论坛

通知事项
全部清除

介绍对手剧本:首先,OilRig(MITRE ATT&CK)  


太极
帖子:83
主持人
主题启动器
(@太极)
会员
已加入:8个月前

在过去的几年中,我们一直在讨论“专家手册”的概念。这个想法很简单:就像我们为体育创造进攻性和防守性的练习本一样,我们的对手也有进攻性的练习本,他们会执行这些进攻性的练习来危害组织。他们可能不会写下来,但是它们存在。今年在Palo Alto 网络的Ignite会议上  关于防御者如何通过观察和数据共享来创建对手的剧本的副本,然后使用该剧本通过防御性剧本更好地捍卫其网络。
在过去的几个月中,第42单元一直在努力完善“对手剧本”的概念。在此博客中,我将解释我们如何组织内容并发布适用于OilRig入侵套件的Playbook。

什么是剧本?
《手册》的目标是将对手使用的工具,技术和程序组织成结构化的格式,可以与他人共享并以其为基础。为了实现这一目标,我们不想开发专用于Palo Alto 网络s的专有结构。相反,我们确定了两个框架,这些框架不仅使我们能够构造数据,而且使我们能够与他人共享数据。

构架描述

STIX 2.0 结构化威胁信息表达(STIX™)是一种用于交换网络威胁情报(CTI)的语言和序列化格式。
ATT&CK 斜接的对抗策略,技巧和常识(ATT &CK™)是针对网络攻击者行为的精选知识库和模型,反映了攻击者生命周期的各个阶段以及已知的目标平台。 ATT&CK对于了解针对已知对手行为的安全风险,计划安全性改进以及验证防御措施是否按预期进行很有用。

STIX 2.0是STIX格式的最新版本。它已经过重新设计,以简化文档的创建,并使用JSON而不是XML。 STIX 2.0提供了一个对象列表,以表示通常为网络威胁情报(CTI)生成的信息类型。例如,STIX包括用于入侵集,恶意软件和指示符的对象。 STIX根据对象类型以及各种对象类型之间可用的关系来标准化存储在对象内的信息和属性。标准化的对象及其相互之间的关系使该情报可以共享和轻松使用,而无需编写复杂的解析工具。
斜接的ATT&CK框架提供名称,描述以及指向操作过程中高级战术对手使用的示例的链接,以及对手用来实现这些操作的技术。例如,ATT&CK框架采用一种称为“启动”的策略,该策略是指试图渗透网络的对手。与该策略相关的一种技术称为“带有恶意附件的鱼叉式网络钓鱼邮件”,它描述了攻击者如何对网络发起攻击。这提供了对攻击者如何实现特定目标的通用定义和理解。
为了将这些框架融合在一起,我们研究了如何 斜接映射 他们的ATT&CK将数据发送到STIX 2.0,然后为其他Playbook组件选择合适的对象。

STIX 2.0对象 剧本组件
入侵套装 对手
报告 剧本
报告
运动 运动
杀链阶段 ATT&CK Tactic
攻击方式 ATT&CK Technique
指示符 指示符
恶意软件 对手恶意软件
工具 对手工具

对手STIX 2.0到Playbook对象的映射

定义了这些映射后,我们开始将特定对手的活动映射到ATT中&CK框架,并在STIX JSON中存储数据和指标。 我们选择针对的第一个对手是OilRig,该小组在过去18个月中发布了多份报告。

石油钻机概述
石油钻机是一个主要在中东开展业务的威胁组织,其目标是该地区各行各业的组织;但是,该小组偶尔也会将目标锁定在中东以外的组织。还似乎OilRig会进行供应链攻击,其中威胁组利用组织之间的信任关系来攻击其主要目标。
石油钻机是一个活跃而有组织的威胁组织,这是基于对特定组织的系统性瞄准而得出的,这些特定组织似乎是出于战略目的而精心选择的。归因于此组的攻击主要依靠社会工程来利用人为漏洞,而不是软件漏洞。但是,有时该小组在其攻击的传递阶段使用了最近修补的漏洞。缺乏软件漏洞利用并不一定意味着缺乏复杂性,因为OilRig在其操作的其他方面已经显示出成熟度。这些期限包括:

  • 在工具开发过程中使用的有组织的逃避测试。
  • 使用自定义DNS隧道协议进行命令和控制(C2)和数据渗透。
  • 用于持久访问服务器的自定义Web外壳和后门。

石油钻机依赖于被盗帐户凭证进行横向移动。 石油钻机获得对系统的访问权后,他们使用凭据转储工具(例如Mimikatz)将凭据窃取到登录到受感染系统的帐户中。该组使用这些凭据访问网络上的其他系统并横向移动到其他系统。从系统获取凭据后,该组中的操作员更喜欢使用除后门之外的工具来访问受感染的系统,例如远程桌面和腻子。 石油钻机还使用网络钓鱼站点将凭据收集到目标组织中的个人,以访问Internet可访问资源,例如Outlook Web Access。
以前关于OilRig的报告


石油钻机剧本和查看器

可以使用《 石油钻机剧本》 这里。它包含OilRig于2016年5月至2017年9月进行的三项运动的数据。其中包括123个指标,映射到19个不同的ATT&CK技术。这不是我们了解的有关OilRig的全部知识,但这是我们希望与威胁情报界其他成员分享的起点。
在理想情况下,读者可以下载JSON文件并将其加载到威胁情报系统中。不幸的是,目前很少有工具可以处理STIX 2内容,没有一个可以一次显示整个Playbook。为了解决这个问题,我们还发布了一个简单的工具,可通过网络界面查看Playbook。查看器的屏幕截图在下面,您可以在此处访问其实时版本:  //pan-unit42.github.io/playbook_viewer/
Picture1副本

通过Playbook Viewer查看的OilRig 剧本

要开始使用查看器,请单击左栏中的Playbook。这将从我们的GitHub存储库中读取Playbook STIX JSON,并分析过时的广告系列。然后,您可以通过单击特定的活动的日期范围来查看它们,该活动将在底部填充攻击生命周期的各个阶段。
如果单击特定技术,查看器将显示一个对话框(在下面),其中包含指向相关ATT的链接&CK说明以及指示该技术的STIX指示器模式。重要的是要注意,并非Playbook中的每个STIX指标都表明存在恶意活动,而只是表明存在这种行为。
剧本2

ATT的指标&剧本查看器中的CK技术

最后的想法
我们相信,以这种格式发布《剧本》将使其他人能够更好地评估他们如何防御特定的对手。这是一个生活中的项目,我们
打算为我们目前在2018年追踪的许多对手发布《剧本》,因此请随时关注我们博客中的更新。
如果您对“对手手册”有任何反馈,请在此博客上发表评论。
感谢以下组织和个人为实现该项目所做的努力:

  • 罗伯特·法尔科内(Robert Falcone)和布莱恩·李(Bryan Lee)(单元42)汇总了OilRig的详细信息并使用了Playbook Viewer
  • 释放ATT的斜接&CK并扩大其范围。
  •  OASIS CTI委员会 他们所做的所有工作使STIX 2.0
  • 的成员 网络威胁联盟 用于建立通过自动方式共享情报的安全供应商社区。
分享: