HoneyCon 2012 的講題與簡報

1. 1
APT行為偵測術
陶靖霖
精誠資訊 技術顧問
wiselytao@systex.com.tw

2. 2
首先，複習一下APT

3. APT的生命週期
3

4. APT的攻擊流程
4

5. APT的特性
高度客製化，非常具有針對性
對傳統防禦機制具有欺騙性與隱蔽性
具有持續行為，不達目的不罷休
沒有終極解決方案
非單一產品可以應對
5

6. APT的防禦策略
保密防諜，人人有責 – 資安意識訓練 (Awareness
Training)
 Human Firewall ?!
 人永遠是弱點
 治本的好方法
 緩不濟急
 越是APT目標的人越需要
 越是個咖越困難
6
要一個人學會不開啟APT檔案，是非常不人道的事情。
- by 某資安專家

7. APT的防禦策略
禦敵於國土之外 – 邊界防禦 (Edge Security)
 既有資安產品成效有限
 所有客戶的期待，眾家資安廠商努力的領域
 面對APT的第一道防線，非常容易遭到針對性反制
7

8. APT的防禦策略
滯敵於圯地之中 - 縱深防禦 (Defense in Depth)
 邊界防禦失效以後的倚賴
 攻擊是一個流程，縱深防禦的目的在切斷流程
 也許會有損失，但可以減輕或減緩損失的發生
8

9. 9
深度挖掘APT

10. 成功阻止APT的前提
要先能發現APT攻擊
還要能分辨真假
10

11. 凡走過必留下痕跡？！
環境中必須有留下痕跡的設計
11

12. 要發現APT，需要眾多耳目
12

13. 監控所有的狀態變更
13
狀態管理 & 變更管理

14. 監控所有的狀態變更
狀態監控
Open/Listening Ports
Process List
Outbound
Connections
User/Group List
Privileged User List
Wifi Connections
Configurations
Log Level
變更管理
File
Uploads/Downloads
File Executions
File Attribute Changes
Registry Changes
Policy Changes
Config Changes
Permission Changes
14

15. APT藏在細節中
Log不是隨便收就派得上用場
 Audit Log / Audit Trail
 System States
 Log Level
 Log Fields
 Log Detail
收錯了也是枉然
15

16. 從眾多Log中挖掘隱蔽的行為
17
Logfiles Configs Messages Traps /
Alerts
Metrics Scripts TicketsChanges

17. Splunk 日誌分析平台

18. 以模式分析補強規則判斷
Rules View
 Breaking the speed limit
 If one or more of these things
happen let me know
 Watches for only what is
known
 No concept of what is „normal‟
Patterns View
 Watches for rhythms in your
data over time against what is
„normal‟ (normal will not be
static)
 Takes advantage of „weak
signals‟ from non-traditional
security data
 Watches for what you don‟t
know
 Patterns + Analytics enables
decisions
19

19. Example: Time-based Pattern-detection
Human vs. Malware Behaviors
20
Pattern: requestfordownload
immediatelyfollowedbymorerequests
 Fastrequestsfollowingthedownload
ofaPDF,java,zip,orexe.Ifa
downloadisfollowedbyrapid
requestsformorefilesthisisa
potentialindicatorofadropper.
Splunkpatternsearch
 Timebasedtransactionssortedby
length
 source=proxy[searchfile=*.pdfOR
file=*.exe|dedupclientip|table
clientip]|transactionmaxspan=60s
maxpause=5sclientip|eval
Length=len(_raw)|sort-Length

20. Example: Patterns of Beaconing Hosts
to Command and Control
21
Pattern:
 APTmalware‘beacons’to
commandandcontrolatspecific
intervals
Splunkpatternsearch
 Watchingforhoststhattalktothe
sameURLatthesameinterval
everyday
 …|streamstatscurrent=f
last(_time)asnext_timebysite|
evalgap=next_time-_time|stats
countavg(gap)var(gap)bysite
 Whatyou’dbelookingoutforare
sitesthathavealowvar(gap)value.

21. 22
Example: Time-based Pattern-detection
Beaconing ofhosts to command and control #2
Pattern:
APTmalware‘beacons’to
commandandcontrolatspecific
intervals
Splunkpatternsearch
An abnormally high number of
same sized DNS requests
from an internal host.
sourcetype=dns | eval
Length=len(file) | stats
count(clientip) by Length | sort
- Length

22. 23
這樣還不夠

23. 我們需要更多的細節
篩選不出的結果，才是我們需要的
 能發現，通常都有阻擋能力，例如：FW, IPS, Anti-Virus…
 沒被發現的才可能是成功的攻擊
 沒留下痕跡的，可能是隱藏的弱點
Application Log呈現的內容有限
 HTTP: POST內容、Cookies
 Mail: Body、Attachment mime-type
 看不到完整的User Behavior
24

24. 但是Full Packet Capture不是我們需要的
原始封包雖然內容很完整，但….
 Raw Packets不利內容搜尋與統計分析
 Sniffer的decoder能力有限
 Decoded內容並未結構化或半結構化，不利分析
不利分析的資料無法提供 即/及 時分析的可能性
 分析量受限，分析規模與樣本完整性都受到影響
 不易與其他分析工具(如SIEM, NBAD, LM…)整合分析
 不易與其他資料來源(IPS/FW/Event Log…)整合分析
25

25. 在 RAW 與 Log 之間
DPI (Deep Packet Inspection) 可以兼顧兩種需求
26
Mirror
Packets
Metadata
User=SA
Password=xxx
Method=“GET”
Protocol=“HTTP
”
NetworkTAP
Parse packets &
Extract Metadata

26. 什麼是 Metadata？
27
From: nick.fury@shield.com
To: tony.stark@starkinc.com
Subject: A funny test
Hi Tony,
A funny pic and see if Mark IIV is
color blindness.
Nick
寄件人
收件人
信件主旨
信件本文
附件 (圖檔)

27. Metadata 比 Netflow 有更多的細節
28
Netflow Record
12.34.56.78:3022 – 87.65.43.21:2525
bytes transferred 512k
Time 14:24:37 6/6/2012
Metadata Record
12.34.56.78:3022 – 87.65.43.21:2525
sender nick.fury@shield.com
recipient tony.stark@starkinc.com
subject A funny test
attachment name Unicorn0x202Egpj.scr
attachment size 511k
attachment mime application/octet-stream
body Hi Tony,
A funny pic and see if
you are color blindness.
…

28. Metadata 也比 Raw Data 更容易分析
29
Raw Data
12.34.56.78:3022 – 87.65.43.21:2525
Metadata Record
12.34.56.78:3022 – 87.65.43.21:2525
sender nick.fury@shield.com
recipient tony.stark@starkinc.com
subject A funny test
attachment name Unicorn0x202Egpj.scr
attachment size 511k
attachment mime application/octet-stream
body Hi Tony,
A funny pic and see if
you are color blindness.
…
Delivered-To: tony.stark@starkinc.com
Received: by 10.180.4.35 with SMTP id
h3csp12899wih; Thu, 6 Jun 2012 01:16:16 -0700
(PDT) Received: by 10.68.134.106 with SMTP id
pj10mr4091060pbb.112.1340266576086; Thu, 6
Jun 2012 01:16:16 -0700 (PDT)
Return-Path: <nick.fury@shield.com> Received:
from mail.shielld.com (mail.shield.com.
[12.34.56.78]); Thu, 6 Jun 2012 01:16:16 -0700
(PDT)
Received: from jarvis.starkinc.com ([172.17.1.3]);
Thu, 6 Jun 2012 16:16:04 +0800 (CST)
(envelope-from nick.fury@shield.com)
To: tony.stark@starkinc.com
<tony.stark@starkinc.com>
MIME-Version: 1.0
Subject: A funny test
…

29. 利用DPI + Splunk深入挖掘
當發現單位內某人收到釣魚郵件時，從DPI Log內尋找：
 單位內其他收件者有無收到同一「寄件者、標題、附件名稱與附
件檔案類型」的郵件
 如果有，查詢收件者是否已開啟郵件
 如果有，查詢收件者有無下載檔案行為，來源IP與檔案名稱、類
型、大小
 查詢收件者有無對外連線443/tcp，卻不是使用HTTPS協定，以
及其目的IP、傳輸內容
 查詢來源IP是否有其他使用者連線
 查詢目的IP……
 查詢……
30

30. 利用DPI + Splunk深入挖掘
當發現某台主機疑已遭滲透，從DPI Log內尋找：
 該主機對外連線的Dest IP、Port、與Protocol
 有無連線443/tcp卻不是使用HTTPS協定的對外連線
 有無使用HTTP協定卻不是連線80/tcp的對外連線
 如果有找到連線C&C主機的證據，查詢指令與上傳檔案名稱與
大小
 該主機與C&C主機所有連線行為與內容
 查詢有無其他主機連線C&C主機與其連線行為
 查詢有無C&C主機主動發起的連線
 查詢其他資安設備有無相關阻擋記錄
 查詢……
31

31. 結語
不要懷疑，你就是個咖！
不要再用「監控與告警」的角度思考APT對策
APT帶來的產業興盛不是資安業，是Big Data Analysis
「可視性管理」決定了威脅管理的粒度
32