在線沙盒的 ATT&CK 映射能力調研
工作來源
Journal of Information Processing, Vol.30
工作背景
惡意軟件增長如此迅猛,自動化分析成為必然選擇。自從 2018 年開始,JoeSandbox 與 HybridAnalysis 引入 ATT&CK 映射功能后,該功能也幾乎成為了沙盒的事實標準。
目前將惡意軟件行為與 ATT&CK 相關聯,仍然存在許多與實現有關的問題:
- 如 T1071 應用層協議表明出現了不常見的數據流(如客戶端發送數據明顯多于從服務器接收的數據),但對“不常見”的定義與實現是存在差異的。
- 如 T1195 供應鏈失陷表明入侵是由供應鏈引起的,但攻擊發生在沙盒的上下文之外,很難檢測。
工作準備
使用以下沙盒進行分析:
- JoeSandbox
- Hybrid Analysis
- Hatching Triage
分析報告的獲取來源如下:
- MANDIANT
- Cisco Talos
- Trend Micro
利用多個在線沙盒分析的 26078 份報告與 328702 項 ATT&CK 技術映射結果,進行量化與分析。
靜態分析結果通過 CAPA(3.0.2 版本)獲取。
收集了 JoeSandbox 在 2021 年 9 月 24 日至 2021 年 10 月 23 日分析的惡意軟件報告 20435 份,從中提取了 13184 份被判定為惡意的報告。這些惡意軟件,Hybrid Analysis 分析過 1012 個、Hatching Triage 分析過 11882 個。
13184 個文件中有 11973 個在 VirusTotal 存在,利用 CAPA 對 3918 個樣本進行了靜態分析。
工作評估
ATT&CK 映射存在顯著差異嗎?
使用 MITRE ATT&CK 第九版,將舊版本統一映射到新版中。JoeSandbox 只有 T1064 是舊版本的技術項,其余都更新到了新版本。而 Hybrid Analysis 與 Hatching Triage 則分別有 21 項與 15 項舊版本的技術項。
分析環境如下所示:
ATT&CK 技術映射相似度如下所示,三者之間一致性較低。
都存在的 1012 個樣本中,每個沙盒的 MITRE ATT&CK 技術 TOP 10:
在沙盒中可以檢測的 153 種技術中,36 種技術沒有明顯差異、在所有沙盒中相似,其他 117 種技術明顯存在不同。在顯著性水平設置為 0.05 時,各技術項是否存在顯著差異:
什么能檢測什么檢測不了?
下圖顯示了技術的存在性,在所有的 568 種技術中,只有 175(29.4%)種能被檢測。
從戰術階段來看,滲透與影響階段的覆蓋率分別為 11.76% 與 23.08%。
惡意軟件與良性軟件是否存在交叉點?
利用 1533 份被標記為良性的樣本與 13184 份被標記為惡意的樣本進行對比,忽略了出現次數少于 100 次的技術項后進行統計。相關性較高的如下所示:
相關性較低的如下所示:
T1027.002 軟件加殼、T1018 遠程服務發現與 T1003 操作系統憑據發現等,往往在良性文件中不易出現。而 T1447 刪除設備數據與 T1426 進程注入等,在良性文件中也經常出現。
橫向對比
比對了沙盒的 26078 份報告、50 份手動分析報告與 CAPA 的 3918 份靜態分析結果。
各種分析手段均能檢測的技術項僅為 38 項,占總數的 18.1%。并且人工的分析報告可以覆蓋沙盒和靜態提取無法處理的技術項,重點是偵察與資源開發利用兩個戰術階段。
不同分析手段結合后,發現 193 種組合有 141 種存在顯著差異。
工作思考
不同的分析方式,可以提供看樣本的不同視角。沙盒作為自動化分析的重要組成部分,為 ATT&CK 技戰術映射提供了有力支撐。更為詳細的數據列表在文章中,感興趣的可以下載原文查看。
如果在有多個沙盒、多個檢測引擎的情況下,類似 VirusTotal 的場景中,如何最大化發揮各個來源廠商的優勢形成合力是一個值得思考的問題。
