之前公众号写过一些pr文章讲如何通过复杂之眼EDR去排查一些新的漏洞利用活动,在真实的客户组织机构下通过EDR遥测数据可以发现,被威胁行为者进行攻击。攻击线索不止是漏洞利用,对于运营EDR的威胁分析专家需要完全理解攻击链模型涉及的各个阶段。
1.初步妥协
2.收集和渗漏
3.部署隐形工具包
4.清理和侦察
5.建立持久性
6.凭证访问
7.收集和渗漏
8.扩大访问范围
9.清理、收集和渗透
10.持久执行
初步妥协涉及的几种方法有,通过漏洞利用、钓鱼攻击、供应链攻击、物理攻击(插badusb等硬件设备在终端达到代码执行的效果)。通过CVE数据可以发现各个国家的威胁行为者对于漏洞利用活动还是比较多,常常都是新漏洞旧的TTPs战术,运营EDR的威胁分析专家只要持续对对手初步妥协阶段主动猎杀持续交火可以遏制对手后续在终端上的相关活动,一般的攻击者或者红队遇到专业的EDR其实生存空间已经进一步被压缩了。
通过国外的EDR评估数据来看EDR如何抓APT活动的,评估数据来源:https://attackevals.mitre-engenuity.org/。
国外的专业的EDR厂商比较多,通过mitre-engenuit网站上面参与的EDR厂商大概也有30多家,基本国外各种企业关键基础设施上都可能会部署有参与评估的EDR厂商产品,选择评估的APT组织活动名称APT29,遥测到的数据来源是企业设想的场景1总共二个场景参与者是CrowdStrike,可以看出APT29初步妥协利用的是钓鱼攻击。
APT29组织介绍和场景
评估详情:执行此场景的内容是使用 Pupy、Meterpreter 和其他自定义/修改的脚本和有效负载进行测试和开发的。选择 Pupy 和 Meterpreter 是基于它们的可用功能以及在这种情况下与对手恶意软件的相似性,但可以使用替代的红队工具来准确执行这些和其他 APT29 行为。更多信息,包括所需的资源、设置说明以及如何执行第一天场景的分步说明,请访问 ATT&CK Arsenal。
初步妥协
用户执行T1204
检测标准
从 explorer.exe 生成的 rcs.3aka3.doc 进程
伪装T1036
检测标准
rcs.3aka.doc 进程中从右到左覆盖字符 (U+202E) 或原始文件名 (cod.3aka.scr) 的证据
非应用层协议T1095
检测标准
通过端口 1234 建立网络通道
加密通道T1573
检测标准
通过 C2 通道发送的网络数据加密的证据
未收集到图像
命令和脚本解释器T1059
检测标准
cmd.exe 从 rcs.3aka3.doc 进程中生成
命令和脚本解释器T1059
检测标准
powershell.exe 从 cmd.exe 生成
上面只列出了APT29初步妥协的遥测数据想看完整的评估数据可以访问下面这个网站。
https://attackevals.mitre-engenuity.org/