入侵检测钻石模型和基于网络的威胁复制

我最近在 BSides DC 峰会上与 Chris·Ross 一起演示了复制对手在攻击过程中使用的（这里指红军也就是攻击者）后期漏洞利用工具以及谍报技术。在演讲期间，我们简要的介绍了“特殊对手仿真模拟”的概念，并且在一个很高的层次上讨论了如何利用入侵分析的钻石模型作“对手仿真模拟”的框架。为了更好地解释这个概念，我决定最好在博客文章中扩展我们的想法，所以这篇文章相对较长。

和我的大部分文章一样，我会尽力提供尽可能多的参考资料。我在整篇文章中引用了以下内容，并且希望和确保这些内容的原作者能获得他们应得的赞扬：

1. 原始的白皮书：入侵分析钻石模型，作者： 塞尔吉奥卡尔塔吉罗，安德鲁·彭德格斯特，和克里斯托弗·贝兹

2. 概念的总结：钻石模型总结，塞尔吉奥卡尔塔吉罗

3. 威胁复制博文：推杆熊猫，麦基拉斐尔

4. PUTTER PANDA(推杆熊猫) 的APT分析报告： 推杆熊猫，Crowdstrike

如何复制威胁？

我之前发表过一些关于红军行动及在发起此类行动所需要的各种组件和注意事项的文章。威胁复制练习是红军行动的一个子集。在这些练习中，红军负责建模和模拟特定威胁，以便在环境中衡量检测，响应和缓解的有效性。这种方法既有优点也有缺点，并且经常需要大量的资源来准确地复制对手。

经常有人会问我一个问题，但是这个问题直到现在也没有一个让人满意的答案：你在缺少可用的商用威胁情报的情况下，如何复制对手的行动操作，意图还有目标，能力等等？我目前还不知道有其他任何已被红军团队广泛接受的明确定义攻击团队如何有效地模拟威胁的一些框架。在我自己刷新了对钻石模型的认识之后，我在红军团队的环境中看到了明确的价值，这些价值可以更好地影响红军在交战过程中如何有效地仿真模拟对手。

这是一个什么样的模型？

概述

由卡尔塔吉罗，安德鲁·彭德格斯特和克里斯托弗·贝茨 在2013年发表了入侵分析钻石模型的白皮书。该模型基于集合和图论，并努力为正确分类入侵活动而创建了一个框架。模型的基础是一个原子元素（“事件”），并由至少四个互连（链接）的特征（节点）组成：对手，基础设施，能力和受害者。事件是对手为了实现其目标所必须采取的整个完整的攻击路径中的一个步骤。活动线是表示操作者执行的操作流程的一系列有序事件序列。线可以在各种活动之间进行关联和匹配，以形成共享通用战术，技术和过程（TTP）的活动组。

从任何一个特定的特征中，入侵分析人员均能够观察到其他链接元素（节点）的活动。例如，从受害者出发，分析人员将能够识别事件中动用的能力和使用的基础设施。同样，从能力或基础设施出发，入侵分析人员也可以观察对手的情况。

现在，让我把这些原语分解一下。

对手

入侵分析钻石模型—Axiom 2：现实中存在一伙儿对手（可能是内部人员，外部人员，个人，团体和组织），其目的在于破坏计算机系统或网络以进一步实现其意图并满足其需求。

对手是一个定义为恶意行为负责的人的模型特征。虽然是一个简单的概念，但它可以很容易地划分出对手消费者及其操作者。消费者是对手定义最终目标的行动和接收收集到的情报的组成部分。操作者是负责执行操作的技术组件。

能力

此模型特征侧重于描述和定义对手所使用的工具和技术。需要重点关注的是，在某个恶意事件或活动线内部，仅可能观察到对手的军火库的能力的有限子集，也就说无法准确的衡量对手的所有能力。

基础设施

此模型特征能描述了交付，策划，控制以及通信这些能力所使用到的物理的和逻辑的资产。在白皮书中，作者定义了两种类型的基础设施：

类型I - 完全由对手控制或拥有的基础设施。

类型II – 由不情愿的中间人控制或拥有的基础设施。

基础设施特征可以显示出有关于对手的一些被调查的恶意行为的有趣细节; 然而，基础设施也可以用于将多个恶意行为链接到单个对手。互联网服务提供商（ISP）是基础设施功能的子组件，它可以用作识别不同事件之间的潜在关系的选择器（攻击者通常在不同的行为中重复使用相同的ISP）。此外，可以对基础设施类型（基于云的，VPS，数据中心，私人/住宅等）进行特别有趣的观察，因为它反映了对手运用基础设施的方法，这可能在整个大的活动中不会发生太大改变，特别是那些有组织分工且跨多种操作功能（开发人员，操作员，网络操作等）的对手。

受害者

受害者模型特征描述了受害者的通用分类，例如行业，市场，组织或人物，以及受害者遭到攻击的资产的具体分类。在有针对性攻击的案例中，受害者通常是一种对手达到目的的手段，并且是被对手所利用的基础设施中的一部分。这一点可以在攻击链的早期阶段比较明显的确认，在攻击链中，系统轻易的被入侵是因为在特权提升时的技术重要性导致的。例如，如果对手试图入侵一个针对性很强的组织时，他们往往可能会首先入侵一个目标组织的已知用户所使用的且易受攻击的web服务器。接下来，他们可以在该网站上进行“水坑”攻击，以便在该组织中获得初步的立足点。通过凭证滥用（如爆破密码等），他们将横向渗透扩展到可用的系统上去，最终获得域管理员权限。从这一点上来讲，被入侵的资产对最终的目标并没有直接的影响，而只是让它们在获得目标之前保持了立足点。

元特征/扩展模型

除了基本特征之外，还有元特征，其关注和定义更高级别的结构以及描述模型中基本特征之间的关系。在展开的钻石模型中，两个关键的元特征的加入，既扩大了入侵分析的关系也涉及到了入侵分析的复杂性：即社会政治因素和技术。

社会政治元特征定义了对手在所有的恶意活动中的基本意图或目标。这关系到对手的动机以及更大的攻击战略，这是非常关键的一点，因为它是一个侧重于受害者心理学的概念。对手的意图和目标导致了他们所选择的受害者，以及这些受害者在他们的宏伟计划中该如何发挥出作用。

技术元特征引入并扩大了基础设施和特征之间的关系。这个元特征将所有的后端技术联系在一起，并使得特征与基础设施之间的通信成为可能。像DNS，云VPS，被入侵的博客站点等等都有可能落入到这个功能领域，并有助于攻击者继续发挥能力。

放在一起看

把它们放在一起后，一个事件可以定义为：

使用此模型，事件响应团队可以将钻石模型上的活动进行分类观察并做为事件的某一个方面，然后从单个特征开始调查。当分析关于该节点的相关数据时，他们能够关联到相应的特征以扩展关于认识对手的一些知识。此外，该模型允许防御者使用活动分组，详细描述共享TTP的模式，并对特定威胁的参与者及其跨多个事件的活动进行连接和分组。