近日，PCSA安全能力者联盟“实战见分晓‖网络安全共性顽疾&解决之道”暨《硝烟后的茶歇》第三期分享会在北京隆重召开，共有150多位央企、电力、能源、金融、政府等关基用户以及PCSA联盟成员共300多人参加了当天的分享会。

会议围绕解决网络安全实战对抗共性问题和顽疾过程中好的解决经验和技术手段进行分享和讨论。中睿天下受邀出席并就《共性顽疾-失陷主机取证溯源》进行主题分享。

《硝烟后的茶歇》第三期分享会现场

作为自2016年以来连续参与演练，实战攻防经验丰富的网络安全企业，中睿天下安全服务部总经理李微著受邀出席会议，分享《共性顽疾-失陷主机取证溯源》，讲述失陷主机取证溯源中的痛点，并通过实战案例分享如何通过主机取证溯源发现失陷主机、快速应急响应，有效缩短威胁处置的MTTD（平均检测分析时间）和MTTR（平均响应时间），提升整体的安全运营能力。

中睿天下主题分享现场

主机应急响应之「痛」

主机取证溯源是安全事件运营的最后一公里，应急响应的速度和质量决定了一次重大安全事件的应对是否成功，能否尽可能挽回损失。

这几年，主机应急响应的需求显著增加。这是因为随着攻防对抗的持续升级，黑客攻击技术越发精深、手段越发高超隐蔽，传统安全防护体系基本防不住，且入侵后难以被发现。从技术角度来看，供应链攻击、0day打击、社工钓鱼等技术是目前边界防护的盲点，非常考验防守方的未知威胁发现能力和快速止血能力。

尽管失陷主机应急响应对时间要求苛刻，需通过攻防响应侧的专业技术长板去弥补跨部门协商、应急响应流程不完善等导致的时间流失，但因主机痕迹检测领域技术较为空白、主机侧检测技术对安全人员知识的广度和深度要求更高、主机取证溯源过程更依赖人员的质量而非数量等，在日常应急响应过程中落地面临几大难点：

线索不清晰、证据不完整，如何进一步跟风追影?

资产在哪不清楚、应急责任不明晰，如何在主机负责人缺位的情况下解决取证溯源问题？

线索关联不同步、影响评估不彻底、完整攻击链条难追踪，如何自动化关联应急线索，实现5W2H模型的效果？（5W2H详情参见下文）

异地取证难上加难，如何将集中的技术专家资源便捷地按需分配到不同地区?

主机应急响应之「思考」

从技术侧角度，中睿天下将主机响应流程总结为“引”、“定”、“查”、“核”四步。其中：

“引”指“情报线索阶段”，收到线索并验证线索；

“定”指“线索验证、资产定位”，进一步确认风险的存在，并定位存在问题的主机；

“查”指“对主机进行取证溯源”，对安全事件进行响应、分析、处置；

“核”指“安全事件的关闭及事件复盘”，在应急响应过程中可通过该方法进行查缺补漏；

主机应急响应流程

具体到落地，中睿天下引入了二战中美国陆军兵器修理部提出的5W2H分析法（又叫七何分析法）。5W2H分析法通过What、How、Why、When、Where、Who、How Much进行提问，发现解决问题的线索。这一分析法同样适用于网络安全行业的事件分析领域。

（W）WHAT：对攻击者的操作内容进行完全回溯，如漏洞利用、权限获取、获取信息等。

（H）HOW：对安全事件进行全方面复盘，查漏补缺，弄清楚攻击者如何做到的。

（W）WHY：推论攻击者目的，为什么这么做。

（W）WHEN：对攻击者的活动时间周期进行确认。

（W）WHERE：评定安全事件的影响范围。

（W）WHO：对攻击者的身份进行溯源，通过常用IP（跳板机/真实IP）、攻击者信息、攻击组织信息、社交ID等进行刻画。

（H）HOW MUCH：跳出技术，站在资源/经济的角度复盘整个安全事件。

主机应急响应之「实践」

在实战对抗的过程中，这一套技战法收效显著。既可以用于「事前」对关键节点进行风险隐患排查，发现失陷主机，防止潜伏的安全隐患在重要时期突然发作，也可以作用于「事中/事后」，快速检测可疑的windows/Linux主机，识别主机中存在的木马、后门、黑客入侵痕迹等，并溯源分析还原黑客事件，提供完整的证据链，从而更快更好地对安全事件进行应急响应、分析与处置。

演练前，通过主机取证溯源进行风险排查，意外发现失陷主机

某用户为域网络架构，通过域管理功能实现了睿眼·主机取证溯源系统的推送运行。在实战演练开始前，其中一个必要步骤就是对重点系统进行针对性的主机扫描检查。检查范围包括：

攻击路径上必定突破的主机；

带有集权属性的主机，如域控、堡垒机等；

对外开放服务及可外联的服务器主机；

运维区域及高权限主机；

历届实战对抗中有0day的系统；

……

通过睿眼·主机取证溯源系统检查，安全人员在其中1台域控制器上发现了存活的APT组织活动痕迹。通过对该服务器进行上机取证分析后，安全专家发现早在2020年X月X日该服务器就已被某APT组织控制，且木马一直存活。

2020年X月X日1X点1X分5X秒，攻击者创建了一个名为p***a的服务，该服务通过%***c%变量的方式写入注册表执行加密JavaScript代码来加载CobaltStrike的shellcode，JavaScript代码将shellcode注入进d***.exe进程，随后删除该服务。

2020年X月X日1X点1X分1X秒，d***.exe进程被创建，该进程被注入CobaltStrike的shellcode从而连接CobaltStrike的控制端，产生了连接上线IP xx.xx.xx.xx的网络连接，同时产生了可疑文件。

通过分析「日志」发现，执行写入注册表操作的用户为本地管理员，所以推测攻击者通过本地管理员启动的服务进行入侵。

分析该服务器的「网络连接」，发现进程d***.exe连接了上线IP 4X.XX.XX.XXX。

对d***.exe「进程」进行分析，发现在d***.exe进程内存中发现0x3520000开始大小为0x43000的可读可写可执行的内存。

Dump内存后查看该地址的内存，发现该地址被注入了一个PE文件，且PE文件头“4***”被抹去。Dump该PE文件后发现是CobaltStrike生成的Beacon Payload。该payload可实现远程控制，从而利用该payload对服务器1X.XX.XX.XX进行远程控制。CobaltStrike控制端地址为4X.XX.XX.XX，并且绑定了两个域名en.***world.com、business.***tics.com。

分析其攻击手法和2020年第一季度的某起APT组织钓鱼攻击事件的攻击手法相同，从而确认该攻击者为“XX”APT组织。

以上分析均通过睿眼·主机取证溯源系统自动实现。

演练中，快速对异地分公司失陷服务器进行取证溯源

在实战演练期间的某天凌晨，监控组通过睿眼·网络攻击溯源系统的「失陷场景监控」发现「可外连服务器区」存在对内的攻击行为，产生端口服务和漏洞的扫描行为告警。监控人员对该告警进行二次分析后，确认为攻击，同时核对资产IP后确认为某云视频的本地部署服务器。但在进行主机取证溯源的过程中，存在以下难点：

失陷服务器不在总部，在异地分公司，而分公司没有专业的应急响应人员；

失陷服务器为Linux系统，现场人员缺乏Linux应急响应套件；

经过排查，失陷服务器不对外提供服务，不对外映射端口，只允许连服务器供应商设定的特定域名和IP段。安全人员怀疑是供应链攻击，但没有排查思路；

失陷场景监控：利用睿眼·网络攻击溯源系统，通过被动流量梳理出某网络区域内对外主动发起请求存在响应包的主机，定义为可外连的主机。对可外连主机的IP进行「定制化场景监控」，条件为「源IP属于可对外联网」产生网络告警。

此时总部联系分公司计算机管理员，通过「睿眼·主机取证溯源平台」下载「采集器」到失陷的服务器上一键运行，将采集器生成的压缩包上传至睿眼·主机取证溯源平台。

总部通过「睿眼·主机取证溯源平台」对采集的主机信息进行应急响应分析，发现多个黑客工具、命令及被暴破的痕迹，确认攻击来源为失陷主机的docker容器内。通过联动分公司现场情况，进一步确认威胁来自于容器内VPN对端的云服务器，最终通过主机侧确认入侵来源，流量侧回溯横向移动过程，完成并提交攻击者通过供应链网络渠道进入目标网络的响应事件报告。

两地联动进行主机取证溯源

攻击过程还原

主机应急响应之「总结」

从ATT&CK近百个技术分类来看，90%的有效攻击活动会在终端上遗留痕迹，包括文件、内存、日志、注册表、系统或应用机制、启动项、配置、缓存、固件等。

一旦终端失陷，意味着边界被突破。万无一失，一失万无，突破边界后的监测手段相对有限，熟悉的流量监控解决不了失陷主机的取证问题。而主机响应「难」的问题，中睿天下认为症结在于缺乏专业的应急响应平台——攻击者的手法涉及从硬件固件到系统应用的各个层面，却没有专业的痕迹检测溯源套件支持主机安全事件半小时内的快速响应，导致主机应急响应基本靠人、严重依赖人。

目前主流思路通过EDR解决关键系统的实时防护问题，最关心覆盖率、正常率、合规率三个指标。但在实战对抗过程中，有个很现实的问题——不知道攻击者的突破点是哪台。只有面（HIDS/EDR/SOAR等）和点（取证溯源技术）结合，方可快速提高终端响应能力。

作为一款针对黑客恶意活动进行深度检查的终端安全产品，睿眼·主机取证溯源系统具备高精准的恶意软件（含病毒、木马及黑客工具）识别能力，同时更专注于攻击者活动的检测，可有效发现隐蔽性强、危害较大的高级威胁，同时通过智能自动化检测黑客入侵痕迹、分析黑客线索、还原黑客攻击手法等，让普通安全人员具备取证溯源专家水平。

睿眼·主机专业、智能、快捷、简单易用，可将取证溯源缩短到小时级，可让普通安全人员具备取证溯源专家水平，从而有效缩短MTTD（平均检测分析时间）和MTTR（平均响应时间），帮助用户提升整体安全运营的能力。

而作为以“实战对抗”为特点的能力价值型网络安全厂商，中睿天下自2016年便参与“实战攻防演习”。至今，中睿天下已连续多次深度参与数十家关键信息基础设施单位的实战攻防演练，涵盖政府、能源、金融、医疗等行业，协助用户开展网络安全监控预警、应急处置等工作，全面支撑用户单位的网络安全保障。

部分图文信息源自：行业私有云安全能力者联盟

来源：freebuf.com 2021-06-10 17:26:55 by: zorelworld