论坛

Notifications
清除所有

介绍对手Playbook:首先,Oilrig(斜切&CK)


帖子:84
主持人
Topic starter
(@太极)
成员
Joined: 1 year ago

在过去的几年里,我们一直在追溯到“对手剧本”的想法。这个想法相当简单:正如我们为体育的冒犯和防守剧本,我们的对手也有进攻剧本,他们执行妥协组织。他们可能不会写下来,但它们存在。今年在Palo Alto网络的点燃会议我  关于防守者如何通过观察和数据共享创建对抗的剧本副本,然后使用该账单以更好地捍卫他们的网络与防守剧本。
单元42一直在努力在过去几个月内完善对手剧本的概念。在此博客中,我将解释我们如何构建内容,并将发布油脂入侵集的Playbook。

什么是戏剧?
玩Book的目标是组织对抗的工具,技术和程序,使其成为结构化格式,可以与他人共享并建立在。为实现这一目标,我们不想开发一个专有的结构,这些结构将是Palo Alto网络。相反,我们确定了两个框架,使我们不仅能够构建我们的数据,还使我们能够与他人分享。

框架描述

Stix 2.0. 结构化威胁信息表达式(StIX™)是用于交换网络威胁情报(CTI)的语言和序列化格式。
att.&CK 吉尔的对抗策略策略,技术和共同知识(ATT &CK™)是一个策划知识库和网络对抗行为的模型,反映了对抗的生命周期的各个阶段,以及他们所知的平台。 att.&CK对于理解安全风险,针对已知的对手行为,规划安全改进,并按预期验证防御工作。

Stix 2.0是STIX格式的最新迭代。它已重新设计以简化创建文档并使用JSON而不是XML。 STIX 2.0提供了一个对象列表,以表示通常为网络威胁情报(CTI)生成的信息类型。例如,STIX包括用于入侵集,恶意软件和指示符的对象等。 StIX根据对象类型标准化存储在对象中的信息和属性,以及各种对象类型之间可用的关系。标准化对象及其彼此之间的关系允许这种智能可在不必编写复杂的解析工具的情况下进行可共享且易于消耗。
梅斯特的att&CK框架提供了与操作期间使用的高级策略对手的示例的名称,描述和链接,以及对手使用的技术来实现它们。例如,att&CK框架有一个名为“发布”的策略,指的是试图渗透网络的敌人。与此策略相关的技术称为“具有恶意附件的矛网络钓鱼消息”,它描述了对手将如何在网络上发出攻击。这提供了攻击者如何完成特定目标的共同定义和理解。
将这些框架融合在一起,我们看了如何 梅特映射 他们的att&CK数据到STIX 2.0,然后选择适当的对象以获取其他PlayBook组件。

Stix 2.0对象 玩Book Component.
入侵集合 对手
报告 剧本
报告
活动 活动
杀戮链阶段 att.&CK Tactic
攻击模式 att.&CK Technique
指标 指标
恶意软件 对手恶意软件
工具 对手工具

对手STIX 2.0到PlayBook对象映射

使用这些映射定义,我们开始将特定对手的活动映射到ATT中&CK框架并在Stix Json中存储数据和指标。我们选择目标的第一个对手是Oilrig,这是我们在过去18个月内发布了多个报告的一组。

油脂概述
石油店是一个威胁小组,主要通过该地区的组织在中东地区经营,这些组织在各种不同的产业中;但是,本集团偶尔也偶尔于中东以外的组织。它还出现油脂运行供应链攻击,威胁小组利用组织之间的信任关系来攻击其主要目标。
Oilrig是一个积极且有组织的威胁组,这是根据他们对似乎仔细选择战略目的仔细选择的特定组织的系统统治的。归因于该组的攻击主要依赖社会工程来利用人类而不是软件漏洞;但是,有时此组在其攻击的交付阶段使用最近修补的漏洞。缺乏软件漏洞利用并不一定表明缺乏复杂程度,因为石油仪在其运营的其他方面表现出成熟度。这种成熟涉及:

  • 在开发工具期间使用的有组织的逃避测试。
  • 使用自定义DNS隧道协议进行命令和控制(C2)和数据Exfiltation。
  • 自定义Web-shell和后门用于持久访问服务器。

Oilrig依赖于横向运动的被盗帐户凭据。在Oilrig获取访问系统后,他们使用凭证转储工具,例如Mimikatz,窃取凭据以登录受妥协的系统。该组使用这些凭据来访问并横向移动到网络上的其他系统。从系统获取凭据后,本组中的运算符更愿意使用除了后门以外的工具来访问受损系统,例如远程桌面和腻子。 Oilrig还使用网络钓鱼站点来收取针对性组织的个人的凭证,以获得访问Internet访问的资源,例如Outlook Web Access。
以前关于油脂的报告


石油剧本和观众

oilrig playbook可用 这里。它包含有关2016年5月至2017年9月的石油省跨越的三项活动的数据。这包括123个指标,即地图到19种不同的ATT&CK技术。这不是我们对石油仪学到的一切,但这是我们希望与威胁情报界的其他成员分享的起点。
在理想的世界中,读者会下载JSON文件并将其加载到其威胁情报系统中。不幸的是,很少有工具可以在此时处理Stix 2内容,而且无以来一直显示整个戏剧。为了帮助补救措施,我们还释放了一个简单的工具来通过Web界面查看剧本。查看器的屏幕截图如下,您可以在此处访问它的实时版本:  //pan-unit42.github.io/playbook_viewer/
Picture1 Copy.

通过Playbook Viewer查看的Oilrig Playbook

要使用Viewer开始,请单击左列中的播放簿。这读取了PlayBook Stix Json脱离了我们的GitHub存储库,并解析了日期的广告系列。然后,您可以通过单击其日期范围来查看特定的广告系列,该范围将填充底部部分中的攻击生命周期阶段。
如果单击特定技术,则查看器将显示一个对话框(下图),其中包含相关ATT的链接&CK描述以及表示该技术的Stix指示器模式。重要的是要注意,并非PlayBook中的每个STIX指示器都表明了恶意活动,而是只要存在行为。
玩Book 2.

att的指标&在PlayBook Viewer中的CK技术

最后的想法
我们认为,以这种格式出版的账单将使他人能够更好地评估他们如何防御特定的对手。这是一个活生生的项目,我们
打算为我们目前在2018年课程中跟踪的许多对手的剧本发布剧本,因此请注意通过我们的博客更新。
如果您对敌对剧本有反馈,请对此博客发表评论。
感谢以下组织和个人努力启用此项目:

  • Robert Falcone和Bryan Lee(42册)用于将石油公司的细节拉到一起,并在Playbook Viewer上工作
  • 斜切释放att&CK扩大其范围。
  •  OASIS CTI委员会 对于所有工作来制作Stix 2.0
  • 成员 网络威胁联盟 建立通过自动手段共享智能的安全供应商社区。
分享: