谍纸天眼

谍纸天眼
登录
注册
蓝队ATA之“谍纸天眼”系统 RAyH4c2017-06-15 首发专栏：黑客红蓝对抗关注
主动下桩收集情报是蓝队ATA的重要手段之一
读文前先说明下，这个专栏的文章可能会比较碎片化，专注于红蓝对抗的话题，大部分会偏科普，大家可以不用过于抠技术细节。总之记住一句话攻防无极限，永远不要进入鄙视链，大家都是井中蛙，只是各自的井不同。

紧接上文开始来说说蓝队的ATA（Advanced Threat Analytics 高级威胁分析），咱们先来轻松一下，去下面的链接看看《楚乔传》的电视剧片段“谍纸天眼的精巧设计”

https://v.qq.com/x/page/o0511mee1dd.html

追过剧的同学看完后，应该有所了解，谍纸天眼是楚乔传的一个情报组织，获取情报的方式忒是有趣，在电视剧片段中，一支穿云箭就把谍报文书送到了宇文灼的手中，并给出了有效的情报线索，查明了害他们的毒是寒尸散，来自西域。而蓝队的一个重要工作也是收集情报，需要收集安全信息和安全事件，在茫茫大数据中提取出有价值的信息分析，才能和红队对抗，而收集信息和分析信息的方式和这个“谍纸天眼”有异曲同工之妙。以前的收集信息都是被动的，由软件自己产生的日志大都和安全无关，而现在流行的是自己主动下桩，比较容易理解的技术解释是蓝队在终端上对红队攻击的点做手脚下桩（比如HOOK、驱动监控等），等红队的攻击触发了蓝队的桩，也就产生了特别的日志“谍纸”，日志传到蓝队的“天眼”决策中心，以供蓝队分析并进行下一步的动作。

蓝队关心日志中的安全信息和安全事件，专注于这些日志的处理分析，也就变成了更广为信息安全同学所知道的SIEM（security information and event management 安全信息和事件管理）系统，蓝队的谍纸天眼系统！

介绍两个工具，一个是ELK(ElasticSearch, Logstash, Kibana)，这个是一整套的日志收集、查询和分析的开源解决方案。另外一个工具是sysmon，这是一个可以使用配置文件的轻量级windows系统监控工具。sysmon和ELK可以搭配成个人单机上的SIEM简单实验环境，同时这也是一套简易版的病毒分析沙盒。对这个感兴趣的同学可以去下面参考中的两个链接看看。想了解更高级的谍纸天眼系统，我推荐大家关注下微软自己的ATA（Advanced Threat Analytics 高级威胁分析 ）产品，它是基于机器学习来分析终端和网络的异常行为，是可以发现APT攻击的智能SIEM系统。

参考：

1.https://cyberwardog.blogspot.com/2017/03/building-sysmon-dashboard-with-elk-stack.html （需要翻墙）

2.https://blogs.technet.microsoft.com/motiba/2016/10/18/sysinternals-sysmon-unleashed/

dash40.PNG

回到主题，其实“谍纸天眼”只是一套日志收集实时查询分析系统，蓝队最关键的其实还是“谍纸”的产出手段！按老的思路，如果一个病毒出现我们通常会要给这个病毒出yara规则也就是静态文件特征，扫描文件产生的查杀日志这不是好的“谍纸”！它没有办法关联上下文和真实的攻击场景！那怎么样才算是好的“谍纸”呢？

针对这个问题，我再来举一个真实的例子，比如我之前有篇文章《正义组织需要你来拯救！》，提到了CIA感染共享文件的霍乱流感工具，这个工具的攻击非常隐蔽和低调，只针对文件共享的运行时环境时加料，当你从受害者的电脑拷贝共享文件的时候，这个文件会被加入感染代码，而受害者的电脑里的本地文件不会做任何改变。针对这种情况，蓝队就需要比yara规则更有效的“谍纸”，比如下面的同学针对CIA工具给出的SIEM类型的IOC（Indicator of Compromise 感染指标或入侵指标），基于这样的IOC规则我们既能探查哪些是中招的机器，也能阻断即将中招的机器，甚至能进一步的观察红队的行为抓大鱼！

参考：https://github.com/Neo23x0/sigma/blob/master/rules/apt/apt_pandemic.yml

EventID: 13

TargetObject:

- ‘\REGISTRY\MACHINE\SYSTEM\CurrentControlSet\services\null\Instance*’

- ‘\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\null\Instance*’

- ‘\REGISTRY\MACHINE\SYSTEM\ControlSet002\services\null\Instance*’

EventID: 1

Command: ‘loaddll -a *’

最后总结一下，主动下桩收集情报是蓝队ATA的重要手段之一，懂攻击才能下对桩。反过来红队也可以破坏桩，甚至伪造情报，以扰乱蓝队的视线，这些就不在本文过多描写了。下一篇应该会继续讲讲ATA的其他重要手段…

专栏
2

RAyH4c
RAyH4c
5 篇文章
等级： 2级
关注
||
发表评论已有 3 条评论

萧瑟 2017-06-13回复 1楼
攻防无极限，永远不要进入鄙视链，大家都是井中蛙，只是各自的井不同。

这句话讲的太好了

亮了(5)

502--badgateway (1级) 2017-06-15回复 2楼
反过来红队也可以破坏桩，甚至伪造情报，以扰乱红队的视线， ——————————是指红军伪造情报来扰乱蓝军的视线吗？

亮了(0)

RAyH4c 专栏作者(2级) 这家伙太懒了，还未填写个人描述！ 2017-06-15回复
@ 502–badgateway 谢谢 已修正

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
相关推荐
蓝队ATA之盗梦空间
蓝队ATA之盗梦空间
造梦师可以随意布置各种各样奇幻梦境，翻天覆地无所不能。想一想，如果蓝队就是一个造梦师，你本来就在自己的地盘无所不能，你会怎么造梦呢？

RAyH4c2017-06-15563773
红蓝对抗鏖战点之时间赛跑和隐性攻击
红蓝对抗鏖战点之时间赛跑和隐性攻击
APT攻击是和时间在赛跑的进阶攻击，作为蓝方，攻击是越早发现越好，一周内发现攻击和一个月后发现攻击将是天壤之别。

RAyH4c2017-06-1352546
红蓝对抗形式之植物大战僵尸游戏
红蓝对抗形式之植物大战僵尸游戏
信息安全中的红蓝对抗就是一个塔防类型的游戏 ：）

RAyH4c2017-06-131659162
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank