信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“安全牛”，作者/wal613。

近年來(lái)，隨著加密手段在網(wǎng)絡(luò)攻擊中占比不斷攀升，攻防演練場(chǎng)景下的加密技術(shù)應(yīng)用也日趨多樣與復(fù)雜，加密威脅逐步成為傳統(tǒng)安全防護(hù)體系面臨的重要挑戰(zhàn)。在此背景下，構(gòu)建和提升加密視角下的威脅情報(bào)能力，是對(duì)抗加密威脅的重要手段，也是更全面地掌握攻擊方完整情報(bào)信息的重要基礎(chǔ)。

傳統(tǒng)威脅情報(bào)在面對(duì)加密流量威脅時(shí)，與安全產(chǎn)品的聯(lián)動(dòng)更多從IOC著手，對(duì)于加密流量的通信特征缺少關(guān)注。為解決這一問(wèn)題，可以圍繞加密資產(chǎn)信息、加密要素信息等加密特征，構(gòu)建加密威脅情報(bào)能力，應(yīng)對(duì)加密流量威脅。觀成科技研究認(rèn)為，在攻防演練場(chǎng)景中，對(duì)于加密威脅情報(bào)能力，可以從四個(gè)方面進(jìn)行建設(shè)和提升，分別是風(fēng)險(xiǎn)加密資產(chǎn)識(shí)別、限定域指紋構(gòu)建、同源加密威脅關(guān)聯(lián)和攻擊設(shè)施主動(dòng)探測(cè)。

01

風(fēng)險(xiǎn)加密資產(chǎn)識(shí)別

資產(chǎn)盤(pán)點(diǎn)與暴露面收斂是大多數(shù)攻防演練活動(dòng)啟動(dòng)階段和備戰(zhàn)階段需要重點(diǎn)關(guān)注的事項(xiàng)，對(duì)加密資產(chǎn)進(jìn)行盤(pán)點(diǎn)及風(fēng)險(xiǎn)收斂同樣重要。從加密要素角度出發(fā)，可以從三個(gè)方面識(shí)別風(fēng)險(xiǎn)加密資產(chǎn)：

加密協(xié)議層面：關(guān)注協(xié)議版本、加密套件、擴(kuò)展項(xiàng)，尤其是使用低版本協(xié)議、弱加密算法、弱簽名算法的資產(chǎn)；

數(shù)字證書(shū)層面：關(guān)注證書(shū)版本、證書(shū)序列號(hào)、證書(shū)有效期、證書(shū)自簽名、證書(shū)頒發(fā)者與使用者、證書(shū)擴(kuò)展性、證書(shū)公鑰、證書(shū)簽名、證書(shū)鏈，尤其是過(guò)期證書(shū)、自簽名證書(shū)；

加密數(shù)據(jù)層面：關(guān)注加密算法，尤其是使用弱加密算法對(duì)數(shù)據(jù)進(jìn)行加密處理的資產(chǎn)。

02

限定域指紋構(gòu)造

常見(jiàn)針對(duì)加密資產(chǎn)的指紋，如JA3、JA3S和JARM等，可以有效識(shí)別目標(biāo)加密資產(chǎn)，但也同樣面臨著指紋碰撞的問(wèn)題，當(dāng)這些指紋應(yīng)用于加密威脅情報(bào)時(shí)，就會(huì)產(chǎn)生一定誤報(bào)。為提升指紋準(zhǔn)確性，可以基于加密要素信息，進(jìn)一步構(gòu)造更為精確地限定域指紋庫(kù)。

限定域指紋可以針對(duì)客戶端和服務(wù)端分別展開(kāi)，主要依據(jù)TLS版本、加密套件、擴(kuò)展信息及其他信息進(jìn)行計(jì)算得到。在一些場(chǎng)景下，可以聯(lián)合客戶端和服務(wù)端信息，進(jìn)一步提升準(zhǔn)確性，構(gòu)建完全限定域指紋應(yīng)用于威脅檢測(cè)中。

03

同源加密威脅關(guān)聯(lián)

同類(lèi)別的網(wǎng)絡(luò)資產(chǎn)具有一定的相似性，而加密資產(chǎn)同樣具有類(lèi)似的特征，可以基于網(wǎng)絡(luò)空間資產(chǎn)測(cè)繪技術(shù)，有效結(jié)合攻擊方使用的攻擊武器、攻擊資源中所提取的加密要素信息，針對(duì)攻防演練場(chǎng)景下的黑客工具、熱門(mén)商業(yè)木馬及惡意家族等進(jìn)行精細(xì)化威脅關(guān)聯(lián)，快速發(fā)現(xiàn)同源加密威脅，達(dá)到“克敵機(jī)先”的效果。

比如，針對(duì)HTTPS協(xié)議的網(wǎng)絡(luò)資產(chǎn)，分析師可以從響應(yīng)頭、響應(yīng)體及證書(shū)等多個(gè)維度提取相似性特征，通過(guò)這些相似性特征，可以進(jìn)一步關(guān)聯(lián)與挖掘。通過(guò)這種方式，可以對(duì)已發(fā)現(xiàn)的攻擊設(shè)施進(jìn)一步延伸和拓展，形成同源加密威脅資產(chǎn)列表，應(yīng)用于加密威脅感知中。

04

攻擊設(shè)施主動(dòng)探測(cè)

反向C&C通道是攻防演練場(chǎng)景下的常用通信手段，而C&C的識(shí)別與發(fā)現(xiàn)是加密威脅情報(bào)能力的重要體現(xiàn)。在前期準(zhǔn)備階段，需要跟蹤分析黑客工具、熱門(mén)商業(yè)木馬及惡意家族，可以基于通信樣本的行為特征、通信信息和加密要素信息，提取加密特征，構(gòu)造上線包、心跳包與指令響應(yīng)包，進(jìn)而進(jìn)行主動(dòng)探測(cè)獲取C&C信息，提前掌握攻擊設(shè)施。

在保障階段，需要及時(shí)應(yīng)對(duì)變種攻擊，從變種中發(fā)現(xiàn)固定特征或變化特征。對(duì)于固定特征，本質(zhì)屬于同類(lèi)威脅，一部分可以在同源加密威脅關(guān)聯(lián)中發(fā)現(xiàn)，另一部分可以主動(dòng)探測(cè)中掌握。對(duì)于變化特征，應(yīng)及時(shí)構(gòu)造探測(cè)特征并進(jìn)行實(shí)時(shí)探測(cè)，獲取相關(guān)配置C&C信息，實(shí)時(shí)感知并掌握攻擊方攻擊設(shè)施資源。