Пирамида боли

Опубликовано:

Весь смысл обнаружения индикаторов заключается в том, чтобы реагировать на них, и как только вы сможете реагировать на них достаточно быстро, вы лишите противника возможности использовать эти индикаторы при нападении на вас. Однако не все индикаторы созданы одинаковыми, и некоторые из них гораздо ценнее других.

Пирамида боли

Пирамида боли - Эта простая диаграмма показывает взаимосвязь между типами индикаторов, которые вы можете использовать для обнаружения деятельности противника, и тем, какую боль он получит, когда вы сможете лишить его этих индикаторов.

Пирамида боли

Типы индикаторов

Давайте начнем с простого определения типов индикаторов, составляющих пирамиду:

Хеш-значения: SHA256, SHA1, MD5 или другие подобные хэши, которые соответствуют конкретным подозрительным или вредоносным файлам. Часто используются для обеспечения уникальных ссылок на конкретные образцы вредоносного ПО или на файлы, участвующие во вторжении.

IP-адреса: Это IP-адрес. Или, возможно, сетевой блок.

Доменные имена: Это может быть либо само доменное имя (например, "evil.net"), либо под- или суб-домен (например, "this.is.sooooo.evil.net").

Сетевые артефакты: Наблюдаемые данные, полученные в результате действий противника в вашей сети. Технически говоря, каждый байт, проходящий через вашу сеть в результате взаимодействия противника, может быть артефактом, но на практике это означает те части активности, которые могут отличить вредоносную активность от активности законных пользователей. Типичными примерами могут быть шаблоны URI, информация C2, встроенная в сетевые протоколы, отличительные значения HTTP User-Agent или SMTP Mailer и т.д.

Артефакты хоста: Наблюдаемые данные, полученные в результате действий противника на одном или нескольких ваших хостах. Опять же, мы фокусируемся на вещах, которые позволяют отличить вредоносные действия от легитимных. Это могут быть ключи реестра или значения, которые, как известно, создаются определенными частями вредоносного ПО, файлы или каталоги, брошенные в определенных местах или использующие определенные имена, названия или описания вредоносных служб или почти все остальное, что имеет отличительные признаки.

Инструменты: Программное обеспечение, используемое противником для выполнения своей миссии. В основном это будут вещи, которые они приносят с собой, а не программы или команды, которые уже могут быть установлены на компьютере. Сюда входят утилиты, предназначенные для создания вредоносных документов для спирфишинга, бэкдоры, используемые для создания C2, взломщики паролей или другие утилиты на хосте, которые они могут захотеть использовать после компрометации.

Тактика, техника и процедуры (ТТП): То, как противник выполняет свою задачу, начиная с разведки и заканчивая утечкой данных и на каждом этапе между ними. "Спирфишинг" - распространенная ТТП для установления присутствия в сети. "Спирфишинг с помощью троянского PDF-файла" или "... со ссылкой на вредоносный файл .SCR, замаскированный под ZIP" - это более конкретные версии. "Слив кэшированных учетных данных аутентификации и повторное использование их в атаках Pass-the-Hash" - это ТТП. Обратите внимание, что мы не говорим о конкретных инструментах, поскольку существует любое количество способов использования PDF или реализации Pass-the-Hash.

Объяснение пирамиды

Теперь, когда мы лучше представляем себе, что такое каждый из типов индикаторов, давайте снова посмотрим на пирамиду. Самая широкая часть пирамиды окрашена в зеленый цвет, а вершина пирамиды - в красный. И ширина, и цвет очень важны для понимания значения этих типов индикаторов.

Значения хэша

Большинство алгоритмов хэширования вычисляют дайджест сообщения от всего входного файла и выдают хэш фиксированной длины, уникальный для данного входного файла. Другими словами, если содержимое двух файлов отличается даже на один бит, результирующие хэш-значения этих двух файлов будут совершенно разными. SHA1 и MD5 - два наиболее распространенных примера этого типа хэша.

С одной стороны, хэш-индикаторы - это самый точный тип индикатора, на который можно надеяться. Вероятность того, что два разных файла будут иметь одинаковые значения хэша, настолько мала, что эту возможность можно почти полностью исключить. С другой стороны, любое изменение файла, даже такое незначительное, как перестановка бита в неиспользуемом ресурсе или добавление нуля в конец, приводит к совершенно другому, не связанному с ним хэш-значению. Хеш-значения так легко изменить, и их так много, что во многих случаях их даже не стоит отслеживать.

Вы также можете встретить так называемые нечеткие хэши, которые пытаются решить эту проблему путем вычисления хэш-значений, учитывающих сходство входных данных. Другими словами, два файла с незначительными или умеренными различиями будут иметь нечеткие хэш-значения, которые в значительной степени схожи, что позволит следователю заметить возможную связь между ними. Ssdeep - пример инструмента, обычно используемого для вычисления нечетких хэшей. Хотя это все еще хэш-значения, они, вероятно, лучше подходят для уровня "Инструменты" пирамиды, чем здесь, потому что они более устойчивы к изменениям и манипуляциям. На самом деле, наиболее часто они используются в DFIR для идентификации вариантов известных инструментов или вредоносных программ, чтобы попытаться исправить недостатки более статичных хэшей.

IP-адреса

IP-адреса - это буквально самый фундаментальный индикатор. Если не считать данных, скопированных с локального жесткого диска и покинувших входную дверь на USB-носителе, для осуществления атаки необходимо иметь какое-то подключение к сети, а подключение означает IP-адрес. Они находятся в самой широкой части пирамиды, потому что их просто очень много. Любой достаточно продвинутый противник может менять IP-адреса в любое удобное для него время и без особых усилий. В некоторых случаях, если они используют анонимный прокси-сервис типа Tor или что-то подобное, они могут менять IP-адреса довольно часто и даже не замечать этого. Вот почему IP-адреса выделены в пирамиде зеленым цветом. Если вы лишите противника возможности использовать один из его IP-адресов, он, как правило, сможет восстановиться, даже не отрываясь от работы.

Доменные имена

На ступеньку выше в пирамиде находятся доменные имена (все еще зеленые, но более светлые). Их изменение представляет собой несколько большую проблему, поскольку для работы они должны быть зарегистрированы, оплачены (даже если с помощью украденных средств) и где-то размещены. Тем не менее, существует большое количество DNS-провайдеров со слабыми стандартами регистрации (многие из них бесплатны), поэтому на практике сменить домен не так уж сложно. Новые домены могут занять до одного-двух дней, чтобы стать видимыми в Интернете, однако, поэтому их несколько сложнее изменить, чем IP-адреса.

Артефакты сети и хоста

В самом центре пирамиды, начиная с желтой зоны, находятся артефакты сети и хоста. Это уровень, на котором вы, наконец, начинаете оказывать негативное воздействие на противника. Когда вы можете обнаружить и отреагировать на индикаторы на этом уровне, вы заставляете злоумышленника вернуться в свою лабораторию и перенастроить и/или перекомпилировать свои инструменты. Отличным примером может быть обнаружение того, что инструмент HTTP-разведки злоумышленника использует отличительную строку User-Agent при поиске вашего веб-контента (например, через пробел или точку с запятой. А может быть, они просто указали свое имя. Не смейтесь. Такое бывает!). Если вы блокируете все запросы, в которых присутствует этот User-Agent, вы заставляете их вернуться назад и потратить некоторое время, чтобы

  1. Выяснить, как вы обнаружили их инструмент разведки,
  2. Исправить это. Конечно, исправление может быть тривиальным, но, по крайней мере, им пришлось приложить некоторые усилия, чтобы определить и преодолеть препятствие, которое вы поставили перед ними.

Инструменты

Следующий уровень обозначен как "Инструменты" и определенно является желтым. На этом уровне мы лишаем противника возможности использовать одну или несколько определенных стрел в своем колчане. Скорее всего, это происходит потому, что мы настолько хорошо умеем обнаруживать артефакты их инструмента различными способами, что они сдаются и вынуждены либо найти, либо создать новый инструмент для той же цели. Это большая победа для вас, потому что им приходится тратить время на исследования (поиск существующего инструмента с такими же возможностями), разработку (создание нового инструмента, если они в состоянии) и обучение (выяснение того, как использовать инструмент, и приобретение навыков работы с ним). Вы просто стоите им немного реального времени, особенно если вы можете сделать это для нескольких их инструментов.

Примерами индикаторов инструментов могут служить сигнатуры AV или Yara, если они способны находить вариации одних и тех же файлов даже при умеренных изменениях. К этому же уровню могут относиться сетевые инструменты с характерным протоколом взаимодействия, когда изменение протокола потребует значительного переписывания исходного инструмента. Также, как обсуждалось выше, нечеткие хэши, вероятно, попадают в этот уровень.

Тактика, техника и процедуры

Наконец, на вершине находятся тактические приемы и процедуры. Когда вы обнаруживаете и реагируете на этом уровне, вы действуете непосредственно на поведение противника, а не против его инструментов. Например, вы обнаруживаете сами атаки Pass-the-Hash (возможно, путем проверки журналов Windows), а не инструменты, которые они используют для осуществления этих атак. С точки зрения эффективности этот уровень является идеальным. Если вы способны достаточно быстро реагировать на TTP противника, вы заставляете его делать самое трудоемкое, что только возможно: изучать новые модели поведения.

Давайте подумаем об этом еще раз. Если довести это до логической крайности, что произойдет, если вы сможете сделать это в широком диапазоне различных ТТП противника? Вы предоставляете им один из двух вариантов:

  • Сдаться или
  • Изобрести себя с нуля.

Эффективное использование индикаторов

Всякий раз, когда вы получаете новые сведения о противнике, внимательно изучите их с точки зрения "Пирамиды боли". По каждому абзацу задайте себе вопрос: "Есть ли здесь что-нибудь, что я могу использовать для обнаружения деятельности противника, и где это находится на пирамиде?". Конечно, возьмите все эти домены и IP и используйте их, если сможете, но помните, что количество боли, которую вы причините противнику, зависит от типов индикаторов, которые вы сможете использовать, и составляйте свой план соответственно.

Смотрите также:
Понравилась статья? Поделиться с друзьями:
Добавить комментарий