脅威インテリジェンスとは、組織資産に損害を与える可能性のある潜在的な脅威を事前に発見し、評価するために、情報セキュリティおよびセキュリティ防御の分野における潜在的な脅威に関連する情報の収集、分析、解釈を指します。情報の収集、分析、判断を通じて、組織がセキュリティに脅威を与える可能性のある要因を理解するのに役立ちます。このアプローチは、技術レベルに焦点を当てるだけでなく、絶えず変化する複雑な脅威環境に適切に対処するために、社会的、心理的、政治的、その他の側面も含みます。これは、脅威対応の実施によるリスクと影響を軽減するための予防措置と緊急対応戦略の実施に役立つ重要な情報をアナリストに提供するように設計されています。
序文
サイバー攻撃の対峙環境が厳しさを増す中、サイバー脅威インテリジェンスは攻撃行動の分析において徐々に重要な役割を果たしています。サイバー脅威インテリジェンスの重要性は主に、組織が直面する刻々と変化する脅威を理解し、データ主導型の防御戦略を提供し、潜在的なリスクと損失を軽減し、より強力な情報セキュリティ システムを確立するためのサポートを提供できるようにする能力にあります。
本稿ではC2インフラの観点から脅威インテリジェンス対策を中心に、脅威インテリジェンス分析プロセスにおける攻撃と防御の考え方について解説します。高度な攻撃と防御のプロセスから、攻撃者の観点から脅威インテリジェンス分析のアイデアを検討し、インテリジェンスの調査と狩猟のプロセスに存在する問題を簡単に分析します。作業の過程で、著者は、脅威インテリジェンスを攻撃の観点から見ることが非常に必要であることに気付きました。攻撃者の観点から脅威インテリジェンスに潜在する可能性のある手抜きについて考える必要があります。攻撃が発生したとき、研究者は攻撃についての自分の理解に基づいて分析するのでしょうか、それとも客観的な情報に基づいていますか? この記事を通じて、読者の皆様もこのことを考えていただければと思います。脅威インテリジェンスの対立の概念は比較的広く、多くの異なる細分化をカバーしているため、紙面の制限により、この記事では C2 インフラストラクチャの対立の方向性のみを説明します。
この記事はあくまで筆者の個人的な意見ですので、誤りがあればご指摘ください。
攻撃者の視点から見た脅威インテリジェンスの調査と判断の考え方
疑わしい攻撃を見たとき、私たちはまず、目にした脅威インテリジェンスが完全に本物であるかどうかを考える必要があります。セキュリティ インシデントを分析する場合、脅威インテリジェンスは補助的な判断基準として使用されるべきですが、決定的な要素であってはなりません。アナリストがセキュリティインシデントを判断する最初の基準は「行動」であり、行動の概念はサイバースペースマッピングにも反映されていますが、両者の間には相互運用性と曖昧さが存在します。脅威インテリジェンスのトラフィックサイドハンティングのプロセスでは、行動は主に通信プロセスに焦点を当てて対象者が行ったことを指しますが、マッピングでは最終的に指紋を形成することを目的として個人の固有の特性を指します。ただし、対象の特性は、組織の資産や施設を相関付けるための脅威インテリジェンスの焦点情報の 1 つとして使用することもできます。
行動: 異なるグループは、基本的な固有の特徴を示す可能性があります。この特徴を把握できれば、このグループ内のすべての個人を可能な限り識別することができ、これらの行動特徴はサイバースペース マッピングに表示されます。は、各ポート プロトコルのバナー機能です。この装置。
ここでは動作を特徴として理解することができ、より正確なマッチングのためにこれらの特徴を抽出する方法は間違いなく最も重要なリンクの 1 つになります。
APT 組織の施設資産を形成するには、これらの施設によって示される「動作」を抽出して、組織の資産を示すことができるフィンガープリントを構築する必要があります。したがって、より「正確」で「具体的な」データを導入する必要があります。 " 、「不変」** の個人特性は、特定の個人またはグループの資産範囲を決定的に示すことができます。対象となる資産を正確に区別するだけでなく、具体的であり、簡単に変更できないものでなければなりません。
ここで私は、脅威インテリジェンスが特定の組織または特別な C2 施設の資産をターゲットにしている場合、アナリストは関連するフィンガープリントを作成することで予備的な資産フィルタリングを実行し、その後、関連する資産をさらに検証し、最終的にそれらを脅威インテリジェンスに同期させることができると考えています。情報収集においては、不正確でその後の攻撃に直面するアナリストを誤解させるよりは、不完全であるほうがよいのです。
悪意のあるサンプルの脅威ハンティングでは、サンプル側の位置特定、トラフィック側の通信状況の分析、脅威インテリジェンス側への同期を行い、インテリジェンス側のC2の総合的な調査・判断とマーキングのプロセスに反映させます。悪意のある行為。このプロセスではトラフィックが重要な役割を果たします。現在の攻撃と防御の対立プロセスでは、武器化されたエンジニアがサンプルを生成する際に非常に洗練されています。さまざまな白と黒が無限の流れで出現するため、間違いなくコミュニケーション行動が必要です。より多くを支払うもの注意を一言で要約すると、その外観を見ることではなく、その中で何が起こっているかを見ることです。
C2施設の通信特性:
-
差出人住所
-
通信内容
-
特別チャンネル
-
通信周波数
-
間隔
-
……
「通信内容の検出が常に難しい点であると私は考えています。通信トラフィックを暗号化した後は、暗号化された通信データを知ることはできません。従来の平文検出で使用されているルールマッチングや負荷回復検出などのトラフィック検出技術では、情報内容を検出できません」暗号化されたセッションによって送信されたことを検出します。C3 は、一般的なアプリケーションの正規の機能を使用して、感染したエンドポイントと C2 サーバー間の通信を偽装するため、脅威の追跡がより困難になります。暗号化されたトラフィックを検出する市販の製品は、上位バージョンの TLS プロトコルに直面すると基本的に無力です。通信頻度はハートビートパケットであり、ハートビート沈黙+オフセットを行うことで回避可能であり、これも基本動作である。その結果、攻撃者は今後の遭遇でより多くの秘密の C2 チャネルを悪用し始める可能性があるため、インテリジェンス チームはエンドポイント マシン データの分析を加速し、キル チェーン全体で脅威を迅速に検出する必要があります。
自己署名サンプルの場合、コード署名のフィンガープリントは間違いなく良いアイデアです。
コード フィンガープリントに基づいて、一部の自己署名証明書サンプルを関連付けることができると思います。Weibu の OneSec については以前に学習したことがありますが、組織内で送信された悪意のあるサンプル間の関係を関連付けることは可能ですか? 彼の署名のフィンガープリントは、この証明書で署名されたすべてのプログラムが同じであることを示す必要があります。攻撃者は通常、プログラムに白 + 黒の署名を与えます。対応する複数のサンプルの前提は、それらがすべてこの証明書で署名されているということです。**エージェントが端末デバイスに展開されている場合、関連する端末の不審なプログラムの署名フィンガープリントが比較され、クラウド サンドボックスの検出インテリジェンスに基づいて、同じコード署名を持つ悪意のあるプログラムが検出として識別されます。この考え方は、組織構造の文脈に適用すれば実現可能であると思います。**もちろん、具体的な実現可能性については専門家が検討する必要がありますが、理論上は、保護の基礎としてエージェント側の展開に基づくすべてのデバイスがそこから学習できるはずです。
組織は常に自らのリスクにさらされることに注意を払い、インテリジェンスに基づいて行動し、世論に注意を払う必要があります(コード漏洩、連絡先情報、データ漏洩、サプライチェーンリスク)一部のデータ漏洩インシデントの後の影響は、セキュリティに直接つながる可能性があります関係機関での事件。組織のビジネスの発展、クラウドベースのビジネス、モバイルオフィスのニーズ、パートナーや支店の拡大に伴い、セキュリティリスクは徐々に増大するため、最新のセキュリティインテリジェンスにさらに注意を払う必要があります。攻撃者の観点から見ると、最も安全な場所から侵入を開始するのではなく、ターゲット組織に移動するための特別な橋渡しとして、ターゲットに関連するインターネット資産や世論を観察します。防御システムの最も安全な位置から開始し、弱点を突破します。
要約すると、脅威インテリジェンスハンティングのプロセスでは、ミスと発見されたインテリジェンスが常に最も重要であり、攻撃が事実となった場合、さらなるインテリジェンスハンティング分析を行っても、組織の損失をある程度まで軽減することしかできません。脅威インテリジェンス分析チームは、進行中の攻撃とすでに発生した攻撃にさらに注意を払う必要があり、これに基づいて、攻撃しようとしているインシデントを発見し、インテリジェンスに基づいて攻撃イベントを高リスクの業界に即座にプッシュし、タイムリーな調査を実施し、セキュリティインシデントを報告する事前に予防措置を講じ、事後は効果的に処理することでリスクを軽減します。
C2 脅威インテリジェンスに対抗するための戦略と実装
C&C または C2 とも呼ばれるコマンド アンド コントロール サーバーは、攻撃者がターゲット ネットワーク内の侵害されたシステムとの通信を維持するために使用されます。「コマンド」と「コントロール」という用語は曖昧に使用されることが多く、悪意のあるサイバー攻撃は過去 10 年間で増加しています。最も有害な攻撃の 1 つは、DNS 経由で実行されることが多く、C&C 経由で実行されます。C&C は、脅威アクターがネットワーク経由で感染したデバイスと通信するために使用する手法として定義されます。
名前が示すように、コマンド アンド コントロール サーバーは、感染したシステム (通常はホーム ユーザーのインターネットに接続されたコンピュータで、ボットネットとして知られるゾンビの軍隊を形成します) にコマンドを発行し、制御します。これらの通信は、タイミング ビーコンまたは「ハートビート」を維持するだけで簡単なので、攻撃を実行するオペレーターは、ターゲット ネットワーク内で侵害したシステムのインベントリを保持したり、リモート コントロールやデータ送信などのより悪意のある操作に使用したりできます。漏れ。コマンド アンド コントロール サーバーはターゲット組織内のシステムを制御するために使用されますが、通常、ネットワーク内からパブリック インターネット上のコマンド アンド コントロール サーバーへの通信を開始するのは、侵害されたホストです。【コマンドアンドコントロールサーバー:マルウェアを支配する操り人形】著:アダム・ライスジェームス・リンゴールド、ウェスチングハウス・エレクトリック・カンパニー
この段落を読んで、読者が攻撃者の視点からセキュリティ防御戦略を考え、新しい C2 施設の保護手法を理解できることを願っています。また、この段落では、脅威インテリジェンスに対抗するための C2 インフラストラクチャ手法の実装理論についても説明します。下の図は、マイクロステップ グラフによって生成された概略図です。読者は、最初にテキストを読み、次に凡例を見て、関連する技術的アイデアの理解を深め、より良い読書結果を得ることができます。
[^Weibu情報]: グラフ概要
RedGuard は、コマンド アンド コントロール (C2) フロントエンド フロー制御テクノロジに基づいた派生ツールであり、より軽量な設計、効率的なフロー インタラクション、および Go プログラミング言語開発との信頼できる互換性を備えています。ネットワーク攻撃が進化し続けるにつれて、赤チームと青チームは演習が実施されるにつれてますます複雑になっていきます。RedGuard は、より優れた C2 チャネル隠蔽ソリューションを赤チームに提供し、C2 チャネルのフロー制御を提供し、「悪意のある」分析をブロックすることを目指しています攻撃タスク全体をより適切に完了するためのトラフィック。
RedGuard は、Blue Team、AVS、EDR、および Cyberspace Search Engine による検出を回避できる C2 フロントエンド トラフィック制御ツールです。
Githubのダウンロードアドレス
https://github.com/wikiZ/RedGuard
偽造されたTLS証明書
C2 トラフィックを隠すためにドメイン フロントを展開する場合、高速化されたドメイン名にはデフォルトで HTTPS 証明書情報がありません。これは明らかに問題であるため、ドメイン名を構成するときは、証明書の構成に注意する必要があります。これも方法です。サンプルがドメイン フロントであるかどうかを判断するため、トラフィックのデフォルトの基準を設定します。
[^Tencent Cloud]: コンテンツ配信ネットワーク証明書の構成
これを見た後、誰もが疑問を持つと思います。** 構成された証明書を取得するにはどうすればよいですか? 独自のアプリケーション証明書を使用した場合、期待される隠蔽効果は得られません。**ここでは、構成にクローン証明書を使用できます。Tencent Cloud を例にとると、カスタム アップロードされた証明書の有効性が検証されないことがテストで判明しました。高速化されたサービスの実際のサイトと同じ証明書を使用できます。偽造用のドメイン名。CS のデフォルト証明書を置き換える場合、偽造された証明書は通常の状況では通信できませんが、クラウド サービス プロバイダーの CDN フルサイト アクセラレーションおよび RedGuard に展開すると、正当性は検証されず、C2 インタラクティブ トラフィックは正常に通信できます。
以下はGithub上の既存プロジェクトのアドレスです。
https://github.com/virusdefender/copy-cert
サンプル ドメインのフロント トラフィック側の証明書は解決されましたが、大規模なネットワーク マッピングの観点から見ると、C2 サーバーはまだ公開されており、実際の C2 サーバーはまだ検出され、関連付けられている可能性があります。 RedGuard C2 のデフォルトの証明書を変更して隠蔽を実現します。
[^Weibu コミュニティ インテリジェンス情報]: デジタル証明書
上記は C2 サーバーによって偽造された証明書の効果であり、Weibu コミュニティの情報では信頼性があり、有効期限がないことがわかります。デジタル証明書を取得する主な方法は、サンプル分析中にクラウドのサンドボックスで抽出することです。更新されるが、明らかに有効な検証が行われていない ステータス値は有効期限を検証するだけであり、証明書の信頼性検証は、正常に通信できるかどうかのみに基づいて行われるべきである
なお、Weibu Intelligence では、サンプルで要求された SNI および HOST アドレスに証明書情報をラベル付けしていません。これは、実際には誤検知を防ぐための配慮です。**これは正しいと思います。補助研究者として、重要な根拠です。分析する場合、脅威インテリジェンスは完全ではない方が良いですが、その後の分析での誤った指示や誤った判断を避けるためにも役立ちます。**サイト全体を高速化するために構成された証明書が通信トラフィックを偽造する場合、RedGuard C2 の応答前証明書を構成すると、パブリック ネットワーク上にデプロイされた実際の C2 サーバーの動作特性が偽造され、アンチマッピング効果が得られます。これは非常に必要なことです。
証明書のシリアル番号を抽出します: 55e6acaed1f8a430f9a938c5、HEX エンコードを実行して TLS 証明書のフィンガープリントを取得します:26585094245224241434632730821
| IP | ポート | プロトコル | サービス | 国 | 市 | タイトル | 時間 |
|---|---|---|---|---|---|---|---|
| 103.211.xx.90 | 443 | https | アパッチ httpd | 中国 | 蘇州 | Baidu Pictures - カラフルな世界を発見 | 2023-08-28 |
| 223.113.xx.207 | 443 | https | JSP3 | 中国 | 徐州 | 403禁止します | 2023-08-28 |
| 223.112.xx.48 | 443 | https | JSP3 | 中国 | 徐州 | 403禁止します | 2023-08-28 |
| 223.113.xx.40 | 443 | https | JSP3 | 中国 | 徐州 | 403禁止します | 2023-08-28 |
| 223.113.xx.31 | 443 | https | JSP3 | 中国 | 405 許可されていません | 2023-08-28 | |
| 223.113.xx.206 | 443 | https | JSP3 | 中国 | 徐州 | 403禁止します | 2023-08-28 |
検索結果件数: 2291
サイバー空間のマッピングにより2291個の独立したIPが発見され、検証を行った結果、すべてBaiduが所有するTLS証明書であることが確認されました 通信トラフィックのみで悪意のある通信であるかどうか判断することは困難であり、上記はドメインの場合フロント + C2 フロント トラフィック設備 TLS 証明書が偽造され、スペース マッピングと脅威インテリジェンスに干渉し、誤った情報の関連付けを引き起こし、攻撃者のトラフィック特性をより現実的にし、通常の通信トラフィックを偽造するという目的を達成しました。
[^RedGuard]: デフォルトの証明書を使用する RG アセット
C2 トラフィック フロントエンド機能の前に秘密の転送処理がない場合でも、RedGuard の証明書を変更することが最善です。デフォルトでは、サイバースペースの測量とマッピングで現在一般的に使用されている共通コンポーネントの指紋認識によって形成される指紋ライブラリは、識別のために共通コンポーネントのデフォルト設定特性の動作を使用します。これらのカスタマイズ プロセスでは、異なるグループが異なる動作をする可能性があります。ユニークな特徴。もちろん、フィンガープリントの形成には、ターゲットのデフォルトの特性を抽出して関連するフィンガープリントを形成するために、ターゲットのコンポーネントをある程度理解する必要があります。ここでは、RG 証明書によって表現される動作特性を使用して、パブリック ネットワーク上に展開された多数の RG ノードに関連付けられたネットワーク空間マッピングを実行します。
作成者がこのフィンガープリントを抽出できることは驚くべきことではありませんが、それでも RedGuard ユーザーがデフォルトの証明書情報を変更してプロのハッカーになることをお勧めします:)
ハイジャックサイトへの対応
多くの読者はハイジャック応答のほうに興味があると思いますが、一般原則として、クライアントが実際の C2 サーバーにリクエストを開始すると、それはインバウンド ルールに準拠していないため、C2 サーバーは指定された通常のサイトを取得し、レスポンス情報を返すため 受信リクエストを満たす場合、トラフィック リクエストは対話のために実際の C2 サービス リスニング ポートに転送されます。実際のリスニング ポートはクラウド ファイアウォールによってフィルタリングされており、ローカル アクセスのみを許可します。外部から直接アクセスすることはできません。したがって、外部ポートのオープン状況を見ると、HTTP/S ポートのみがオープンしており、ある意味、これはまさに C2 のオンラインポートです。
[^トラフィック ダイアグラム]: C2 サーバー トラフィック インタラクション プロセス
サイバースペース マッピング データでは、IP の HTTP/S オープン ポート応答コードは 302 ジャンプではなく 200 であり、より本物です。
HTTPS 証明書は、上記の偽造証明書と同じ効果を持ち、本物の証明書のフィンガープリントです。
多くのレッドチームは、プロジェクトプロセスにおいてクラウド機能/ドメインプレフィックスなどの隠蔽手法を多用すると思いますが、今日の攻防対決ゲームにおいて、上記2つの隠蔽手法には致命的な問題があり、直接接続できることを意味します。その結果、クラウド機能のアドレスまたはドメイン フロントの対話型 IP/ホストを取得すると、C2 リスニング サービスに直接アクセスして、それが攻撃施設であることを証明できることは間違いありません。
トラフィックは直接 C2 に到達する可能性があるため、セキュリティ デバイスが SNI と HOST に一致しないトラフィックに対して CS スキャンを実行して、悪意のあるトラフィックかどうかを識別できるかどうかを検討することをお勧めします。クラウド機能やサンドボックスについても同様です。サンプル側を除く環境では、トラフィック レベルでさらに多くの分析プロセスが存在する可能性があります。
ハイジャック応答後、HTTP サービスへの直接アクセスにより通常の Web サイト インタラクションが可能になりますが、トラフィックが実際の C2 リスナーに到達できないため、Cscan はサンプル情報をスキャンできません。通常の C2 は、トラフィック開始の特性が満たされた場合にのみ実行できます。 , しかし問題があります。C2 スキャン スクリプトはインバウンド ルールに準拠する必要があり、ブルー チーム アナリストのコーディング能力が一定のテストにさらされます。現在公開されているスキャン スクリプトは Nmap の形式です。
ここでは、いくつかのヒントを紹介します。ドメイン プレフィックスに加えて、評判の高いドメイン名をいくつか登録してみることもできます。組織によっては、特定のドメイン名の登録を怠っている場合があります。この場合、非表示の WHOIS 情報サービスを対話型サービスとして登録して使用できます。信頼性を高めるためのドメイン名。
PS きっと買い戻せると思います、持っていても無駄だと思います >_<
クラウドサンドボックスのフィンガープリントを特定する
JA3 は、クライアントとサーバー間の暗号化通信に対して、より識別性の高いフィンガープリントを提供し、TLS フィンガープリントを使用して悪意のあるクライアントとサーバー間の TLS ネゴシエーションを識別し、悪意のあるクライアントを相関付ける効果を実現します。このフィンガープリントは MD5 暗号化を使用しており、どのプラットフォームでも簡単に生成できます。現在、脅威インテリジェンスで広く使用されています。たとえば、異なるサンプル間の相関関係を証明するために、一部のサンドボックスのサンプル分析レポートで確認できます。
C2 サーバーと悪意のあるクライアントの JA3(S) を把握できれば、トラフィックが暗号化されており、C2 サーバーの IP アドレスやドメイン名が不明な場合でも、悪意のあるクライアント間の TLS ネゴシエーションを特定できます。 TLS フィンガープリントを介してサーバーと接続します。これを見れば誰でも思いつくと思いますが、これもドメインフロンティングやリバースプロキシ、クラウド機能などのトラフィックの転送・隠蔽手段への対策でもあり、サンドボックスを利用してTLSネゴシエーションを実行し、サンプル識別間の通信を生成しています。 C2. JA3(S) フィンガープリントは、トレーサビリティを支援するために脅威インテリジェンスで使用される技術的手段です。
この技術は昨年発表されたもので、マイクロステップサンドボックス環境をテストしたところ、インタラクションを要求する出口IPの数は多くないものの、IPによるサンドボックスの識別が正確ではないことが判明し、ただし、JA3 フィンガープリントは、同じシステム環境下では一意です。その後、サンドボックスによる指紋のランダム化が完了したというフィードバックが寄せられましたが、最近のテストでは、まだ完全に実装されていないことが明らかになりました。私たちはトラフィック側での指紋の問題に引き続き取り組んでいきたいと考えています。
現在、主な JA3 フィンガープリントは次のとおりです。
-
55826aa9288246f7fcafab38353ba734
クラウド サンドボックスの観点から見ると、JA3(S) フィンガープリントは、サンプルと C2 サーバー間のトラフィック インタラクションを監視することによって生成され、関連付けのために悪意のあるクライアントを特定します。私たちは逆に考え、C2 フロントエンド トラフィック制御機能として考えます。また、この操作を実行してクライアントが要求した JA3 フィンガープリントを取得し、さまざまなサンドボックス環境のデバッグを通じてこれらの JA3 フィンガープリントを取得してフィンガープリント ライブラリを形成し、基本的な傍受戦略を形成することもできます。
段階的なトロイの木馬の相互作用プロセスでは、ローダーが最初にリモート アドレスのシェルコードをプルし、その後トラフィックがリクエストが JA3 フィンガープリント ライブラリのクラウド サンドボックス特性と一致することを認識すると、後続のリクエストをインターセプトすると想定されています。シェルコードが取得できず、読み込みプロセス全体が完了できない場合、当然、サンドボックスはシェルコードを完全に解析することができません。環境が段階のないトロイの木馬である場合、サンドボックス分析も最終的に C2 サーバー上でオンラインにすることはできません。スリープ後に C2 に長時間タイムアウトしたサンドボックス レコードが大量にハングしていることになると思います。もちろん、理想的には、さまざまなサンドボックス環境を識別できますが、これは主にフィンガープリント データベースの信頼性に依存します。
テスト中に、ZoomEye GO 言語リクエスト ライブラリの JA3 フィンガープリントをフィンガープリント ライブラリに追加した後、RG リクエスト トラフィックを監視したことがわかりました。リクエストのほとんどは、JA3 フィンガープリント ライブラリ機能の基本的なインターセプトをトリガーしました。測量および地図作成製品の基礎となる言語 GO 言語で実装された部分的なスキャン タスクです。リンクを通じて、さまざまな基礎となる言語で構成されるスキャン ロジックが最終的にスキャン タスク全体を完了します。これは、一部の測量のスキャンが行われる理由も説明しますマッピング製品は、GO 言語リクエスト ライブラリの JA3 フィンガープリント インターセプト機能をトリガーします。識別ルールの原理はクラウドサンドボックスフィンガープリントと同様であり、どちらもリクエストクライアント環境やリクエストライブラリの独自性を利用しており、PC側とは異なり、本製品のリクエスト環境は基本的に任意に変更することはできませんが、これは、トラフィック側のフィンガープリントを把握して傍受できるようになったので、トラフィックをアクティブに検出する JA3 フィンガープリントをセキュリティ デバイスが傍受の基礎として使用できるかどうかを考えてみることはできますか? もちろん、ビジネス トラフィックが多い場合には、特定の誤報が発生する可能性がありますが、ここでは理論的に実装可能な製品要件のみを提案します。
PS リーダーは、独自のサンプルをサンドボックスにアップロードして JA3 フィンガープリントを取得および検証し、フィンガープリント データベースに追加することもできます。サンドボックスが JA3 フィンガープリントのみを変更し、上記のフィンガープリントを変更しない場合は意味がないことに注意してください。解決する必要があるのは毎回です フィンガープリントはサンドボックス動的分析中に同じではなく、その変更は可能な限り非反復的である必要があります。反復率が高い場合でも、フィンガープリントは引き続きフィンガープリントとして使用されます。
カスタムサンプルフィンガープリント
ここに実用的なシナリオがあります。攻撃者が独立したサンプルに異なるリスナーを対応させたいとき、および特定のサンプルがキャプチャされたとき、またはそのキーが「失敗」することを望んでいるとき、攻撃者はサンプル トラフィックが C2 にリリースされることを許可するかどうかを指定できます。この場合、カスタム サンプル フィンガープリントが利用可能です。この機能は、同じ C2 リスナー/ヘッダー ホストに一意の識別を提供するサンプル フィンガープリント「サンプル ソルト値」として、可鍛性プロファイルの HTTP ヘッダー フィールドをカスタマイズすることに基づいています。**さらに、他の関連リクエスト フィールドと組み合わせて生成されたトロイの木馬サンプルのフィンガープリントを使用して、カスタム サンプルの生存可能性を検出できます。
攻撃者のタスク要件に応じて、トロイの木馬のサンプル指紋識別機能は、無効であると予想されるサンプルに対して「オフライン操作」を実行して、悪意のある調査および判断トラフィックのサンプル接続相関と、段階的なサンプル PAYLOAD 攻撃の負荷取得をより適切に回避できます。分析し、攻撃者により多くの情報を提供します。さまざまな C2 リスナーに対して、さまざまな展性プロファイルのエイリアスを構成し、関連するヘッダーのフィールド名と値をサンプルの Salt 値としてカスタマイズできます。これは、さまざまなサンプルを区別するための一意の識別子として使用できます。以下のコードは説明の便宜上のものですが、実際の攻撃や防御のシナリオでは、より現実的な HTTP リクエスト パケットのフィールドを判断基準として与えることができます。
http-get "listen2" {
set uri "/image.gif";
client {
header "Accept-Finger" "866e5289337ab033f89bc57c5274c7ca"; //用户自定义字段名及值
metadata {
print
}
}
}
HTTPトラフィック
図に示すように、上記のサンプルの Salt 値と Host フィールドをフィンガープリント生成の基礎として使用します。
-
塩值:866e5289337ab033f89bc57c5274c7ca
-
ホストフィールド値: redguard.com
上記の値を結合し、32 ビットの小文字 MD5 ハッシュを使用すると、サンプル フィンガープリントは次のようになります。
redguard.com866e5289337ab033f89bc57c5274c7ca //拼接后待哈希字符串
d56da55231dfd8e9a4f3ad2e464f49e4 //Sample FingerPrint
上記のサンプル フィンガープリントは現在わかっているので、悪意のあるトラフィックを傍受するために RedGuard 構成ファイルにカスタム ヘッダー フィールドとサンプル フィンガープリントを設定します。**ここでのヘッダー フィールドと値はより現実的なものになるようにカスタマイズできることに注意してください。効果をよりよく表示するために、長いフィールドの Accept-Finger とハッシュが例として使用されています。**複数のサンプル フィンガープリントを展開できます。異なるフィンガープリント間の FieldName フィールドと FieldFinger フィールドはカンマで区切られています。FieldName フィールドは、展性プロファイルで設定されたヘッダー フィールド名と一致している必要があります。これは、ソルトを取得するための重要な基礎でもあります。リクエストパケットで運ばれる値。
RG 構成ファイルはホット構成であるため、無効になることを期待するサンプルをインターセプトするために RG を再起動および停止する必要はありません。サンプルを再度有効にしたい場合は、関連するサンプル フィンガープリントを削除するだけで済みます。 RG 設定ファイルを使用することで実現できます。
ハニーポットの悪意のあるトラップ
ハニーポットの悪意のあるトラップの原理は、主にハイジャック応答または RG トラフィック ガイダンスのリダイレクト機能に依存しており、C2 機能を調査するアナリストをハニーポット サンドボックスのアドレスに誘導します。ハイジャック応答の状態では、RG は次のような受信メッセージを送信します。要件を満たしていません。通常のリクエスト トラフィックはハニーポット アセットに送信されます。より強力なハニーポット (オペレーターの携帯電話番号をキャプチャするものなど) に遭遇すると、クライアントはターゲット サイトの応答に基づいてリクエストを開始し、関連情報を取得するために jsonp によってハイジャックされる可能性があります。
想像してみてください。アナリストが C2 オンライン ポートに直接アクセスすると、ハニーポット資産に誘導されます。その結果は間違いなくアナリストにとって破壊的であり、アナリストは悪意を持ってハニーポット資産を要求するように誘導され、ハニーポット監視端末が関連情報を取得します。青チームのアナリストのデータを使用して、エラーの原因を追跡できます。当初のゴール分析が間違っていたとしたら、どうすれば良い結果が得られるのか?これは間違いなく守備陣に深刻な内部軋轢を生むことになるだろう。
ハニーポット アセットに関連付けられた ZoomEye フィンガープリントのセットを次に示します。
(iconhash:"9fd6f0e56f12adfc2a4da2f6002fea7a" (title:"然之协同" +"iframe" +">v.ignoreNotice")) ("/static/js/2.ca599e2d.chunk.js?t=" +title:"OA办公系统") ("data.sloss.xyz/get_code.js?access") ("/monitordevinfo/common.js") (app:"honeyport" +country:china +after:"2022-08-22")
この効果を実現する方法は非常に簡単で、RG 構成ファイルの関連するキーの値を変更するだけです。
# RedGuard interception action: redirect / reset / proxy (Hijack HTTP Response)
drop_action = proxy
# URL to redirect to
Redirect = https://market.baidu.com
PS 説明しなくても設定方法は誰もが知っていると思います:)
この方法はある種の巧妙なトリックであり、アイデアがより反映されており、さらに活用すると、ハニーポット キャプチャ機能を C2 フロントエンド交通管制施設に展開し、対話型交通誘導を実行できます。従来のハニカムと同様に、jar ではクライアントのブラウザのキャッシュデータも取得できます。ただ、個人的には、公開版では現段階の攻防対立に適用するのはあまり意味がないのではないかと感じており、攻撃者が青チームのアナリストの社会情報を取得して出所を追跡するのは無意味であると考えています。 。もちろん、一歩下がって考えてみると、これにより C2 サンプルの分析がより危険になる可能性があります。本当のアイデンティティに変えることができます。したがって、今後の調査、分析はより慎重かつ警戒すべきであると考えております。
追記
記事を書くのが私の一番好きなところでもあるのですが、1年も記事を書いていなかったし、セキュリティの方向性も意識していませんでしたね。。状況により多少の誤差がある場合がございます。HW歴4年目を終えたばかりの友人が、「私たちにとってHWは、自分たちとはあまり関係のない賑やかなイベントに参加しているだけのような気がする」と印象深い言葉を言いました。はははは、まさにその通りだと思います. . 自分自身の安全に関する経験を振り返ってみると、まだ自分の学習は比較的複雑だと感じますが、それは私が心が広く、予約をしており、学習している以上に蓄積しているからでしょうか? 今後の予定はテクノロジーではないかもしれません。正直に言うと、私はもともとテクノロジーを追求するのが好きな人間ではなかったので、卒業後はテクノロジーを重視するよりも、人と関わることやテクノロジーと関わることを重視した仕事に就くかもしれません。セキュリティ、研究。私は自分自身を「理解 + 連想 + 革新が得意な人間」と位置づけています。単刀直入に言うと、私は要約と革新が得意な人間です。そのため、常に新しいものに触れることを好みます。私にインスピレーションを与え、何か違うものを発見してください。2023 年は新たな始まりであり、風はまだ途中にあります。
最後に、皆さんの願いが叶い、夢が叶うことを祈っています。