APT检测指标-第2部分

https://nigesecurityguy.wordpress.com/2014/01/10/apt-detection-indicators-part-2/

APT检测指标-第2部分

高级持久威胁(APT)通常具有可识别的属性和模式，这些属性和模式可以通过现成的、开放源码工具进行监视。这些工具能够早期发现APT行为，特别是通过监视异常的跨区域或出站流量。

虽然在针对协同一致和定向目标的攻击的战斗中没有什么灵丹妙药，但一个包含多种方法和工具的整体框架，同时包含多层次的防御策略，可能会非常有帮助。这篇文章是对“APT红队”博客的补充——第1部分是为了能够从反直觉的来源持续改进和优化周期，并帮助缓解高级威胁。

一、监测以检测APT行为

监测网络数据和主机文件完整性数据的组合是检测APTs的关键。开放源码工具(如Snort、Splunk、Sguil和Squert)的组合非常适合监视数据中的活动模式，以发现潜在的攻击。

这个博客中包含的信息，加上APT检测框架和APT Red team系列，仅代表了在主机和网络上观察异常活动的起点，而不是一个完整的APT程序。攻击向量是不断变化的，这取决于读者如何跟上形势的变化，这可能使APT战略发生变化，或者寻求合作伙伴的专业知识和最佳实践的帮助。

二、APT恶意软件签名

１、APT恶意软件隐藏在普通的视线中

　通过使用公共网络端口、进程注入和Windows服务持久性来避免检测

　APT恶意软件启动出站网络连接

　监控海外网络流量

　识别出APT的出站信标企图

　　APT恶意软件签名

２、避免异常检测通过：

　出站HTTP连接

　进程注入

　服务的持久性

３、APT通讯

　100%的APT后门只提供出站连接

　83%使用TCP端口80或443，很多人都知道

　简单的恶意软件签名，如MD5哈希，文件名，和传统的反病毒方法通常会产生低的真实阳性率

Addressing the Gap: Detect the Breach

与APT攻击有关的因素包括:

网络流量突然增加，出站传输

不寻常的活动模式，例如在正常办公时间之外或在不同寻常的地方大量传输数据

对动态DNS名称的重复查询

对攻击者的目录和文件的不寻常的搜索，例如，对源代码库的搜索

未识别的大型出站文件已被压缩、加密的密码保护

检测伪造IP地址的通信

不使用本地代理或包含API调用的请求的外部访问

平台、路由器或防火墙配置的无法解释的变化

增加了IDS事件/警报的数量

三、APT检测和分析工具

APT依赖于远程访问和控制，因此可以通过对跨区域和出站网络流量的分析来确定与远程控制相关的网络活动。用于检测APT的技术可以通过开源软件工具实现，并用于实现方法，例如:

Snort:由Martin Roesch开发的开源基于网络的入侵预防和检测系统(IDS/IPS)。Snort使用签名和协议，以及基于异常的检查。

Scapy:数据包处理程序。Scapy可以为各种协议创建数据包。它可以发送和接收信息包和匹配请求和回复。它可以通过Python脚本进行扩展，可以用于各种各样的侦探措施。

OSSEC:一个基于主机的IDS开源,而不是Snort。它的相关性和分析引擎提供日志分析、文件完整性检查、Windows注册表监控、rootkit检测和基于时间的警报以及主动响应，并支持大多数操作系统。

Splunk:从应用程序、服务器和网络设备中集成日志和其他数据的搜索、监视和报告工具。数据存储库被索引，可以查询以创建图表、报告和警报。

Sguil:包括一个直观的GUI，它提供对实时事件、会话数据和原始数据包捕获的访问。Sguil促进了网络安全监控和事件驱动分析的实践。

Squert:用于查询和查看存储在Sguil数据库中的事件数据的web应用程序。通过使用元数据、时间序列表示、加权和逻辑分组结果集，它为事件提供了额外的上下文。

Analyze NIDS alerts with Snorby

这些工具适用于网络安全监控的一般类别，如Richard Bejtlich在几本书中所描述的，参见“网络安全监控的实践，理解事件的检测和响应”，了解更多细节。

入侵检测(IDS)本身是次优的，组织确实需要将工具组合成NSM来处理各种数据类型。Sguil是NSM的实际执行。

四、安全洋葱

安全洋葱(SO)是一个用于入侵检测、网络安全监视和日志管理的Linux发行版。它基于Ubuntu，包含Snort、Suricata、Bro、Sguil、Squert、Snorby、ELSA、xpleo、NetworkMiner和许多其他安全工具。易于使用的安装向导允许组织在几分钟内为企业建立一组分布式传感器。有关更多信息，请参见安全洋葱博客。

Use Squert to analyze NIDS/HIDS alerts and other data

安全洋葱被配置为在默认情况下立即使用。理想情况下，它应该安装在专用硬件上，但短期内它可以通过虚拟机或从LiveCD OS媒体启动的系统进行部署。增强最佳关联功能的第一步是添加Splunk。但是，完全基于活动的报警要求使用商业许可证，然而，有限的社区发布可以满足小数据占用和仅限控制监控。Splunk安装非常简单。

结论

在关键数据和资产上，例如敏感数据（PII、PHI、CHD）、源代码和知识产权，对关键数据和资产进行提高操作意识是至关重要的。将关键数据分段和封装在受监控的安全区域内，通过网络监听、网络流(NetFlow)和日志工具，以增加可见性并启用按需数据包捕获。

Pivot between multiple data types with Sguil, send pcaps to Wireshark & Network Miner

要平等地保护每一件东西是不可能的。增加的努力，目标是保护高价值的数据，通常通过较小的和受保护的网络段(参见自适应区域防御)提供比更广泛、更少集中的努力在更低的价值目标上获得更大的收益。类似的，多层防御战术(多层和防御手段)可以包含安全漏洞，并争取时间来检测和应对攻击，从而减少违约的后果。

这一切都要从回归基础开始:基于资产和数据分类和风险评估(定义策略、放置和控制)的良好组织和管理的可防御体系结构。

专注于检测，控制，调查，反应，根除，恢复。

即使是最好的监控心态和方法也不能保证发现实际的APT攻击。相反，使用更全面的分析和相关性来发现与相关攻击、横向移动和数据过滤相关的行为。