入侵分析钻石模型学习笔记

来源:岁月联盟 编辑:猪蛋儿 时间:2020-03-16
钻石模型原生支持旋转分析,并且(旋转)是其最强大的特性之一。 实际上,“钻石”最初是在探索关键场景之后才被发现的。(钻石模型)的核心特征被构造为“菱形”,其连接边缘突出了旋转机会,以阐明对手行动的其他要素。 借助钻石模型的这一特点,分析人员可能会发现并挖掘其他相关特征。
图5为旋转的一个例子:
(旋转1)一个受害者在他的网络里发现了一款恶意软件,(旋转2)通过对恶意软件的逆向得到了C2域名,(旋转3)解析该域名得到了托管该恶意软件的机器的底层IP地址,(旋转4)通过分析防火墙日志,发现了受害者网络中其他已被攻陷的,与已知恶意软件主控机的IP地址建立连接的主机,最终(旋转5)IP地址的注册信息揭示了对手的细节,提供了对手的潜在归属(信息)。

图5:旋转的一个例子
钻石模型自身适应若干种聚焦式的入侵分析技术概念。这些被称为“集中式”方法,因为它们以钻石模型的特定特征为中心,以发现新的恶意活动。论文中分别对每种方法进行了举例。
基于中心的方法
以受害者为中心的方法:论文第26-28页
以能力为中心的方法:论文第28页
以基础设施为中心的方法:论文第29页
以对手为中心的方法:论文第29页
以社会政治为中心的方法:论文第29-30页
以技术为中心的方法:论文第30页
活动线(Activity Thread),后面将Activity Thread和Thread统称为“活动线”
公理4表明对手不会在单次事件中对受害者采取行动,而是在一系列有序阶段中的一系列因果事件中。通常,为了达成他们的意图,每个阶段都必须被成功执行。
定义:活动线是一个有向的有阶段顺序的图,在该图中,每个顶点是一个事件,每条弧(即有向边)定义了事件之间的因果关系。
这些被标有分析置信度的弧之间建立了因果关系,路径之间可以是“和”(必须的)或“或”(可选的——从一个事件出发不止一条潜在路径)的关系,弧可以是确定的或假设的,与此同时还有上一个事件提供的,下一个事件发生所必需的信息或资源。这些线被垂直组织,所以每条线都描述了一个对手针对特定受害者执行的所有因果事件(当然该模型的实现也定义了受害者的特征),这些线可以共同勾画出对手的意图。因此,每一个对手-受害者对的活动线都是特定的,尽管在许多案例中每个受害者间的活动线只会有一些轻微的不同,因为对手经常合并使用基础设施、过程和能力以削减成本。
图6:活动线的可视化示例。阐述了存在因果关系的特定事件之间的有向弧在垂直方向(单个受害者)和水平方向(跨受害者)的连接(即,B事件是由于A事件发生并紧随A事件发生的)。在图中,实线表示有证据支持的真实信息元素,而虚线表示假设的元素。有关事件的说明请参见表1(论文第32页);有关弧形的说明请参见表2(论文第33页)。

垂直关联(Vertical Correlation)
定义:识别知识缺口,用新知识填补这些缺口,以及在单个垂直的对手-受害者活动线内建立因果关系(和相关的弧的标签)的分析过程称为垂直关联。
一个单独的活动线中所有事件都已知的情况是很罕见的。所以要努力在(单条)线内的事件之间建立因果关系,这需要进行额外研究,数据采集和分析。通过阶段性组织活动线,(分析人员)也可以更容易发现那些理应产生活动但不存在相关知识的缺口。
于对手而言,使用在某次操作中获得的资源去完成接下来的操作,或利用内部信任关系去获取对一个特定网络的进一步访问权限是很常见的——在渗透测试中这被称为跳板和横向利用。因此,因果关系(弧)可以水平跨越一条或多条线。更近一步,如图6所示,每个阶段可以包含多个事件,弧甚至可以“向后”去描述迭代过程(这里的意思是弧可以从一条线的后面阶段指向另一条线的前面阶段),而(每一个小钻石的)边则描述不同事件之间被获取并使用的资源。
水平关联(Horizontal Correlation)
定义:通过因果关系连接跨对手-受害者对的垂直活动线之间的事件,识别活动线之间的通用知识缺口,以及使用一条活动线中的知识来填补另一条活动线中的知识缺口的分析过程称为水平关联。
这个过程也引导分析人员去识别跨受害者间的通用特征,这对创建活动组织(在后面进行讨论)有所帮助。
这些活动线形成一种新型的阶段顺序攻击图,它们通过对实际事件的观察被获知,以预测特定路径的可能性和对手的偏好。 与传统攻击图一样,活动线对复杂的多阶段活动进行建模,中间会利用多个系统和网络漏洞。但是,与试图穷举所有可能路径的传统攻击图不同,活动线还对实际攻击路径以及活动线内部和活动线之间的相互依赖性进行建模。如上面所定义,活动线的性质允许事件/顶点满足另一个事件的一个或多个资源要求,从而使后续的事件发生。此外,每个顶点都是一个事件,伴随着事件提供的信息深度,从而使图形信息变得更加丰富和可用。
数学表达式:论文第34、35页
对手过程(Adversary Process)
定义:能够识别和描述这些通用对手特征和行为的能力是非常强大的。有了这些特征,对于新增的每个事件,分析人员就能将具有相似过程的活动线聚成一组(例如,相同的基础设施IP地址、相同能力),而无需匹配实际特征。钻石模型中将这定义为一个对手过程。
垂直活动线和水平连接共同有效地描述了公理4定义的对手的端到端过程。事件本身则进一步丰富了这些信息,相关事件包含各个操作的特征(例如所使用的能力和基础架构、具体方法、所用的外部资源)。这些共同定义了对手如何执行操作,即其作案手法。
但在许多情况下,对手会在更广泛的过程中表现出对某些元素和行为的偏好。这个事实已在犯罪学中得到确认和探究,这很可能是人类基于文化、知识、培训、经验等喜欢舒适和熟悉的事物的结果。在较大的组织中,这些偏好也可能是由政策和领导人的命令驱动。入侵分析人员通常通过整个活动中的共同元素来识别这些偏好,就像传统的犯罪调查人员通过犯罪现场中的共同证据来识别罪犯一样。

上一页  [1] [2] [3] [4] [5] [6] [7] [8]  下一页