成功的網(wǎng)絡(luò)攻擊(以國(guó)家級(jí)的攻擊和人為操作的勒索軟件為例)的關(guān)鍵在于，它們有能力找到最快的攻擊途徑，并在受感染的網(wǎng)絡(luò)中橫向移動(dòng)。所以，發(fā)現(xiàn)并確定這些攻擊的全部范圍和影響是安全操作中最關(guān)鍵、但通常也是最具挑戰(zhàn)性的部分。

[[345542]]

為了向安全團(tuán)隊(duì)提供對(duì)抗網(wǎng)絡(luò)攻擊的可見性和解決方案，Microsoft威脅保護(hù)(Microsoft Threat Protection ，MTP)將跨多個(gè)域和點(diǎn)的威脅信號(hào)關(guān)聯(lián)起來，包括端點(diǎn)、身份、數(shù)據(jù)和應(yīng)用程序。這種全面的可見性允許MTP跨Microsoft 365數(shù)據(jù)協(xié)調(diào)預(yù)防、檢測(cè)和響應(yīng)。

MTP實(shí)現(xiàn)這一承諾的許多方法之一是通過事件的概念提供高質(zhì)量的攻擊證據(jù)整合，事件結(jié)合了企業(yè)內(nèi)部的相關(guān)警報(bào)和攻擊行為。一個(gè)事件的例子是所有行為的合并，表明勒索軟件存在于多臺(tái)計(jì)算機(jī)上，并且通過暴力將橫向移動(dòng)行為與初始訪問聯(lián)系起來。在最新的MITER ATT＆CK評(píng)估中可以找到另一個(gè)示例，其中Microsoft Threat Protection將80個(gè)不同的警報(bào)自動(dòng)關(guān)聯(lián)為兩個(gè)事件，這些事件反映了兩個(gè)攻擊模擬。

事件視圖有助于使防御者快速了解并響應(yīng)實(shí)際攻擊的端到端范圍。在此文中，我們將分享有關(guān)數(shù)據(jù)驅(qū)動(dòng)方法的詳細(xì)信息，該方法用于通過統(tǒng)計(jì)建模檢測(cè)到的橫向移動(dòng)的行為證據(jù)來識(shí)別和增加事件。這種新穎的方法是數(shù)據(jù)科學(xué)與安全專業(yè)知識(shí)的結(jié)合，已得到Microsoft威脅專家的驗(yàn)證和利用，可以識(shí)別和理解攻擊范圍。

識(shí)別橫向運(yùn)動(dòng)

攻擊者橫向移動(dòng)以提升特權(quán)或從受到威脅的網(wǎng)絡(luò)中的特定計(jì)算機(jī)竊取信息，橫向移動(dòng)通常涉及攻擊者試圖采用合法的管理和業(yè)務(wù)運(yùn)營(yíng)功能，包括服務(wù)器消息塊（SMB），Windows管理規(guī)范（WMI），Windows遠(yuǎn)程管理（WinRM）和遠(yuǎn)程桌面協(xié)議（RDP）之類的應(yīng)用程序。攻擊者將這些合法使用于維護(hù)網(wǎng)絡(luò)功能的技術(shù)作為攻擊目標(biāo)，因?yàn)樗鼈兲峁┝顺浞值臋C(jī)會(huì)來融入大量預(yù)期的監(jiān)控技術(shù)，并提供通往目標(biāo)的路徑。最近，我們觀察到攻擊者進(jìn)行橫向移動(dòng)，然后使用上述WMI或SMB將勒索軟件或數(shù)據(jù)清除惡意軟件部署到網(wǎng)絡(luò)中的多個(gè)目標(biāo)計(jì)算機(jī)。PARINACOTA組織最近的一次攻擊以部署Wadhrama勒索軟件的人為攻擊而聞名，該攻擊以使用多種方法進(jìn)行橫向移動(dòng)而著稱。通過RDP暴力獲得對(duì)面向互聯(lián)網(wǎng)的服務(wù)器的初始訪問權(quán)限后，攻擊者通過掃描端口3389（RDP），445（SMB）和22（SSH）來搜索網(wǎng)絡(luò)中其他易受攻擊的計(jì)算機(jī)。在新一代勒索軟件中，比較流行的一類趨勢(shì)是“Smash-and-Grab”技術(shù)。攻擊者暴力入侵系統(tǒng)，在不到一個(gè)小時(shí)的時(shí)間內(nèi)部署勒索軟件、盜竊憑證或進(jìn)行其他惡意活動(dòng)，時(shí)間短減少了受害者進(jìn)行干預(yù)的機(jī)會(huì)。

今年3月，微軟的研究人員對(duì)一個(gè)利用此方法的惡意組織進(jìn)行了18個(gè)月的跟蹤調(diào)查，該組織被稱為Parinacota，主要部署Wadhrama勒索軟件。隨著時(shí)間的推移，現(xiàn)在Parinacota平均每周攻擊3~4個(gè)企業(yè)或機(jī)構(gòu)，將受感染的機(jī)器用于各種目的，包括加密貨幣挖掘、發(fā)送垃圾郵件或代理其他攻擊。

攻擊者下載并使用Hydra通過SMB和SSH對(duì)目標(biāo)進(jìn)行暴力破解，此外，他們還使用通過Mimikatz的憑據(jù)轉(zhuǎn)儲(chǔ)竊取的憑證，通過遠(yuǎn)程桌面登錄到其他多臺(tái)服務(wù)器上。在他們能夠訪問的所有其他計(jì)算機(jī)上，攻擊者主要執(zhí)行相同的活動(dòng)，轉(zhuǎn)儲(chǔ)憑證和搜索有價(jià)值的信息。

值得注意的是，攻擊者對(duì)未啟用遠(yuǎn)程桌面的服務(wù)器特別感興趣。他們將WMI與PsExec結(jié)合使用以允許服務(wù)器上的遠(yuǎn)程桌面連接，然后使用netsh禁用防火墻中端口3389的阻止，這使攻擊者可以通過RDP連接到服務(wù)器。

他們最終使用該服務(wù)器將勒索軟件部署到組織的服務(wù)器計(jì)算機(jī)基礎(chǔ)結(jié)構(gòu)的很大一部分中，這次攻擊是人為操作勒索軟件的一個(gè)例子，破壞了該組織的大部分功能，表明檢測(cè)和緩解橫向移動(dòng)是至關(guān)重要的。

使用多種橫向移動(dòng)方法的PARINACOTA攻擊

橫向運(yùn)動(dòng)攻擊的查找

如果將警報(bào)和橫向移動(dòng)的證據(jù)自動(dòng)關(guān)聯(lián)到不同的事件中，則就可以需要了解攻擊的全部范圍，并建立攻擊的活動(dòng)鏈接，以顯示整個(gè)網(wǎng)絡(luò)的活動(dòng)。在復(fù)雜的網(wǎng)絡(luò)中，在合法登錄的噪音中區(qū)分惡意攻擊者的活動(dòng)是很有挑戰(zhàn)性和費(fèi)時(shí)的。無法獲得所有相關(guān)警報(bào)、目標(biāo)、調(diào)查和證據(jù)的聚合視圖可能會(huì)限制防御者為緩解和完全解決攻擊所采取的行動(dòng)。

Microsoft Threat Protection利用其獨(dú)特的跨域的可見性和內(nèi)置驅(qū)動(dòng)的自動(dòng)化檢測(cè)橫向運(yùn)動(dòng)數(shù)據(jù)驅(qū)動(dòng)的方法來檢測(cè)橫向運(yùn)動(dòng)包括理解和統(tǒng)計(jì)量化行為觀察到一個(gè)攻擊鏈的一部分,例如,憑據(jù)盜竊之后,遠(yuǎn)程連接到其他計(jì)算機(jī)和進(jìn)一步意外或惡意的活動(dòng)。

動(dòng)態(tài)概率模型，有能力在一段時(shí)間內(nèi)使用新信息進(jìn)行自我學(xué)習(xí)，量化觀察到相關(guān)信號(hào)的橫向運(yùn)動(dòng)的可能性。這些信號(hào)可以包括某些端口上的端點(diǎn)之間的網(wǎng)絡(luò)連接頻率、可疑已刪除文件以及在端點(diǎn)上執(zhí)行的進(jìn)程類型。多個(gè)行為模型通過將與攻擊相關(guān)的特定行為關(guān)聯(lián)起來，對(duì)攻擊鏈的不同方面進(jìn)行編碼。這些模型與異常檢測(cè)相結(jié)合，驅(qū)動(dòng)已知和未知攻擊的發(fā)現(xiàn)。

可以使用基于圖形的方法對(duì)橫向運(yùn)動(dòng)的證據(jù)進(jìn)行建模，該方法涉及在正確的時(shí)間軸中構(gòu)造適當(dāng)?shù)墓?jié)點(diǎn)和邊緣。圖2描繪了攻擊者可能如何通過網(wǎng)絡(luò)橫向移動(dòng)的圖形表示，繪制攻擊圖的目的是發(fā)現(xiàn)具有足夠置信度的相關(guān)子圖，以便立即進(jìn)行進(jìn)一步調(diào)查。建立可以準(zhǔn)確計(jì)算出攻擊概率的行為模型，對(duì)于確保正確地測(cè)量置信度并結(jié)合所有相關(guān)事件至關(guān)重要。

攻擊者橫向移動(dòng)時(shí)的網(wǎng)絡(luò)可視化(結(jié)合事件1、2、4、5)

圖3概述了對(duì)橫向運(yùn)動(dòng)和編碼行為進(jìn)行建模的步驟，這些行為稍后將用于擴(kuò)展事件。通過跟蹤分析，終于發(fā)現(xiàn)了橫向運(yùn)動(dòng)的示例，并分析了真實(shí)的攻擊行為。然后通過聚合監(jiān)控技術(shù)形成信號(hào)，并定義和計(jì)算行為模型。

指定統(tǒng)計(jì)模型以檢測(cè)橫向運(yùn)動(dòng)編碼行為

行為模型由統(tǒng)計(jì)學(xué)家和威脅專家共同精心設(shè)計(jì)，結(jié)合概率推理和安全方面的最佳實(shí)踐，精確地反映攻擊者的情況。

指定了行為模型后，通過將模糊映射應(yīng)用到各自的行為，然后估計(jì)攻擊的可能性，事件增加的過程繼續(xù)進(jìn)行。例如，如果有足夠的把握相信攻擊的相對(duì)可能性較高，包括橫向移動(dòng)行為，則將事件關(guān)聯(lián)起來。圖4顯示了此邏輯的流程，我們已經(jīng)證明了將該模型與基于專家知識(shí)和實(shí)際例子的反饋循環(huán)相結(jié)合，可以準(zhǔn)確地發(fā)現(xiàn)攻擊鏈。

基于圖推理的事件流增強(qiáng)算法

將此邏輯流鏈接在一個(gè)圖中，可以發(fā)現(xiàn)攻擊遍歷網(wǎng)絡(luò)時(shí)的攻擊。例如，圖5顯示了如何將警報(bào)用作節(jié)點(diǎn)，將DCOM流量（TCP端口135）用作邊緣，以識(shí)別跨計(jì)算機(jī)的橫向移動(dòng)。然后，可以將這些計(jì)算機(jī)上的警報(bào)合并在一起，形成單個(gè)事件。在圖中可視化這些邊緣和節(jié)點(diǎn)，可以顯示一臺(tái)受損的計(jì)算機(jī)如何使攻擊者橫向移動(dòng)到另外三臺(tái)計(jì)算機(jī)的，然后攻擊將其中一臺(tái)計(jì)算機(jī)用于進(jìn)一步的橫向移動(dòng)。

攻擊遍歷計(jì)算機(jī)時(shí)的相關(guān)性

搜集橫向移動(dòng)情報(bào)

我們之前描述的PARINACOTA攻擊是一場(chǎng)由人操作的勒索活動(dòng)，涉及6臺(tái)新登錄的服務(wù)器。Microsoft威脅防護(hù)將以下事件自動(dòng)關(guān)聯(lián)到一個(gè)顯示端到端攻擊鏈的事件中：

一個(gè)行為模型識(shí)別了在勒索軟件部署前幾天啟動(dòng)的RDP入站暴力嘗試，如圖6所示。當(dāng)檢測(cè)到最初的攻擊時(shí)，暴力破解嘗試會(huì)被自動(dòng)識(shí)別為攻擊的原因。

在被攻擊之后，攻擊者在要攻擊的服務(wù)器上刪除了多個(gè)可疑文件，并開始橫向移動(dòng)到多個(gè)其他服務(wù)器，并部署勒索軟件的有效載荷。這個(gè)攻擊鏈引發(fā)了16個(gè)不同的警告，表明Microsoft Threat Protection（采用概率推理方法）與同一事件相關(guān)，表明勒索軟件的傳播，如圖7所示。

基于每日入站公共IP時(shí)間序列計(jì)數(shù)的暴力攻擊指標(biāo)

發(fā)現(xiàn)的受感染服務(wù)器傳播的攻擊和勒索軟件

構(gòu)造圖特別有用的另一個(gè)領(lǐng)域是當(dāng)攻擊來自未知計(jì)算機(jī)時(shí)，這些未知計(jì)算機(jī)可能是配置錯(cuò)誤的計(jì)算機(jī)、惡意計(jì)算機(jī)，甚至是網(wǎng)絡(luò)中的物聯(lián)網(wǎng)計(jì)算機(jī)。即使沒有可靠的設(shè)備監(jiān)控，它們?nèi)钥梢杂米麈溄狱c(diǎn)，以關(guān)聯(lián)多個(gè)受監(jiān)控設(shè)備之間的活動(dòng)。

在一個(gè)示例中，如圖8所示，我們看到了通過SMB從一個(gè)未監(jiān)控計(jì)算機(jī)橫向移動(dòng)到一個(gè)監(jiān)控計(jì)算機(jī)。然后，該計(jì)算機(jī)建立了命令和控制(C2)的連接，建立持久性，并從該計(jì)算機(jī)收集各種信息。隨后，相同的未監(jiān)控計(jì)算機(jī)建立了到第二個(gè)被監(jiān)控計(jì)算機(jī)的SMB連接。此時(shí)，攻擊者所采取的唯一行動(dòng)就是從該計(jì)算機(jī)收集信息。

可以看出，這兩個(gè)計(jì)算機(jī)共享一組共同的事件，這些事件與同一事件相關(guān):

1. 通過SMB從未知計(jì)算機(jī)登錄；

2. 收集計(jì)算機(jī)信息。

關(guān)聯(lián)來自未知設(shè)備的攻擊

總結(jié)

橫向移動(dòng)是攻擊檢測(cè)中最具挑戰(zhàn)性的領(lǐng)域之一，因?yàn)樵诖笮铜h(huán)境的正常嗡嗡聲中，橫向移動(dòng)可能是非常微妙的信號(hào)。在本文中，我們描述了一種數(shù)據(jù)驅(qū)動(dòng)的方法來識(shí)別企業(yè)網(wǎng)絡(luò)中的橫向移動(dòng)，目的是發(fā)現(xiàn)攻擊趨勢(shì)。Microsoft威脅保護(hù)(MTP)對(duì)的工作原理是：

1.整合來自Microsoft Threat Protection對(duì)端點(diǎn)、身份、數(shù)據(jù)和應(yīng)用程序無與倫比的可見性的監(jiān)控信號(hào)；

2.形成數(shù)據(jù)的自動(dòng)化復(fù)合問題，以識(shí)別整個(gè)數(shù)據(jù)生態(tài)系統(tǒng)遭受攻擊的證據(jù)；

3.通過對(duì)攻擊行為進(jìn)行概率建模來構(gòu)建橫向運(yùn)動(dòng)的攻擊試圖。

這種方法結(jié)合了業(yè)界領(lǐng)先的光學(xué)、專業(yè)知識(shí)和數(shù)據(jù)科學(xué)，從而能夠自動(dòng)發(fā)現(xiàn)當(dāng)今環(huán)境中的一些最嚴(yán)重的威脅。

本文翻譯自：https://www.microsoft.com/security/blog/2020/06/10/the-science-behind-microsoft-threat-protection-attack-modeling-for-finding-and-stopping-evasive-ransomware/如若轉(zhuǎn)載，請(qǐng)注明原文地址