来源:Proposed Approach for Targeted Attacks Detection
多年来,政府、组织和公司都在努力防范黑客、恶意软件和网络攻击,取得了不同程度的成功。另一方面,网络罪犯和不法分子制造了更先进的技术来破坏互联网基础设施。有针对性的攻击或高级持久威胁(advanced persistent threat, APT)攻击是一种新的挑战,旨在实现特定的目标,通常是间谍活动。APTs目前是对政府和组织的最大威胁。本文阐述了研究问题,提出了一种新的入侵检测系统处理网络流量的方法,能够检测潜在的APT攻击。APT攻击的检测是基于检测方法输出的事件之间的相关性。每种检测方法都旨在检测APT攻击步骤中使用的一种技术。
一、现状分析
2011年1月,谷歌发布首份关于APT的报告,被称为Aurora[24]行动;袭击开始于2009年下半年。它的规模相当大,据说已经瞄准了34家公司,包括陶氏化学、摩根士丹利、诺斯罗普·格鲁曼、赛门铁克、诺斯罗普·格鲁曼和雅虎,以及谷歌本身。随后,[15]、[29]、[14]报道了APT攻击的其他研究成果。
在分析已经发现的APTs的分析上做了一些研究。在[18]中,作者展示了如何检测N个最可能被感染的攻击宿主;他们的方法是基于以前APT攻击的知识。通过提高误报率和检出率的性能,他们为APT调查员开发了一个搜索引擎,可以根据已知APT感染主机的特征快速发现可能感染的主机。他们使用了基于N-gram的机制。
2011年,赛门铁克确定了许多有针对性的攻击。作者在[25]中对这一庞大的APTs语料库进行了深入分析。基于先进的分类数据分析,他们能够将许多先进的持续性威胁归因于很可能由同一个人完成的攻击活动。他们分析了这些攻击的动态和特点,并对参与这些攻击的攻击者的行动方式提出了新的想法。
通过在[17]中使用一个无向图,作者证明了针对同一目标的APTs可以相互关联。此外,可以识别集群并创建APT活动的映射,从而发现单个恶意软件编写者组的活动。
关于检测潜在的目标攻击,在[12]中,他们提出了一种基于主机端收集的信息来检测可能的APT攻击的新系统。该系统依赖集群技术来对主机组进行分类,这些主机组对它们请求的可疑资源(例如C&C服务器、驱动下载或利用工具包)具有类似的行为。该系统被称为SPuNge,并在一个工作原型中实现。SPuNge将这些主机运行的站点和行业数据(例如,政府或油气)关联起来,以检测有趣的攻击活动。
在[13]中给出了初始Duqu分析的摘要版本。一家欧洲公司成为新的恶意软件Duqu的攻击目标,有价值的信息被窃取。作者描述了Duqu检测器工具包,这是他们开发的一套用于检测Duqu及其变体的启发式工具。
鉴于上述相关工作,上述工作大多集中于对已识别的campaign进行分析,而我们的工作范围是提出一种检测可能的APT攻击的新方法,但没有一项工作明确提出通过监测网络流量以及APT攻击生命周期中可能技术的检测方法之间的相关性来检测潜在APT攻击的问题。
二、研究问题
为了达到这项工作的目的,我们应该回答以下研究问题:
研究问题1:APT攻击生命周期中可能使用的技术检测方法有哪些?为了回答这个问题,我们在第4节中提出了8种检测方法。我们将在研究的第一阶段尝试实施这些方法。这些方法不是固定的;我们可以根据研究进展移除或建议一种新的方法。
研究问题2:如何使我们的方法产生的检测系统具有可扩展性和灵活性?攻击者总是试图找到新的方法执行恰当的攻击,因此每个检测方法应独立于其他方法,我们随时可以添加新方法(检测新技术用于恰当的攻击生命周期)系统和与其相关的其他方法联系在一起的框架。为了实现这种灵活性,在关联框架中应该很容易删除或添加一个新规则来提高APT攻击检测的警报。
研究问题3:这种方法能够实时处理网络流量吗?检测系统应该支持实时检测,因为如果能够快速检测到攻击或试图攻击,那么就可以更容易地跟踪攻击者,将损害降到最低,并防止进一步的入侵。为了回答这个问题,在我们的方法中,在第一阶段,检测方法不应该依赖于存储数据然后分析它来检测。它们应该能够实时处理网络流量,并将事件提交到下一阶段进行关联。
研究问题4:这种方法有效吗?该方法的有效性,即检测APT攻击的能力,应该很高。这应该与较高的准确性相结合,从而产生较少的错误警告。我们预计,当与其他步骤或事件之间的相关性存在直接联系时,出现假阳性的几率较低。为了实现我们的效率,我们应该确定事件之间的相关性的适当规则,这将取决于对每种检测方法的评估,并且将在我们研究的最后阶段完成。
三、提出的方法
在本研究中,我们的目标是为入侵检测系统,特别是APT攻击检测做出贡献。本工作的目的是研究一种能够检测APT攻击的入侵检测网络流量的新方法。APT攻击的检测是基于检测方法输出的事件之间的相关性。我们认为,在APTs检测中使用这种方法的机会很大,而且据我们所知,这种方法尚未得到探索。
我们将在Bro入侵检测系统[20],[21]上实现我们提出的方法。Bro是一个被动的、开源的网络流量分析器。它主要是一个安全监视器,深入检查链接上的所有流量,以寻找可疑活动的迹象。我们从部署Bro中获得的最直接的好处是一组广泛的日志文件,以高级术语记录网络的活动。这些日志不仅包括在线路上看到的每个连接的全面记录,还包括应用层的脚本,例如,具有请求uri、键标头、MIME类型和服务器响应的所有HTTP会话;DNS请求和应答;等等。
如图1所示,我们提出的方法包括两个主要阶段:
在第一阶段,我们对网络流量进行处理,以检测APT攻击生命周期中可能使用的技术。为此,我们有自己的检测方法;每种检测方法都旨在检测APT攻击步骤中使用的一种技术。每一种检测方法都是独立于其他方法的,在采用之前都应该进行评估。这些检测方法的输出应提交到第二阶段,在第二阶段相关时,对APT攻击发出警报。
在第二阶段,我们有相关的框架,这个框架将事件(我们的检测方法)的输出作为输入并与他们根据用户指定的规则(我们可以指定这些规则基于每个方法的评价)提高警报在恰当的攻击检测。关联方法是基于检测方法之间的投票,对APT攻击提出预警,检测可以基于一个、两个或三个事件。我们相信这种相关性会降低我们检测系统的假阳性率。
我们研究的一个关键问题是:APT攻击生命周期中可能使用的技术检测方法有哪些?为了回答这个问题,考虑到APT攻击的生命周期,如图2[26]所示,我们在研究的第一阶段需要实现8种检测方法:
1. 情报收集:这一初始阶段的目标是获取关于目标的信息,如其组织结构、IT环境,甚至是关于为该目标工作的人员的信息。为此,攻击者可以使用公共资源(LinkedIn、Facebook等)并准备自定义攻击。
2. 最初的攻击点(切入点):使用社会工程和鱼叉式网络钓鱼,通过电子邮件,利用零日漏洞。另一种流行的感染方法是在受害员工可能访问的网站上植入恶意软件。这一步最常用的技术是鱼叉式钓鱼电子邮件,它可能包含指向恶意网站的链接、恶意附件或指向恶意文件的链接。
方法1,根据之前对APTs的发现,我们得到了APT攻击[14]中使用的被利用域名(FQDNS)的列表,我们可以分析邮件收发中可能使用的协议的流量,如果有一个被利用的FQDNS的链接,我们可以检测鱼叉式钓鱼攻击。
方法2,基于恶意域名黑名单[7]、[6]、[10]、[2]、[1]、[4]检测恶意域名的任何连接。在恶意附件的情况下,以.exe结尾的可执行文件被做成简单的文档文件(pdf、doc、ppt、excel)。
方法3,检测文件的内容是否为exe,而扩展名是否为exe。
方法4,对于每个新文件,我们可以计算MD5、SHA1和SHA256哈希值,并与一个文件哈希黑名单(来自APTs上以前的发现)[14]进行比较,如果找到匹配,我们就检测到攻击。
3、命令与控制(C&C)通信:当组织的边界被攻破后,应保持受感染主机与C&C服务器之间的持续通信,以指示和指导受攻击的计算机。这些通信通常受到安全套接字层(SSL)加密的保护,因此很难识别指向站点的流量是否是恶意的。
方法5,我们有一个SSL证书黑名单(来自以前的报告)[9],[19],所以我们可以监控SSL证书和黑名单匹配,如果找到匹配,我们检测到攻击。
方法6,我们有一个C&C服务器的黑名单[8][5][11][3],任何连接到这些服务器的都是攻击。
该步骤还可以采用域通量技术[28];被攻击主机可能试图连接到大量的域名,这些域名可能是C&C服务器。这种技术的目标是使关闭所有这些域名变得困难,甚至不可能。这种技术导致许多DNS查询失败,因为并非所有这些域都已注册。
方法7、基于DNS查询失败的域通量检测。
4. 横向移动:一旦获得对目标网络的访问权,攻击者就会横向地在目标网络中移动,搜索要感染的新主机。使用的一些技术:蛮力和传递散列攻击。
5. 资产/数据发现:此步骤旨在识别和隔离目标网络中值得注意的资产,这些资产将来可能会出现数据泄露。由于步骤4和步骤5的流量位于受损网络内,因此我们无法看到它。
6. 数据泄露:感兴趣的数据被传输到由攻击者控制的外部服务器。有一些技术用于数据泄露,例如内置文件传输、通过FTP或HTTP以及通过Tor匿名网络。
基于黑名单的检测方法的黑名单应该每天自动更新,所有方法的检测都应该是实时的。
四、结论
本文提出了一种检测潜在APT攻击的新方法,并提出了实现这一目标需要解决的研究问题。APT攻击的检测是基于APT攻击生命周期中可能使用的技术检测方法之间的相关性。我们认为,在APTs检测中使用这种方法的机会很大,而且据我们所知,这种方法尚未得到探索。