HVV-Learning-区域边界网络下的攻击链路与攻击事件(BLA&UKC)

目录

0、前前言

以前也时不时会在freebuf上看文章,但是一直没发过。忽然发现freebuf可以自由投稿。先把以前在 同名公众号(非典型产品经理笔记) 上写的原创内容,挑一部分发一下。

后续新内容会考虑同步在freebuf上发送。

1、前文提要

参考《 HVV-Learning-003-浅析ATT &ck和Cyber Kill Chain 》,ATT&CK通过14个战术步骤,说明攻击者可以通过下述战术组合, 达成最终的攻击目标(如拿下标靶系统、盗窃所需数据等)

2、攻防演练/攻击活动中的特征

ATT&CK描述的 战术阶段之间没有严格的时序关系 ,攻击者可以任意组合。防守方可以通过TTP,来描述某一次 攻击事件攻击活动 所采用的 战术/技术组合

但是ATT&CK对攻击路径的描述有所不足,在真实的攻击场景,攻击路径具有如下特征(如下图):

1)、攻防演练中,往往只有一个靶标系统(Target)。但是在真实攻击活动中(如APT组织盗窃企业机密数据),针对一个受攻击企业/机构,往往有多个攻击目标 ,甚至是在攻击过程中 动态确认攻击目标 ,把攻击中发现的有价值的业务系统/数据纳入攻击范围。

2)、针对一个TARGET(目标),有多条攻击路径

3)、每条攻击路径,有多个攻击/失陷节点。

4)、针对一个攻击/失陷节点,往往会采用多种攻击战术组合 。以下图为例,仅其中一个失陷节点,即有可能会采用:Initial AccessExecutionPersistencePrivilege Escatation等多种攻击战术,及其技术。

3、ATT&CK TTP描述的不足

参考《 HVV-Learning-003-浅析ATT &ck和Cyber Kill Chain 》 提到的 工业恶意软件Triton 的TTP。我们可以发现TTP更适用于 形容攻击战术和技术的组合 (尤其是创新性组合或创新性技术应用),缺乏 时序和路径 的描述。

4、区域边界网络架构下的核心攻击循环(BLA)

在区域边界网络下,典型网络架构是分区分域的,通过层层设防实现纵深防护。

有一个脑筋急转弯是这么问的, 将大象关进冰箱需要几步 ?答案是三步,打开冰箱门,将大象放进冰箱,关上冰箱门。

那么,攻击者拿下攻击目标需要几步呢?也是3步。

突破边界(Break Boundary): 类似于 ATT &CK中的TA0001 Initial Access 入口点/突破口 ,只是ATT&CK中的 Init Access 多指互联网边界。而突破边界,是指任意一层边界。

横向移动(Lateral Movement ): 在边界内进行横向移动,获取更多权限,同时 找到通往下一个边界的跳板。

目标行动(Actions on Objective): 最终接触到目标后,针对攻击目标进行盗窃数据、破坏等攻击行为。

当然,和将大象关进冰箱不同的是,这3步在区域边界下,是需要反复执行的。可以将之称为" BLA核心攻击循环 ", BLA攻击三步曲

比如针对单一攻击目标,前2步可能需要反复执行(如BLBLA),即 突破边界→横向移动→突破边界→横向移动 .......最终接触到目标, 进行目标行动

BLA相比于ATT&CK而言,从14个战术阶段,即可以看出ATT&CK 更加技术化和战术化 ,则BLA则更加抽象和总结,更有助于 让我们在逻辑上理解攻击过程

5、BLA和Unified Kill Chain统一杀伤链

BLA相当于是为了理解攻击过程,而进一步总结的 逻辑攻击模式

秉承着 非必要不原创,原创后也要找参考 的原则,我又进一步搜寻了业界相关发展资料。

最后发现, UKC统一杀伤链 已经体现了时序性和逻辑性,并且将战术和逻辑进行了统一

5.1、Unified Kill Chain简介

下方为维百(见:en.wiki敏pedia感.org/wiki/Kill\\...%25E4%25B8%25AD%25E7%25BB%2599%25E5%2587%25BA%25E7%259A%2584%25E8%25AF%25B4%25E6%2598%258E%25E5%2592%258C%25E8%25A7%25A3%25E9%2587%258A%25EF%25BC%259A "https://en.wiki%E6%95%8Fpedia%E6%84%9F.org/wiki/Kill\\\\_chain[1])%E4%B8%AD%E7%BB%99%E5%87%BA%E7%9A%84%E8%AF%B4%E6%98%8E%E5%92%8C%E8%A7%A3%E9%87%8A%EF%BC%9A")

Unified Kill Chain 由Paul Pols于2017年与Fox-IT和莱顿大学[2]合作开发, 通过统一和扩展 洛克希德马丁 [3] 公司的杀伤链 MITRE [4] 的ATT &CK框架 ,克服对传统网络杀伤链的常见批评。杀伤链的统一版本是18个独特攻击阶段的 有序排列 ,这些阶段可能发生在端到端网络攻击[5]中,涵盖了在防御网络内外发生的活动。因此, 统一杀伤链改进了传统杀伤链的范围限制以及MITRE的ATT &CK中战术的时间不可知性。统一模型可用于分析、比较和防御****高级持续性威胁[6]** (APT) 的端到端网络攻击。**

5.1.1、关于作者Paul Pols

5.2、统一杀伤链核心逻辑

参考UKC官方说明(www.unifiedkillchain.com/#unifiedkil... ) ,统一杀伤链将攻击分为如下三步曲

初始立足点(Initial Foothold):通常是指互联网边界的突破,从而进入客户的内部网络中的某个分区 。

网络传播(Network Propagation): 是指攻击者在用户内部网络中 横向移动 的过程,UKC白皮书中指出, 网络传播是一个循环,直至获取到目标访问权限

目标行动(Actions on Objective): 最终接触到目标后,针对攻击目标进行盗窃数据、破坏等攻击行为。

5.2.1、UKC统一杀链的ILA核心攻击循环

同样参考BLA的方式,将UKC统一杀伤链的攻击循环进行总结,可以得出如下图:

可以看到,UKC主张,只要进入到内部网络后,在 内部突破下一个区域边界 、或 在区域内移动到下一个节点 ,都被称为 网络传播

UKC的 INA三步曲 有严格的时序性,其中Network Propagation网络传播通常反复执行。

如上图, 初始立足点→网络传播→网络传播→网络传播.....目标行动

5.3、UKC的战术阶段

5.4、UKC 和ATT&CK的对比

前面我们知道ATT&CK划分了14个战术阶段,而 UKC有3步曲共18个战术阶段。

相比ATT&CK,其主要新增了如下4项:

社会工程学 Social Engineering: 指对人进行心理操纵(引诱、欺骗等),使其采取行动或泄露机密信息(比如说引导运行木马程序)

漏洞利用Exploitation : 当武器(恶意软件)触及到目标系统或终端时,会通过漏洞等方式,控制受害者的终端或业务系统服务器。

跳板转发Pivoting :指通过隧道转发流量,以便 访问不可直接访问的系统。可理解为跳板代理攻击的过程。

目标行动Action On Objectives : 当攻击者接触到既定攻击目标时,可以对其进行各种既定行动(如盗窃机密数据、破坏/加密数据进行勒索等)

如下是UKC白皮书中,对于CKC、ATT&CK的一个阶段列表对比。

6、总结

在攻击活动中, 防守方视角的攻击事件(广义),往往是呈攻击链路 形式,而且是 多条攻击链 (不同的突破口,引发不同的链)。

ATT&CK框架, 可以通过TTP形式描述出所有使用过的战术、技术集合 ,但是不能TTP很好描述其时序性、链路性。

不少安全防护产品,已支持通过 ATT &CK来描述攻击事件(狭义),比如说某台主机中了勒索病毒 ,可以展示出 以该主机为视角, 该勒索病毒的攻击过程,但是很难描述出攻击者从 初始突破口→不断横向移动→主机沦陷身中勒索病毒的 整个过程。

这里首先受限于技术上的因素,当前很难采集到非常完整的攻击链。即使技术因素解决,ATT&CK本身是一个战术、技术性框架,对于完整描述整个非常完善的攻击链,还有一定的不适应性。

而UKC+ATT&CK或许是一种可行的呈现方式,从攻击目标出发,通过3步曲,将 一条完整的攻击链路 ,以ATT&CK形式描述清楚。

部分参考:

attack.mitre.org/[8]

www.unifiedkillchain.com/#unifiedkil...

参考资料

1

en.wiki敏pedia感.org/wiki/Kill_chain: en.wiki敏pedia感.org/wiki/Kill_chain

2

莱顿大学: [https://en.[wiki敏](https://en.wiki](https://link.juejin.cn?target=https%3A%2F%2Fen.%255Bwiki%25E6%2595%258F%255D(https%3A%2F%2Fen.wiki "https://en.%5Bwiki%E6%95%8F%5D(https://en.wiki") og2k)pedia感.org/wiki/Leiden_University

3

洛克希德马丁: [https://en.[wiki敏](https://en.wiki](https://link.juejin.cn?target=https%3A%2F%2Fen.%255Bwiki%25E6%2595%258F%255D(https%3A%2F%2Fen.wiki "https://en.%5Bwiki%E6%95%8F%5D(https://en.wiki") og2k)pedia感.org/wiki/Lockheed_Martin

4

MITRE: [https://en.[wiki敏](https://en.wiki](https://link.juejin.cn?target=https%3A%2F%2Fen.%255Bwiki%25E6%2595%258F%255D(https%3A%2F%2Fen.wiki "https://en.%5Bwiki%E6%95%8F%5D(https://en.wiki") og2k)pedia感.org/wiki/Mitre_Corporation

5

网络攻击: https://en.[wiki敏](https://en.xn--wiki-og2k)pedia感.org/wiki/Cyberattack

6

高级持续性威胁: [https://en.[wiki敏](https://en.wiki](https://link.juejin.cn?target=https%3A%2F%2Fen.%255Bwiki%25E6%2595%258F%255D(https%3A%2F%2Fen.wiki "https://en.%5Bwiki%E6%95%8F%5D(https://en.wiki") og2k)pedia感.org/wiki/Advanced_persistent_threat

7

www.unifiedkillchain.com/#unifiedkil...: www.unifiedkillchain.com/#unifiedkil...

8

attack.mitre.org/: attack.mitre.org

9

www.unifiedkillchain.com/#unifiedkil...: www.unifiedkillchain.com/#unifiedkil...

相关推荐
币之互联万物12 小时前
AQUA爱克泳池设备入驻济南校园,以品质筑牢游泳教育安全防线
安全
Linux运维老纪14 小时前
运维之 Centos7 防火墙(CentOS 7 Firewall for Operations and Maintenance)
linux·安全·centos·云计算·运维开发·火绒
360安全应急响应中心14 小时前
基于 RAG 提升大模型安全运营效率
安全·aigc
EasyNVR15 小时前
国标GB28181视频监控平台EasyCVR保驾护航休闲娱乐“九小场所”安全运营
网络·安全
Ai野生菌15 小时前
工具介绍 | SafeLLMDeploy教程来了 保护本地LLM安全部署
网络·人工智能·安全·大模型·llm
DevSecOps选型指南15 小时前
浅谈软件成分分析 (SCA) 在企业开发安全建设中的落地思路
安全·开源治理·软件成分分析·sca·软件供应链安全工具
cjchsh16 小时前
春秋云境(CVE-2023-23752)
安全
【云轩】16 小时前
《混沌钟的RISC-V指令集重构》
网络·安全
EasyGBS16 小时前
视频设备轨迹回放平台EasyCVR打造视频智能融合新平台,驱动智慧机场迈向数字新时代
网络·人工智能·安全·音视频