何樹果，袁 瑗，朱 震，盧圣龍，陳嘉磊，畢鑫泰

(1.北京升鑫網(wǎng)絡(luò)科技有限公司 青藤云安全人工智能實(shí)驗(yàn)室，北京101111；2.西南大學(xué) 計算機(jī)與信息科學(xué)學(xué)院，重慶400715)

0 引言

互聯(lián)網(wǎng)企業(yè)規(guī)模不斷擴(kuò)張，隨之而來的是計算機(jī)數(shù)量的逐年增加。微軟為管理員提供了兩種方式管理計算機(jī)，即域和工作組。默認(rèn)情況下，計算機(jī)會加入工作組，但是工作組在管理上屬于分散型，很難用于集中管理，更加適用于小型網(wǎng)絡(luò)。其中，為提升大型網(wǎng)絡(luò)的管理效率以及安全性，微軟提供了域技術(shù)來管理大型網(wǎng)絡(luò)中的計算機(jī)，輔助管理人員對計算機(jī)進(jìn)行集中管理[1]。在域中，使用域控制器(Domain Controller，DC)進(jìn)行管理，使用服務(wù)器為申請連接的計算機(jī)進(jìn)行驗(yàn)證，DC中存放著域賬戶、密碼以及隸屬于域的計算機(jī)信息等。如果某臺計算機(jī)想要連接這個域，域控制器會根據(jù)賬戶和密碼來判定這臺計算機(jī)是否屬于這個域，從一定程度上對網(wǎng)絡(luò)安全管理進(jìn)行了加強(qiáng)。

使用域技術(shù)進(jìn)行管理是目前很多企業(yè)、工廠都會采用的一個常見管理方法。由于DC中涵蓋了域的敏感信息，因此域管理下的網(wǎng)絡(luò)安全是需要建立在DC的安全之上的[2]。一旦域管理員的賬號和密碼泄露，黑客便可以利用盜取的高權(quán)限賬戶來操縱域環(huán)境，進(jìn)行信息盜取、投放病毒、留后門維持訪問等操作，因此域滲透已經(jīng)成為了黑客入侵企業(yè)網(wǎng)絡(luò)的主要手段之一。一旦域控服務(wù)器被黑客攻陷，可能會導(dǎo)致企業(yè)的敏感信息泄露、工作進(jìn)度癱瘓、被黑客勒索等后果，會給企業(yè)帶來非常嚴(yán)重的損失[3]。保障域安全是域管理的重要環(huán)節(jié)，傳統(tǒng)的防御方式主要是從防御者的角度去提出解決方案，但往往面臨著覆蓋范圍不全面、難以檢測新的未知威脅等問題[4]。

ATT&CK(Adversarial Tactics，Techniques，and Common Knowledge)框架是一個攻擊行為知識庫和威脅建模模型，已發(fā)展至多平臺(Windows、Linux、MacOS等)、多場景(移動端、企業(yè)內(nèi)網(wǎng)、云、終端等)，是攻擊鏈整個生命周期的行為分析模型[5]。基于ATT&CK框架建立域安全防護(hù)系統(tǒng)，從攻擊者角度出發(fā)解決問題，有利于建設(shè)更全面、更準(zhǔn)確的域安全防護(hù)體系，優(yōu)化威脅響應(yīng)機(jī)制。本文基于ATT&CK框架，著重在實(shí)戰(zhàn)中模擬現(xiàn)實(shí)域環(huán)境可能遭受到的未知威脅，臨摹出“域安全下的ATT&CK框架”，對威脅進(jìn)行更全面、更準(zhǔn)確的檢測，建立完善的域安全管理體系，為企業(yè)網(wǎng)絡(luò)安全管理保駕護(hù)航。

1 ATT&CK框架簡介及其發(fā)展現(xiàn)狀

1.1 ATT&CK框架簡介

ATT&CK框架由美國MITRE公司于2013年提出，經(jīng)過多次的版本更迭，現(xiàn)已逐漸發(fā)展成為高細(xì)粒度、高準(zhǔn)確度的安全知識框架[6]。通過對攻擊方式的平臺、來源、場景等進(jìn)行類別劃分，整個框架在實(shí)戰(zhàn)中具備更全面的效用，逐漸得到安全行業(yè)的廣泛關(guān)注。ATT&CK逐漸成為分析網(wǎng)絡(luò)中攻擊與威脅的知識標(biāo)準(zhǔn)體系，廣泛應(yīng)用于內(nèi)網(wǎng)、終端、移動端等不同領(lǐng)域，并且適用于多類別的平臺(包括Windows、Linux、MacOS等)，有利于輔助建設(shè)網(wǎng)絡(luò)安全防御體系。

ATT&CK框架分為三個板塊：ATT&CK for Enterprise、ATT&CK for Mobile和ATT&CK for ICS[7]。針 對企業(yè)網(wǎng)絡(luò)環(huán)境，ATT&CK for Enterprise提供了企業(yè)網(wǎng)絡(luò)中所面臨攻擊方式的知識模型。其圍繞對抗的戰(zhàn)術(shù)、技術(shù)和常識進(jìn)行分類，通過矩陣的方式進(jìn)行呈現(xiàn)。ATT&CK框架將完整的攻擊序列拆分成了不同的“戰(zhàn)術(shù)”，其涵蓋了攻擊者在執(zhí)行攻擊操作時的標(biāo)準(zhǔn)，是攻擊者的執(zhí)行目標(biāo)；在每個“戰(zhàn)術(shù)”中，根據(jù)攻擊者使用的攻擊方法不同劃分為不同的“技術(shù)”，這是實(shí)現(xiàn)戰(zhàn)術(shù)目標(biāo)的方式[8]。

1.2 ATT&CK框架發(fā)展現(xiàn)狀

相較于2019年10月發(fā)布V6版本，ATT&CK for Enterprise涉及的“技術(shù)”不斷橫向擴(kuò)充和縱向拓展，覆蓋更加全面；在2020年10月發(fā)布的V8版本中，新增兩種新的“戰(zhàn)術(shù)”：偵察和資源開發(fā)。2021年10月，ATT&CK V10版本發(fā)布，更新了適用企業(yè)、移動的 技術(shù)、組件、軟件。其中，ATT&CK for Enterprise在當(dāng)前版本中已涵蓋了14個戰(zhàn)術(shù)、188個技術(shù)，379個子技術(shù)、129個組以及637個軟件。從安全知識體系的搭建看，ATT&CK框架反映出的安全知識模型涵蓋的范圍逐年增加，子技術(shù)變化情況如圖1所示。

圖1 ATT&CK框架子技術(shù)變化情況

ATT&CK框架將攻擊者在進(jìn)行序列操作時不同的執(zhí)行目標(biāo)定義為14個“戰(zhàn)術(shù)”：偵察、資源開發(fā)、初始訪問、執(zhí)行、持久化、權(quán)限提升、防御逃避、憑證訪問、發(fā)現(xiàn)、橫向移動、收集、命令與控制、數(shù)據(jù)竊取、影響與破壞[9]。ATT&CK for Enterprise于當(dāng)前版本所涉及的“戰(zhàn)術(shù)”分布圖如圖2所示。

圖2 ATT&CK框架技術(shù)分布情況

1.3 域安全和ATT&CK結(jié)合的優(yōu)點(diǎn)

ATT&CK框架針對黑客的攻擊方式進(jìn)行分析整理，有效指導(dǎo)了對抗實(shí)戰(zhàn)，讓防御者從攻擊行為的視角來看待攻擊者，并制定防御措施[10]。無論是攻擊者還是防御者都在不斷提升自己的能力，發(fā)展新的技術(shù)需要做出相應(yīng)調(diào)整。因此，ATT&CK框架針對新技術(shù)也在不斷縱向擴(kuò)展，每半年左右會更新一次，它更希望防御者能夠有效利用新技術(shù)優(yōu)化防御體系。

ATT&CK框架不僅為建立域安全防護(hù)體系提供了理論基礎(chǔ)，還成為了攻防雙方都認(rèn)可的一種通用語言。ATT&CK框架從攻擊者的視角出發(fā)看問題，打破了傳統(tǒng)上只從防御角度建設(shè)安全體系的做法，提供更容易共享上下文的行動和潛在對策，能夠簡化情報的創(chuàng)建過程。ATT&CK框架提供了對抗行動和信息之間的關(guān)系，防御者可以根據(jù)設(shè)定的“戰(zhàn)術(shù)”去追蹤攻擊者執(zhí)行每項(xiàng)操作的動機(jī)。因此，安全人員的工作從尋找未知攻擊，轉(zhuǎn)變?yōu)榘凑誂TT&CK框架融合防御策略與攻擊者的手冊，預(yù)測未知攻擊。同理，如果把ATT&CK框架應(yīng)用于域安全領(lǐng)域，攻擊者能夠更加容易地找到攻擊域控制器的最佳路線，防御者也能夠根據(jù)更多的上下文信息找到攻擊者的攻擊路線。

基于ATT&CK框架進(jìn)行威脅與攻擊行為研究，有利于將整個攻擊路徑結(jié)構(gòu)化，可用于創(chuàng)建攻防對抗模擬的場景，便于安全團(tuán)隊研究、開發(fā)更全面的威脅響應(yīng)機(jī)制，達(dá)到更準(zhǔn)確、更具針對性的檢測。

2 基于ATT&CK框架的域安全研究

基于ATT&CK框架對域滲透的攻擊進(jìn)行系統(tǒng)性的研究，目的是為了更好地建設(shè)域安全防御體系。分別將其中涉及的攻擊技術(shù)與ATT&CK中的“技術(shù)”或“子技術(shù)”進(jìn)行對應(yīng)，共涉及42種“技術(shù)”或“子技術(shù)”，涵蓋了14種“戰(zhàn)術(shù)”中的8種“戰(zhàn)術(shù)”，分布情況如圖3所示。

圖3 基于ATT&CK框架的域安全“技術(shù)”分布情況

3 基于ATT&CK框架的域滲透攻擊行為檢測

通過將ATT&CK框架知識融入到域安全防御中，從攻擊者的角度將其所處的攻擊階段，每個攻擊階段使用的技術(shù)，每種技術(shù)使用的攻擊姿勢很好地刻畫；從防御者的角度，能夠更加清晰地看到攻擊者攻陷域控制器的上下文信息，更好地對攻擊路線進(jìn)行溯源分析。

3.1 檢測流程

針對上一節(jié)所提及的戰(zhàn)術(shù)和技術(shù)進(jìn)行系統(tǒng)梳理，通常攻擊者在進(jìn)行域滲透的攻擊行為時，會產(chǎn)生大量的安全日志事件，通過對單個的敏感事件以及連續(xù)的異常事件的分析，最終通過事件種類(大類15種、小類40種)來達(dá)到對這些戰(zhàn)術(shù)和技術(shù)的全覆蓋。域安全防御過程中日志事件涉及情況如圖4所示。

圖4 域安全日志事件涉及情況

結(jié)合ATT&CK框架對域滲透攻擊行為進(jìn)行分析，監(jiān)控異常行為產(chǎn)生的事件，對敏感事件或連續(xù)的異常事件進(jìn)行捕獲，實(shí)現(xiàn)對異常的檢測。整個檢測流程分為4個部分，檢測流程如圖5所示。

圖5 域安全異常檢測流程圖

各部分的功能簡要介紹如下：

(1)數(shù)據(jù)采集

在域控服務(wù)器上安裝Agent，采集相應(yīng)的日志事件。采集事件即上一部分所講的15大類，40個小類的事件，將相應(yīng)的日志傳送到Kafka進(jìn)行存儲。

(2)實(shí)時數(shù)據(jù)流

實(shí)時數(shù)據(jù)流采用Kafka。Kafka是一種高吞吐量的分布式發(fā)布訂閱消息系統(tǒng)，可以快速處理數(shù)據(jù)流數(shù)據(jù)，具有高吞吐量、低延遲、可擴(kuò)展性、持久性、可靠性、容錯性、高并發(fā)等優(yōu)勢，非常適合日志收集的場景，通過Kafka以統(tǒng)一接口服務(wù)的方式開放給各種消費(fèi)者。

(3)實(shí)時多維分析引擎

實(shí)時多維分析引擎分為規(guī)則引擎和計算引擎兩部分，從多個維度，比如進(jìn)程、網(wǎng)絡(luò)、賬戶等之間的關(guān)聯(lián)關(guān)系對日志數(shù)據(jù)進(jìn)行上下文分析，使告警盡可能精準(zhǔn)。其中規(guī)則引擎主要管理針對域控滲透攻擊行為相應(yīng)的檢測規(guī)則，計算引擎主要消費(fèi)Kafka里面的日志數(shù)據(jù)并進(jìn)行實(shí)時分析，同時和規(guī)則引擎里面的規(guī)則進(jìn)行匹配，達(dá)到實(shí)時檢測的目的；

(4)實(shí)時分析結(jié)果

實(shí)時分析檢測結(jié)果并進(jìn)行告警。告警情況包括該攻擊行為對應(yīng)的ATT&CK框架中所采用的技術(shù)和/或子技術(shù)編號、告警描述、處置建議等，同時也支持根據(jù)客戶的實(shí)際需求進(jìn)行定制。

3.2 試驗(yàn)效果

為了證明有效性，邀請相應(yīng)的安全研究人員進(jìn)行了4個批次的公開對抗，其試驗(yàn)環(huán)境如表1所示。

表1 試驗(yàn)環(huán)境說明

經(jīng)過長達(dá)4周激烈的對抗，發(fā)現(xiàn)規(guī)則未覆蓋的域攻擊姿勢2種，規(guī)則誤報2處，對抗后對未覆蓋的姿勢和誤報規(guī)則均進(jìn)行了相應(yīng)的修復(fù)處理。根據(jù)統(tǒng)計，安全人員最喜歡用的攻擊姿勢是CVE-2020-1472漏洞，即Zerologon漏洞。該漏洞影響Netlogon遠(yuǎn)程協(xié)議所使用的加密身份驗(yàn)證方案，Netlogon遠(yuǎn)程協(xié)議(也稱為MS-NRPC)是一個遠(yuǎn)程進(jìn)程調(diào)用(RPC)接口，僅由連接到域的設(shè)備使用，它包括身份驗(yàn)證方法和建立Netlogon安全通道的方法，具有多種用途。其中，最廣為人知的是更改計算機(jī)帳戶密碼的能力，這可能導(dǎo)致Windows被攻擊，該漏洞影響重大，風(fēng)險評分達(dá)10.0滿分。

4 結(jié)論

本文使用ATT&CK框架提供的知識庫在域滲透檢測上進(jìn)行了實(shí)踐，并且通過實(shí)戰(zhàn)對抗驗(yàn)證了二者結(jié)合的有效性和適用性，并取得了良好的檢測結(jié)果。該方法為攻擊行為檢測和防御體系建設(shè)都提供了更全面、更準(zhǔn)確的思路。未來，研究團(tuán)隊將不斷完善安全機(jī)制的建設(shè)，幫助客戶解決域環(huán)境安全管理的難題，提升客戶域攻擊方面的檢測能力。