02.威胁情报分析

网络情报是对信息的获取和分析,以识别、跟踪和预测网络威胁的能力、意图和活动,为加强决策提供行动方案。
网络威胁情报是网络情报中最大、最重要的子集。网络威胁情报简单地说就是 "对网络领域威胁的情报分析"。网络威胁情报通常更注重战术,而网络情报则更注重战略。
有效的网络安全企业需要强大的网络情报能力。情报为风险和威胁的技术和非技术分析提供背景,从而推动优先事项、资源分配和风险态势。网络情报可以帮助预防入侵、漏洞、事件或攻击,或在事件发生后协助事件响应、数字取证等。网络情报还可以提供趋势和模式分析,帮助预测未来事件。
网络情报的三个层面是战略(Strategic), 运营(Operational),战术( Tactical)

  • 战略(Strategic):是一个长期进行工作;
  • 运营(Operational):是每天或每周进行的;
  • 战术(Tactical):是即时或接近实时的;

一、钻石模型

1、基础概念

钻石模型一般是,建立任何入侵活动的基本元素--事件的模型,由四个核心特征组成:攻击者(adversary)、基础设施(infrastructure)、能力(capability)和受害者(victim)。这些特征通过边缘连接表示其基本关系,并排列成钻石形状,因此该模型被命名为钻石模型。
它还进一步定义了附加的元特征,以支持更高层次的构造,如将事件连接成活动线程,并进一步将事件和线程凝聚成活动组。这些元素、事件、线程和组都有助于建立一个围绕分析流程的基础性、全面的入侵活动模型。它抓住了入侵分析和敌方行动的基本概念,同时允许模型灵活扩展并包含新的想法和概念

该模型首次建立了一种正式方法,将科学原则应用于入侵分析,特别是测量、可测试性和可重复性原则,提供了一种全面的活动记录、综合和关联方法。这种科学简便的方法提高了分析的有效性、效率和准确性。最终,该模型为网络防御提供了实时整合情报的机会,可自动关联各种事件,有把握地将事件分类为对手的活动,并在规划和博弈缓解策略的同时预测对手的行动"

2、可选的元特征

钻石模型有可选的元特征,以下是可能的六个元特征:

  • 时间戳:这是一个或多个事件的日期和时间。时间戳通常包括事件开始和停止的事件,它有助于确定模式。
  • 阶段:这是入侵、破坏、事件或攻击的各个阶段。
  • 结果:这是事件发生后的状态。
  • 方向:指入侵或攻击的方向,以钻石模型中的线条为基础。
  • 方法论:这是入侵、漏洞、事件或攻击的一般分类或类型。
  • 资源:完成事件所需的外部资源。
    以上是钻石模型可能包含的元特征中的六个。你也可根据需要对相关元特征进行增加、删除或修改成适合你当前系统环境的元特征,但是你必须为这些元特征设置一个列表。
    可信度虽然不是钻石模型的直接组成部分,但也应与钻石模型一起确定模型的可信度。通常情况下,如果信息来源可靠,信息也可靠,反之亦然;但有时信息来源可能不可靠,但信息是可靠的,反之亦然。对信息来源和信息应用置信度,可以对其可靠性进行加权,从而对钻石模型的可靠性进行加权。这种加权可以帮助你确定情报的可信度。
    下表显示了信息来源和信息可靠性的置信度。

三、使用钻石模型进行入侵分析

在构建网络事件时,我们应该确定5W1H:who、what、when、where、why、how。从网络事件报告中提取的这些信息将用于填写钻石模型。
在填写钻石模型时,没有特定的顺序要求;您可以从对手信息、受害者信息或其他信息开始。最终目标是提供尽可能多的事件相关信息(又称情报),以 "描绘出事件的全貌"。
通过以下模式对《西北工业大学发现美国NSA网络攻击调查报告》进行分析,纯属个人观点。

1、安全事件要素

1、who(谁?)

初步判明相关攻击活动源自于美国国家安全局(NSA)的“特定入侵行动办公室”(即:Office of Tailored Access Operation,后文简称“TAO”)。

2、What(做什么?)

对西北工业大学进行内部渗透,多份遭窃取的网络设备配置文件,嗅探的网络通信数据及口令、其它类型的日志和密钥文件。

3、When(什么时间?)

具体事件相关报告未被公布,那我将以2022年6月22日为发现威胁及应急响应日作为依据,并根据其他信息推算该攻击开始时间为20XX年。

4、Where(哪里?)

TAO依托此类武器对西北工业大学的边界网络设备、网关服务器、办公内网主机等实施攻击突破,同时也用来攻击控制境外跳板机以构建匿名网络。

5、Why(为什么?)

政治收益。

6、How(如何?)

TAO对他国发起的网络攻击技战术针对性强,采取半自动化攻击流程,单点突破、逐步渗透、长期窃密。
(一)单点突破、级联渗透,控制西北工业大学网络
经过长期的精心准备,TAO使用“酸狐狸”平台对西北工业大学内部主机和服务器实施中间人劫持攻击,部署“怒火喷射”远程控制武器,控制多台关键服务器。利用木马级联控制渗透的方式,向西北工业大学内部网络深度渗透,先后控制运维网、办公网的核心网络设备、服务器及终端,并获取了部分西北工业大学内部路由器、交换机等重要网络节点设备的控制权,窃取身份验证数据,并进一步实施渗透拓展,最终达成了对西北工业大学内部网络的隐蔽控制。
(二)隐蔽驻留、“合法”监控,窃取核心运维数据
TAO将作战行动掩护武器“精准外科医生”与远程控制木马NOPEN配合使用,实现进程、文件和操作行为的全面“隐身”,长期隐蔽控制西北工业大学的运维管理服务器,同时采取替换3个原系统文件和3类系统日志的方式,消痕隐身,规避溯源。TAO先后从该服务器中窃取了多份网络设备配置文件。利用窃取到的配置文件,TAO远程“合法”监控了一批网络设备和互联网用户,为后续对这些目标实施拓展渗透提供数据支持。
(三)搜集身份验证数据、构建通道,渗透基础设施
TAO通过窃取西北工业大学运维和技术人员远程业务管理的账号口令、操作记录以及系统日志等关键敏感数据,掌握了一批网络边界设备账号口令、业务设备访问权限、路由器等设备配置信息、FTP服务器文档资料信息。根据TAO攻击链路、渗透方式、木马样本等特征,关联发现TAO非法攻击渗透中国境内的基础设施运营商,构建了对基础设施运营商核心数据网络远程访问的“合法”通道,实现了对中国基础设施的渗透控制。
(四)控制重要业务系统,实施用户数据窃取
TAO通过掌握的中国基础设施运营商的思科PIX防火墙、天融信防火墙等设备的账号口令,以“合法”身份进入运营商网络,随后实施内网渗透拓展,分别控制相关运营商的服务质量监控系统和短信网关服务器,利用“魔法学校”等专门针对运营商设备的武器工具,查询了一批中国境内敏感身份人员,并将用户信息打包加密后经多级跳板回传至美国国家安全局总部。

2、创建钻石模型

攻击者(adversary):美国国家安全局(NSA)的“特定入侵行动办公室”
受害者(victim):西北工业大学
能力(capability):渗透攻击工具。
基础设施(infrastructure):对相关设备进行了中间人攻击,并掌握了账户口令。

posted @ 2023-09-18 11:25  Diligent_Maple  阅读(359)  评论(0编辑  收藏  举报