RSAC 2022热点议题——勒索软件、AI安全、威胁分析和狩猎,基于机器学习实现内存取证的技术,使用 Volatility 3 + pslist、psscan、pstree、malfind、netscan 等
深度解读:RSAC 2022十大热点议题
“虎符智库” 专注解读网络安全重大事件与技术趋势,提供高层决策参考。
2022年度的全球网络安全行业盛会RSAC落下帷幕,本次大会以“转型” (Transform)为主题,被认为是去年主题(Resilience,弹性)的延伸和拓展。从弹性到转型,RSAC的主题变化透露出网络安全产业的持续变革。
RSA CEO Rohit Ghai在主题演讲中强调网络安全的转型变革。
RSAC 2022的170余个主题演讲,主要围绕10大热门主题,其中包括:数据与隐私安全(热度141)、身份安全与零信任(热度14)、软件供应链安全(热度10)、勒索软件(热度10)、AI安全(热度10)、威胁分析及狩猎(热度10)、风险管理(热度9)、云安全(热度6)、物联网及工业安全(热度6)、基础设施安全(热度4)。
从本届RSAC的热点议题,可以看出网络安全的多个细分领域都在发生变革。
。。。
四、勒索软件
勒索软件成为2021年美国首要的网络安全威胁。根据FBI统计,2021年勒索软件攻击了至少649个美国关键基础设施,其中包括美国最大燃油、燃气管道运营商科洛尼尔公司遭到黑客网络攻击勒索,导致供应中断和燃料短缺的事件。2021年美国成立了勒索软件工作组 (RTF),由来自行业、政府、执法部门、民间社会和国际组织的 60 多位专家组成,倡导统一、积极、全面、公私合营的反勒索软件运动。
本届RSAC的勒索软件议题集中在对勒索软件的分析、防护,以及应对勒索攻击的恢复能力等方面。
具有代表性的勒索软议题包括:
在“勒索软件现实清单:防止攻击的 5 种方法”议题中,专家提出了防止勒索软件攻击的 5 种方法,包括:(1)封堵漏洞。勒索软件团伙通常利用过去两年内的CVE,目前了解到被利用最多的包括MS Exchange、SolarWinds Serv-U、Log4J、Accellion、SonicWall、PrintNightmare 和 SMBv1。(2)知道何时丢失了密钥。核心关注点包括凭据盗窃和初始访问代理 (IAB)。凭据盗窃常用的手段包括AZORult、Predator the Thief、Kpot、MARS、Redline、Racoon、Mars Stealer。应对IAB的措施包括IAB 出售对多个威胁参与者 inc. 的访问权限。勒索软件团伙;在实际勒索软件攻击之前,通常通过地下论坛出售对公司的访问权早期识别可以节省数百万美元;通过 ZoomInfo 或 RocketReach 类型工具识别受害者等。(3)了解网络犯罪分子,学习他们的常用手段。例如Conti 小组正在积极利用 Scripts Github repos、Cobalt Strike、CVE PoC 等。经常使用非恶意工具来获得他们的目标。这些资源是开放的,防御者也可以学习同样的资源。(4)深入了解勒索软件机制,发现恶意软件爆发之前的行为痕迹。攻击者严重依赖非恶意工具,而传统的网络安全控制关注过多的恶意文件,却忽略了行为才是关键。因此应重点关注攻击者使用工具的行为。(5)创建减速带和检查点。采取包括多因素身份验证、网络分段、限制浏览器 cookie 寿命、活动目录安全等措施,加强纵深防御使得攻击者横向移动更加困难。
五、AI安全
本届RSAC的AI安全议题集中在AI训练和应用中的数据与隐私安全、AI开源工具安全、AI测试安全等AI自身安全,以及将AI技术用于威胁分析和零日网络攻击。
随着海量数据的积累、计算能力的发展、机器学习技术创新,图像识别、语音识别、自然语言翻译等人工智能技术得到普遍部署和广泛应用。AI对于传统计算机安全领域的研究也产生了重大影响,除了利用AI来构建各种恶意检测、攻击识别系统外,黑客也可能利用AI达到更精准的攻击。
同时AI自身的安全性变得前所未有的重要,如果应对利用数据投毒、深度伪造等技术干扰破坏AI的正常学习与应用,也成为网络安全领域面临的新课题。
具有代表性的AI安全议题包括:
在“AI的隐私和合规性—开源工具和行业看法”议题中,来自IBM的专家分析了面向AI应用的隐私保护技术,如差分隐私、匿名化、分布式计算和加密技术等,以及各种技术的优缺点。IBM专家认为,从行业视角看,AI隐私保护应具备以下特点:(1)防御应该是非破坏性的。大多数组织已经拥有复杂的机器学习设计和运营流程,解决方案应该以最小的中断集成到这些流程中。(2)产品应设计成人工智能隐私工具包,“一键式”解决方案更易于学习,具有良好的默认参数有助于入门,以及可解释的可视化首选项。(3)可扩展性和性能。一些隐私保护方法非常适合学术工作,但不要扩展到企业工作负载,工具需要自动化和高效的算法,和基于风险评估的模型优先级。在此基础上,IBM推出了用于 AI 隐私的开源工具,能够实现模型匿名化和数据最小化,并展示了相关的应用案例。
在“利用人工智能和深度学习对抗零日网络攻击”议题中,来自Check Point的专家认为面对当前网络威胁困境,基于 AI 的安全技术表现出高效阻断攻击、最佳威胁捕获率、接近零误报的特点,只有AI才能保证网络安全。Check Point搭建了威胁云ThreatCloud,通过30 多个 AI 引擎实现不同的安全功能,主要包括:(1)检测未知恶意软件-受感染主机检测、沙盒静态分析、沙盒动态分析引擎;(2)检测网络钓鱼-邮件静态分析、移动零钓鱼检测、反钓鱼AI引擎;(3)提升准确性-网络 AI 引擎聚合器、移动 AI 引擎聚合器、机器验证签名引擎;(4)异常检测-云网络异常检测引擎;(5)战场狩猎-活动狩猎引擎;(6)揭露隐形漏洞-分析师头脑、恶意活动检测引擎;(7)分类-文档元分类器矢量化家族分类器、机器学习相似度模型、MRAT分类器等。
六、威胁分析及狩猎
网络攻击技术和方法不断升级换代,攻击者从脚本小子、黑产犯罪团伙向国家级组织演进,攻击能力不断提高,攻击技术不断升级;威胁利用从已知到未知不断发展变化。
威胁狩猎是一种主动识别攻击痕迹的方法,由威胁猎人利用威胁分析工具、威胁情报和实践经验来积极筛选、分析网络和端点数据,寻找可疑的异常或正在进行的攻击痕迹。近年来威胁狩猎工具的自动化水平不断提高,逐渐成为应对高级持续威胁的重要手段。
本届RSAC的在威胁分析及狩猎议题集中在全球网络威胁态势、基于AI的自动化威胁分析技术,以及威胁狩猎实践。
具有代表性的威胁分析及狩猎议题包括:
在“2022 年网络安全状况:从大离职到全球威胁”议题中,ISACA专家分享了2022 年网络安全状况报告。根据ISACA的研究,在网络威胁态势方面,2021年企业最关注的5大网络安全影响包括:组织的声誉、数据泄露对客户造成的伤害、供应链攻击造成业务中断、商业秘密的丢失、组织的股票价格、财务状况。5大网络安全威胁分别为:网络犯罪、黑客、内部威胁、国家威胁、内部误操作。5大网络攻击方式分别为:社会工程学、APT攻击、安全配置错误、勒索软件、未打补丁的系统等。在人力方面,当前全球网络安全从业人员数量严重不足。在2021年有63%的企业网络安全职位有空缺,五分之一的企业表示需要六个月以上才能找到合格的空缺职位的网络安全候选人。其中空缺最大的细分领域包括云安全(52%)、数据保护(47%)、身份安全(46%)、应急响应(43%)、DevSecOps(36%)。
在“CHRYSALIS:人工智能增强的威胁猎手和法医时代”议题中,专家介绍了将数据科学和人工智能引入威胁狩猎和数字取证进该领域的进步的技术:(1)ML&TH联结学习用于异常分析的技术;(2)机器学习用于恶意软件分析并实现检测和分类的技术;(3)基于机器学习揭露恶意软件的技术,包括使用带有预训练模型的 ML 进行恶意软件检测、使用 SqueezeNet 和逻辑回归模型、使用卷积过滤器提取特征以将其分类为恶意软件。(4)基于机器学习实现内存取证的技术,包括用于识别受损数据集中的特定模式,使用 Volatility 3 输出应用 ML 算法来寻找可疑行为,并可以与 pslist、psscan、pstree、malfind、netscan 等一起使用;(5)基于机器学习实现深度日志分析的技术,包括从标记的数据中学习以分类为异常或正常条目,在大量系统日志中使用 LSTM识别异常, IDS/防火墙日志以检测 DDoS 和端口扫描等。(6)基于机器学习实现流量分析的技术,包括远超传统系统能力的定制化深度监控、执行聚类以发现异常并区分异常值、在大型数据集中发现未知威胁等。
RSAC 2022现场:基于网络的威胁狩猎经验及技巧
今年RSA大会上,Cato Networks的安全服务主管Tal Darsan和高级安全战略主任Etay Maor通过三个真实案例,为我们分享了他们在威胁捕获过程中收获的经验教训,和利用网络进行威胁捕获的一些技巧。
概述
单点故障(Single Point of Failure)指:在一个系统中,单一成分的失效使整个系统无法正常运转。主讲人Tal Darsan认为目前对于安全事件的新闻报道过分关注单点故障,让人误以为“防守方只疏忽了某一个点就导致了整个安全事件”。Tal Darsan又挑战了一个传统观点:“攻击方只需做对一件事,而防守方需要做对所有事”。他认为恰恰相反:攻击方要想达到最终目标需要做对很多事,这意味着防守方必然存在多项疏忽。
主讲人通过发问“你是否知道,在自己公司网络的所有云应用中,抖音(TikTok)的使用量排名在20左右?”,来体现多数公司对自己的网络环境知之甚少。他论证:企业安全部门一定要明白,部署各式各样的安全设备到底是“肌肉”还是“脂肪”。
案例分享
真实案例1:钓鱼邮件
攻击者首先拿到了受害者朋友的邮箱,然后向受害者发送钓鱼邮件。受害者点击邮件中伪装成PDF的链接后,访问了攻击者利用ClickUp和Glitch托管的假的Office365 OneNote网站。整个攻击极其隐蔽,因为钓鱼邮件拥有合法的发件人,且假站点被托管在合法服务器上,并包含真实站点的所有功能。主讲人认为:发现、应对这个攻击的最佳方法是人工阅读或者用机器学习处理网页的HTML源代码。随后使用evilginx演示了钓鱼的全过程。
真实案例2:恶意程序
Houdini远程访问木马可以对受害者主机进行如下载文件、数据窃取、远程控制等一系列恶意行为。它的攻击流程如下:首先将包含恶意VBS脚本的钓鱼邮件发给受害者。受害者上钩点击后,该木马控制受害者主机,同时可以通过U盘传播给更多主机。失陷主机将与攻击者的CnC(Command and Control)服务器通讯,并将受害者的敏感数据传回CnC服务器。主讲人认为:可以通过木马与CnC通讯时使用HTTP user-agent中的特殊和字段来发现它。
接着,主讲人介绍了另一种恶意程序:ChaChi后门木马。这种木马使用DNS隧道进行加密通讯,最终向受害者投放PYSA(Protect Your System Amigo)勒索软件。主讲人认为:可以通过训练针对DNS流量的机器学习模型来发现异常DNS流量。
真实案例3:勒索软件
勒索软件存在两个特殊的共性:
-
加密受害者文件以后,往往还会修改文件的后缀名。
-
为了确定加密哪些文件,勒索软件会遍历本地目录和SMB(Server Message Block)网络文件共享。
主讲人提出两种对应的发现勒索软件的思路:使用机器学习检测异常的文件后缀名;或者利用众多勒索软件在生成勒索文本后才加密SMB的特点,检查SMB共享流量的载荷。
绿盟解读
会议开头提出的,对“单点故障”视角的反驳非常新颖,值得防守方和新闻媒体反思。一次成功的攻击往往意味着防守方的多项疏忽——需要注意的是,这里的“多项疏忽”既可以是同一时间点发生的,也可以是由一段时间内的单次疏忽积累而成的;后者容易被长期潜伏、伺隙进攻的APT所利用。
主讲人随后给出的三个例子非常有代表性,会议中穿插的视频演示制作精良。我们学习到主讲提出的应对思路同时,还应该思考如何泛化这些应用场景。比如,主讲建议用机器学习的方法去发现DNS隧道,但DNS隧道只是众多隐秘通信的方法之一。检测多种隐秘信道的能力或许可以帮助企业场景无关地发现特定威胁。
会议内容给我们的主要启发是:企业需要对自己的网络环境有全面、整体的认识,发现安全治理中的盲点。企业还要根据自身情况,部署结合机器学习和专家意见的全方位解决方案。防守方不能只寄希望于发现IoC,而是要防患于未然,在攻击者达到最终目标前发现征兆并及时处理。
利用shodan进行威胁狩猎
在分享会议上,研究人员通过一系列实例介绍了如何利用“Shodan”进行ICS威胁狩猎。例如,如何利用Shodan搜索超出您边界的资产、如何利用资产ID信息(如产品厂商名称、设备端口、设备型号、协议类型等)查找易受攻击的系统、利用Shodan过滤器搜索暴露的ICS设备、以及如何依靠结果信息进行深入挖掘,获取企业网络边界之外(如关联系统、关联ICS设备的漏洞信息、关联厂商等)更多的信息。
分析人员可以通过查看Shodan的搜索目录(如端口、协议类型、域名、响应信息、漏洞编号、流量元数据中的http头、证书信息等),获取关键字进行查找。以欧姆龙公司生产的工控设备“CJ1M系列的可编程控制器”为例,可以通过搜索其默认端口9600、产品关键字为“CJ1M_CPU11”进行搜索,在搜索结果中可以获取到其他额外的信息,例如该系列产品使用的系统信息、关联了哪些厂商、服务器还开放了哪些端口、关联的IP等等。
分享的例子中还包含了如何使用Shodan对中国进行威胁狩猎的过程。研究人员选取漏洞CVE-2019-11510进行讲解:分析人员通过使用Shodan过滤器搜索漏洞CVE-2019-11510,在结果中可以看到存在该漏洞的资产数量、对应不同组织/国家的IP数量,以及漏洞系统的详细信息、资产详细信息等。分析人员通过Shodan结果中的详细数据描述(Shodan metadata)可以进一步分析验证漏洞是否存在。
Part 3
自动化分析工具共享
Dan Gunter称将基于Shodan威胁狩猎的过程进行了自动化,并将该自动化分析工具在Github进行开放,供公众使用。
Part 4
