tǒng)計(jì)假設(shè)檢驗(yàn)的結(jié)果也證明了技術(shù)關(guān)聯(lián)的有效性.

最終的聚類結(jié)果如圖2所示,縱軸表示截?cái)嘀?橫軸表示威脅行為技術(shù)的名稱,共97個(gè)技術(shù)簇.在截?cái)嘀禐?.6以下的部分,互相連接的技術(shù)歸屬到一個(gè)技術(shù)簇中,且具有較強(qiáng)的關(guān)聯(lián)性.部分細(xì)節(jié)展示如圖3所示.

圖2 Ward連接凝聚層次聚類結(jié)果Fig.2 Ward connection aggregation hierarchical clustering tree

圖3 聚類部分細(xì)節(jié)展示Fig.3 Details of clustering

4.3 威脅行為技術(shù)關(guān)聯(lián)模型

威脅行為技術(shù)關(guān)聯(lián)算法對(duì)ATT&CK知識(shí)庫進(jìn)行仿真實(shí)驗(yàn)的結(jié)果是形成威脅行為技術(shù)關(guān)聯(lián)模型,其重要特征是面向組織溯源,這要求模型中的威脅行為簇與威脅組織對(duì)應(yīng)起來,以達(dá)到對(duì)組織行為特征的直觀展示效果.當(dāng)溯源人員在對(duì)威脅技術(shù)進(jìn)行分析時(shí),可通過該模型找到包含該威脅技術(shù)的行為模式,并匹配到該行為模式所對(duì)應(yīng)的威脅組織簇,最后通過必要的人工分析得出此次威脅事件的源頭.

本文將聚類結(jié)果與ATT&CK官方網(wǎng)站的威脅組織數(shù)據(jù)進(jìn)行交叉運(yùn)算,使聚類結(jié)果的每一個(gè)簇能夠涵蓋對(duì)應(yīng)的威脅組織,以表示該類威脅行為主要出現(xiàn)在哪些威脅組織的攻擊事件中.本文使用ECharts[20]來進(jìn)行模型的可視化展示,如圖4所示,圖5為部分細(xì)節(jié)展示.

圖4 威脅行為技術(shù)關(guān)聯(lián)模型可視化展示Fig.4 Visualization of threat behavior technology association model

圖5 模型部分細(xì)節(jié)展示Fig.5 Details of the model

5 評(píng) 價(jià)

本節(jié)對(duì)威脅行為技術(shù)關(guān)聯(lián)算法和提出的關(guān)聯(lián)模型進(jìn)行評(píng)價(jià).首先從統(tǒng)計(jì)學(xué)角度對(duì)算法進(jìn)行有效性驗(yàn)證,其次對(duì)技術(shù)之間的關(guān)聯(lián)性進(jìn)行驗(yàn)證,再將關(guān)聯(lián)模型與常見的威脅模型進(jìn)行比較分析,最后結(jié)合專家經(jīng)驗(yàn)綜合說明本文算法和模型的有效性和創(chuàng)新性,具體評(píng)價(jià)指標(biāo)如表3所示.

表3 評(píng)價(jià)指標(biāo)Tab.3 Verification index

5.1 技術(shù)關(guān)聯(lián)性驗(yàn)證

在各大安全廠商所發(fā)布的一些威脅情報(bào)中,披露了攻擊事件背后的威脅組織和使用的攻擊手法.

本文收集了1621份威脅情報(bào),這些威脅情報(bào)描述了一次攻擊事件中攻擊方所使用的手法,也就是本文所研究的威脅行為技術(shù).其中1468份報(bào)告中對(duì)威脅行為的描述是ATT&CK框架的戰(zhàn)術(shù)和技術(shù).本文將這些包含ATT&CK技術(shù)的威脅情報(bào)整理出來,形成一份以技術(shù)為特征的驗(yàn)證集,并將它與本文所形成的威脅行為技術(shù)聚類結(jié)果進(jìn)行交集運(yùn)算,結(jié)果顯示有86%的報(bào)告與本文的威脅行為技術(shù)關(guān)聯(lián)算法仿真結(jié)果吻合.這也從實(shí)際應(yīng)用上驗(yàn)證了技術(shù)之間的關(guān)聯(lián)性是真實(shí)可信的.

5.2 與常見模型比較

為了說明算法仿真生成的威脅行為技術(shù)關(guān)聯(lián)模型的創(chuàng)新性,共設(shè)計(jì)8個(gè)評(píng)價(jià)標(biāo)準(zhǔn)來與已有的威脅模型[21]進(jìn)行橫向?qū)Ρ?比較結(jié)果如表4所示.

表4中,評(píng)價(jià)標(biāo)準(zhǔn)分別為:C1是否貫穿整個(gè)攻擊生命周期,C2不同攻擊階段是否含有攻擊技術(shù),C3技術(shù)之間是否存在關(guān)聯(lián),C4是否可預(yù)測(cè)未檢測(cè)到的攻擊技術(shù),C5技術(shù)之間的關(guān)聯(lián)性是否直觀,C6是否支持定量分析,C7是否能匹配威脅情報(bào),C8是否面向組織溯源.

表4 模型標(biāo)準(zhǔn)對(duì)比Tab.4 Comparison of model standards

5.3 專家經(jīng)驗(yàn)驗(yàn)證

在威脅行為技術(shù)關(guān)聯(lián)算法仿真結(jié)果中,每一個(gè)類都涵蓋了對(duì)應(yīng)組織所使用的威脅行為技術(shù).本文通過專家經(jīng)驗(yàn)知識(shí),首先對(duì)威脅行為技術(shù)中存在的TTPs進(jìn)行分析和驗(yàn)證,再通過兩個(gè)具體的攻擊事件綜合說明仿真結(jié)果的有效性.

組織APT 28的一個(gè)TTPs如圖6所示,其在威脅行為技術(shù)關(guān)聯(lián)模型對(duì)應(yīng)的技術(shù)關(guān)聯(lián)簇如圖7所示.

圖6 組織APT 28的一個(gè)TTPsFig.6 A TTPs of APT 28

圖7 在模型中對(duì)應(yīng)的技術(shù)關(guān)聯(lián)簇Fig.7 Corresponding technology association clusters in the model

APT 28組織通過竊取應(yīng)用程序訪問Token(T1528)技術(shù)來完成憑證訪問,其次通過備份身份驗(yàn)證材料中的應(yīng)用程序訪問Token(T1550.001)來繞過防御,并使用兩種方式來完成持久化的執(zhí)行(T1137.002,T1546.015),同時(shí)通過Token篡改來進(jìn)行權(quán)限的提升(T1134.001),最后使用垃圾數(shù)據(jù)混淆來完成命令與執(zhí)行操作,進(jìn)而隱藏入侵痕跡,達(dá)到入侵目的.可以看到,此TTPs是具有邏輯解釋性的,它描述了APT 28組織使用與Token相關(guān)的攻擊技術(shù)來完成入侵目的.在模型中還存在類似的其他TTPs,結(jié)合專家經(jīng)驗(yàn)知識(shí)可以分析出威脅組織的入侵手段和目的.

2021年1月5日奇安信公司發(fā)布的一則攻擊模式分析報(bào)告中,披露了黑客組織“黃金狗”近期使用過的一些攻擊手法[22],此組織通過誤導(dǎo)、欺騙、偽裝的方式使用戶在不知情的情況下安裝合法遠(yuǎn)控軟件實(shí)現(xiàn)遠(yuǎn)程控制,其中偽裝文檔和誘餌文件成為此組織最常用的兩個(gè)手法,并且通常會(huì)同時(shí)使用.在本文提出的威脅行為技術(shù)關(guān)聯(lián)模型中,“網(wǎng)絡(luò)釣魚:魚叉式附件”和“用戶執(zhí)行:惡意文件”兩個(gè)技術(shù)的關(guān)聯(lián)度非常高,它們通常會(huì)出現(xiàn)在同一起攻擊事件中,這與奇安信所披露的“黃金狗”所使用的攻擊手法近乎一致.

2019年4月5日FireEye發(fā)布的一則威脅報(bào)告中,披露了金融APT組織FIN 6的一起入侵事件[23].分析人員發(fā)現(xiàn)FIN 6竊取數(shù)據(jù)的憑證,利用Windows的遠(yuǎn)程桌面協(xié)議(RDP)在環(huán)境中橫向移動(dòng).在RDP連接到系統(tǒng)之后,FIN 6使用兩種不同的技術(shù)來建立立足點(diǎn),第一種是使用PowerShell執(zhí)行編碼的命令以下載有效載荷,第二種是創(chuàng)建Windows服務(wù)來執(zhí)行編碼的PowerShell命令,最終下載有效惡意文件.在本文提出的威脅行為技術(shù)關(guān)聯(lián)模型中,“遠(yuǎn)程服務(wù):Windows遠(yuǎn)程桌面協(xié)議”“命令和腳本解釋器:PowerShell”和“創(chuàng)建或修改系統(tǒng)進(jìn)程:Windows服務(wù)”這三項(xiàng)技術(shù)通常會(huì)同時(shí)出現(xiàn),這與組織FIN 6的上述攻擊事件吻合.

6 結(jié) 論

在面向組織溯源的過程中,行為模式揭示了威脅組織入侵行為之間的內(nèi)在關(guān)聯(lián),是組織的重要特征.本文提出威脅行為技術(shù)關(guān)聯(lián)算法,以ATT&CK知識(shí)庫為基礎(chǔ)對(duì)威脅組織的行為技術(shù)進(jìn)行了關(guān)聯(lián)性分析和提取,生成面向組織溯源的威脅行為技術(shù)關(guān)聯(lián)模型,并建立了威脅組織的行為特征庫和威脅技術(shù)庫.實(shí)驗(yàn)結(jié)果表明,威脅行為技術(shù)關(guān)聯(lián)算法能夠有效提取威脅組織的行為模式,其生成的威脅行為技術(shù)關(guān)聯(lián)模型能為網(wǎng)絡(luò)安全防御人員提供有意義的溯源指導(dǎo).