APT gruplarını analiz etmek için açık kaynaklı tehdit bilgileri nasıl kullanılır?
Artık hacker grupları giderek daha fazla oynayabiliyor.
Kısa bir süre önce editör extranette bir haber gördü: Şilili tüm bankaların ATM altyapısını birbirine bağlayan Redbanc şirketi Aralık ayı sonunda bilgisayar saldırısına uğradı.Haberlerde kayıplara neden olup olmadığına değinilmese de kulağa korkunç geliyor. .
Daha fazla insan böylesine büyük ölçekli bir saldırıya odaklanıyor, hackerlar bunu nasıl yaptı?
Üzücü Davidsky (takma ad) ile başlıyor. Kardeşim Redbanc'ta bir programcı çünkü işleri değiştirmek ve sık sık bazı işe alım web sitelerine göz atmak istiyorum. Gizlice hedef alındığını bilen bilgisayar korsanı grubu, bir çukur kazdı ve Linkedin'e bağlanmasını bekleyen bilgisayarla ilgili bir iş yayınladı.
Kardeşim gerçekten şüphe duymadı, bu uygun pozisyonu görünce onunla temasa geçti. "İyi oyna" hackerları, İspanyolca'daki küçük kardeş ile Skype üzerinden iletişim kurdular ve güvenini başarıyla kazandıktan sonra, küçük kardeşten başvuru formlarını çevrimiçi olarak pdf formatında oluşturma bahanesiyle ApplicationPDF.exe programını bilgisayara yüklemesini istediler.
Bu program herhangi bir anti-soft alarma neden olmadı ve Redbanc ağındaki bilgisayarlara yüklendi ve çalışıyordu. Pandora'nın Kutusu açıldı ...
Olaydan sonra, ilgili güvenlik araştırmacıları karşılaştırmalı bir analiz yaptı ve nihayet saldırının arkasında Kuzey Kore kökenli olduğu iddia edilen APT organizasyonu Lazarus'u tespit etti.
Leifeng.com bir keresinde The Secrets of the APT Organisation Force Rankings at Home and Abroad makalesinde bir hacker grubunu tanıttı, ama konu bu değil. Konuşmak istediğimiz şey, güvenlik uzmanlarının olayın arkasındaki APT organizasyonunu adım adım nasıl kazdığıdır?
Kısa bir süre önce editör, Tehdit İstihbaratı Ekolojisi Konferansı'nda 360 Tehdit İstihbarat Merkezi'nden güvenlik uzmanı Wang Liejun ile APT faaliyetlerini analiz etmek için açık kaynaklı tehdit bilgilerinin nasıl kullanılacağı hakkında bir sohbet yaptı.
Açık kaynak bilgi kullanımı
Bir APT örgütü bulma süreci, bir suçu polisin çözmesi gibidir.Bilgi toplamak için olay mahalline girmek gerekir.Bu bilgiler şüphelinin işleyiş şeklini ve saiklerini gizleyebilir ve hatta ipuçlarıyla suç sürecini geri yükleyebilir.
Hacker grubunun gizli eylemi karşısında APT örgütü arayışına karşılık, hedef nasıl kilitlenir?
Öncelikle açık kaynak bilgi kullanmalıyız, dört ana kaynak var.
Birincisi, güvenlik personeli tarafından toplanan raporların bir koleksiyonunu içeren, büyük güvenlik satıcıları ve kuruluşları tarafından yayınlanan APT raporudur. GitHub'daki en eski APTnotları güncellemeyi durdurdu, ancak birisi bakım için ayrı bir koleksiyon açtı. Kısacası, açık kaynağın yararı, özleyebileceğiniz raporları bulmaktır, bu da efor tasarrufu sağlar.
Wang Liejun Leifeng.com'a verdiği demeçte, "2018'de, APT ile ilgili nispeten iyi oluşturulmuş 478 raporu, günde ortalama 1-2 rapor topladık. Bunların arasında 53 bağımsız APT kuruluşundan bahsedildi."
İkincisi, ilgili bilgilerin bağlamı fazla olmasa da en hızlı bilgiyi alabileceğiniz sosyal medyadır.
"Twitter'da tamamı manuel olarak yönetilen iki bin hesabı takip ettik."
Üçüncüsü veri beslemesidir. Feed, bir biçimde kendisinin sürekli güncelleme talebini karşılamak için sağlanan bir format standardı bilgi dışa aktarımıdır. Bilgi kaynağıdır. Bilgi yayınlama web sitesi, web sitesi bilgilerinin tamamını veya bir kısmını besleme adı verilen bir RSS dosyasına entegre eder. Kaynakta yer alan veriler, yalnızca diğer siteler tarafından doğrudan çağrılabilen değil, aynı zamanda diğer terminallerde ve hizmetlerde de kullanılabilen standart XML biçimindedir.
Feed akışı ilk olarak Netscape tarafından itildikten sonra, son yıllarda yerli içerik bilgi platformlarının patlamasıyla birlikte, WeChat, Weibo ve Toutiao gibi sosyal ağ sitelerinde ve içerik platformlarında yaygın olarak kullanıldı ve feed reklamları daha popüler hale geldi. Yurtiçi sosyal platformlar için önemli bir kâr modeli olun.
Dördüncüsü, bir bilgi platformu, yani entegre bir tehdit istihbaratı platformudur. En ünlülerinden biri, birçok kötü amaçlı kod verisini entegre eden Virüs Toplamıdır, revizyondan sonra örnekleri arayabilir, etkileşimli grafikler ve analiz yönetimi ekleyebilirsiniz.
Wang Liejun ayrıca, tek noktadan veri sorgusu yapmaya çalışmamayı hatırlattı, sonuçta her birinin kendi veri vizyonu var ve çoğu birbirini kapsamıyor.
Diğer bilgilerin kullanımı
APT organizasyonlarının izlenmesinde bu açık kaynaklı bilgiler hangi rolü oynayabilir?
Bir yandan, bu veriler iyi bir ipucu girdisidir.
Örneğin, Wang Liejun, örneğin, birisi yeni bir örnek alır ve bunu Twitter'da yayınlar. Bu örneği topladıktan sonra, 360ın kendi örnek kitaplığı bu örneğe sahip olmasa da, benzer örnek araştırma özelliği kurallarını bulabilir.
Öte yandan, açık kaynaklı veriler temel verilerin bir bölümünü sağlar ve hedefi daha fazla kilitlemek için çok boyutlu veri takviyeleri gerekir.
Eylül 2018'de yabancı basın, ABD hükümetinin Kuzey Koreli bir adam olan Park Jin Hyok'u suçladığını ve cezalandırdığını bildirdi. Bu adam, kötü şöhretli ve ünlü APT çetesi Lazarus'un bir üyesidir. 2017 küresel WannaCry fidye yazılımı siber saldırısı ve 2014 Sony'nin siber saldırısından şüpheleniliyor.
Park'ın Lazarus üyesi olduğunu belirleme süreci, belirli bir sunucu IP'sinin erişim kayıtları, kişisel Gmail posta kutularının geçmiş kayıtları, LinkedIn'deki kayıtlar ve Twitter hesabı kayıtları gibi birçok bilgi boyutunu topladı. Kısacası 170 sayfalık iddianame, çok boyutlu verilerin çapraz geçerliliğinin gücünü gösteriyor.
Daha fazla veri elde etmek için, büyük güvenlik tedarikçilerinin kendi veritabanları veya ticari kaynaklar ve doğrudan tehdit istihbaratı yoluyla satın alınan veriler gibi başka kanallara ihtiyaç vardır. Yurtdışındaki ana veri kaynakları VT'dir ve Çin'de IPIP.net vardır.
Wang Liejun, Lei Feng.com'a söyledi. 360'ın bu yılki satın alma verileri bütçesi on milyonlara ulaşabilir.
Başka bir yol da istihbarat ittifakları aracılığıyla belirli bilgileri değiş tokuş etmektir. Elbette şu anda istihbarat ittifakı henüz olgunlaşmadı ve ilerlemeye devam etmesi gerekiyor.
Kısacası, son hacker grubunun kilitlenip kilitlenemeyeceği, yeterli boyutlarda toplanan verilere bağlıdır Sonuçta, birçok ipucu var ve sadece bir gerçek var.
Analiz eşleşmesi
Yukarıdaki toplama davranışı aslında bir yapboz bulmaca oyunuyla karşılaştırılabilir. Süreçteki oyuncuların kendi benzersiz veri vizyonu vardır. Yalnızca diğer insanların ellerinde bulmacaları mümkün olduğunca bir araya getirerek daha gerçek sahneler görebilirler. Elde edilen verilere dayalı spesifik analiz ve eşleştirme, güvenlik satıcıları tarafından sağlanan katma değerdir.
Elde edilen verileri sadece biriktirip saldırıya uğramış işletmeye paketlemenin hiçbir değeri yoktur. İhtiyaç duydukları şey, hangi terminallerin hangi IP'ye bağlı olduğu, ağlarına bir bilgisayar korsanı grubu tarafından sızmış olabilir ve hatta bazı veriler sızdırılmış gibi daha net bir sonuca ulaşmaktır. Bu hacker grubunun hangi organizasyona ait olduğu, bu organizasyonun hangi aktiviteleri gerçekleştirdiği, ortak saldırı yöntemleri nelerdir ve hangi savunma önlemlerini almaları gerektiği.
Bu sözde "saldırı veya savunma bilgisi" dir.
Spesifik olarak, ilk adım elde edilen ipuçlarını kabaca / ince bir şekilde sınıflandırmak ve yapılandırmaktır.
Örneğin, bilgi türünü güvenlik haberlerinden, olay ifşasından veya teknik analizden ayırın ve ilgili içeriğin gasp, madencilik, güvenlik açıkları veya hedefli saldırılar olup olmadığını daha da ayırt edin. Hedefli bir saldırı ise, bunun bir siber suç mu yoksa bir APT grubu mu olduğuna karar vermeye devam edecektir.
Yapılandırma, sonraki otomasyonu ve manuel analizi kolaylaştırmak için kuruluşun adı, hedefi, TTP vb. İle ilgili temel unsurları çıkarmaktır.
İkinci adım, elmas modeli kullanarak ilişkilendirmeyi genişletmektir.
Bu modelin yaptığı şey, mevcut ipuçlarına dayanan korelasyon analizine dayanmaktadır. Eşkenar dörtgenin dört köşesi dört öğedir ve tüm düz çizgilerle birbirine bağlanan iki nokta birbiriyle ilişkilendirilebilir. Satırın bir ucundaki bilgileri bildiğiniz sürece, bazı genel veya kamuya açık olmayan verilere dayanarak daha fazla bilgi elde edebilirsiniz.
Wang Liejun bir kestane verdi.Örneğin, saldırgan belirli bir ağ altyapısının IP'sine saldırmak için kötü amaçlı kod kullandı.Bu modeli kullanarak elmasın soldan sağına düşmek için tüm ekibin kullandığı altyapıdan saldırı kabiliyetini anlayabilirsiniz. . Korelasyon analizi için elmas modelini Kill Chain ile birleştirirseniz, mevcut ipuçlarıyla daha fazla bilgiyi genişletebilirsiniz.
Üçüncü adım TTP analizidir ve burada ATTCK çerçevesi kullanılmıştır.
Bu çerçeve, implantasyon aşamasında kullanılan sulama deliği saldırısı gibi her aşamada hangi teknolojilerin kullanıldığını analiz etmek için gereklidir. Yatay eksenin 11 aşamaya ayrıldığı (ortak Lockheed Martin Cyber Kill Chain çerçevesi yedi aşamaya bölünmüştür) ve her aşamada uygulanan özel teknolojinin her bağlantıdaki kalibrasyona yansıyan ayrıntılı olarak demonte edildiği görülebilir. Sınıflandırma analizi yapabilir.
Son adım, arka plan araştırması ve yargılamadır. Yani yukarıdaki bilgilere göre bir eşleşme yapılır ve APT organizasyon listesi buna karşılık gelir ve hedef kilitlenir.
Tüm süreç basitçe ipuçlarına dayalı çok boyutlu verileri toplamak ve ardından ilişkilendirme için ipuçlarını kullanmaktan ibarettir.
Bu karmaşık işlemler dizisi gerçekten bu kadar sorunsuz mu? Tabii ki değil.
Mevcut APT organizasyonu gittikçe daha kurnaz hale geliyor, bir yandan iyi saklanacak, diğer yandan "insanları öldürmek için bir bıçak ödünç alacak", yani hedefe saldırırken diğer APT organizasyonlarının araçlarını, teknolojilerini veya mikrokodunu kullanmak ve hatta diğer organizasyonları yeniden kullanmak. Ağ altyapısının IP'si bir numara oynamakla aynı anlama gelir.
Wang Liejun, Leifeng.com'a kendilerinin de bu tür hatalar yaptıklarını söyledi Twitter'da kısa süre önce yayınlanan bir rapor, yanlış APT organizasyonuyla eşleştiklerine işaret etti.
Ama gülümsedi, "Yanlış yanlış ve itiraf etmekte sorun yok."
****** Bölme çizgisi ******
Analizin tamamını okuduktan sonra, ilgili raporlara ulaşmanın zor olduğunu düşünüyor musunuz? (Leifeng.com tarafından yayınlanan raporu henüz yeniden okumadım!)
APT son derece kalıcı tehdit terimi, Google'ın 2010'da Çin'den çekilmesindeki "Aurora Saldırısı" güvenlik olayından kaynaklandı. Çeşitli ülkelerden güvenlik uzmanları bu tür saldırıları tartışmaya devam etti. Bundan sonra APT saldırısı ve savunma savaşı başladı ve bu savaş 10 yıl sürdü. Açıkçası, bu bitmemiş bir savaş.
2018'de dünya çapında sayısız APT saldırısı oldu, ancak 2019'da çok daha fazlası vardı. Gittikçe gizlenen saldırganlar karşısında, güvenlik personeli kutsal kılıcı yeniden şekillendirmeye devam ediyor. Siber dünyadaki saldırı ve savunma savaşı asla durmayacak.
Son olarak, hepinize mutlu bir yeni yıl diliyorum ve 2019 da ördekleri neşelendirmek zorunda.
"Ma Nongjie" nin beyitini takın.
Resim kaynağı: Gizemli arkadaş çevresini düzenleme
İlgili Makaleler:
Beş yeni APT organizasyonu açıklandı. 2019 "yükselen yıldızlar" dünyası mı?
APT organizasyonlarının yurtiçi ve yurtdışındaki askeri sıralamalarının sırları
