威胁情报·攻击链


=Start=

缘由:

这里主要记录一些日常看到的和「威胁情报」、「攻击链」相关的文章内容、链接,方便在需要的时候快速查阅。

正文:

参考解答:
  • 朋友圈;
  • Freebuf;
  • 360播报;
  • Tencent玄武实验室;
  • sec-wiki
  • ……
参考链接:

深入分析CCleaner后门代码 – 编译环境污染类的供应链攻击案例
https://mp.weixin.qq.com/s/5IewlRR-1VZ5sx1YactNkg
http://www.freebuf.com/news/148888.html

供应链攻击之part1/2 (Kingslayer – A supply chain attack)
http://hackdog.me/article/Kingslayer-A_supply_chain_attack–Part_1.html
http://hackdog.me/article/Kingslayer-A_supply_chain_attack–Part_2.html

谈谈软件供应链污染
http://www.freebuf.com/special/129231.html

=END=


《 “威胁情报·攻击链” 》 有 24 条评论

  1. 恶意软件信息共享平台(MISP)中内置了多种信息列表,目的是降低情报信息的误报问题。这些列表包括 Alexa Top 1000 网站列表、公开 DNS 解析服务器列表、微软和 Google 域名列表等等
    https://github.com/MISP/misp-warninglists

  2. 小议威胁情报
    https://mp.weixin.qq.com/s/9ULzSj3MxSx8s6Sxm7KtwQ
    `
    三个焦点问题:
    问题一:威胁情报该怎么理解?用户需要的威胁情报到底是什么?
    问题二:威胁情报该怎么管理?情报平台在安全体系中怎么定位?
    问题三:威胁情报该怎么应用?如何让威胁情报在具体场景落地?

    该(OODA循环)理论的基本观点是:在冲突中,敌我双方的较量实际是基于谁能更快、更高效的完成整个OODA循环程序,或是进入或操控对方的OODA循环系统,使其做出错误反应。所谓OODA循环是Observe(观察)、Orient(调整)、Decide(决策)和Act(行动)的一整套循环流程:敌我双方在发生冲突时,首先做的都是观察,包括对自身、环境和敌方的观察;基于观察的结果,获取与行动相关的内外信息和情报,形成对态势的感知;再根据感知的外部威胁,及时调整自身系统,做出应对决策,并迅速采取相应的行动。
    `

  3. 威胁情报成熟度模型
    http://www.aqniu.com/industry/7623.html
    `
    衡量一个公司的安全能力有两个关键标准。其一是平均检测时间(MTTD:Mean-Time-to-Detect),这是公司发现一个真正有风险的威胁所用的平均时间,其中包含了更进一步的分析和响应。其二是平均响应时间(MTTR:Mean-Time-to-Respond),也就是公司全面分析威胁并平息任何可能的风险所用的平均时间。

    公司企业缩短MTTD和MTTR的关键在于采用安全情报,彼得森说。“正如商业情报帮助无数公司拨开那太多看起来毫无关联的商业数据制造的迷雾,找出之前没有发现的商机那般,安全情报对威胁信息所做的事大体与之相同。它能使公司清晰看到真正重要的威胁。安全情报的主要目标,是在正确的时间,采用合适的上下文,传达正确的信息,以便显著缩短检测和响应破坏性网络威胁所需要的时间。
    `

  4. 利用Splunk 完成渗透测试前期的情报分析
    https://xz.aliyun.com/t/2351
    `
    为什么选择Splunk而非ELK?
    安装Splunk
    域搜索
    获取所有子域
    DomLink domains-> Give me all subdomains
    密码转储
    员工OSINT
    综合运用员工OSINT与密码转储
    Nmap扫描
    小结
    `

  5. 威胁狩猎(Threat Hunting)
    https://mp.weixin.qq.com/s/9oBKBSkeA98Qyz5PtsDrqQ
    `
    威胁狩猎的目的是缩短入侵发现的时间,它的价值在于你只需要花费数千美元进行补救而不是花费数百万美元来事后公关处理。然而,许多组织仍然没有专业的hunting Team。 有证据显示38%的入侵行为是由第三方或外部实体曝光而不是由受害组织自己发现。为了降低这个数字,降低安全开销,我们必须假设入侵行为已经发生,并且在发生损害之前寻找证据。

    · 如何建立hunting Team,回顾了threat hunting的基本概念,猎取团队所需的知识和经验,以及团队寻找的行为类型。
    · 讨论威胁建模框架,狩猎结构的步骤以及评估狩猎效率和功效的指标。

    0x01 什么是Hunting
    0x02 Hunting Team组成
    0x03 Hunting Team需要寻找什么
    0x04 分类未知威胁
    0x05 建立环境基线
    0x06 结构化威胁狩猎
    0x07 选择一个框架
    0x08 如何结构化
    `

  6. 供应链安全 | 破阵:对国内外网络供应链攻击的思考
    https://mp.weixin.qq.com/s/AleZLuX6ZGEsMWJAHfQq5g
    `
    一、供应链攻击:国家博弈的战略型武器
    二、国内外供应链攻击的防御思路
    综上案例可见,供应链攻击具有隐秘性高、投放扩散效率高、攻击面更广阔更立体等特征,且攻击点愈往上游,影响量级就愈大。因此,近年来,围绕供应链攻击的防御和应对,逐渐成为安全领域的重要研究方向。在这方面,各国政府、国内外互联网厂商和安全机构做了很多努力和大量的实践。
    (一)各国政府投入大量精力应对供应链安全
    (二)Google等国际厂商缩小被攻击面抵御入侵
    (三)国内互联网厂商斩断攻击路径
    三、思考和探讨
    第一,防御理论需要升维。通过封锁、隔离等传统手段来应对供应链攻击是当今的主流防御思想之一,但是,在万物互联互通的今天,安全没有孤岛。单一的、精简型的企业会逐渐被连接一切的数字生态系统所覆盖。在这个成紧密网状的生态系统下,纯粹隔离性的手段,在未来攻防之间的较量中,必定会被逐渐淘汰。
    第二,防御资源需要升级。在当今军事战场上,对付洲际弹道导弹唯一有效的防御策略是“以导弹打导弹”——发射一枚同等量级的拦截导弹来进行阻拦,这无疑需要重量级的防御资源。同样,面对具备战略级杀伤力的供应链攻击,防守单元不能是单一组织,而需要上升到国家、社会层面,加大投入,全面升级防御资源。
    在未来网络空间的攻防战场上,竞争对手极有可能将供应链攻击作为一种战略性武器掌握更多主动权。只有做好对于攻击的提前研究和全局思考,以及基于“攻、检、防三位一体”的防御体系的主动建设,才能使我们在风谲云诡的信息战场上始终立于有利境地。
    `

  7. Kubernetes 时代的安全软件供应链
    https://mp.weixin.qq.com/s/HBdSP3qT_W7a_RaHn_wyAQ
    `
    软件供应链攻击面和典型攻击场景

    软件供应链通常包括三个阶段:
    软件研发阶段
    软件交付阶段
    软件使用阶段

    在不同阶段的攻击面如下:
    软件研发阶段
    – IDE开发工具污染攻击
    – 三方库漏洞和后门攻击
    – 直接源码污染攻击
    软件交付阶段
    – 软件存储替换和篡改攻击
    – 传输劫持和捆绑下载攻击
    软件使用阶段
    – 升级劫持污染攻击
    – 运行环境后门和漏洞攻击
    – 三方库0day漏洞攻击
    `

  8. 源头之战,不断升级的攻防对抗技术 —— 软件供应链攻击防御探索
    https://mp.weixin.qq.com/s/3P70fr3Yxb3X7SsYdNKn_Q
    `
    近几年脚本语言社区因管控薄弱、攻击成本低成为软件供应链攻击的重灾区。本文分享一下我们应对脚本类软件供应链攻击的一些安全建设思路,欢迎交流探讨。

    # 软件供应链攻击环节
    软件供应链主要分三个环节,每个环节都可以被攻击。

    2.1- 生产节点被攻击(开发软件)

    软件开发涉及到的软硬件开发环境、开发工具、第三方库、软件开发实施等等,并且软件开发实施的具体过程还包括需求分析、设计、实现和测试等,软件产品在这一环节中形成最终用户可用的形态。

    攻击案例:xCodeGhost[附1], xshell攻击[附2]

    2.2- 交付节点被攻击(软件上线的平台、硬件)

    用户通过软件官网、公共仓库、在线商店、免费网络下载、购买软件安装光盘等存储介质、资源共享等方式获取到所需软件产品的过程。受攻击对象比如著名的软件下载站、Python官方镜像源、Github等。

    攻击案例:中文版Putty后门事件[附3]、思科后门事件[附4]

    2.3- 使用节点被攻击(软硬件使用者)

    使用软硬件产品的整个生命周期,包括产品更新升级、维护等过程。

    攻击案例:powercdn软件升级劫持攻击[5]

    根据赛门铁克2019 年《互联网安全威胁报告》,供应链攻击和离地攻击现已成为网络犯罪的主流:2018年供应链攻击增加了78%。特别在很多发布平台的安全能力较弱甚至没有的情况下,软件供应链攻击仅需要作者的一个上传、发布即可轻松完成钓鱼。

    # 软件供应链攻击防御思路

    1、自建内部软件源

    2、主机安全检测
    2.1 静态检测
    2.2 行为检测
    行为检测方案通过监控服务器的异常行为来发现软件供应链攻击,包括命令执行、域名访问、网络连接等行为;安全系统实时采集服务器/终端行为数据传到后台大数据平台进行实时分析,综合使用规则匹配、白名单模型、统计分析、关联分析等多种方法发现异常行为并告警。

    3、主动扫描
    3.1 检测思路

    1.下载代码静态扫描,类似主机安全检测的静态扫描,此处不再重复介绍,静态扫描的优点是:速度快,但误漏报相对较多。

    2.系统沙盒动态检测,通过沙箱进行syscall和流量监控,优点是可以准确捕捉程序行为,不受代码混淆的影响。缺点是建设、运营成本高;对于存在对抗的恶意代码,系统沙箱无法正常触发其恶意代码逻辑,脚本类恶意代码,定位成本相对较高,以npm和pypi软件源检测为例,一个软件包一般由多个脚本组成,当沙箱捕获到一个外连请求,无法确认是哪个脚本发出的。

    3.软件包信誉评估,根据各大软件交付平台的软件包基础信息进行信誉评估,包括上架时间,访问次数,代码大小,文件名、fork次数等等,建设信誉评估模型,对低信誉的包进行安全报警,优点是场景通用,速度快。

    4.应用层沙盒动态检测,针对解释型语言做应用层沙盒动态检测,应用层沙盒的优点是可以轻松定制触发场景、模拟各种用户调用,触发潜藏的恶意行为,覆盖率高;近期我们上线了Python应用沙盒,以函数劫持方式监控pypi包的网络连接,命令执行和文件读写等行为,建立精确行为链模型,而且通过回溯的方式,可以清晰地知道异常行为产生于哪一个包里哪一个脚本的具体哪一行代码。
    `

  9. 供应链安全:安全建设中的第三方组件依赖问题
    https://mp.weixin.qq.com/s/nvrFpVpBYe-r9Z0m_naxSA
    `
    背景
    OWASP TOP 10列表中反复强调的“使用含有已知漏洞的组件”逐步成为供应链安全的显著问题,外部研究机构显示78% 的漏洞是在项目中的间接依赖中被发现的。读者们不妨想一想被Apache Struts和fastjson支配的恐惧,就知道依赖安全类的感知和修复过程非常复杂。所以目前的SDLC中的软件安全领域越来越关注软件成分分析,将其作为一个独立的安全建设领域很有必要,今年上半年默安科技和360代码卫士分别发布了对应的产品,笔者试用后对产出的指标并不十分满意,本文重点阐述一些思考并为读者介绍如何借用开源的力量做好依赖安全。

    着力点:接入、发现、防护、管理
      接入
      发现
        漏洞
        软件许可协议
      防护
      管理(管理层面要先行,想一下做到完全的安全是行不通的,没有管理的支持是说不通的。)
    做组件分析的时机
    参考资料
    `

  10. 初探供应链安全
    https://www.sec-un.org/%E5%88%9D%E6%8E%A2%E4%BE%9B%E5%BA%94%E9%93%BE%E5%AE%89%E5%85%A8/
    `
    当我遇到一个新事物之后,我的习惯不是马上去看标准、找书、问产品,而是先听听身边人的观点、看法,分析判断他们为什么这么看,再结合自己的经验、手边的数据、观察进行总结,先自己立一个框架出来;再去和各类标准、规范、产品去碰撞,在碰撞过程中找自己和对方的不足,再重建逻辑框架。我个人以为这样可以很好地训练自己独立思考的能力,不至于被某些标准、框架、产品带进去。本文是自己近期对“供应链安全”的一个思考心得,肯定还有很多偏差和不成熟,也没有看过成熟的标准、框架是啥样,所以定名为“初探”,等下次学习完了,再来个续集。

    一、啥叫供应链安全?

    供应链,顾名思义就是你所需要的、你使用的东西,是需要在产业协同中别人提供给你的。安全应该就是“可信”的含义,就是在供应过程中虽然有部分工作是别人干的、但是在我管控范围内,我要么能看得到,要么能控制得住,要么就是符合安全可信的标准要求,最终达到可信的状态。

    二、IT领域的供应链安全应该包括哪些治理对象?

    我在去年10月给公司领导的汇报中,是这么分类的:硬件、软件、人、数据、服务。但是这么分类之后,我自己也一直在思索是否、如何改进。我看到很多公众号在分析IT领域的供应链安全的时候,很不注意措辞和边界范围的定义,直接就把“供应链安全”等同于“软件供应链安全”,我认为是大大错误的。

    以上几个事情触动了我的思考,在之前结论的基础上,我修正了观点:我认为IT领域的供应链安全应该包括如下治理对象(1)硬件及其功能、原子组件;(2)软件及其功能、原子组件;(3)知识和数据;(4)人;(5)资本。这5类应该就是IT领域的生产要素。
    `

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注