编者按
Meta公司研究人员近日发布白皮书,发布了新的“十阶段在线操作杀伤链”。
Meta研究人员提出,网络安全研究界开发了各种杀伤链来定义和描述不同威胁的分类,但每个杀伤链都是针对特定类型量身定制的;新的“在线操作杀伤链”旨在通过提供一个分析框架来填补上述空白,该框架可应用于广泛的在线操作,尤其是以人类为目标的在线操作,包括但不限于网络攻击、影响力操作、在线欺诈、人口贩卖和恐怖分子招募;希望跨平台、开源社区和民主机构内的调查人员能够建立一个共同的框架,以实现更有效的协作,从而分析、描述、比较和破坏在线操作。
Meta的新“在线操作杀伤链”采用与洛克希德·马丁公司2011年提出的“入侵杀伤链”类似的方法,更新的步骤与当今的威胁保持一致;新框架仍然使用逐步分类法来理解和识别高级威胁,但考虑了威胁行为者在发起网络攻击时使用的新攻击媒介和技术;该杀伤链由十个环节组成,每个环节都代表一个顶级策略,每种策略都分解为更详细的技术,再分解为更详细的程序。新杀伤链在其开发过程中使用了六项指导原则:一是基于观察;二是为战术分析而设计;三是适用于多种平台;四是针对人对人的操作进行了优化;五是适用一个或多个平台;六是模块化。新杀伤链定义的十个阶段包括:一是获取资产;二是伪装资产;三是收集信息;四是协调与计划;五是测试防御;六是逃避检测;七是无差别接触;八是针对性接触;九是渗透资产;十是长期驻留。
奇安网情局编译有关情况,供读者参考。
/
Facebook母公司Meta研究人员本·尼莫和埃里克·哈钦斯近日发布题为《在线操作阶段性战术分析》的白皮书,提出了一种处理在线威胁的新框架方法,使用共享模型来识别、描述、比较和破坏攻击链的各个阶段。新框架一是十阶段杀伤链模型,Meta认为该模型将比现有的杀伤链模型范围更具包容性并更有效。
01
洛克希德·马丁公司“七阶段入侵杀伤链”
网络安全理论家长期以来一直试图了解攻击的各个阶段,该想法很简单,即:如果能识别攻击过程中的各个阶段,就更有能力破坏攻击并保护资产。这导致了杀伤链的发展,即各个阶段的顺序列表。2011年,洛克希德·马丁公司提出了初始且仍然具有标志性的杀伤链,对被称为“入侵杀伤链”的攻击进行了七阶段分析。
洛克希德·马丁将该杀伤链描述为“一个系统化的过程,用于瞄准并与对手接触以产生预期的效果。”该杀伤链是网络攻击的一系列阶段,威胁行为者必须完成这些阶段才能实现其目标。通过识别攻击的进展阶段,各机构可以更好地防御和阻止网络事件。尽管该杀伤链是十多年前推出的,但许多组织仍在使用它来帮助定义其网络安全流程。
洛克希德·马丁“入侵杀伤链”的七个阶段包括:
第一阶段:侦察。攻击者首先探索网络的弱点和漏洞,使用网络钓鱼等策略收集电子邮件地址、登录凭据、应用程序和操作系统详细信息等信息。
第二阶段:武器化。攻击者根据发现创建一个攻击向量,例如可能使用远程访问恶意软件、病毒或蠕虫来利用已知漏洞。如果原始入口点被阻止,攻击者还会在系统中放置后门以获得访问权限。
第三阶段:投递。攻击者发起攻击,所使用的具体载体将取决于从第一、第二阶段收集的信息以及攻击目标。
第四阶段:利用。攻击者在受害者的系统中执行恶意代码,如攻击特定设备、发送带有恶意链接的电子邮件或在浏览器级别攻击整个网络。
第五阶段:安装。攻击者在受害者的系统上安装恶意软件、勒索软件或病毒。如果此阶段成功进行,环境将被攻击控制。
第六阶段:命令与控制(C2)。攻击者已经完全远程控制目标网络上的设备或身份。在此阶段追踪攻击者可能很困难,因为其看起来与任何其他用户一样,这使得其能够在整个网络中横向移动并为未来的攻击建立更多的入口点。
第七阶段:针对目标的行动。此阶段可能会立即发生,或攻击者可以在返回开展大规模攻击前进行更多侦察以了解网络情况。当攻击者决定针对其目标采取行动(如数据加密、渗漏或破坏)时,目标机构将任由攻击者摆布。
02
Meta公司“十阶段在线操作杀伤链”
Meta研究人员提出,学术研究界进行基础工作来定义和描述不同威胁的分类,虽然其中许多都以洛克希德·马丁公司的“入侵杀伤链”为灵感,但每个杀伤链都是针对特定的违规类型量身定制的,例如黑客攻击、影响力操作或欺诈;新的“在线操作杀伤链”通过提供一个分析框架来填补上述空白,该框架旨在应用于广泛的在线操作,尤其是以人类为目标的在线操作,包括但不限于网络攻击、影响力操作、在线欺诈、人口贩卖和恐怖分子招募;希望跨平台、开源社区和民主机构内的调查人员能够建立一个共同的框架,以实现更有效的协作,以分析、描述、比较和破坏在线操作。
Meta将新杀伤链与目前可用的大量其他杀伤链框架区分开来,因为它更广泛地关注在线威胁,并为所有威胁提供通用的分类法和词汇表。例如,洛克希德·马丁公司的“入侵杀伤链”、MITRE ATT&CK框架、Optiv的“网络欺诈杀伤链”以及Digital Shadows提议的“攻击接管杀伤链”都是针对特定的在线威胁量身定制的。
Meta方法从假设开始,即尽管攻击具有异步性质,但仍然存在有意义的共性,尤其是在这些共性可以从被攻击的平台或硬件中抽象出来的情况下,攻击的人为因素是关键。
Meta杀伤链在其开发过程中使用了六项指导原则:
一是“基于观察”,并非旨在跟踪假设,例如假设的战略目标;
二是“战术”,为战术分析而设计,而非旨在分析更大的现象,例如有机的社会运动,或衡量非常大规模的脆弱性,例如政治体的整体健康状况。
三是“与平台无关”,适用于包括社交媒体、小型网站和电子邮件提供商等;
四是“针对人对人的操作进行了优化”,描述了来源和目标都是人的操作,可应用于机器对机器的攻击,但主要不是为此而设计;
五是“一个或多个平台”,包括适用于单平台和多平台操作;
六是“模块化”,反映了操作的可能阶段,但并非每个操作人员都经历了各个阶段。杀伤链中的链接可以被认为是模块化元素,并非每个元素都存在于所有情况下。
Meta的新“在线操作杀伤链”采用与原始“入侵杀伤链”类似的方法,更新的步骤与当今的威胁保持一致。这种方法仍然使用逐步分类法来理解和识别高级威胁,但考虑了威胁行为者在发起网络攻击时使用的新攻击媒介和技术。
该杀伤链由十个环节组成。每个环节都代表一个顶级策略,即威胁行为者使用的一种广泛方法。每种策略都分解为更详细的技术,再分解为更详细的程序。程序可以与非行为元数据(例如原产国)相结合,以生成详细的操作视图。
第一阶段:获取资产。获取发起攻击所需的凭据和访问权限,包括获取IP地址、加密钱包、电子邮件地址、电话号码以及犯罪分子可能需要执行其操作并使其看起来合法的任何其他信息。例如:
• 获取加密的电子邮件地址
• 获取社交媒体资产
• 注册企业
• 租用办公空间
• 注册网络域
第二阶段:伪装资产。使得其资产看起来是真实的,包括应用程序、网页、企业和账户,从而吸引和欺骗受害者。例如:
• 使用StyleGAN 2个人资料图片
• 冒充真实的人员或组织
• 伪装成虚构的媒体渠道
• 使用适合目标国家的远程基础设施
• 支持跨多个平台的角色
第三阶段:收集信息。攻击者执行侦察以了解操作所在的环境并收集有关攻击目标的信息,不良行为者会开展钓鱼活动以获取凭据并了解其可以利用的漏洞。例如:
• 使用市售的租用监视工具
• 使用开源航班跟踪数据
• 在社交媒体平台上搜索目标
• 抓取公共信息
• 监控热门话题
第四阶段:协调与计划。攻击者协调并制定计划来启动行动。随着资产继续创建无缝攻击,此阶段可能会持续数天、数周或数月。例如:
• 通过公共帖子进行协调
• 在私人团体中培训新成员
• 使用加密应用程序进行协调
• 发布目标和标签列表
• 跨多个账户自动发帖
第五阶段:测试防御。威胁行为者将使用规模较小、不太明显的技术来测试网络的漏洞、防御和对各种事件的安全响应。老练对手会花时间进行一些测试,以确定执行操作的最佳机会。例如:
• 将网络钓鱼链接发送到行动控制的电子邮件账户
• 发布违规图片的A/B变体
• 发布违规文本的A/B变体
• 使用公开可用的工具测试自己的恶意软件
• 以不同的速率从不同的账户发布垃圾邮件
第六阶段:逃避检测。攻击者不会掩饰其存在,而是在不触发安全系统的情况下“飞到雷达下方”。例如:
• 使用拼写错误混淆关键短语
• 限制网站受众的地域
• 编辑图像
• 通过虚拟专用网络(VPN)或匿名Web浏览器(如Tor)路由流量
• 使用编码语言或参考资料
第七阶段:无差别接触。许多不太复杂的攻击活动使用一种技术,涉及对目标进行不同的操作并查看哪些有效、哪些受阻。更高级的攻击者可能会使用更精确的尝试来攻击特定受害者。例如:
• 在网络论坛上发布与主题不相符的内容
• 回复与主题无关的帖子
• 仅在行动控制的网站上发布
• 仅发布到行动控制的社交媒体时间表
• 使用行动控制资产评论其他行动控制资产的帖子,其中任何资产都没有真正的关注者
第八阶段:针对性接触。攻击者曾接触、欺骗目标,收集目标信息,查找目标漏洞,现在将精力集中在受害者身上,准备发动攻击。例如:
• 投放广告
• 使用适合目标受众的主题标签
• 给潜在的受害者或招募者发送电子邮件
• 向真实的新闻媒体提交行动材料
• 将骚扰团体定向到特定的人员或帖子
第九阶段:渗透资产。开展网络入侵,正式对目标发起攻击,获得操作所需的任何东西以获取“宝库钥匙”,包括管理员凭据、金融账户访问权限及关闭企业的能力。例如:
• 网络钓鱼电子邮件登录凭据
• 使用受感染的电子邮件账户访问社交媒体账户
• 对受害者进行社会工程以移交凭证
• 获得对社交媒体资产的管理权限
• 在受害服务器上安装恶意软件
第十阶段:长期驻留。攻击者应对网络防御的具体方式将取决于目标使用的网络安全工具和方法的类型。例如:
• 将禁用的账户替换为使用相同角色的新账户
• 更改电子邮件地址
• 创建重定向到旧网站的新网站域
• 删除日志和其他证据
• 将中断武器化,声称它一直是计划的一部分
网络国防知识库
产业发展前哨站
开源情报信息源
奇安网情局