卡耐基梅隆根据美国能源部部署的蜜罐系统,通过钻石威胁模型对蜜罐数据进行了分析以及对手能力评估。文中从数据来源、工具、模型、方法等方面对于蜜罐数据分析进行了全面的阐述,最后对plcscan.org定义为HT1级别。
目录
I 摘要... 3
II 简介... 4
III 数据来源... 5
3.1. ICS蜜网捕获的数据包... 5
3.2. 数据问题... 5
3.3. WHOIS和DNS数据... 7
3.4. VirusTotal7
3.5. Palo Alto Networks的威胁情报报告... 7
3.6. 其他开源信息... 8
IV 工具... 9
4.1. GNU核心工具... 9
4.2. SiLK和super_mediator9
4.3. Shell脚本... 10
V ***分析钻石模型... 11
5.1. 核心概念... 11
5.2. 分析主元... 12
5.3. 活动组创建... 12
VI 方法... 13
6.1. 钻石模型使用的变量... 13
6.2. ICS蜜网数据的分区和识别... 13
6.3. 分析主元(Pivoting)16
6.4. 分组潜在的威胁行为者... 17
VII 结果... 19
7.1. 蜜网配置... 19
7.2. 通过分析主元描述威胁行为者... 20
7.3. 使用蜜网数据来分组威胁行为者... 24
VIII 讨论... 30
8.1. ICS的具体威胁... 30
8.2. 配置ICS-蜜网的挑战... 30
8.3. 防御ICS网络的意义... 31
IX 未来工作... 33
X 结论... 34
XI 附件示例:SiLK查询... 34
11.1. 调查“Bookworm”流量... 34
11.2. 调查ICS主机扫描... 35
XII 参考... 37
I 摘要
蜜网(Honeynets)是一种诱捕网络,利用多个蜜罐通过网络连接在一起模拟一个看似易受***的计算机网络,利用其中一部分主机吸引******,另一部分主机部署监控系统,通过监测、观察***过程,一方面调查***者的来源,另一方面考察用于防护的安全措施是否有效。是一种用在各种网络环境中收集威胁情报的技术。因此,组织【注:指美国能源部】已经开始使用这种方法来保护网络化的工业控制系统(ICS)。希望通过该环境观察到企图破坏他们工业系统的***活动和路径,从而对真实的生产网络部署相对应的缓解方案以加强工业网络安全,并防止新出现的威胁活动。
该报告提供了一种分析方法,利用这种方法将从ICS蜜网系统中收集捕获的大约16GB字节的完整数据包进行分析以了解***的活动和路径。这些数据是在其他公开来源的背景下进行分析的,这些信息是已知的对ICS的威胁,以了解对手是如何与网络进行交互的以及他们尝试过的***类型。为了提供更严谨的方法来描述这些威胁行为,该研究采用了著名的***分析钻石模型。她应用这个模型来定义和分类在数据中观察到的几个潜在的威胁行为者。该研究还评估了蜜网作为一种ICS威胁情报工具的有效性。此外,该报告还包含几个关于部署的建议,并强调主动与外部主机进行交互可以产生更高质量的研究数据。
II 简介
保护工业控制系统(ICS)对于保护关键基础设施至关重要。考虑到在网络安全漏洞事件中发生物理影响的可能性很高,“ICS网络”的捍卫者必须了解他们的对手和这些行为者的能力。此外,由于许多组织采用这些工业系统的规模,在部署有效的威胁情报和安全监测时,优先考虑的一个主要问题是感知威胁。支持这一使命的宝贵工具是蜜网,这是一个沙盒式网络,表面上看起来很脆弱,但实质上是利用蜜罐主机模拟工业网络上的生产机器。通过对蜜网系统的正确配置,其可以观察到针对特定环境的高度特定的***活动,比如针对工业环境中的工业网络威胁,这些可能的威胁被蜜网系统捕获并产生可以对网络维护者或安全研究者有价值的数据。但是,这些系统提供的数据量可能非常大,令人生畏,并且在这些数据中提取或生成可操作的有价值的信息变得十分困难。
这个研究分析了一个来自ICS蜜网的非保密数据,试图从数据中生成有用的威胁情报和优先级。我们应用了Caltagirone,Pendergast和Betz(Caltagirone,Pendergast和Betz 2013)首先描述的***分析钻石模型。该模型允许我们根据多个维度来描述事件,每个维度都有潜在的数据点。在这样分析过程中,我们有可能发现看似不相关的数据元素之间的关系,从而更好地了解组织的威胁概况,并提供基于这些情报驱动的防御。
III 数据来源
3.1. ICS蜜网捕获的数据包
这个研究的主要数据集是一个完整的网络数据包捕获(PCAP)数据的集合,它是由一个未公开的组织(截止2016未披露)的数据收集而来的。该蜜网系统模仿了一个美国能源领域的公司网络并利用该网络进行工业领域的威胁情报收集活动。在一定程度上,我们观察到在蜜网上的主机包括Windows和Windows Server机器。除此之外,PCAP数据包没有提供更多的信息使我们获知这个网络里面的其他设备的配置。
这个网络环境中的传感器捕捉到的所有传入和传出的流量,都是由tcpdump和Wireshark这样的应用程序所使用的标准libpcap格式。这个匿名的数据集显示了在虚拟的0.0.0.0/24子网中由地址代表的10个蜜罐主机,并且网络外部的所有网络协议(IP)地址仍然被网络传感器捕获。PCAP数据集的收集时间范围从2015年6月23日开始,到2016年2月29日结束。在此期间,该蜜网系统数据包捕获机制几乎持续运行,并且将每天的数据包作为单独文件交付保存。总的来说,这些文件包含大约16 GB的数据。数据集包含来自至少66,936个通过传输控制协议(TCP)、用户数据报协议(UDP)和因特网控制消息协议(ICMP) 进行通信的独特主机的通信量,这些数据集总共占据了超过99.999%的数据包。
3.2. 数据问题
3.2.1.活动记录不完整
蜜网和外部主机之间的网络交互是一个非常有用的来源,但是用于此分析的PCAP数据有时缺乏上下文。利用这类型的完整数据包有助于在流量中观察到的某些活动以进行更深入的理解。例如,当观察到受***的恶意软件命令和控制(C2)流量时,没有和外部的网络交互包不可能观察到初始的协商流量。通过对基于外部交互流量的分析,在第一个PCAP接收到的时间,或者在一个加密的连接上最初的协商发生时间,我们就可以观察到这样的初始协商流量。但是作为从一个较大的正在进行的项目中选择的数据,它缺少了所述的流量上下文。也许对基于主机的数据包的分析可能会解释这一点,但是这超出了本报告的范围。总的来说,本次分析的数据集相当丰富,为分析提供了足够的流量。
3.2.2.缺乏蜜网配置数据
尽管已经提供了一些关于蜜网的基本细节,并且其他的一些基本上可以通过从包有效载荷的数据中推断出来(见第7.1节),但本研究把蜜网本身视为一个黑匣子。主机的配置是不明显的,也不可能可靠地确定他们是如何监听或响应网络流量的。这反过来又使对对手***链的理解变得更加复杂,因为蜜网可能不会以某种方式回应对手探测,从而促使进一步的网络侦察或监视。这在所有类型的蜜网操作中都是一个常见的技术难题,不限于本次研究的这个特定例子。尽管在这个数据集中,效果是非常明显的。
一个相关的特定于ICS的问题是,很难确定网络试图仿效哪些设备(如果有的话)。虽然这个PCAP数据来源于一个明确的基于ICS的蜜网系统,但没有其他具体的配置细节可用。这对使用钻石模型来分析***事件提出了挑战,因为这个框架使用受害者的数据作为分析的一个组成部分。 然而,从PCAP数据得出的信息使我们能够对受害者作出某些假设,尽管信心较低。
3.2.3.需要手动分析某些数据
由于这项研究寻求对ICS的新兴威胁,因此很难将数据分析中的许多步骤自动化。Caltagirone及其同事指出,这可能是钻石模型的一个局限性,因为没有现成的方法来自动分析每一种情况(Caltagirone,Pendergast和Betz 2013)。ICS防御是一个新兴领域,需要对许多专有或专门的协议进行分析;很少有自动化工具能够满足本研究的目标。因此,这项研究包括了手动数据分析,特别是在检查包有效载荷时。尽管有可能针对协议的特征开发出专门的签名,并以此进行自动的有效负载分析,但是在这种签名被开发出来之前,它通常不是一个选项。即使有这种可能性,自动化分析的价值也很有限,因为负载、流量类型和数据来源的主机的具有相当多样性。最好的方法是结合手工分析和自动化分析的方式,虽然我们可能会从手工分析中得出有用的结论,但合并更多的自动化可能有助于我们发现孤立的数据或微妙的模式,这些模式对研究是有价值的。
3.3. WHOIS和DNS数据
在识别蜜网数据中存在的主机时,我们查询了各种WHOIS和DNS数据库。这些公开的信息收集将主机名与IP地址相关联,并标识出与该地址空间和域名相关的组织。最终维护这些信息的组织是ARIN和RIPE等区域互联网注册管理机构; 我们采用了在线工具来汇总来自各种开放数据库的信息,包括RobTex和DomainTools等服务。这些服务还为各种DNS数据库,自主系统编号(ASN)和许多主机的黑名单信息提供交叉引用。
3.4. VirusTotal
VirusTotal是一个开源的文件分析数据库,其中包含了众多商业反恶意软件解决方案的检测引擎。除了文件名分析之外,VirusTotal还会扫描和记录各种域和主机上的信息,以跟踪可能源自它们的任何恶意软件。这些信息帮助我们确定在蜜网数据中出现的主机是否与恶意软件发布或C2有关系。VirusTotal数据库还包括对相关文件和主机的引用,以及社区提交的信息和可提供其他信息的报告,这些信息和报告可以提供额外的信息(VirusTotal 2016)。
3.5. Palo Alto Networks的威胁情报报告
在2015年末,Palo Alto Networks的42组发布了两篇简短的报告,描述了代号为“Bookworm”的威胁行为者。据报道,这名威胁行为者使用的恶意软件主要针对泰国国内的政府组织。 “Bookworm”的恶意软件和信息结构具有高度的模块化和技术复杂性。 题为“Bookworm***:模块化架构模型”和“泰国治理Bookworm病毒***运动”提供了“Bookworm”***的报告,对该组织的战术、技术和程序提供了深入的分析。 此外,它们还包括诸如散列值和域名的折中指标(Scott,Falcone和Cortes 2015)。
3.6. 其他开源信息
各种公开可用的文档为PCAP数据提供了上下文和分析。这些文件包括安全供应商和研究人员的报告,这些报告包含了恶意软件家族、威胁行为者以及所涉及的C2领域的信息,这些领域促进了对某些网络工作流量的分析。供应商文档和通过互联网研究获得的其他公开数据提供了关于应用程序和设备的默认配置的基本信息(比如ICS设备使用的默认端口)。
IV 工具
许多工具有助于快速分析和描述这个大数据集的成员。分析主要发生在Linux环境中,由大量用于网络流量分析的开源工具支持。使用开源数据库进行的研究完善了这些工具生成的工件。这种分析和研究提供了所必需的信息,用以创建使用钻石模型进行分析所需的数据元组。
4.1. GNU核心工具
各种GNU核心实用程序(如grep,cut和cat)在处理大量的网络流量数据方面都很有用。 由于PCAP数据作为单独的文件分发,因此使用这些工具特别有助于对这些文件中的许多或所有文件进行整体分析。
4.2. SiLK和super_mediator
“SiLK”是一套用于分析网络流量的工具,由卡内基梅隆软件工程学院(软件工程研究所)的CERT部门开发的。在整个研究过程中,我们使用了各种各样的SiLK工具。SiLK可以查询大量的网络流量数据,并了解外部主机与蜜网相互作用的总体情况,特别是在时间、服务、协议和端口方面。反过来,这个分析也帮助在钻石模型的上下文中对主机和事件进行了描述。在这项研究中最常用的SiLK工具包括:rwfilter、rwstats和rwsetbuild。我们使用了rwp2yaf2silk工具来从PCAP数据中生成流记录。
另一个由CERT部门开发的工具super_mediator使我们能够按比例处理来自PCAP文件的有效负载数据。我们使用super_mediator与YAF组合,通过向应用程序提供Berkeley包过滤器(BPF)规则来提取特定的有效负载数据。该技术作为图形协议分析器(如Wireshark)的替代方案,用于流量的应用层分析(Software Engineering Institute 2016)。
4.3. Shell脚本
我们使用GNU Bash中实现的shell脚本自动分析了我们数据集的一些部分。例如将批量的PCAP转换为流记录,从流记录中提取事件元组,组织数据集,以及一次从数据集解析或转换多个项目。
V ***分析钻石模型
5.1. 核心概念
***分析的钻石模型提供了一种正式和标准的方式来描述网络***(Caltagirone,Pendergast和Betz 2013)。钻石模型得名于它用来描述***事件的基本数据结构:对手、能力、基础设施和受害者的四个连接特性图,如图1所示。每个元素本身都是各种数据点的元组,可以根据正在进行的特定分析进行定制。一般来说,元组包括组织/行为者(如果已经知道)、IP地址、应用程序、源/目标端口等相关元素(Caltagirone,Pendergast和Betz 2013)。至关重要的是,每个元素形成一个具有置信水平的有序对,这有助于使用该模型来开发分析产品。此外,一个活动还包括开始和结束时间、阶段、结果、方向、方法和资源等元功能(Caltagirone,Pendergast和Betz 2013)。为了理解PCAP数据,我们创建了一些事件(包括其必要的子组件)来描述和关联潜在威胁行为者的活动。***分析的钻石模型对元组的使用补充了SiLK使用五元组来捕获网络流元数据,在生成事件数据时促进了这些信息的集成。
图1:钻石模型事件(Caltagirone,Pendergast和Betz 2013)
5.2. 分析主元
该模型的架构师将分析主元描述为一个过程,它允许分析师通过将四种主要元组中的数据与其他情报来源(Caltagirone、Caltagirone和Caltagirone 2013年)的数据结合起来,从而获得丢失的信息。分析主元是这项研究的中心:它使我们能够收集蜜网所揭示的威胁的细节,使之成为可用的信息。在许多情况下,除了一个数据元组在一个事件中是很明显的,也会有存在数据不完整的情况发生。为了获得丢失的信息,我们使用在看似完全不同的事件中共享数据并以此进行推论。
我们使用了6.3节中描述的两个方法来枚举和连接这些数据。
5.3. 活动组创建
钻石模型架构师将活动组(AG)描述为“由特征或过程中的相似性相关的钻石事件和活动线索以及信任加权”(Caltagirone、Betz和Caltagirone2013)。从本质上说,AG是一种将许多事件联系起来的方法,以便掌握明显相关的活动的含义,并通过对潜在的威胁行为者的完全理解来发展有效的防御。特别是在考虑这么大的数据集时,有一个快速关联事件的方法是很重要的。通过使用突出的特征来形成一个潜在的威胁行为者的整体特征,对分析的支持进行补充。这个过程也使得有可能建立有针对性的、健壮的网络防御系统。
我们的研究并不试图提供威胁归因,仅仅是对与ICS网络防御相关的可观察活动的描述。此外,我们缺乏将PCAP数据中的技术指标与特定的个人或组织联系在一起的证据。虽然在创建AG时可能会有一些事件,但事件本身完全缺乏新的数据来继续支撑并推演下去。Caltagirone及其同事指出,这种缺乏数据的情况是大多数钻石模型分析的可能情况。
VI 方法
6.1. 钻石模型使用的变量
表1列出了本研究中使用的变量及其描述。
表1:钻石模型变量
变量 |
描述 |
Adv |
对手:参与事件的可疑威胁行为者 |
AGC |
活动组创建功能 |
AGS |
事件空间中所有活动组的集合 |
Cx |
特征x的置信度,用作加权因子 |
Cap |
能力:对手使用的工具,技术和程序 |
E |
事件:由对手,能力,基础设施和受害者定义的向量 |
ET |
在数据中设置所有事件和事件线程 |
FVPR |
满足分析问题(PR)的特征向量 |
Inf |
基础设施:用于支持对手的虚拟和物理资源 |
PR |
分析问题 |
Vic |
受害者:在某一事件中被对手***的组织或个人 |
6.2. ICS蜜网数据的分区和识别
6.2.1.使用SiLK描述网络流量
由于在数据集中识别出大量唯一的外部主机(近67,000个),因此必须以对可能产生有用事件的数据进行优先排序的方式对数据集进行分区。最简单最直接的方法是消除与蜜网没有交换大量流量的主机。请注意,这并不完全从数据集中排除这些主机。最初排除产生10个或更少流量记录的外部主机将会减少90%以上的设置。
为了进一步减少数据集,我们检查了最常联系的主机。我们使用WHOIS数据来确定联系蜜网的前10名外部主机,包括Google公共域名系统(DNS)服务和各种Microsoft更新服务器。虽然源IP地址可能被欺骗,但对有效载荷数据的粗略检查显示,来自这些主机的流量似乎是合法的。
6.2.2.检查HTTP POST数据
除了使用SiLK对网络流量进行高级特征描述外,我们还检查了我们认为可能产生有用信息的流量数据。其中一个类别是源于蜜罐主机的超文本传输协议(HTTP)的POST请求。我们把分析集中在这些请求上,因为它们经常被用于恶意软件C2的通信。在正常的PCAP中指出这样的流量是很困难的,因为恶意的POST请求会被包含在合法的POST请求中。然而,由于这个蜜网的性质,观察到的POST请求要少得多。因此,我们可以检查由YAF和super_mediator生成的这些请求的有效载荷,以确定它们是否包含网络上C2流量或其他恶意活动的证据。
6.2.3.对通用ICS端口的流量检查
主要供应商使用的通用的ICS端口也是检查流量的重要参数。在进行开源研究以生成常见ICS端口列表之后,我们使用SiLK来快速发现那些外部主机经常联系到的这些端口。然后我们使用super_mediator获取有效载荷数据(相关的数据),并检查这些数据是否存在活动的迹象。
6.2.4.钻石模型事件定义
要正确使用钻石模型,必须定义字符的特定特性,即事件的四个要素。如上所述,事件包括四个要素:对手、能力、基础设施和受害者,每一个都与相应的置信水平配对。
除了Caltagirone及其同事提供的事件的基本定义外,我们可以自由选择与我们分析相关的数据元组。 我们将事件功能定义如下。 首先看对手,这个功能在本研究的上下文中是一个空集。
我们对能力的定义提供了某些特性的定义,这些特性突出了钻石模型的可扩展性。反过来又将其作为防御专业网络的工具时也很有用。 我们通过端口扫描使用、开发利用、恶意软件使用、C2使用和ICS意识来定义能力。
能力元组的前四个特征适用于许多网络威胁,而不仅仅是针对ICS的网络。用来对付ICS网络的能力与用来对付传统网络的能力有很大的重叠。正如Assante和Lee所说,ICS***链往往采用双级方法,其中第一种方法基本上反映了传统企业网络的***(Assante和Lee 2015)。由于这个原因,我们还包含了一个ICS特性,显示对手明显的区分传统网络与ICS网络的能力。我们可以通过检查诸如ICS特定端口的大量扫描或使用针对控制系统的漏洞的指标来评估此能力。
对于基础设施,我们包括了一些功能,这些功能说明了典型的威胁行为者所使用的资源,包括那些具有高级功能的人。这些资源包括IP地址、源端口、操作系统、域名或主机名、主机(托管)类型和代理使用。
这些细节描述了对手使用的资源的基本属性。 在一些分析中,基础设施还可以包括***者使用的物理资产。 这肯定与ICS威胁的分析有关。 例如,一个设法***到特定组织场所的高级***者可以根据收集的信息安装该组织所具有的ICS硬件或软件。这可能与检查蜜网流量无关。虽然定义基础设施的大部分功能相对简单,但主机(托管)类型值得进一步描述。Caltagirone和他的同事们观察到,有两种主要类型的基础设施:1类是“完全由对手控制或拥有”,2类完全由第三方提供基础设施(无论是合法获取还是被对手侵占))。
与对手不同的是,我们对受害者持有大量数据。所有有目标的基础设施都有明确的定义,并有一个单一操作人员。蜜网再次适用于钻石模型的分析,因为它提供了一组已知的常数,有助于进一步探索。在此分析的目的中,我们根据组织、目标IP地址、目标端口和目标系统来描述受害者。
这些细节再次成为威胁行为者所针对的组织的标准描述。第一个特征(Org)是恒定的,因为所有有目标主机都出现在一个由单个(未公开)组织操作的蜜网内。其他三个特征(目标IP、目标端口和系统)相对容易从PCAP数据获得。
6.3. 分析主元(Pivoting)
在为我们的钻石模型应用程序定义事件元组之后,我们提取有用的事件数据,并尝试通过分析主元来查找相关的特征。分析主元的最终目标是创建用于威胁优先级的AG。尽管分析人员通常可以自由地定义事件元组,但是很难确定哪些事件可能与一个事件相关联。为了简化这些工作,我们选择了两种主要的方法来识别可操作的事件数据。以主机为中心的方法从一个已知的主机(或一组主机)开始,该主机(或一组主机)被认为具有相关性并且在第3层数据中寻找关联,例如IP地址和主机名。以端口为中心的方法围绕第4层数据(主要是目标TCP和UDP端口组),以了解某些监视和利用活动的目标。这两种技术的例子都在第7.2节中提供。
6.3.1.主机为中心的方法
以主机为中心的分析主元方法主要通过检查流量模式或特征来寻找外部主机之间的关系。它可能产生相当大的数据,特别是在能力和基础设施方面。以主机为中心的方法通常要求有效载荷数据是有效的,因为它依赖于发送和接收数据之间的关系。尽管如此,它是分析主元的更有效的方法之一。它有助于通过其活动来对主机进行归类,并提供主机之间更高可信度的关联,而不是通过通用基础设施(其中许多行为者,恶意软件和其他方式可能共享)进行交互。钻石模型允许我们协同使用这些特征来发现额外的威胁行为者。
6.3.2.以端口为中心的方法
当我们缺乏足够的信息来进行以主机为中心的分析主元时,我们可以利用端口之间的关系作为起点。这对于ICS网络特别有用,ICS的通信设备通常包含在专用端口上,而这些设备使用的端口很少被其他服务使用。因此,以端口为中心的方法可以帮助我们了解对手的能力,特别是其ICS意识水平。
6.4. 分组潜在的威胁行为者
我们的研究的基本目标是定义一系列的AG,这些AG反映了数据集中的各种行为者可能对目标组织构成的特定威胁。值得注意的是,我们并没有以一种属性的方式来定义研究的AG。 换句话说,单个AG可能包含许多不同的行为者及其所代表的威胁类型,而不是他们共享的控制、基础设施或技术。
6.4.1.定义活动组创建功能
Caltagirone及其同事根据三个从属变量定义了活动组创建(AGC)功能:分析问题,与考虑的分析问题对齐的特征向量以及构成各种AG的事件集。这种组合产生一组所有的AG。使用标记,钻石模型定义了如下一集(Caltagirone,Pendergast和Betz 2013)。
如前所述,本研究旨在解决分组威胁行为者的分析问题,因为它们潜在地对ICS网络产生不利影响。在这方面,最重要的特征之一是ICS意识。 如果一个威胁行为者的行为表现出对ICS的关注,那么相对于那些对这些系统没有明显兴趣的人来说,他的潜在威胁就更大了。除此之外,能力属性的另一个特性,可以帮助确定AG,是一个或多个C2、恶意软件、利用尝试或端口扫描。这组特性有助于根据严重程度对事件进行排序,因为它们按降序对应于网络***链中的步骤。这意味着,拥有C2的行为者在本质上是一个比仅仅从事端口扫描的人具有更高的威胁性。
虽然来自“能力”属性的这两组功能提供了潜在威胁行为者的清晰描述,但我们可以通过某些基础设施特性进一步阐明潜在的威胁。IP地址和域名在这里尤其相关,因为它们对应于已知(或可疑的)威胁行为者所使用的基础设施。这个信息是在该数据集内的特征对于我们有所帮助。
再次使用标记,我们为此分析问题定义特征向量如下
我们将函数的最终组成部分ET定义为整个蜜网数据集。 请注意,AGC功能不需要将每个事件放入AG。 这些未分组的事件被认为是异常值。 这个数据集中的大多数事件都属于这个范例,因为绝大多数的外部主机只向蜜网机器发送了几个数据包,与其他行为者没有明显的关系。由于缺乏数据,很难以任何有意义的方式对这些主机进行分类。
VII 结果
7.1. 蜜网配置
我们没有蜜网的配置详细信息。相反,我们从PCAP数据推断其配置。在蜜网内有10个可观察的主机。每个都有0.0.0.0/24范围内的匿名IP地址。在所有的实例中,每个蜜罐机运行的操作系统都不清楚。为了进一步研究这个问题,我们检查了来自蜜罐主机的流量和其他外部主机的流量,可以对这些细节提供分析。最终,它构成了我们对钻石模型背景下受害者理解的一个组成部分。
此外,值得注意的是,这些主机在网络交互方面的明显行为。虽然从数据中不清楚蜜网上的主机是如何与更广泛的互联网通信的,但似乎大部分收到报文的数据包都没有得到回复。例如,在明显的端口扫描活动中观察到的大多数SYN包都没有接收到应答(ACK)包,也没有像通常预期的那样被重新设置(RST)。如通常所预期的那样。我们从UDP流量中收集到更丰富的数据,因为该协议的无连接特性意味着不需要成功的握手就能看到交换的大部分流量。蜜网一般不会对它收到的任何数据进行响应,这可能会阻止进一步的数据传输。
从检查流量中可以清楚地看到,许多蜜网主机正在运行微软的Windows。于这些主机交互的流量证实了这一点。这包括已知的Windows更新服务器和Teredo服务(通常在Windows Vista中默认启用,但在其他操作系统上不太常见)。有几个主机生成这种类型的通信,高度置信地表示它们正在运行的是类似的Windows版本。另外一个主机似乎也充当一个服务器,因为它向端口80上的一些外部主机发送HTTP Stauth Code 200 OK响应。该机器的网络流量头显示它正在运行Microsoft Internet Information Services(IIS)版本7.5。Microsoft IIS的版本与Windows Server 2008 R2或作为服务器的Windows 7主机对齐。默认情况下,两个Microsoft操作系统版本都支持此版本的IIS。
主机0.0.0.20是唯一一个生成足够流量来推断其配置的服务器,并且似乎不是基于windows的。依据是其他主机向该服务器发出Bro网络安全监控系统的信号数据的请求,Bro系统仅在类unix操作系统上可用。并且该主机生成的其他通信量,如在线证书状态协议(OCSP)和网络时间协议(NTP),与Windows主机发出的请求不同。这些协议可以在多个不同的平台上实现。
剩下的5个主机没有生成足够的流量来从PCAP文件中确定它们的配置。虽然这些主机中的几个主机对从外部网络接收的流量做出响应,但所观察到的流量主要由ICMP回复响应组成。ICMP的应答几乎没有透露给定主机的底层操作系统或软件。
主机及其相关配置详细信息的摘要如表2所示。
表2:蜜网主机配置
主机 |
疑似OS /配置 |
0.0.0.2 |
Microsoft Windows Server 2008 R2 / Windows 7 (Microsoft IIS 7.5) |
0.0.0.3 |
Unknown |
0.0.0.4 |
Unknown |
0.0.0.5 |
Microsoft Windows (Vista or later) |
0.0.0.6 |
Unknown |
0.0.0.7 |
Unknown |
0.0.0.8 |
Unknown |
0.0.0.9 |
Microsoft Windows (Vista or later) |
0.0.0.20 |
Linux |
0.0.0.21 |
Microsoft Windows (Vista or later) |
7.2. 通过分析主元描述威胁行为者
正如前面所讨论的,我们在分析中合并了分析主元,作为一种关联可变的事件数据项的方法,这些数据项在初次检查时可能不会出现。通过提供用于确定特征向量的高质量数据,从而促进了AG的创建。
7.2.1.以主机为中心的方法
在本研究中使用的以主机为中心的分析方法的一个例子是被认为与恶意软件C2相关的流量的特征。这是最初在对捕获的所有HTTP POST请求的检查时发现的。我们使用一个shell脚本对这些数据进行隔离,该脚本使用YAF和super_mediator自动从80和8080端口上的所有POST请求中提取100个字节的应用程序层数据。
HTTP主机头中,带有一个长编码URI和不熟悉主机名的POST请求表明,这可能是值得研究的恶意流量。在VirusTotal的搜索领域中,搜索域名显示了可能与Palo Alto Networks以代号为“Bookworm”(Scott,Falcone and Cortes 2015)报道的***运动的基础设施连接。目前还不清楚这一流量是否与同一名威胁行为者有关,为在公布其活动时,一些***群体倾向于放弃基础设施。尽管如此,它还是提供了一种以分析方式进行分析的方法的起点。。
基于此信息,我们构建了进一步的查询来调查PCAP中的活动,并发现更多关于潜在对手的信息。我们使用了Palo Alto Networks在其报告中提供的IP地址列表,我们准备了一套用于SiLK的rwfilter工具(Scott,Falcone和Cortes 2015)的文件。然后,我们搜索了这组用于其他可疑主机的列表,如表3所示。
表3:PCAP数据中观察到的“Bookworm”主机
源IP地址 |
SiLK 流记录 |
%的记录 |
累计% |
87.106.149.145 |
58 |
84.06 |
84.06 |
87.106.20.192 |
9 |
13.04 |
97.10 |
213.165.83.176 |
2 |
2.90 |
100.00 |
很明显,PCAP数据中的三个主机可能潜在地涉及到这个怀疑的流量中。使用YAF和super_mediator简要检查有效载荷数据有助于证实这一点。这一通信表明,另一个主机通过安全套接字层/传输层安全性(ssl/tls)与潜在的恶意服务器通信,除了编码C2之外,还进行加密通信。此外,查询公开的WHOIS IP地址数据库显示,虚拟主机公司拥有这些数据,提供有关该主机基础结构的详细信息。
总而言之,以主机为中心的方法使得有可能进行分析主元,这种分析只在通过使用恶意软件和C2(能力要素)和单个外部主机(基础设施)的低置信度情况下才开始。它揭示了两个附加的主机以及对手的能力的进一步信息,包括使用加密。
7.2.2.以端口为中心的方法
我们使用SiLK来识别可能正在尝试监视或利用ICS设备和流量到通用ICS端口的外部主机(也就是不属于蜜网的主机)。该过程开始于查看与端口20000通信的顶级外部主机,总结在表4中。该端口主要用于DNP,这是SCADA网络中使用的一种通用协议。以下SiLK查询显示了许多与此端口进行通信的主机,主要是看起来是与扫描相关的活动。
表4:在端口20000上进行通信的主机
源IP地址 |
SiLK 流记录 |
%的记录 |
累计% |
66.240.192.138 |
12 |
3.592814 |
3.592814 |
71.6.135.131 |
12 |
3.592814 |
7.185629 |
80.82.70.198 |
12 |
3.592814 |
10.77844 |
62.75.207.109 |
12 |
3.592814 |
14.37126 |
71.6.165.200 |
12 |
3.592814 |
17.96407 |
8.8.8.8 |
10 |
2.994012 |
20.95808 |
198.20.69.98 |
9 |
2.694611 |
23.6527 |
41.74.182.170 |
9 |
2.694611 |
26.34731 |
94.102.49.210 |
8 |
2.39521 |
28.74252 |
60.209.5.30 |
8 |
2.39521 |
31.13773 |
来自表4中的主机的PCAP数据可能不是特别有用,因为它不包括有效负载数据或甚至TCP标志的信息。 通过使用以端口为中心的方法,我们可能会查询其他常见的ICS端口,开始构建更完整的针对蜜网的侦察活动。 第二个SiLK查询检查端口102上的流量。可编程逻辑控制器(PLC)的主要品牌通常将该端口用于控制通信。 我们交叉引用了与端口20000通信的主机的输出。
表4中存在的主机在表5中的IP地址旁边显示一个星号。
表5:在端口102上进行通信的主机
源IP地址 |
SiLK 流记录 |
%的记录 |
累计% |
188.138.1.218 |
32 |
6.299213 |
6.299213 |
80.82.70.198* |
30 |
5.905512 |
12.20472 |
125.97.246.5 |
27 |
5.314961 |
17.51969 |
52.88.94.127 |
19 |
3.740157 |
21.25984 |
198.20.69.98* |
16 |
3.149606 |
24.40945 |
94.102.49.210* |
14 |
2.755906 |
27.16535 |
120.119.31.1 |
14 |
2.755906 |
29.92126 |
71.6.135.131* |
13 |
2.559055 |
32.48032 |
131.107.13.100 |
13 |
2.559055 |
35.03937 |
66.240.192.138* |
13 |
2.559055 |
37.59843 |
同样,这种分析方法帮助我们将可能具有较高的ICS意识的主机优先排序,并相应地提高潜在的威胁级别。比如第一个具有较多ICS端口的主机80.82.70.198,我们利用SiLK工具将可能的ICS端口都进行了枚举。其中一些端口具有ICS功能,包括表6中列出的几乎所有端口,这些端口描述了外部主机所联系的已知的与ICS相关的端口。
表6:数据集中观察到的常见ICS相关端口
TCP端口 |
设备或协议 |
102 |
Siemens PLC |
502 |
Modbus protocol |
1962 |
Phoenix Contact ILC PLC/ProConOS |
2404 |
IEC 60870-5-104 |
2455 |
Wago I/O System |
4592 |
Advantech/Broadwin |
4840 |
Certec Atvise SCADA |
9600 |
Omron PLC |
10001 |
RS-485 to Ethernet |
18245 |
GE PLC |
20000 |
DNP (SCADA/ICS common protocol) |
20547 |
ProConOS/MultiProg PLC |
44818 |
Rockwell Automation Ethernet/IP |
49320 |
Kepware KEPServerEX |
主机80.82.70.198仅联系了19个端口,远远低于通用网络映射器(Nmap)工具扫描的目标,该工具扫描通常扫描多达1000个端口。通过使用YAF和super_mediator检查流量有效负载也显示这些仅是TCP Synchronize(SYN)数据包,没有进一步的通信量,这是一种经常与端口扫描活动相关联的技术。扫描的端口中有超过70%具有与ICS的关联性,其他可能与较不知名或有记录的ICS协议有关。
外部主机80.82.70.198专注于这些端口,显示出高度的ICS意识,有助于描述威胁行为者的能力。然而,这个特定的主机似乎并没有恶意。它是一个中国项目的一部分,“ICS/SCADA/PLC Protocol GlobalCensus,”,正在对通用ICS端口进行扫描。该项目已经对ICS设备进行了研究,包括与表6中列出的端口相关的一些设备。它允许组织通过电子邮件向研究团队发送声明,不对其进行扫描。
这个案例研究显示了以端口为中心的方法的好处。通过使用端口之间的已知关联,分析主元显示对ICS网络的潜在新兴威胁。分析人员可以扩展和自动化此技术,以简化ICS威胁的收集情报。
7.3. 使用蜜网数据来分组威胁行为者
现在我们已经列举了在AGC中使用的整个功能空间和特征向量,我们可以提供相关的威胁行为者分组。这样可以以满足分析问题的方式在PCAP数据中提供快速,可操作的行为者特征。总体过程与本研究的目标一致,制定了基于钻石模型对ICS网络的威胁进行分类的完整方法。
7.3.1.主动威胁行为者
我们将活动的威胁行为者定义为实体,他们的行为提供了一个高可信度的指示,表明他们正在积极地***网络。这与专注于ICS无关,尽管在这个AG中,一个活跃的、以ICS为中心的***是最严重的事件类型。在这一类别中,对手必须证明交付恶意软件或建立C2通信。
在数据中识别的活动威胁行为者的一个例子是表7所示的对手(前面讨论过)。它被怀疑在蜜网中建立了C2(所有主机的20%)。目前还不清楚这个行为者的目标是什么:其中的一些C2流量是经过加密的,并且没有基于主机的数据可用。然而,这一流量的存在表明了对网络的高度信任。
尽管这是生成可操作的威胁数据的最有用的组,但矛盾的是,我们的事件最少。一个可能的解释是可能缺乏来自蜜罐机器的互动所致。正如第7.1节中提到的,蜜网并没有与外部主机进行大量的交互。它也不接受任何端口上的TCP传入连接请求。在这种情况下,如果***者似乎很少或没有几个端口在监听连接,那么从逻辑上来说,很少会有人对其进行***。在***者看来,这个服务上不存在该端口的任何服务监听以及连接,也找不到任何防火墙存在的证据。
表7:选定的主动威胁行为者
威胁行为 ID |
属性 |
分组的理由 |
事件时间表 |
IP {87.106.149.145, 87.106.20.192, |
High confidence indication |
12/16/2015 19:41 - |
|
AT1 |
213.165.83.176}; Port {80, 443}; Domain {bkmail[.]blogdns[.]org} Malware; C2; |
of malware C2 traffic |
12/16/2015 20:08 |
Proxy; Type 2 Infrastructure |
7.3.2.高风险威胁行为者
我们可能会考虑到高风险行为者的表现或怀疑对ICS网络产生不利影响的能力。这可能是由于一些积极但不成功的尝试企图,这些尝试既表现出对ICS的兴趣,又或者对受害者的网络工作很熟悉。似乎发送普通***相关的流量的行为者并不一定是高风险的威胁行为者。无数的僵尸网络和其他恶意的主机都在不停地引诱那些没有补丁的主机。这不能代表一个组织的高度风险,并适当地采取适当的基线安全措施。
侦察也可以代表高水平的风险。表8中的主机的活动将把它放在高风险的类别中。这个主机(80.82.70.198)被认为是在7.2.2节中提到的“ICS项目”的收集数据。虽然这个特定的主机似乎与研究活动有关,但事件响应者应该优先考虑这样的主机,以便进一步审查和分类。这种类型的网络活动可能代表了实际***的早期阶段。如果这种有针对性的端口扫描确实是恶意的,它会为事件响应者提供有价值的情报,以对抗对手的能力和利益。
表8:选定的高风险威胁行为者
威胁行为 ID |
属性 |
分组的理由 |
事件时间表 |
IP {80.82.70.198}; Port {[19 common ICS |
Focused scanning of known |
7/8/2015 05:19 - |
|
HT1 |
ports]}; Domain {icsresearch[.]plcscan[.]org}; ICS; Port scan |
ICS ports without clear mali- cious objective |
2/17/2016 16:49 |
7.3.3.中等风险威胁行为者
中等风险的行为者构成了具有最低风险水平的AG,该风险保留了对网络产生影响的潜力。这些行为者没有积极地尝试利用网络上的主机,而是从事侦察活动。由于许多方面的因素,许多怀有各种目的而开展的扫盲活动激增,许多主机和其他组织都属于中度风险类别。
一组中等风险的行为者是大量参与端口扫描活动的主机的一部分。由于它们都倾向于从端口6000开始扫描活动,因此我们可以通过以端口为中心的方法进行链接。子网和ASN还以主机为基础连接这些行为者。这些组中的所有主机来自与中国相关的地址空间。当这并不是说这些主机是来自中国的,因为这些主机的直接来源可以很容易通过代理或虚拟主机的方式使用。这一关联表明,相当多的流量在基础设施和能力方面具有共同的从属关系。
剩下的高风险行为者都在进行自动化的尝试,以利用众所周知的漏洞。我们只给这些行为者分配了适度的风险,因为我们相信他们不会对绝大多数企业构成重大威胁。补丁可以广泛用于修复这些所有利用的漏洞,并且大多数安全解决方案可以在网络边界上检测和阻止这些漏洞。这三个角色(MT2、MT3和MT4在表10中)仍然值得一看,以了解他们活动的特征。
MT2可能是这个集合中最有趣的三个部分中的一个。这个组中的主机产生两种不同类型的流量。第一个是明显的利用有效负载,一个HTTP GET请求(请参阅表9以获得完整的请求)。开源研究并没有指出这一流量的性质。一些安全博客和论坛推测,这是一种扫描或***Apache服务器的尝试,尽管目前尚不清楚这是否是一种有效的***。我们观察了这些包的主人185.130.5.224。这个活动似乎没有对服务器产生影响,可能是因为它运行的是Microsoft IIS,而不是Apache。
另一种由这个主机产生的流量(以及其他通过主机集中分析)产生的流量,最初类似于尝试利用“Shellshock”漏洞(CVE-2014-6271等)。但是,似乎这个漏洞利用字符串(见表9)实际上可能表明恶意软件试图破坏设备。以下字符串中的变体似乎是Linux命令,在PCAP中出现了多次。尽管包的有效负载类似于一个Shellshock的利用字符串,但它是不同的,因为它的目标是UDP端口53413,而不是TCP端口80或8080(端口最常见的端口是基于web的Shellshock***)。UDP 53413与任何已建立的服务没有关联。
然而,这与2014年披露的Netcore/Netis品牌路由器的漏洞有关,该漏洞可以通过该端口( Yeh 2014)允许远程shell访问该设备。
表9:观察到的MT2***尝试
描述 |
利用字符串 |
未知的利用字符串,可能针对Apache服务器 |
GET /server- status?HTTP_POST=%”%6346#%#/ˠ%”#423|;&HTTP_CGI _GET=GRESYYK”K&J#L523D2G23H23 HTTP/1.1 |
可能的Netis/Netcore利用,在gafgy/bashlite恶意软件中发现的字符串 |
busybox tftp –g –r m.sh 185.130.5.201|| tftp –g –r m.sh 185.130.5.201; busybox chmod +x m.sh |
考虑到这个路由器漏洞,我们在公开分析了一个名为“Bashlite”或“Gafgyt”(VirusTotal 2016)的恶意软件家族附属的恶意软件样本之前,我们发现了这个字符串。 Avast的研究人员将此恶意软件与由Lizard Squad威胁行为者(Kalnai和Horejsi 2015)发起的分布式拒绝服务(DDoS)***相关联。这项研究和安全记者Brian Krebs的分析表明,该组织开发了一款恶意软件,通过利用家庭路由器(Krebs 2015)的已知漏洞来传播。它从这些设备中创建了一个僵尸网络,然后被用来运行一个非法的在线服务,为雇佣者进行DDoS***(Kalnai和Horejsi 2015)。根据这个恶意软件家族(Malwr Posts 2015)的开源列表,我们搜索了CERT /协调中心(CERT / CC)的工作目录来匹配样本;并发现9个类似样本。我们在其中8个样本中遇到了Busybox命令,并且在4个样本中遇到了与PCAP中发现的字符串几乎相同的字符串,从而增加了所观察到的流量与Bashlite或Gafgyt有关的信心。
这一组中的另外两个威胁行为者正在试图利用流行的技术来利用已知的漏洞。第一名威胁行为者MT3发送了试图利用CVE-2013-5122的流量特征。这是Linksys路由器的远程管理界面中的一个漏洞,这种漏洞有助于称之为“TheMoon”的蠕虫病毒的传播。鉴于此流量是企图泄漏Linksys漏洞的一个简单过程。流量有效载荷包含页面tmUnblock.cgi的HTTP POST请求,这与此漏洞密切相关。AG MT4包含试图利用旧版PHP中的几个相关漏洞的主机,允许任意代码执行。其次,利用字符串包含HTTP POST请求,这些请求是利用漏洞的尝试的特征。
在蜜网操作的环境中,建议识别这些主机以供进一步调查。如果将其视为仅仅是网络的常规扫描的一部分,这不太可能构成进一步的威胁,实施阻止这些流量的主机防火墙规则将提高数据集中的信噪比。但是,只有分析人员了解了这些主机对于数据集的影响深度和程度,才会考虑删除这些主机。
表10:选定的中等风险威胁行为者
威胁行为 ID |
属性 |
分组的理由 |
事件时间表 |
MT1 |
IP {[Numerous China-based IP ad- dresses]}; Port {TCP 6000 (source), [Nu- merous common destination ports]}; Port scan IP {185.130.5.224, 185.130.5.201, 46.28.207.30}; Port {TCP 80, UDP 53413}; |
Extensive scanning of com- mon TCP ports Automated scanning / ex- ploitation attempt targeting |
7/8/2015 05:19 –2/17/2016 16:49
|
MT2 |
Exploit; Malware IP {69.164.231.228, 77.70.58.205}; Port |
Apache Web servers; possi- ble attempted exploitation of ‘Shellshock’ vulnerability (CVE-2014-6271 etc.) Automated attempts to ex |
12/23/2015 23:07– 2/22/2016 05:34 |
MT3 |
{80}; Port scan; Exploit |
ploit TheMoon vulnerability (CVE-2013-5122) in Linksys devices |
11/22/2015 17:13– 12/18/2015 19:07 |
MT4 |
IP {117.21.226.160, 119.235.66.243}; Port {TCP 23, 80, 8081}; Port scan; Exploit |
Automated attempts to ex- ploit CVE-2012-1823/CVE-2012-2311/CVE-2012-2336 in PHP |
7/9/2015 03:01 –10/3/2015 12:28 |
5.3.4.未知风险的威胁行为者/异常值
正在考虑的最后一组事件并不直接构成一个AG。取而代之的是,它包含了所有其他组之外的数据集:异常值。我们需要了解如何解决威胁潜力的一组异常值。在一组异常值中,许多事件很可能是非恶意的。在PCAP数据中观察到的大量流量连接到用于软件更新,标准DNS查询和WHOIS查找。但是这种传播可能与恶意活动相对应,因此,我们不应该单独在这种情况下舍弃它。然而,对这一流量的评估强烈地表明,它并不代表威胁。
与异常值组区别的是另一大组事件,被称为“未知风险”流量。由于缺少给定主机、端口或应用程序的事件数据,或者因为不可能将特定事件可靠地链接到数据集中的其他人,因此该数据主要属于此类别。将这些数据视为无用或将其分类为肯定是非恶意的是不明智的。当更多的信息可用时,重新访问数据集是很重要的。所观察到的流量事件的重大变化可能会严重影响支撑AGC功能的假设。Caltagirone及其同事建议定期审查数据和更新功能,以保持信息的最新和可行性(Caltagirone,Pendergast和Betz 2013)。对于蜜网数据,这当然是一个审慎的建议。。
VIII 讨论
8.1. ICS的具体威胁
蜜网为我们提供了一个丰富的数据集供我们参考研究。这些数据为我们提供了一个机会来查看与成千上万的外部主机交换的超过16 GB的流量的各种不同的活动。由于这一努力的重点是对ICS的威胁的列举和描述,因此值得讨论这些威胁是如何在被分析的数据中体现出来的。值得注意的是,虽然数据显示了各种恶意流量,但是几乎没有观察到ICS特有的威胁。绝大多数流量是通用扫描一些最常用的端口,如Telnet、安全Shell(SSH)、虚拟网络计算(VNC)、服务器消息块(SMB)和其他协议。虽然这与ICS网络防御相关,但它并没有必要显示ICS特定的威胁。
分析主元和AG创建揭示了对ICS的潜在威胁。检查通用ICS端口上交换的流量以及参与以ICS为中心的扫描活动的主机是有帮助的。虽然扫描活动可以表明威胁潜力,但它最终会在一定程度上暴露出对手的能力。PCAP对于与ICS设备进行交互,利用漏洞或安装恶意软件的特定尝试,包含的数据很少。一个可能的解释是对手不会直接从互联网泄露ICS设备。大多数ICS***活动遵循两阶段的方法(Assante和Lee 2015)。这导致了第二种可能性:由于蜜网的配置交互性,没有吸引对ICS更深层次的***。
8.2. 配置ICS-蜜网的挑战
这样的配置对其低资源的优势是有利的,同时也降低了拒绝***者的机会,即使是这个孤立的网络也有机会妥协。然而,为了这些好处所做的权衡是,低交互的蜜网通常提供稀疏的***数据。他们不太可能捕捉到“零日”或其他高价值信息(Holz和Holz 2008)的证据。
鉴于缺乏以ICS为重点的监控,特别是在PCAP数据中观察到的***,似乎没有优化蜜网来收集这种类型的数据。如上所述,分析流量显示了几个重要的细节,主要是一些主机似乎是标准的Windows或Linux机器,没有明显的ICS目的。有些具有未知配置详细信息的主机可能正在仿真ICS设备。然而,数据集中没有足够的证据支持这一观点。根据在数据集中观察到的主机的配置和行为,看起来这个蜜网是一个“低交互”蜜罐。也就是说,蜜罐机器对外部主机的请求提供很少甚至没有任何响应,因此对手通常不会危及主机。 Provos和Holz观察到,这样的配置对其低资源的优势是有利的,同时也降低了拒绝***者的机会。然而,为了这些好处而做出的权衡是低交互性蜜罐通常提供较少的***数据。他们不太可能获得零日漏洞或其他高价值信息(Provos和Holz 2008)。
虽然证据支持这一观点认为这是一种低交互的蜜网,但并不意味着它不会产生关于ICS***的可行信息。我们突出强调以ICS为中心的网络扫描和明显的恶意软件C2的证据,表明PCAP文件中存在各种有用的威胁数据。然而,似乎很少有关于ICS防御的新信息可以从蜜网中获得。系统的低交互特性可能导致扫描和枚举工具报告这不是ICS网络。此外,对开源扫描工具的源代码进行粗略的检查表明,这些工具希望来自主机的非常具体的响应,以确认它是否涉及有问题的设备。这可能会阻止外部行为者进一步采取行动,并进一步可能的试图破坏ICS设备尝试。
8.3. 防御ICS网络的意义
这种蜜网的配置在ICS威胁上产生了相对较少的有用情报。一个有效的ICS蜜网应该采用技术来说服潜在的对手,它真正地托管了ICS设备。这可能需要与我们在PCAP数据中观察到的与外部主机的更高级别的交互。也很可能是为了有效,一个ICS的蜜网必须忠实地模拟实际的ICS设备和协议。一个被动的主机可以收集关于扫描和自动***的信息,但这并不能提供丰富的特定于ICS的威胁情报。另一种选择是将实际的ICS设备放置在蜜网内,这可能是收集真实***数据的最大概率。任何一种选择都可能产生有用的信息。而仿真大大增加了配置和维护蜜网的复杂性,而使用真正的ICS设备可能会比无源或仿真设置带来显着更高的成本。然而,这可能反映了使用蜜网固有的困难,这是一种被证实的网络威胁技术。鉴于这种限制,防御者可能希望权衡在获得的数据价值和维护一个有效的ICS蜜网的复杂性中间进行取舍。
IX 未来工作
考虑到使用蜜网来防御ICS和钻石模型在生成威胁情报方面的应用,为我们提供了许多有趣的未来研究方向。本研究之后的一个自然问题是我们的模型是否可以应用于由实际或仿真的ICS设备组成的高互动性蜜罐中生成数据。如果这产生了关于***模式,开发技术和恶意软件的附加信息,我们可以用更多信息和更高的置信度来填充我们模型中的数据元组。这又可用于创建通过特定***技术,共享基础架构和其他功能链接的AG。进一步调查的另一种可能性将是从PCAP数据中产生ICS威胁指标。这将需要更多的信息,用于对手试图***ICS网络的战术,技术和程序。可能从上述高度互动蜜罐获取这些数据。这样一个项目对于它可能产生的相当大的威胁情报将是有价值的。
X 结论
这项研究探讨了一个蜜网能对ICS网络产生威胁情报的方法。利用提供的16 GB PCAP数据以及各种开源数据,我们应用了***分析的钻石模型,试图理解和推测一个假设的ICS网络的威胁。诸如WHOIS数据库、VirusTotal和来自安全厂商的资源等来源帮助我们建立了一个了解观察到的流量的重要性的环境。有了这些信息,我们派生了数据元组,这些元组充分地描述了在数据中观察到的事件,并将其置于一个恰当地表示其威胁的AG中。
虽然我们开发了一种利用钻石模型对ICS蜜网进行威胁分析的方法,但我们发现该领域的特殊性质为成功提供收集数据的特定要求提出挑战。最主要的是缺乏与外部主机的互动,从而限制了收集到的数据的潜在有用性,特别是在利用漏洞和恶意软件交付方面。在未来的蜜网部署中,我们认为,与外部主机进行更高层次的互动和ICS设备的高保真仿真(如果不是在隔离网络上实际控制系统的直接放置)将是有用的。
我们希望这项研究提供了一个有用的方法来分析从ICS蜜罐收集的数据,以及如何收集这些数据的方式,使其成为威胁情报来源最有用的方式。虽然适当部署所固有的困难可能会降低ICS蜜网在某些情况下的价值主张,但是那些对ICS威胁信息有很高需求的组织很可能会发现我们的技术是有用的。