本文來自微信公眾號“安全牛”,作者/wal613。
近年來,隨著加密手段在網(wǎng)絡(luò)攻擊中占比不斷攀升,攻防演練場景下的加密技術(shù)應(yīng)用也日趨多樣與復(fù)雜,加密威脅逐步成為傳統(tǒng)安全防護(hù)體系面臨的重要挑戰(zhàn)。在此背景下,構(gòu)建和提升加密視角下的威脅情報能力,是對抗加密威脅的重要手段,也是更全面地掌握攻擊方完整情報信息的重要基礎(chǔ)。
傳統(tǒng)威脅情報在面對加密流量威脅時,與安全產(chǎn)品的聯(lián)動更多從IOC著手,對于加密流量的通信特征缺少關(guān)注。為解決這一問題,可以圍繞加密資產(chǎn)信息、加密要素信息等加密特征,構(gòu)建加密威脅情報能力,應(yīng)對加密流量威脅。觀成科技研究認(rèn)為,在攻防演練場景中,對于加密威脅情報能力,可以從四個方面進(jìn)行建設(shè)和提升,分別是風(fēng)險加密資產(chǎn)識別、限定域指紋構(gòu)建、同源加密威脅關(guān)聯(lián)和攻擊設(shè)施主動探測。
01
風(fēng)險加密資產(chǎn)識別
資產(chǎn)盤點與暴露面收斂是大多數(shù)攻防演練活動啟動階段和備戰(zhàn)階段需要重點關(guān)注的事項,對加密資產(chǎn)進(jìn)行盤點及風(fēng)險收斂同樣重要。從加密要素角度出發(fā),可以從三個方面識別風(fēng)險加密資產(chǎn):
加密協(xié)議層面:關(guān)注協(xié)議版本、加密套件、擴展項,尤其是使用低版本協(xié)議、弱加密算法、弱簽名算法的資產(chǎn);
數(shù)字證書層面:關(guān)注證書版本、證書序列號、證書有效期、證書自簽名、證書頒發(fā)者與使用者、證書擴展性、證書公鑰、證書簽名、證書鏈,尤其是過期證書、自簽名證書;
加密數(shù)據(jù)層面:關(guān)注加密算法,尤其是使用弱加密算法對數(shù)據(jù)進(jìn)行加密處理的資產(chǎn)。
02
限定域指紋構(gòu)造
常見針對加密資產(chǎn)的指紋,如JA3、JA3S和JARM等,可以有效識別目標(biāo)加密資產(chǎn),但也同樣面臨著指紋碰撞的問題,當(dāng)這些指紋應(yīng)用于加密威脅情報時,就會產(chǎn)生一定誤報。為提升指紋準(zhǔn)確性,可以基于加密要素信息,進(jìn)一步構(gòu)造更為精確地限定域指紋庫。
限定域指紋可以針對客戶端和服務(wù)端分別展開,主要依據(jù)TLS版本、加密套件、擴展信息及其他信息進(jìn)行計算得到。在一些場景下,可以聯(lián)合客戶端和服務(wù)端信息,進(jìn)一步提升準(zhǔn)確性,構(gòu)建完全限定域指紋應(yīng)用于威脅檢測中。
03
同源加密威脅關(guān)聯(lián)
同類別的網(wǎng)絡(luò)資產(chǎn)具有一定的相似性,而加密資產(chǎn)同樣具有類似的特征,可以基于網(wǎng)絡(luò)空間資產(chǎn)測繪技術(shù),有效結(jié)合攻擊方使用的攻擊武器、攻擊資源中所提取的加密要素信息,針對攻防演練場景下的黑客工具、熱門商業(yè)木馬及惡意家族等進(jìn)行精細(xì)化威脅關(guān)聯(lián),快速發(fā)現(xiàn)同源加密威脅,達(dá)到“克敵機先”的效果。
比如,針對HTTPS協(xié)議的網(wǎng)絡(luò)資產(chǎn),分析師可以從響應(yīng)頭、響應(yīng)體及證書等多個維度提取相似性特征,通過這些相似性特征,可以進(jìn)一步關(guān)聯(lián)與挖掘。通過這種方式,可以對已發(fā)現(xiàn)的攻擊設(shè)施進(jìn)一步延伸和拓展,形成同源加密威脅資產(chǎn)列表,應(yīng)用于加密威脅感知中。
04
攻擊設(shè)施主動探測
反向C&C通道是攻防演練場景下的常用通信手段,而C&C的識別與發(fā)現(xiàn)是加密威脅情報能力的重要體現(xiàn)。在前期準(zhǔn)備階段,需要跟蹤分析黑客工具、熱門商業(yè)木馬及惡意家族,可以基于通信樣本的行為特征、通信信息和加密要素信息,提取加密特征,構(gòu)造上線包、心跳包與指令響應(yīng)包,進(jìn)而進(jìn)行主動探測獲取C&C信息,提前掌握攻擊設(shè)施。
在保障階段,需要及時應(yīng)對變種攻擊,從變種中發(fā)現(xiàn)固定特征或變化特征。對于固定特征,本質(zhì)屬于同類威脅,一部分可以在同源加密威脅關(guān)聯(lián)中發(fā)現(xiàn),另一部分可以主動探測中掌握。對于變化特征,應(yīng)及時構(gòu)造探測特征并進(jìn)行實時探測,獲取相關(guān)配置C&C信息,實時感知并掌握攻擊方攻擊設(shè)施資源。