Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

APT行為偵測術

2,378 views

Published on

HoneyCon 2012 的講題與簡報

Published in: Software
  • Be the first to comment

APT行為偵測術

  1. 1. 1 APT行為偵測術 陶靖霖 精誠資訊 技術顧問 wiselytao@systex.com.tw
  2. 2. 2 首先,複習一下APT
  3. 3. APT的生命週期 3
  4. 4. APT的攻擊流程 4
  5. 5. APT的特性 高度客製化,非常具有針對性 對傳統防禦機制具有欺騙性與隱蔽性 具有持續行為,不達目的不罷休 沒有終極解決方案 非單一產品可以應對 5
  6. 6. APT的防禦策略 保密防諜,人人有責 – 資安意識訓練 (Awareness Training)  Human Firewall ?!  人永遠是弱點  治本的好方法  緩不濟急  越是APT目標的人越需要  越是個咖越困難 6 要一個人學會不開啟APT檔案,是非常不人道的事情。 - by 某資安專家
  7. 7. APT的防禦策略 禦敵於國土之外 – 邊界防禦 (Edge Security)  既有資安產品成效有限  所有客戶的期待,眾家資安廠商努力的領域  面對APT的第一道防線,非常容易遭到針對性反制 7
  8. 8. APT的防禦策略 滯敵於圯地之中 - 縱深防禦 (Defense in Depth)  邊界防禦失效以後的倚賴  攻擊是一個流程,縱深防禦的目的在切斷流程  也許會有損失,但可以減輕或減緩損失的發生 8
  9. 9. 9 深度挖掘APT
  10. 10. 成功阻止APT的前提 要先能發現APT攻擊 還要能分辨真假 10
  11. 11. 凡走過必留下痕跡?! 環境中必須有留下痕跡的設計 11
  12. 12. 要發現APT,需要眾多耳目 12
  13. 13. 監控所有的狀態變更 13 狀態管理 & 變更管理
  14. 14. 監控所有的狀態變更 狀態監控 Open/Listening Ports Process List Outbound Connections User/Group List Privileged User List Wifi Connections Configurations Log Level 變更管理 File Uploads/Downloads File Executions File Attribute Changes Registry Changes Policy Changes Config Changes Permission Changes 14
  15. 15. APT藏在細節中 Log不是隨便收就派得上用場  Audit Log / Audit Trail  System States  Log Level  Log Fields  Log Detail 收錯了也是枉然 15
  16. 16. 從眾多Log中挖掘隱蔽的行為 17 Logfiles Configs Messages Traps / Alerts Metrics Scripts TicketsChanges
  17. 17. Splunk 日誌分析平台
  18. 18. 以模式分析補強規則判斷 Rules View  Breaking the speed limit  If one or more of these things happen let me know  Watches for only what is known  No concept of what is „normal‟ Patterns View  Watches for rhythms in your data over time against what is „normal‟ (normal will not be static)  Takes advantage of „weak signals‟ from non-traditional security data  Watches for what you don‟t know  Patterns + Analytics enables decisions 19
  19. 19. Example: Time-based Pattern-detection Human vs. Malware Behaviors 20 Pattern: requestfordownload immediatelyfollowedbymorerequests  Fastrequestsfollowingthedownload ofaPDF,java,zip,orexe.Ifa downloadisfollowedbyrapid requestsformorefilesthisisa potentialindicatorofadropper. Splunkpatternsearch  Timebasedtransactionssortedby length  source=proxy[searchfile=*.pdfOR file=*.exe|dedupclientip|table clientip]|transactionmaxspan=60s maxpause=5sclientip|eval Length=len(_raw)|sort-Length
  20. 20. Example: Patterns of Beaconing Hosts to Command and Control 21 Pattern:  APTmalware‘beacons’to commandandcontrolatspecific intervals Splunkpatternsearch  Watchingforhoststhattalktothe sameURLatthesameinterval everyday  …|streamstatscurrent=f last(_time)asnext_timebysite| evalgap=next_time-_time|stats countavg(gap)var(gap)bysite  Whatyou’dbelookingoutforare sitesthathavealowvar(gap)value.
  21. 21. 22 Example: Time-based Pattern-detection Beaconing ofhosts to command and control #2 Pattern: APTmalware‘beacons’to commandandcontrolatspecific intervals Splunkpatternsearch An abnormally high number of same sized DNS requests from an internal host. sourcetype=dns | eval Length=len(file) | stats count(clientip) by Length | sort - Length
  22. 22. 23 這樣還不夠
  23. 23. 我們需要更多的細節 篩選不出的結果,才是我們需要的  能發現,通常都有阻擋能力,例如:FW, IPS, Anti-Virus…  沒被發現的才可能是成功的攻擊  沒留下痕跡的,可能是隱藏的弱點 Application Log呈現的內容有限  HTTP: POST內容、Cookies  Mail: Body、Attachment mime-type  看不到完整的User Behavior 24
  24. 24. 但是Full Packet Capture不是我們需要的 原始封包雖然內容很完整,但….  Raw Packets不利內容搜尋與統計分析  Sniffer的decoder能力有限  Decoded內容並未結構化或半結構化,不利分析 不利分析的資料無法提供 即/及 時分析的可能性  分析量受限,分析規模與樣本完整性都受到影響  不易與其他分析工具(如SIEM, NBAD, LM…)整合分析  不易與其他資料來源(IPS/FW/Event Log…)整合分析 25
  25. 25. 在 RAW 與 Log 之間 DPI (Deep Packet Inspection) 可以兼顧兩種需求 26 Mirror Packets Metadata User=SA Password=xxx Method=“GET” Protocol=“HTTP ” NetworkTAP Parse packets & Extract Metadata
  26. 26. 什麼是 Metadata? 27 From: nick.fury@shield.com To: tony.stark@starkinc.com Subject: A funny test Hi Tony, A funny pic and see if Mark IIV is color blindness. Nick 寄件人 收件人 信件主旨 信件本文 附件 (圖檔)
  27. 27. Metadata 比 Netflow 有更多的細節 28 Netflow Record 12.34.56.78:3022 – 87.65.43.21:2525 bytes transferred 512k Time 14:24:37 6/6/2012 Metadata Record 12.34.56.78:3022 – 87.65.43.21:2525 sender nick.fury@shield.com recipient tony.stark@starkinc.com subject A funny test attachment name Unicorn0x202Egpj.scr attachment size 511k attachment mime application/octet-stream body Hi Tony, A funny pic and see if you are color blindness. …
  28. 28. Metadata 也比 Raw Data 更容易分析 29 Raw Data 12.34.56.78:3022 – 87.65.43.21:2525 Metadata Record 12.34.56.78:3022 – 87.65.43.21:2525 sender nick.fury@shield.com recipient tony.stark@starkinc.com subject A funny test attachment name Unicorn0x202Egpj.scr attachment size 511k attachment mime application/octet-stream body Hi Tony, A funny pic and see if you are color blindness. … Delivered-To: tony.stark@starkinc.com Received: by 10.180.4.35 with SMTP id h3csp12899wih; Thu, 6 Jun 2012 01:16:16 -0700 (PDT) Received: by 10.68.134.106 with SMTP id pj10mr4091060pbb.112.1340266576086; Thu, 6 Jun 2012 01:16:16 -0700 (PDT) Return-Path: <nick.fury@shield.com> Received: from mail.shielld.com (mail.shield.com. [12.34.56.78]); Thu, 6 Jun 2012 01:16:16 -0700 (PDT) Received: from jarvis.starkinc.com ([172.17.1.3]); Thu, 6 Jun 2012 16:16:04 +0800 (CST) (envelope-from nick.fury@shield.com) To: tony.stark@starkinc.com <tony.stark@starkinc.com> MIME-Version: 1.0 Subject: A funny test …
  29. 29. 利用DPI + Splunk深入挖掘 當發現單位內某人收到釣魚郵件時,從DPI Log內尋找:  單位內其他收件者有無收到同一「寄件者、標題、附件名稱與附 件檔案類型」的郵件  如果有,查詢收件者是否已開啟郵件  如果有,查詢收件者有無下載檔案行為,來源IP與檔案名稱、類 型、大小  查詢收件者有無對外連線443/tcp,卻不是使用HTTPS協定,以 及其目的IP、傳輸內容  查詢來源IP是否有其他使用者連線  查詢目的IP……  查詢…… 30
  30. 30. 利用DPI + Splunk深入挖掘 當發現某台主機疑已遭滲透,從DPI Log內尋找:  該主機對外連線的Dest IP、Port、與Protocol  有無連線443/tcp卻不是使用HTTPS協定的對外連線  有無使用HTTP協定卻不是連線80/tcp的對外連線  如果有找到連線C&C主機的證據,查詢指令與上傳檔案名稱與 大小  該主機與C&C主機所有連線行為與內容  查詢有無其他主機連線C&C主機與其連線行為  查詢有無C&C主機主動發起的連線  查詢其他資安設備有無相關阻擋記錄  查詢…… 31
  31. 31. 結語 不要懷疑,你就是個咖! 不要再用「監控與告警」的角度思考APT對策 APT帶來的產業興盛不是資安業,是Big Data Analysis 「可視性管理」決定了威脅管理的粒度 32

×