追踪威胁行为者:基础设施分析如何揭示网络攻击模式

本文详细介绍了如何通过基础设施分析追踪网络威胁行为者,包括IP关联、历史数据交叉引用、威胁建模及命名规范,结合真实案例展示威胁情报在实际攻击溯源中的应用方法。

追踪威胁行为者:基础设施分析如何揭示网络攻击模式

揭开网络威胁的面纱:基础设施追踪如何助力归因

本文主要介绍我们用于聚类和识别基础设施用途的方法。最大的价值在于通过交叉引用公共或私有信息源,构建基础设施图,以开始生成情报并长期利用。

鉴于我们看到许多关于基础设施追踪的博客文章,Kudelski Security 希望通过本文展示基于内部研究的一些方法论和实际用例。

解码威胁行为者基础设施:归因案例研究

为此,我们不从事件响应中获取“入侵指标”(IOCs),而是以 CISA[1] 发布的针对美国和以色列政府官员的网络钓鱼活动为例。

图1:攻击中的映射和丰富IP
从该活动中可见的 IP 中,所有 IP 都被归因于伊朗组织 Pioneer Kitten(UNC757)。自 2017 年以来,他们针对美国和其他国家的组织进行了多次入侵,该活动中的大多数 IP 都与一家托管提供商相关联。

图2:攻击中重建和丰富的IOCs
在调查此类基础设施时,识别相似性、重复模式、枢纽点、历史数据和收集的遥测数据至关重要。通过分析这些元素,我们可以在不同攻击活动之间建立联系,并揭示威胁行为者的战术、技术和程序(TTPs)。虽然我们无法在此提供详尽的分解,但利用结构化情报源可以实现更全面的资源[2]。

图3:来自 https://gopivot.ing/map/ 的计划
在我们的调查中,通过基于历史 DNS 数据的枢纽分析,我们发现了与 Gamaredon 的潜在重叠。2023 年 8 月,域名 hopers[.]ru 被观察到解析到 206.71.148[.]78,这一发现最初在社交媒体平台 X 上报告[3]。类似地,在此次攻击中,Pioneer Kitten 使用域名 cloud.sophos[.]one 传递恶意软件,指向相同的 IP 地址。这种基础设施重用的模式强调了追踪历史数据以映射威胁行为者行为并识别操作连接的重要性。

在收集阶段之后,我们需要将发现保存在一个聚类中,并采用命名规范,以防无法归因;如果我们发现与先前发现重叠的基础设施,这将为我们未来的调查节省时间。

网络威胁情报(CTI)中的一个基础框架——钻石模型,通过检查四个关键元素,提供了一种结构化的方法来分析对手及其入侵。该模型可以存储在开放的 CTI 平台或专用数据库中——最重要的是确保其易于访问以供未来分析。其真正价值在于长期效用,允许分析师持续监控、关联和利用关键指标,以改进归因并加强威胁情报工作。

图4:评估攻击的钻石模型

追踪数字足迹:映射和聚类恶意基础设施

有效的基础设施分析需要细致的文档记录,无论基础设施是否被确认为恶意。威胁行为者经常重用网络、工具甚至操作错误,使得历史记录成为追踪演变战术的宝贵资产。通过维护结构化情报,分析师可以高效地识别重叠、检测重复模式并加速未来调查。

为了说明这一过程,我们将概述一种两步法来聚类不同的基础设施,使用从与朝鲜 IT 工人相关的泄漏中收集的情报作为案例研究。

图5:从朝鲜 IT 工人重建的基础设施
使用 PuTTY 配置文件作为来源[4],我们重建了一个完整的基础设施。虽然其确切目的尚不清楚,但基于可用情报的分析表明以下内容:

  • 该基础设施似乎是广域网(WAN)的一部分
  • 该网络部分可能位于朝鲜开城。根据文件,该基础设施与“ZTE”相关联;链接在创建后立即被切断,这让我们想到与朝鲜内部互联网限制的关系。
  • 该基础设施可能位于另一个国家,与朝鲜无关,IT 工人曾在朝鲜境外工作。[5]

现在我们已经链接了网络区域、单位和技术,我们可以开始标记基础设施;根据您的组织,您必须使用命名规范,但为了本文,我们将以简单的方式进行:[NK-NET-LC-08282024-CL-01]

  • NK:根据 ISO 3166-1 的国家代码
  • NET:基础设施类型或归因实体,“NET”表示网络
  • LC:置信水平——此表示低置信度
  • 08282024:首次创建的日期 MMDDYYYY
  • CL:分析师
  • 01:基础设施标签号,每次更新添加新版本,如 01.1 -> 01.2 等。

基础设施可能不精确,但最重要的是尽可能接近对手的基础设施。这作为一个示例,展示了如何使用标记来分类未知基础设施。我们强烈建议安全存储这些数据,确保其易于访问以供未来参考。随着时间的推移——无论是数月甚至数年后——新的发现可能会揭示与先前识别的基础设施的重叠,提供有价值的背景并加强长期威胁分析。

接下来,我们将基于过去的数据和发现将所有部分整合在一起。

图6:朝鲜基础设施的完整映射
虽然此示例使用了虚构的日期,但它突出了威胁情报中的一个基本原则——拼凑不同的基础设施元素可以揭示对手网络的更全面图景。随着时间的推移,持续分析允许情报团队改进其评估、识别行为重叠并追踪威胁行为者基础设施的演变。[6][7][8] 正如 Mandiant 的报告所示,从 2022 年到 2024 年,朝鲜网络行动的映射发生了显著变化,强化了长期监控和迭代情报收集的重要性。

图7:来自 Mandiant 的朝鲜网络项目评估结构
如果分析师计划用开源数据调整其基础设施知识库,他必须承认一些公司对同一识别出的行为者使用不同的命名规范,按地区和子组术语命名;作为情报分析师,很难追踪,这是由于多种原因,安全公司追踪入侵集或威胁行为者而不发布它们[9],并且他们需要使用命名规范来分类它们,正如我们之前所见。它也可以用于品牌原因,因此安全公司发布他们的文档时使用自己的命名规范,并让更多人习惯它。例如,“APT”(高级持久威胁)指定已成为广泛接受的命名规范,用于指代采用复杂、持续攻击技术的威胁行为者。

威胁情报中缺乏标准化命名规范源于多种因素。[10] 每个情报提供商对恶意基础设施、恶意软件、聚类、TTPs(战术、技术和程序)、IOCs(入侵指标)以及不同威胁行为者之间工具集的共享带来独特的视角。不断变化的联盟、操作重叠和演变的对手行为进一步导致这些变化,导致不同情报团队如何分类和追踪威胁存在差异。[11][12]

一个关键挑战是归因可能在情报提供商之间显著不同。例如,一个提供商可能将单个实体分类为 distinct 威胁行为者,而另一个可能将同一活动解释为属于多个行为者。这些差异通常由所使用的方法论、数据源和调查技术塑造——最终影响对手组的识别和命名。

要基于开源数据分析基础设施,分析师必须确保以不同的视角看待每个情报提供商,并且一切都重要:

  • 来源国在归因对手的地缘政治背景中的位置。文章中的数据可能由国家出于政治原因提供,这可能会影响分析师在尝试及时标记以与地缘政治分析关联时摄入的数据。
  • 不同来源之间的比较,交叉多个情报提供商的数据和发现。
  • 归因部分必须由分析师验证,审查情报提供商共享的报告。

连接点:威胁情报如何揭示网络对手

活动矩阵[13]旨在清晰查看组织、特定操作或情报团队监控的活动。让我们以 Lazarus 组为例。

图8:朝鲜活动矩阵
大多数数据来自 DOJ 新闻稿,除了“Operator A, B, C, D, E”,这是为示例生成的 data。

在威胁情报分析中,矩阵中经常使用钻石符号表示不再活跃的个人或实体。这种结构化方法帮助分析师映射攻击者的组织、识别操作层次结构并检测其战术中的常见和异常模式。

在此特定矩阵中,美国司法部(DOJ)作为唯一数据源,允许我们区分由 Lazarus 组已知成员进行的民用和军事操作。此外,分析旅行模式可以揭示关键见解,例如识别可能作为代理居住地的国家,供操作员进行针对其目标的网络攻击。

来源

[1] https://www.cisa.gov/sites/default/files/2024-08/aa24-241a-iran-based-cyber-actors-enabling-ransomware-attacks-on-us-organizations_0.pdf
[2] https://gopivot.ing/
[3] https://x.com/cyber0verload/status/1694448759055306800
[4] https://x.com/Bizarredect/status/1828750064673849389
[5] https://www.justice.gov/opa/pr/two-north-korean-nationals-and-three-facilitators-indicted-multi-year-fraudulent-remote
[6] https://cloud.google.com/blog/topics/threat-intelligence/mapping-dprk-groups-to-government/?hl=en
[7] https://cloud.google.com/blog/topics/threat-intelligence/north-korea-cyber-structure-alignment-2023/?hl=en
[8] https://cloud.google.com/blog/topics/threat-intelligence/apt45-north-korea-digital-military-machine?hl=en
[9] 高级持久威胁归因;第30页
[10] https://cyb3rops.medium.com/the-newcomers-guide-to-cyber-threat-actor-naming-7428e18ee263
[11] https://docs.google.com/spreadsheets/d/1H9_xaxQHpWaa4O_Son4Gx0YOIzlcBWMsdvePFX68EKU
[12] https://github.com/StrangerealIntel/EternalLiberty
[13] https://www.marines.mil/Portals/1/Publications/MCWP%202-6%20W%20Erratum%20Counterintelligence.pdf

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次