基于IOC检测的思考

域名、IP和MD5是国内外安全公司和威胁情报厂商广泛采用的三种威胁情报检测指标(IOC),并孕育出了许多基于威胁情报的轻量级检测产品,其后端采用大数据分析平台得出IOC再推送给前端进行检测。然而,随着攻击者的战术与技术的不断提升,基于威胁情报的检测却逐渐体现出弊端。个人认为基于IOC的检测方式在应对已知蠕虫、僵尸网络、木马后门等安全事件的效率都非常高,但难以应对APT的高级攻击者。以下几点作为抛砖: (1)利用动态域名dDNS和DGA的方式大大增加了攻击者的利用行动基础设施的灵活性,但攻击者在dDNS服务商注册三级域名的未知随意性、利用VPS接入网络的隐蔽性以及高级DGA算法的不可预测性等都增加了基于域名、IP地址检测的难度,这同时也体现了基于域名和IP地址的IOC时效性,必须缩短从攻击事件发生到IOC推送的时间周期才能提升检测效率,否则将过期; (2)利用反检测反溯源技术隐蔽真实C&C。当前高级攻击者与以往攻击者不同,从恶意代码角度看,代码编写者不在将真实C&C与IP地址直接映射,以Lazarus为例,他们在攻击代码中将域名请求返回的IP不在作为真实C&

Intelligence Collection

第四方收集

0.第四方收集 第四方收集是当前情报收集的一种有效方式,第四方收集可以包括以下四种方式: 1.被动获取 2.主动获取 3.受害主机共享/窃取 4.目标重定位 1.被动收集 被动获取是在真实远端C&C与攻击中间节点(攻击基础设施),以及中间节点到被攻陷主机间的通信链路上进行信息收集(监听),通常需要被动收集方需要对捕获的数据进行解密、解码、解混淆等操作还原数据真实内容。如下图所示,国家A利用US、国家X、国家Y的主机作为攻击基础设施对国家V的主机进行网络攻击,而泄露的数据也将通过依次通过受害主机到中间跳板的链路、以及中间跳板到国家A的C&C的链路,被动收集就是在这些回传的链路上进行收集。

TECHNICAL

网络隐写初探

什么是Steganography? Steganography是希腊语的合成词,Stegano表示“隐蔽、保护”的意思,graphy是“写”的意思,在计算机领域翻译成“隐写”,主要形容以隐蔽格式传递信息,把真实希望传送的数据隐藏在所传送的数据中。这里读者可能与另一个常见单词cryptography(密码学)混淆,密码学的主旨是以加密的方式传递信息,而“隐写”则主要是掩盖其传递“真实”数据的事实。“隐写”的信息传递方式在古罗马帝国就已经出现,那时为了传递信息给目标人物常选择在奴隶剃了光头的头皮上刺青完成,等头发长出来在进行传送,接收人再剃了奴隶的头发阅读信息。 网络隐写 网络隐写是当前网络攻击中常出现的一种隐蔽的传送/窃取信息的方式,常见的载体有:图像(JPG等)

APT

DarkHotel and ScarCruft APT Group Overlapped Operation

2016年6月,卡巴斯基实验室的研究人员发现一个未知的关于Adobe Flash Player的零日漏洞用于目标式攻击。经过进一步分析发现所使用的Payload为DarkHotel组织使用。DarkHotel在近些年的攻击中擅长使用不同的Adobe Flash Player的漏洞进行攻击。有趣的是,研究人员在分析DarkHotel用于水坑攻击的网站中发现了另一个APT组织“ScarCruft”。ScarCruft组织的攻击目标是俄罗斯、中国以及其他韩语国家,主要采用的攻击方式是水坑攻击、钓鱼攻击等。 DarkHotel与ScarCruft攻击组织在攻击目标中有重合,我们将这其中的两个攻击行动命名为“DayBreak”和“Erebus”(厄瑞玻斯:混沌之子,永久黑暗的化身)。DayBreak行动由ScarCruft组织在2016年3月发起,使用的是Adobe Flash Player零日漏洞进行攻击,使用的链接为: hxxp://scarcroft[.]net/plus/thumbs/