基于IOC检测的思考


域名、IP和MD5是国内外安全公司和威胁情报厂商广泛采用的三种威胁情报检测指标(IOC),并孕育出了许多基于威胁情报的轻量级检测产品,其后端采用大数据分析平台得出IOC再推送给前端进行检测。然而,随着攻击者的战术与技术的不断提升,基于威胁情报的检测却逐渐体现出弊端。个人认为基于IOC的检测方式在应对已知蠕虫、僵尸网络、木马后门等安全事件的效率都非常高,但难以应对APT的高级攻击者。以下几点作为抛砖:
(1)利用动态域名dDNS和DGA的方式大大增加了攻击者的利用行动基础设施的灵活性,但攻击者在dDNS服务商注册三级域名的未知随意性、利用VPS接入网络的隐蔽性以及高级DGA算法的不可预测性等都增加了基于域名、IP地址检测的难度,这同时也体现了基于域名和IP地址的IOC时效性,必须缩短从攻击事件发生到IOC推送的时间周期才能提升检测效率,否则将过期;
(2)利用反检测反溯源技术隐蔽真实C&C。当前高级攻击者与以往攻击者不同,从恶意代码角度看,代码编写者不在将真实C&C与IP地址直接映射,以Lazarus为例,他们在攻击代码中将域名请求返回的IP不在作为真实C&C,而是将返回的IP地址与硬编码进恶意样本中的密钥进行数学计算(异或等),才能得到真正的C&C端,在未获得样本的情况下,难以获得真实C&C。试想如果攻击者利用DGA加上述方法进行反检测反溯源,那检测难度将有多大!
(3)研究已发现不同恶意代码样本可以计算出相同的MD5,也就说明当样本达到一定数量之后,MD5是能够出现重合的,因而仅以MD5作为恶意样本检测结果也不是唯一的,因而越来越多的恶意代码分析站点采用SHA-256作为度量。
(4)匿名网络在网络攻击中被攻击者越来越多的使用,而匿名网络的检测技术仍欠发展,同样,基于HTTPS等加密协议的检测(CIA拥有一整套用于网络攻击的加密通信框架,俄罗斯Fancy Bear的采用从微软官网申请证书的方式进行HTTPS加密传输)、网络隐写检测也同样是当前安全检测的弱项。

最后引用一句话结束本文:“Relying purely on threat feeds is a recipe for information overload and alert fatigue.”(单纯依靠威胁情报将造成信息过载和对告警的疲劳)————Recorded Future 《Beyond Feeds: A Deep Dive Into Threat Intelligence Sources》