威脅情報在安全運營環節的應用（DEFCON GROUP 010）

Author: elknot@360corpsec

會上答應過各位會把演講內容和PPT放出來的，現在我來填坑了。

今天首先給大家分享的是如何去分析大量的日誌來獲取攻擊者的一些特徵，並且結合威脅情報的數據來對攻擊者進行溯源和設計攻擊防禦的策略，我會結合兩個真實的案例來給說明白攻擊者溯源和防禦策略設計這兩件事情。

nn

今天我們繞不開的話題其實就是威脅情報，作為一個做威脅情報的研究人員，首先我得先把威脅情報這件事情說清楚了。威脅情報其實按照大類分的話其實分成了三類：戰術情報、運營情報和戰略情報。戰術情報是面向安全運維人員的情報，發現威脅事件以及對報警確認或優先順序排序，比如說一些IP信息的情報和一些C&C失陷檢測的情報，這種情報其實是用來幫助安全運維人員快速判定攻擊的情況和初步了解攻擊者信息的情報。第二種情報叫做運營情報，運營情報是給安全分析師或者說安全事件響應人員使用的，目的是對已知的重要安全事件做分析（報警確認、攻擊影響範圍、攻擊鏈以及攻擊目的、技戰術方法等）或者利用已知的攻擊者技術能力和戰術手法主動的查找攻擊相關線索。第三種情報就是戰略情報了，聽名字就知道這個是面向管理層的威脅情報。一個組織在安全上的投入有多少，應該投入到那些方向，往往是需要在最高層達成一致的，這個時候威脅情報的一些數據往往就能指導信息安全的建設。

nn

那麼問題來了，我們為什麼需要威脅情報呢，威脅情報其實對我們這些廣大的安全運營工程師和安全運營團隊而言，重要的是以下4點：首先是現有的安全日誌分析思維往往受制與安全日誌，也就是說我們很多時候遇到了安全事件往往就是直接從安全日誌入手去分析，這樣的話其實不能很好地覺察出來攻擊者真正的目的，後面的例子會說到這個問題；其次是通過威脅情報，我們可以了解攻擊者的目標和身份，不管是網路的身份還是現實中的身份，這點對於應急響應來說是很重要的，正所謂知己知彼，百戰不殆；除此之外，威脅情報還可以支持應急響應和安全運營的部分工作；最後，如果你幸運地發現了攻擊者，你還可以對攻擊者進行一些處置，這地方因為有點暴力所以主辦方沒有讓我去講，不過後面的例子中我後面會說一些可行的方法。

nn

接下來我們開始進入正題，這一部分其實主要的內容是來給大家說一下可以提供分析數據的日誌源、分析的手段、可以收集的信息和如何把這些信息歸納成威脅數據。

nn

對於日常環境中我們可以拿到的數據其實總結一下大概就是四類：非安全設備日誌、安全設備日誌、感測器日誌和擴展數據源。非安全設備日誌其實就是一些跟安全沒什麼太大聯繫但是又有那麼些聯繫的日誌，比如說系統運行的日誌、網路設備的日誌、VPN的日誌；安全設備日誌就是真安全設備本身的日誌了，比如說防火牆、IDS、WAF的日誌等等；感測器日誌就是用來事實探測情況的日誌，比如說蜜罐的日誌、網路感測器等等；最後是擴展數據源，這一部分主要是企業外部的數據源，比如說威脅情報數據、whois、ip等公共基礎設施數據。

nn

說完了數據的來源我們來說說這些數據都能夠分析出來什麼東西，如果現在遭受了攻擊，我們首先要去搞定的是這個攻擊事件到底是個什麼級別的事件，攻擊者是簡單的掃描，還是說執行了惡意的命令，還是拿到了機器的許可權掛了shell，或者是以此機器為跳板進行了橫向的滲透。對這些數據進行統計，我們可以初步確定源、目的地址、時間這些數據。通過對一些日誌的分析，我們還能獲得一些攻擊者的其他指紋類信息，比如工具集，使用的基礎設施，是不是在其他地方犯過案等等。

nn

具體能夠提取下來的信息其實就是這張圖所展示的了，也就是說我們通過這部分日誌能夠初步分析出來的東西僅限於：這人用了什麼工具和基礎設施來把我給搞了，搞到了一個什麼程度。

nn

截止到剛才，我們講的其實還是僅限於日誌和數據分析的一些策略，從這一部分開始，我們要結合威脅情報來看待這件事情，這一部分我們會講點稍微高大上的東西，比如說一些安全分析的模型。

nn

我們先來說一下對攻擊者溯源的一個過程，根據上面分析了日誌的結果，我們就需要對攻擊者進行溯源畫像了，首先我們要做的是分析日誌，也就是上面說的，緊接著把上面分析的結果整理成一個威脅日誌數據，這個威脅數據日誌的作用是用來幫助我們確定攻擊的範圍、影響和對攻擊者的初步了解，把這些零散的攻擊威脅數據整理一下，我們可以還原出攻擊的整個過程，用來幫我們了解我們的系統存在的被人利用的問題。最後就是利用威脅情報數據去查這個人的戶口，看看這個人什麼來頭，在什麼地方犯過什麼案。

nn

其實說到了攻擊者溯源畫像的問題，我們就不得不提到一個業界有名的分析模型，鑽石分析模型，就跟PPT上畫的一樣，你完全看不出來他是個鑽石，但是人家非要這麼叫你也沒啥辦法。這個模型建立的基本元素其實是信息安全事件，對於每個信息安全事件而言，都有四個特徵：對手、能力、基礎設施和受害者，通過連線來代表他們之間的關係，也就是你們現在看到的這個長得完全不像鑽石的鑽石模型。事件元素中還包括元特徵、置信度和擴展特徵，擴展特徵其實就是圖上的兩個黑色的單詞，社會政治和基礎能力，元數據包括攻擊時間、攻擊階段、攻擊結果、攻擊方攻擊手段和攻擊資源利用。是不是和我們前面提到的很像。對於這個模型，其實攻擊者和受害者沒啥好說的就是一個挨打一個打人，對於對手能力一般情況下難以掌握，尤其是剛發現的時候，這時候就容易犯一個錯誤，就是把你看到的攻擊事件當成了你的對手，這個時候就會在攻擊防禦的策略上陷入一個被動的局面，因為很有可能是你的對手刻意製造一個混亂讓你以為你看到的就是你看到的。對於基礎設施這一部分，其實就是一些他用的東西，比如說設備、域名、郵件地址什麼的，但是這裡也有可能是你的對手給你設的套，有可能就是故意讓你上套。

nn

對於這一部分而言其實就是我們分析思路的一個體現了，根據這個模型來看，我們可能優先感知的就是我們被打了，也就是第一步，這個時候我們會發現我們的資產感染了病毒、或者遭受了攻擊；緊接著惡意的這些文件會去請求惡意的域名也就是第二步，這些惡意的域名會解析到一個惡意的ip地址，這裡就是第三步，我們這邊可以通過日誌分析來判斷攻擊者是不是和失陷主機C&C有接觸，也就是第四步，最後，我們可以通過IP地址來獲得攻擊者的一些細節。

nn

其實在鑽石模型裡面，我們分析和依靠的就是活動線和活動攻擊圖，通過活動線和kill-chain的結合，我們可以描述一個特定受害者的惡意活動，左邊這個圖其實就是一個kill-chain。通過活動線和枚舉攻擊對手可能的路徑攻擊樹進行疊加，不但保持了兩種圖形的特徵，還能知道攻擊者的動機，同時也能讓事件調查容易一些。

nn

剛才我們說的都是這個不像鑽石的鑽石模型，接著我們來看一個像的。其實剛才說了這麼多，大家還是最想知道怎麼樣才能比較快速的準確的獲得攻擊者的目的，這個圖其實就是告訴大家什麼樣的日誌能結合起來分析出來什麼樣的結果。

nn

總結一下我們之前說的，我們通過了各種各樣的日誌來分析出來攻擊者的一些信息，結合威脅情報和鑽石分析模型，我們可以更加清楚的了解到攻擊者的動機、行為和身份，為我們前期找他們麻煩做準備。

nn

那麼到底什麼人天天沒事兒干找我們麻煩呢，根據我在客戶這邊分析來看，主要就是這麼些人，大家可以看一下。總結一下就是有白道有黑道、有內行有外行、有境內有境外。

nn

既然有黑有白，那麼黑和白的能力、動機、身份也是不一樣的，其實無外乎也就是這麼幾種情況。

接下來就是舉例子的時間了，第一個例子是一個某客戶的簡訊平台的應急事件，具體哪個客戶我就不說了，其實根據後期的事件調查我們發現除了影響一些客戶之外，一些友商互聯網公司也收了或多或少的影響，具體是誰我也不說了。還是回到這件事情上來說，其實大概的時間點就跟ppt上寫差不多，先是發現了一個簡訊平台的漏洞，然後修，然後運維那邊反饋說伺服器佔用率太高，然後不知道怎麼回事兒，接著發生了點插曲也就是我們待會兒要說的，最後進行了個二次修復，最終才修復了，那麼這段時間到底發生了什麼呢。

nn

首先安全應急響應這邊在發現伺服器資源佔用異常的時候，應急響應團隊是按照封IP的操作去操作的，其實在從事件判定上來判斷，這個操作在當時其實是正確的，因為面對大量請求的時候，就會演變成cc攻擊，最簡單的有效的方法其實就是封堵IP，這點沒做錯，但是他們做錯的是什麼呢？他們就真的把這個事情當成cc攻擊去處理了。在此之前其實客戶給我一串IP，可能大概有1000多個吧，讓我去查這些攻擊這是誰。當時我是懵逼的，為什麼懵逼的，因為1000多個IP發起的CC攻擊在我看來是不太能發生的，而且給的IP都是不連續的，哪兒也有，也沒有幾個被標記了就是失陷主機的。這就很頭疼，但是通過一些商業的威脅情報數據來看，我發現了發起這些請求的數據，都來自於一種軟體，簡訊轟炸機，也就是說人家就是想來打一下別人惡作劇一下，結果把我們的客戶給當槍用了。黑產發現了這個有問題的URL之後直接就封裝進了黑產的APP，然後拿去賣，據說是按天賣的。我把分析結果發給客戶之後客戶的反應是既高興又不高興，高興是因為不是攻擊，不高興是因為之前他們的事件應急策略是文不對題的。這個例子其實就是用來告訴大家，威脅情報的落地可以幫我們站在上帝視角看見攻擊的真相。

nn

接下來我們來看第二個事情，這個也是客戶那邊的一個情況，3月的時候S2-045這個漏洞一出來之後整個網路都不安靜了，很多兄弟們起來半夜應急確實挺辛苦的，主要是PoC放出的太快了，我之前還在知乎上吐槽這件事兒來著。扯遠了，客戶這邊也是S2-045的受害者之一，然後他們截獲了一批IDS日誌，讓我去分析，我給他們分析完了之後有幾個IP地址挺惹人注意的，特別有規則，而且攻擊意圖還挺明顯。

nn

首先我們先來看一下他們的攻擊行為，通過IDS日誌和其他商業威脅情報數據看到了這個IP基本上套路都是先掃描然後重點滲透，使用的工具就是當天放出來的S2-045的EXP工具。緊接著我去幫客戶評估了一下受影響的情況，這個客戶其實還是挺重視安全的，發現了之後立即就封堵了，沒什麼太大影響，只是兩台伺服器和一個web服務被執行了exp，但是exp畢竟沒什麼太大影響嘛你們知道的，但是攻擊者的意圖很明顯，就是去看有沒有漏洞。緊接著我們就去把這個攻擊者利用現有的一些東西去商業威脅情報數據和一些公開的威脅情報數據去查，結果查到的攻擊者其實是一家滲透測試公司，攻擊的目標大多都是一些我們比較大的客戶和政府教育類這些比較影響力的網站。最後其實客戶是給他們發了通知讓他們簽署承諾書的，其實這個是一個比較好的處置方案，但是提醒大家處置的時候記得遵守相關法律法規。

nn

其實說到這裡，這個例子其實就是日誌分析結合威脅情報來對攻擊者溯源的一個例子。通過數據驅動的安全運營和一些商業或者開放的威脅情報數據，我們可以知道攻擊者的目的、工具能力和身份。

nn

這個其實就是一個畫像實例。

nn

總結一下，我們今天主要講的還是威脅情報在數據運營中的兩種應用方式和兩個對應的兩個事例，主要還是想跟大家說明在安全運營環節引入威脅情報體系可以對安全運營和應急響應有什麼幫助。
推薦閱讀：