加密視角下的威脅情報能力建設與提升
責編:gltian |2023-06-06 14:12:56近年來,隨著加密手段在網絡攻擊中占比不斷攀升,攻防演練場景下的加密技術應用也日趨多樣與復雜,加密威脅逐步成為傳統安全防護體系面臨的重要挑戰。在此背景下,構建和提升加密視角下的威脅情報能力,是對抗加密威脅的重要手段,也是更全面地掌握攻擊方完整情報信息的重要基礎。
傳統威脅情報在面對加密流量威脅時,與安全產品的聯動更多從IOC著手,對于加密流量的通信特征缺少關注。為解決這一問題,可以圍繞加密資產信息、加密要素信息等加密特征,構建加密威脅情報能力,應對加密流量威脅。觀成科技研究認為,在攻防演練場景中,對于加密威脅情報能力,可以從四個方面進行建設和提升,分別是風險加密資產識別、限定域指紋構建、同源加密威脅關聯和攻擊設施主動探測。
01 風險加密資產識別
資產盤點與暴露面收斂是大多數攻防演練活動啟動階段和備戰階段需要重點關注的事項,對加密資產進行盤點及風險收斂同樣重要。從加密要素角度出發,可以從三個方面識別風險加密資產:
- 加密協議層面:關注協議版本、加密套件、擴展項,尤其是使用低版本協議、弱加密算法、弱簽名算法的資產;
- 數字證書層面:關注證書版本、證書序列號、證書有效期、證書自簽名、證書頒發者與使用者、證書擴展性、證書公鑰、證書簽名、證書鏈,尤其是過期證書、自簽名證書;
- 加密數據層面:關注加密算法,尤其是使用弱加密算法對數據進行加密處理的資產。
02 限定域指紋構造
常見針對加密資產的指紋,如JA3、JA3S和JARM等,可以有效識別目標加密資產,但也同樣面臨著指紋碰撞的問題,當這些指紋應用于加密威脅情報時,就會產生一定誤報。為提升指紋準確性,可以基于加密要素信息,進一步構造更為精確地限定域指紋庫。
限定域指紋可以針對客戶端和服務端分別展開,主要依據TLS版本、加密套件、擴展信息及其他信息進行計算得到。在一些場景下,可以聯合客戶端和服務端信息,進一步提升準確性,構建完全限定域指紋應用于威脅檢測中。
03
同源加密威脅關聯
同類別的網絡資產具有一定的相似性,而加密資產同樣具有類似的特征,可以基于網絡空間資產測繪技術,有效結合攻擊方使用的攻擊武器、攻擊資源中所提取的加密要素信息,針對攻防演練場景下的黑客工具、熱門商業木馬及惡意家族等進行精細化威脅關聯,快速發現同源加密威脅,達到“克敵機先”的效果。
比如,針對HTTPS協議的網絡資產,分析師可以從響應頭、響應體及證書等多個維度提取相似性特征,通過這些相似性特征,可以進一步關聯與挖掘。通過這種方式,可以對已發現的攻擊設施進一步延伸和拓展,形成同源加密威脅資產列表,應用于加密威脅感知中。
04
攻擊設施主動探測
反向C&C通道是攻防演練場景下的常用通信手段,而C&C的識別與發現是加密威脅情報能力的重要體現。在前期準備階段,需要跟蹤分析黑客工具、熱門商業木馬及惡意家族,可以基于通信樣本的行為特征、通信信息和加密要素信息,提取加密特征,構造上線包、心跳包與指令響應包,進而進行主動探測獲取C&C信息,提前掌握攻擊設施。
在保障階段,需要及時應對變種攻擊,從變種中發現固定特征或變化特征。對于固定特征,本質屬于同類威脅,一部分可以在同源加密威脅關聯中發現,另一部分可以主動探測中掌握。對于變化特征,應及時構造探測特征并進行實時探測,獲取相關配置C&C信息,實時感知并掌握攻擊方攻擊設施資源。
來源:安全牛