本文介紹了一種從攻防兩個維度研究分析網(wǎng)絡(luò)安全對抗技術(shù)的方法。該方法基于Sysmon日志、ATT&CK標(biāo)簽日志、操作系統(tǒng)日志的分析實踐，通過幾種典型攻防對抗技術(shù)示例，著重介紹和分析攻擊在主機(jī)層面特征，為藍(lán)隊人員“看得見”“看得清”網(wǎng)絡(luò)威脅，提供了一種簡單易學(xué)的技術(shù)修煉方法。也借此拋磚引玉，希望在安全規(guī)則優(yōu)化或威脅狩獵的專家能有更多此方面技術(shù)分享。

1、“左右互搏術(shù)”

這里的“左右互搏術(shù)”，喻意為安全人員一邊模擬紅隊或入侵者或企業(yè)內(nèi)惡意人員的攻擊，一邊作為防守方從網(wǎng)絡(luò)、主機(jī)等多層面檢測和分析攻擊，有助于安全人員理解掌握相關(guān)攻擊技術(shù)原理、技術(shù)特征及其產(chǎn)生的日志、告警等信息。若將相關(guān)經(jīng)驗應(yīng)用到企業(yè)生產(chǎn)環(huán)境，那么為企業(yè)優(yōu)化網(wǎng)絡(luò)安全告警解析規(guī)則、快速分析溯源攻擊、威脅狩獵、針對性增強(qiáng)防護(hù)檢測措施等方面，將是大有裨益的。

2、資源準(zhǔn)備

測試驗證主要資源及軟硬件配置信息如下。
筆記本電腦：CPU 4核1.8GHz、內(nèi)存16GB、SSD硬盤1T，虛擬化軟件VMware Workstation Pro 15。
SEIM（安全信息和事件管理系統(tǒng)）：Elastic ELK Docker虛擬機(jī)推薦分配12GB內(nèi)存。
日志采集軟件：Sysmon+modular sysmonconfig.xml配置文件，日志傳送軟件winlogbeat和filebeat。
攻擊機(jī)：互聯(lián)網(wǎng)云主機(jī)+CobaltStrike（以下簡稱CS）+云函數(shù)及API網(wǎng)關(guān)，虛擬機(jī)Windows10+CS+紅隊工具，虛擬機(jī)Kali或Ubuntu+Impacket等工具。
靶機(jī)：Windows2016、Windows11、Windows10、CentOS 8、Ubuntu20.04等虛擬機(jī)。

3、基于Sysmon的“左右互搏術(shù)”

Sysmon是微軟安全人員開發(fā)的一種 Windows系統(tǒng)服務(wù)和設(shè)備驅(qū)動程序，一旦安裝在系統(tǒng)上，就會在系統(tǒng)重啟后保持駐留狀態(tài)，以監(jiān)視系統(tǒng)活動并將其記錄到 Windows事件日志。它能提供有關(guān)進(jìn)程創(chuàng)建、網(wǎng)絡(luò)連接和文件創(chuàng)建時間更改等詳細(xì)信息。通過使用Windows事件查看器或SIEM代理收集它生成的事件并進(jìn)行安全分析，可了解入侵者和惡意軟件如何在網(wǎng)絡(luò)系統(tǒng)上運行，從而識別惡意或異?；顒?。目前，Sysmon也有支持Linux版本，但其檢測功能還比較弱，支持的操作系統(tǒng)類型較少。
以下介紹三方面場景，主要介紹在主機(jī)側(cè)對有關(guān)攻擊的檢測發(fā)現(xiàn)。篇幅有限，未對有關(guān)攻擊與檢測技術(shù)原理，防護(hù)措施等深入展開說明。

3.1EventID 1進(jìn)程創(chuàng)建

Sysmon EventID 1是為有關(guān)新創(chuàng)建進(jìn)程提供擴(kuò)展信息，能提供有關(guān)進(jìn)程執(zhí)行上下文的完整命令行。
攻擊者入侵系統(tǒng)往往會創(chuàng)建進(jìn)程與C2等遠(yuǎn)控服務(wù)器建立通信連接，因此一般可通過Sysmon EventID 1進(jìn)程創(chuàng)建事件來發(fā)現(xiàn)入侵行為。

3.1.1 紅隊攻擊

紅隊在內(nèi)網(wǎng)橫向移動過程中，可能會使用Impacket套件等工具?，F(xiàn)在模擬紅隊執(zhí)行psexec.py橫向移動一臺Windows主機(jī)，執(zhí)行效果如下圖所示。

使用psexec.py時，靶機(jī)出現(xiàn)病毒告警，改用smbexec.py則不會被防病毒軟件（這里指Defender）查殺，且能與靶機(jī)保持正常通信，執(zhí)行效果見下圖。

3.1.2 藍(lán)隊防守

藍(lán)隊可以從有關(guān)攻擊工具的源代碼（如有）或惡意樣本、網(wǎng)絡(luò)通信數(shù)據(jù)包、主機(jī)日志等方面來進(jìn)行安全分析。

1）代碼層面分析

通過查看psexec.py代碼，可以深入了解其工作原理。下圖代碼展示了psexec.py首先會使用SMB協(xié)議進(jìn)行會話協(xié)商，通過可寫共享上傳隨機(jī)文件名的exe文件，隨后打開SVCManager并創(chuàng)建服務(wù)，之后啟動服務(wù)與遠(yuǎn)控端建立通信連接。

2）網(wǎng)絡(luò)層面分析

通過wireshark獲取網(wǎng)絡(luò)數(shù)據(jù)包，驗證了psexec.py開始使用了SMB協(xié)議進(jìn)行會話協(xié)商，通過深入分析網(wǎng)絡(luò)數(shù)據(jù)包，觀察其是否有明顯特征。

3）主機(jī)層面行為分析

通過Elastic ELK平臺集中分析主機(jī)層面攻擊行為，搜索eventID為1的事件，下圖顯示了紅隊執(zhí)行psexec.py攻擊及whoami命令后，在靶機(jī)上產(chǎn)生了2個進(jìn)程。

但由于psexec.py執(zhí)行有很多明顯的特征，已被大多數(shù)防病毒軟件查殺，以下是Windows defender查殺告警。

smbexec.py之所以沒有被防病毒軟件查殺，原因是其利用一個批處理文件和一個臨時文件來執(zhí)行和轉(zhuǎn)發(fā)消息，達(dá)到免殺效果，如下圖所示。

通過查看smbexec.py源代碼，也可以驗證此技術(shù)特征。

4）主機(jī)操作系統(tǒng)日志分析

藍(lán)隊也可以通過查看Windows操作系統(tǒng)安全日志，ID編號為4624，發(fā)現(xiàn)用戶異常登錄，如下圖所示。

3.2EventID 3&22網(wǎng)絡(luò)外連

Sysmon EventID 3和22是網(wǎng)絡(luò)外連事件。EventID 3是記錄系統(tǒng)TCP/UDP網(wǎng)絡(luò)連接。每個連接都通過ProcessId和ProcessGuid字段鏈接到一個進(jìn)程。該事件還包含源和目標(biāo)主機(jī)IP地址、端口號和IPv6 狀態(tài)。EventID 22是DNS查詢，無論DNS查詢結(jié)果成功還是失敗、緩存與否，進(jìn)程執(zhí)行DNS查詢時都會生成此事件。

搜索EventID 3，查看測試CS木馬在靶機(jī)上的進(jìn)程名稱、網(wǎng)絡(luò)外連IP和端口等信息，如下圖所示。

搜索EventID 22，顯示CS木馬外聯(lián)C2時，通過DNS解析了C2使用的云函數(shù)API網(wǎng)關(guān)的域名。因此，藍(lán)隊可將EventID 3和22檢測到的外連IP和域名，與威脅情報庫匹配來發(fā)現(xiàn)一些攻擊行為。

下圖是一個典型的CS木馬執(zhí)行后外連C2后產(chǎn)生的Sysmon告警日志柱狀圖?？梢杂^測到木馬執(zhí)行后，先會產(chǎn)生大量多種EventID日志，再到后來遠(yuǎn)控通信產(chǎn)生的大量網(wǎng)絡(luò)連接數(shù)據(jù)包（下圖綠色部分），藍(lán)隊可以將其作為一種典型攻擊行為進(jìn)行跟蹤。

對于初步識別出的可疑進(jìn)程，可依托Elastic ELK進(jìn)程關(guān)聯(lián)分析功能，讓藍(lán)隊很容易理解攻擊行為，并高效地開展攻擊溯源或威脅狩獵。

3.3EventID 17&18命名管道

Sysmon EventID 17在創(chuàng)建命名管道時生成，而惡意軟件通常使用命名管道進(jìn)行進(jìn)程間通信。EventID 18則是在客戶和服務(wù)端之間建立命名管道連接時形成事件記錄。

以下兩圖分別展示了CS木馬在靶機(jī)上產(chǎn)生的命名管道創(chuàng)建和連接日志。

CS有很多用于后滲透的攻擊模塊，其加載通常借助調(diào)用Windows DLL方式來實現(xiàn)。這些攻擊模塊會通過命名管道的形式與Beacon通信，默認(rèn)管道名稱有\(zhòng)MSSE-、\postex_、\postex ssh*、\status_、\msagent_。這為藍(lán)隊分析判斷攻擊者使用哪種武器，有一定參考意義。

通過對Sysmon每一個EventID事件分析，藍(lán)隊將會發(fā)現(xiàn)很多有安全價值的信息，對不同EventID進(jìn)行關(guān)聯(lián)，將會在入侵檢測方面有較大的發(fā)揮空間。例如，通過監(jiān)控單個或所有主機(jī)Sysmon EventID的走勢圖，也是可以發(fā)現(xiàn)攻擊異常。

4、基于ATT&CK的“左右互搏術(shù)”

借助ATT&CK模型，可以讓藍(lán)隊更容易理解分析攻擊者所使用的技戰(zhàn)術(shù)和工具，甚至能分析判斷出其屬于哪個團(tuán)伙，也便于安全人員間交流。
本項測試基于Sysmon產(chǎn)生的帶有ATT&CK標(biāo)簽的日志。通過ATT&CK技戰(zhàn)術(shù)分析日志，非常有助于藍(lán)隊攻擊溯源和威脅狩獵。遺憾的是，目前少有EDR、HIDS廠家將帶有ATT&CK標(biāo)簽的日志接口開放，不利于藍(lán)隊使用該模型來開發(fā)關(guān)聯(lián)檢測規(guī)則。

4.1ATT&CK T1003操作系統(tǒng)憑證導(dǎo)出

在網(wǎng)絡(luò)攻擊中，憑證導(dǎo)出是最常見的攻擊行為之一。目前，ATT&CK模型中操作系統(tǒng)憑證導(dǎo)出有以下8種子技術(shù)：
T1003.001: LSASS Memory
T1003.002: Security Account Manager
T1003.003: NTDS
T1003.004: LSA Secrets
T1003.005: Cached Domain Credentials
T1003.006: DCSync
T1003.007: Proc Filesystem
T1003.008: /etc/passwd and /etc/shadow
這里測試T1003.001:LSASS Memory和T1003.006:DCSync。

4.1.1 紅隊攻擊

紅隊有時會將LSASS進(jìn)程內(nèi)存轉(zhuǎn)儲后，通過mimikatz離線導(dǎo)出賬號密碼及哈希。值得注意的是，安裝了KB2871997補(bǔ)丁或者系統(tǒng)版本大于Windows server 2012的，系統(tǒng)內(nèi)存已不再保存明文密碼，且只有Administrator(SID 500)默認(rèn)賬號可被用于PTH哈希傳遞攻擊。

假設(shè)紅隊導(dǎo)出上述的某個賬號密碼屬于域管理員組或具有DCsync權(quán)限，則可使用secretsdump.py來導(dǎo)出域控AD目錄所有賬號及密碼哈希。

而在大型域環(huán)境，一般會使用BloodHound（下圖）等工具來查找具有DCSync權(quán)限的賬戶。

4.1.2 藍(lán)隊防守

針對紅隊第一種攻擊技術(shù)，藍(lán)隊通過搜索T1003.001或Credential Dumping關(guān)鍵詞，如下圖所示，會發(fā)現(xiàn)紅隊訪問lsass.exe進(jìn)程的行為。

結(jié)合Sysmon EventID 11或直接查找lsass.dmp文件,或通過ELK自定義搜索結(jié)果來快速檢索。如下圖所示，檢測到lsass內(nèi)存轉(zhuǎn)儲行為。值得注意的是，測試發(fā)現(xiàn)mimikatz shell里執(zhí)行的命令，Sysmon并沒有相關(guān)日志記錄。

在紅隊進(jìn)行第二種技術(shù)攻擊時，即使用secretsdump.py導(dǎo)出域控AD目錄所有賬號和哈希時，Sysmon并沒有產(chǎn)生有關(guān)日志，而Windows安全日志里則產(chǎn)生了大量4622事件（A security package has been loaded by the Local Security Authority）。藍(lán)隊可以通過ELK預(yù)置規(guī)則或修改預(yù)置規(guī)則進(jìn)行關(guān)聯(lián)告警。需要提醒的是每一條安全檢測規(guī)則均應(yīng)經(jīng)過實際測試驗證有效。

根據(jù)紅隊使用DCsync攻擊技術(shù)及Windows安全日志，藍(lán)隊可創(chuàng)建兩條規(guī)則：規(guī)則一是檢測使用hacker賬戶進(jìn)行NTLM V2認(rèn)證登錄：winlog.event_data.LmPackageName:

"NTLM V2"（還可以增加更多字段以提高檢測的準(zhǔn)確度）；規(guī)則二是將DCsync攻擊產(chǎn)生的日志中有關(guān)字段（any where event.actinotallow=="目錄服務(wù)訪問" and event.code=="4662"and winlog.event_data.AccessMask:"0x100"等）進(jìn)行關(guān)聯(lián)并設(shè)置閾值，經(jīng)測試產(chǎn)生了相關(guān)告警。如果兩條規(guī)則產(chǎn)生的告警同時出現(xiàn)，更充分說明正在發(fā)生PTH和DCsync攻擊，如下圖所示。

4.2ATT&CK T1136.001創(chuàng)建賬號

紅隊在攻擊Linux系統(tǒng)后，有可能會創(chuàng)建賬號。Sysmon for Linux可以檢測此類攻擊行為，修改Sysmon配置文件，添加如下圖所示檢測規(guī)則，可檢測Linux賬號創(chuàng)建行為。

在ELK中查詢創(chuàng)建賬號時，Sysmon有生成“T1136.001：Local Account”ATT&CK標(biāo)簽的日志。

同Sysmon EventID走勢圖一樣，藍(lán)隊也可以通過監(jiān)控單個或所有主機(jī)“TechniqueID”走勢圖來發(fā)現(xiàn)攻擊行為或其他異常。

5、基于操作系統(tǒng)日志的“左右互搏術(shù)”

Windows操作系統(tǒng)中有Powershell、Defender、USB和WIFI使用等相關(guān)日志，因此，藍(lán)隊?wèi)?yīng)能從這些日志中發(fā)現(xiàn)一些入侵攻擊或惡意行為。

5.1PTH哈希傳遞攻擊場景

紅隊在內(nèi)網(wǎng)橫向移動過程中，往往會利用已掌握的個別系統(tǒng)賬號密碼，使用CME等工具對內(nèi)網(wǎng)服務(wù)器實施SSH、SMB等協(xié)議密碼噴灑攻擊或PTH哈希傳遞攻擊。

5.1.1 紅隊攻擊

模擬紅隊使用crackmapexec套件工具，利用已獲得賬號及其哈希值，進(jìn)行哈希傳遞攻擊。下圖顯示發(fā)現(xiàn)有兩個系統(tǒng)存在相同的賬號密碼。

5.1.2 藍(lán)隊防守

1）網(wǎng)絡(luò)層面分析

通過分析網(wǎng)絡(luò)數(shù)據(jù)包，未發(fā)現(xiàn)明顯攻擊特征。藍(lán)隊可在實際生產(chǎn)環(huán)境中驗證是否能產(chǎn)生密碼噴灑告警。

2）主機(jī)層面行為分析

使用場景4.1.2中的PTH哈希傳遞攻擊檢測規(guī)則“NTLMV2訪問”，發(fā)現(xiàn)了CME工具發(fā)起的PTH哈希傳遞攻擊。

5.2SID history權(quán)限維持場景

SID history是攻擊者用到的比較隱蔽的一種權(quán)限維持方法。藍(lán)隊?wèi)?yīng)當(dāng)經(jīng)常檢查域控是否有賬號存在500 SID history權(quán)限，可通過powershell命令排查（Get-ADUser -Filter "SIDHistory -like ''" -Properties SIDHistory| ` Where { $_.SIDHistory -Like "-500" }）。

Window安全日志ID 4765事件為SID History添加到用戶時生成。如果沒有查找到4765事件，則可查找ID 4738事件，并查看有關(guān)用戶的SID history變更情況。下圖顯示，為hacker賬號添加了500 SID history。

5.3防泄密場景

如果企業(yè)有封閉網(wǎng)絡(luò)環(huán)境，禁止服務(wù)器接入USB存儲設(shè)備，防止敏感數(shù)據(jù)被竊取。那么作為一種審計措施，將檢索“event.code:207 and 驅(qū)動器”形成如下搜索結(jié)果，從而檢測相關(guān)服務(wù)器是否發(fā)生了失泄密事件。

5.4WIFI非法外連場景

如果企業(yè)有封閉網(wǎng)絡(luò)環(huán)境，禁止非法網(wǎng)絡(luò)外連。作為一種審計措施，將檢索“event.code:8001 and 無線”形成如下搜索結(jié)果，從而檢測是否發(fā)生了非法網(wǎng)絡(luò)外連行為。這種違規(guī)行為在封閉網(wǎng)絡(luò)環(huán)境下時有發(fā)生，值得特別關(guān)注。

5.5病毒告警場景

如果企業(yè)使用Windows Defender防病毒軟件，那么可以將Defender日志集中收集分析。檢索“event.code:1116”和“event.code:1117”形成如下搜索結(jié)果，從而快速發(fā)現(xiàn)惡意文件和攻擊行為。

6、總結(jié)

通過以上攻防對抗技術(shù)測試，將Sysmon EventID日志、帶有ATT&CK標(biāo)簽日志和操作系統(tǒng)等日志，通過SEIM、SOC等安全系統(tǒng)進(jìn)行關(guān)聯(lián)分析，能有效提升企業(yè)網(wǎng)絡(luò)威脅檢測能力。
當(dāng)然使用Sysmon也有其局限性，通過卸載Sysmon或關(guān)閉Sysmon進(jìn)程或hook ETW，達(dá)到繞過Sysmon檢測，或者將winlogbeat、filebeat這類傳送日志的進(jìn)程關(guān)閉，從而使SEIM無法收到相關(guān)日志及檢測發(fā)現(xiàn)攻擊行為。
另外，還有一些攻擊者熱衷于使用LOLBAS攻擊（Living Off The Land Binaries, Scripts and Libraries）。這類程序一般具有微軟或第三方認(rèn)證機(jī)構(gòu)的數(shù)字簽名，所以不會被防病毒軟件查殺，因此，往往被攻擊者用于下載惡意程序、執(zhí)行惡意代碼、繞過UAC等內(nèi)網(wǎng)滲透活動。藍(lán)隊可針對此類攻擊方式，梳理這些程序或命令執(zhí)行時最常使用的技術(shù)參數(shù)，將其納入自定義檢測告警規(guī)則，從而發(fā)現(xiàn)LOLBAS類攻擊。
網(wǎng)絡(luò)攻防對抗就像貓鼠游戲，藍(lán)隊需要持續(xù)跟蹤了解掌握常見攻擊技術(shù)，根據(jù)自身業(yè)務(wù)安全場景需要，通過持續(xù)優(yōu)化安全系統(tǒng)告警規(guī)則，結(jié)合網(wǎng)絡(luò)安全有效性驗證及紅藍(lán)對抗實戰(zhàn)化檢驗，及時檢測發(fā)現(xiàn)深層次網(wǎng)絡(luò)攻擊行為和異常。

7、相關(guān)資源

以下為測試過程中參考或應(yīng)用到的部分資源鏈接信息。
1)https://attack.mitre.org/versions/v12/
2)https://github.com/deviantony/docker-elk
3)https://github.com/elastic/detection-rules
4)https://github.com/SigmaHQ/sigma/tree/master/rules
5)https://car.mitre.org/analytics/by_technique
6)https://github.com/12306Bro/Threathunting-book
7)https://lolbas-project.github.io/

本文作者：tom0099， 轉(zhuǎn)載請注明來自??FreeBuf.COM??