威脅環境態勢:端點安全,第 1 部分
第1部分:嚴重性威脅和MITER ATT&CK策略
在捍衛組織的持續斗爭中,決定將資源分配到哪里是至關重要的。為了有效地做到這一點,您需要對本地網絡拓撲,云實施,軟件和硬件資產以及適當的安全策略有深入的了解。最重要的是,您需要了解環境中正在經歷和駐留的事物,以及在發現不該存在的事物時如何應對。
這就是為什么威脅情報如此重要。威脅情報不僅可以保護您的財產,還可以告訴您潛在的弱點以及過去遭受攻擊的位置。它最終可以幫助告知將安全資源專用于何處。
威脅情報無法告訴您的正是下一個要攻擊的地方。事實是,沒有完美的方法來預測攻擊者的下一步行動。您可以最接近地了解更大的威脅環境中正在發生什么—攻擊者如何針對整個組織進行攻擊。這樣就有可以根據手頭的數據做出關鍵的,明智的決定。這是該博客系列“威脅環境態勢”的目的。在其中,研究人員將研究威脅態勢中的活動并分享我們看到的最新趨勢。通過這樣做,希望闡明在哪些領域您可以迅速發揮作用,保護您的資產,特別是在處理有限的安全資源時。
從端點開始
首先,我們將從思科的Endpoint Security解決方案開始。該系列有兩篇博客文章,我們將研究在2020年上半年在端點上看到的活動類型。在第一篇文章中,我們將研究嚴重威脅和MITER ATT&CK框架。在接下來的幾周中將發布的第二部分中,我們將更深入地研究數據,提供有關威脅類型和攻擊者使用的工具的更多技術細節。
為了保護端點,思科的端點安全解決方案利用了由多種可協同工作的技術組成的保護點陣。將在這里從其中一種技術中深入研究遙測技術:威脅云指示(IoC)功能,該功能可以檢測在端點上觀察到的可疑行為,并查找與惡意活動相關的模式。
就隨后進行分析的方法論而言,數據類似于您在Cisco Endpoint Security解決方案的儀表板中看到的警報,僅跨組織匯總,以將遇到特定IoC的組織百分比作為基準。數據集涵蓋2020年上半年,從1月1日到6月30日。
威脅嚴重性
使用思科的Endpoint Security解決方案時,您會在儀表板上注意到的第一件事就是警報被分為四個威脅嚴重性類別:低,中,高和嚴重。以下是根據組織遇到IoC警報的頻率來分類這些嚴重性類別:
低,中,高和嚴重IoC的百分比
如您所料,絕大多數警報屬于中低類別。這些嚴重程度中有各種各樣的IoC。導致這些警報的活動所構成的威脅有多嚴重,取決于許多因素,我們將在本系列博客的第二部分中更廣泛地探討這些因素。
現在,讓我們從Cisco Endpoint Security解決方案將要警告的最嚴重的IoC開始:嚴重性IoC。盡管這些僅占整體IoC警報的一小部分,但可以說它們是最具破壞性的,如果發現,則需要立即關注。
嚴重程度IoC
將關鍵的IoC劃分為相似的組,最常見的威脅類別是無文件惡意軟件。這些IoC表示存在無文件威脅-惡意代碼在初始感染后在內存中運行,而不是通過存儲在硬盤驅動器上的文件運行。在這里,思科的Endpoint Security解決方案可以檢測到可疑進程注入和注冊表活動等活動。在這里經常看到的一些威脅包括Kovter,Poweliks,Divergent和LemonDuck。
其次是可用于開發和開發后任務的雙重用途工具。PowerShell Empire,CobaltStrike,Powersploit和Metasploit是目前在此處看到的四個此類工具。這些工具非常適合用于非惡意活動,例如滲透測試,但不良行為者經常使用它們。如果您收到這樣的警報,并且沒有進行任何此類主動的網絡安全演習,請立即進行調查。
IoC組中最常出現的第三類是另一類雙重使用的工具。憑據轉儲是惡意行為者從受感染計算機中抓取登錄憑據的過程。在2020年上半年,這些工具中最常見的是Mimikatz,Cisco的Endpoint Security解決方案從內存中轉儲了憑證。
總而言之,這三個類別構成了所看到的關鍵嚴重性IoC的75%。剩余的25%包含已知由已知威脅類型執行的多種行為:
- Ryuk,Maze,BitPaymer等勒索軟件威脅
- Ramnit和Qakbot等蠕蟲
- 諸如Corebot和Glupteba的遠程訪問木馬
- 銀行木馬,例如Cridex,Dyre,Astaroth和Azorult
- …最后是下載程序,抽頭和Rootkit的組合
MITRE ATT&CK策略
查看IoC數據的另一種方法是使用MITER ATT&CK框架中列出的策略類別。在思科的Endpoint Security解決方案中,每個IoC都包含有關采用的MITER ATT&CK策略的信息。這些策略可以為攻擊的不同部分的目標提供上下文,例如通過網絡橫向移動或泄露機密信息。
多種策略也可以應用于單個IoC。例如,涵蓋雙重用途工具(例如PowerShell Empire)的IoC涵蓋了三種策略:
- 防御規避:它可以隱藏其活動,以免被發現。
- 執行:它可以運行其他模塊來執行惡意任務。
- 憑據訪問:它可以加載竊取憑據的模塊。
考慮到這種重疊,讓我們將每種策略占看到的所有IoC的百分比:
MITRE ATT&CK策略分組的IoC
到目前為止,最常見的戰術是防御規避,它出現在57%的IoC警報中。這不足為奇,因為積極嘗試避免檢測是大多數現代攻擊的關鍵組成部分。
由于不良行為者經常在多階段攻擊中啟動更多惡意代碼,因此執行頻率也很高,占41%。例如,使用雙重用途工具建立持久性的攻擊者可以通過在受感染計算機上下載并執行憑據轉儲工具或勒索軟件來跟進。
兩種常用的獲得立足點的策略,初始訪問和持久性,進來的第三和第四,分別示出了的時間11%和12%。通過命令與控制進行的交流完善了前5種策略,在所看到的IoC中占10%。
關鍵策略
盡管這描繪了威脅態勢的景象,但將MITER ATT&CK策略與嚴重程度的IoC相結合時,事情變得更加有趣。
按MITER ATT&CK策略分組的嚴重嚴重程度IoC
首先,在嚴重程度IoC中根本看不到其中兩種策略,而另外兩種策略則不足1%。這有效地消除了策略的三分之一。
同樣有趣的是頻率是如何被打亂的。前三名保持不變,但在關鍵嚴重性IoC中執行比防御規避更常見。按嚴重性過濾時,其他重要動作包括:
- 持續性出現在38%的關鍵IoC中,而不是總體上12%的IoC。
- 橫向運動從IoC的4%躍升至22%。
- 憑據訪問權限上升了三個位置,從4%增加到21%。
- “影響”和“ 收集”策略都看到了適度的增長。
- 特權升級從8%下降到0.3%。
- 初始訪問完全從列表中刪除,以前出現在第四位。
防御關鍵
這總結了IoC數據的高級摘要。因此,有了有關常見威脅類別和策略的信息,您可以如何保護端點?以下是一些有關要看的事情的建議:
限制執行未知文件
如果無法執行惡意文件,則它們將無法進行惡意活動。對允許在您環境中的端點上運行的應用程序使用組策略和/或“允許列表”。這并不是說應該利用所有可用的控件來完全鎖定端點-過于嚴格地限制最終用戶權限會造成完全不同的可用性問題。
如果您的組織將雙重用途工具用于遠程管理等活動,請嚴格限制允許運行該工具的帳戶數量,僅在需要該工具時才授予臨時訪問權限。
監視進程和注冊表
注冊表修改和進程注入是無文件惡意軟件用來隱藏其活動的兩種主要技術。監視注冊表中的異常更改并查找奇怪的進程注入嘗試將有助于防止此類威脅獲得立足點。
監視端點之間的連接
密切注意不同端點之間的連接以及與環境中服務器的連接。研究是否有兩臺計算機不應該連接,或者端點是否以不正常的方式與服務器通信。這可能表明不良行為者正試圖在網絡中橫向移動。
