正文

入侵分析钻石模型!!网安人员必备知识!

admin
admin V管理员 /0 评论 /183 阅读
0321
此篇文章发布距今已超过250天,您需要注意文章的内容或图片是否可用!

网络安全之入侵分析钻石模型

独/角/鲸/安/全

本文介绍了动态链接库(DLL)的两种加载方式:隐式链接和显式链接,以及Windows系统搜索DLL的顺序。详细阐述了DLL劫持的原理,包括不同Windows版本的变化,并列举了分析和利用DLL劫持漏洞的工具。最后,提供了存在DLL侧加载漏洞的程序列表和相关参考链接。

一、钻石模型简介

钻石模型是一个网络安全框架,帮助组织分析网络入侵。该模型最初由 Sergio Caltagirone、Andrew Pendergast 和 Christopher Betz 在 2013 年美国国防部技术报告《入侵分析的钻石模型》(Caltagirone 等,2013)中提出。

        钻石模型的主要目标是识别特定的攻击者,理解他们使用的策略、威胁和程序,并更有效地响应发生的网络事件。

        正如钻石有四个顶点,钻石模型有四个关键组成部分:对手、基础设施、能力和目标

        这些组成部分之间也有各种联系或关系。与其他许多网络安全框架不同,钻石模型重点关注归因任务:识别网络事件的责任方。钻石模型也是一个高度灵活的模式,可以应用于从高级持续性威胁(APTs)到勒索软件攻击的所有情况。

二、钻石模型如何工作?

PART 01

主要组成部分

  1. 对手:负责网络事件的攻击者或团体。

  2. 基础设施:对手在攻击期间使用的技术资源或资产(例如服务器、域名和IP地址)。

  3. 能力:对手在攻击期间使用的方法、工具或技术(例如恶意软件或漏洞利用)。

  4. 受害者:对手在攻击期间针对的个人或组织。

PART 02

组成部分间的关

  1. 攻击者-受害者:攻击者与目标之间的互动。这种关系涉及攻击者选择此目标的原因以及攻击者的动机和目标。

  2. 攻击者使用的基础设施:攻击者使用各种技术资源和资产。这种关系涉及攻击者如何建立和维护其网络操作。

  3. 受害者基础设施:目标与攻击者技术资源的连接。这种关系涉及攻击者对目标使用的各种渠道、方法和向量。

  4. 受害者能力:目标与攻击者工具和技术的连接。这种关系涉及针对目标使用的具体战术和攻击签名

三、使用钻石模型的好处

        钻石模型特别擅长可视化和理解复杂的攻击场景。通过模拟对手、受害者、基础设施和能力之间的关系,钻石模型帮助网络分析师看到网络攻击的不同元素如何相互作用和影响彼此。钻石模型将大量数据压缩成简单的图表,使探索不同的联系和模式变得更容易。钻石模型提供了以下优势:

全面理解

钻石模型考察网络攻击的技术方面以及人类和组织方面(以对手和受害者的形式)。

结构化分析

钻石模型为网络安全专家提供了一种清晰、有组织的方式来结构化和处理与网络威胁和攻击相关的数据,使协作和信息共享变得更容易。

事件响应和威胁情报

钻石模型在威胁情报(攻击前)和事件响应(攻击后)方面都提供了好处,帮助分析师收集和分析有价值的数据。

四、钻石模型的每个元素的关键属性

钻石模型的每个元素都具有不同的属性,包括有价值的额外信息

攻击者元素的一些关键属性

- 攻击者的身份、名称或化名。

- 动机和目标(例如,财务收益或企业间谍活动)。

- 技术能力、技能和知识。

- 对手的战术、技术和程序(TTPs)。

- 归因指标(将对手与特定团体联系起来的证据,例如代码相似性或类似战术)。

础设施元素的一些关键属性

- 对手指挥控制基础设施的服务器的地理位置、IP地址和域名。

- 使用的通信协议(例如HTTPS或DNS)。

- 域名注册详情(例如注册日期和注册方名称)。

- 托管恶意软件或网络钓鱼诈骗的网站或服务器。

- 表明与对手指挥控制系统通信的异常流量模式。

五、钻石模型与其他网络安全框架的区别

    钻石模型与其他网络安全框架(如洛克希德·马丁的网络杀伤链或 MITRE ATT&CK)有明显的区别。钻石模型与其他网络安全框架之间的主要区别如下:

- 钻石模型与网络杀伤链:钻石模型关注攻击者与受害者之间的关系,而网络杀伤链关注网络攻击的阶段,从监视到执行攻击目标。

- 钻石模型与 MITRE ATT&CK:与钻石模型不同,MITRE ATT&CK 框架更详细地关注对手的 TTPs,将特定战术映射到防御策略。

    因此,钻石模型可以与其他框架(如 MITRE ATT&CK 和网络杀伤链)一起工作。每个框架关注网络攻击的不同组成部分或元素,帮助分析师获得事件的全面视图。

六、使用钻石模型的实际案例

        钻石模型已在实际、现实世界用例中有效使用。例如,网络安全分析师 Meghan Jacquot 和 Kate Esprit 使用钻石模型分析了 LAPSUS$ 勒索软件和黑客团体。(Esprit 和 Jacquot,2022)他们使用该框架收集了有关对手(LAPSUS$)及其基础设施、能力和受害者的信息:

- 开源黑客工具,Telegram,地下论坛

- 能力:社交工程、DDoS 攻击、窃取证书、凭证转储等。

- 受害者:电信、软件、技术和游戏行业的公司

        钻石模型也被卡内基梅隆大学的研究人员 John Kotheimer、Kyle O’Meara 和 Deana Shick 使用。在他们的案例研究“使用蜜罐和钻石模型进行 ICS 威胁分析”中,这些研究人员检查了对手如何与工业控制系统蜜罐(设计用于吸引攻击者的假网络)互动,并将这些互动映射到钻石模型的不同组成部分。

参考文献

  1. - Defense Technical Information Center. (2013). The Diamond Model of Intrusion Analysis.

    https://apps.dtic.mil/sti/citations/ADA586960

  2. - Esprit, Kate 和 Meghan Jacquot. (2022). LAPSUS$ 的复发:网络威胁情报案例研究。

    https://www.csnp.org/post/relapse-of-lapsus-a-cyber-threat-intelligence-case-study

  3. - Kotheimer, John 等. (2016). 使用蜜罐和钻石模型进行 ICS 威胁分析。https://resources.sei.cmu.edu/asset_files/TechnicalReport/2016_005_001_454247.pdf

END

点击上方蓝字关注我们


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-周飒博客