网络安全之入侵分析钻石模型
独/角/鲸/安/全
本文介绍了动态链接库(DLL)的两种加载方式:隐式链接和显式链接,以及Windows系统搜索DLL的顺序。详细阐述了DLL劫持的原理,包括不同Windows版本的变化,并列举了分析和利用DLL劫持漏洞的工具。最后,提供了存在DLL侧加载漏洞的程序列表和相关参考链接。
一、钻石模型简介
钻石模型是一个网络安全框架,帮助组织分析网络入侵。该模型最初由 Sergio Caltagirone、Andrew Pendergast 和 Christopher Betz 在 2013 年美国国防部技术报告《入侵分析的钻石模型》(Caltagirone 等,2013)中提出。
钻石模型的主要目标是识别特定的攻击者,理解他们使用的策略、威胁和程序,并更有效地响应发生的网络事件。
正如钻石有四个顶点,钻石模型有四个关键组成部分:对手、基础设施、能力和目标。
这些组成部分之间也有各种联系或关系。与其他许多网络安全框架不同,钻石模型重点关注归因任务:识别网络事件的责任方。钻石模型也是一个高度灵活的模式,可以应用于从高级持续性威胁(APTs)到勒索软件攻击的所有情况。
二、钻石模型如何工作?
PART 01
主要组成部分
对手:负责网络事件的攻击者或团体。
基础设施:对手在攻击期间使用的技术资源或资产(例如服务器、域名和IP地址)。
能力:对手在攻击期间使用的方法、工具或技术(例如恶意软件或漏洞利用)。
受害者:对手在攻击期间针对的个人或组织。
PART 02
组成部分间的关系
攻击者-受害者:攻击者与目标之间的互动。这种关系涉及攻击者选择此目标的原因以及攻击者的动机和目标。
攻击者使用的基础设施:攻击者使用各种技术资源和资产。这种关系涉及攻击者如何建立和维护其网络操作。
受害者基础设施:目标与攻击者技术资源的连接。这种关系涉及攻击者对目标使用的各种渠道、方法和向量。
受害者能力:目标与攻击者工具和技术的连接。这种关系涉及针对目标使用的具体战术和攻击签名
三、使用钻石模型的好处
全面理解
钻石模型考察网络攻击的技术方面以及人类和组织方面(以对手和受害者的形式)。
结构化分析
钻石模型为网络安全专家提供了一种清晰、有组织的方式来结构化和处理与网络威胁和攻击相关的数据,使协作和信息共享变得更容易。
事件响应和威胁情报
钻石模型在威胁情报(攻击前)和事件响应(攻击后)方面都提供了好处,帮助分析师收集和分析有价值的数据。
四、钻石模型的每个元素的关键属性
攻击者元素的一些关键属性
- 攻击者的身份、名称或化名。
- 动机和目标(例如,财务收益或企业间谍活动)。
- 技术能力、技能和知识。
- 对手的战术、技术和程序(TTPs)。
- 归因指标(将对手与特定团体联系起来的证据,例如代码相似性或类似战术)。
基础设施元素的一些关键属性
- 对手指挥控制基础设施的服务器的地理位置、IP地址和域名。
- 使用的通信协议(例如HTTPS或DNS)。
- 域名注册详情(例如注册日期和注册方名称)。
- 托管恶意软件或网络钓鱼诈骗的网站或服务器。
- 表明与对手指挥控制系统通信的异常流量模式。
五、钻石模型与其他网络安全框架的区别
钻石模型与其他网络安全框架(如洛克希德·马丁的网络杀伤链或 MITRE ATT&CK)有明显的区别。钻石模型与其他网络安全框架之间的主要区别如下:
- 钻石模型与网络杀伤链:钻石模型关注攻击者与受害者之间的关系,而网络杀伤链关注网络攻击的阶段,从监视到执行攻击目标。
- 钻石模型与 MITRE ATT&CK:与钻石模型不同,MITRE ATT&CK 框架更详细地关注对手的 TTPs,将特定战术映射到防御策略。
因此,钻石模型可以与其他框架(如 MITRE ATT&CK 和网络杀伤链)一起工作。每个框架关注网络攻击的不同组成部分或元素,帮助分析师获得事件的全面视图。
六、使用钻石模型的实际案例
钻石模型已在实际、现实世界用例中有效使用。例如,网络安全分析师 Meghan Jacquot 和 Kate Esprit 使用钻石模型分析了 LAPSUS$ 勒索软件和黑客团体。(Esprit 和 Jacquot,2022)他们使用该框架收集了有关对手(LAPSUS$)及其基础设施、能力和受害者的信息:
- 开源黑客工具,Telegram,地下论坛
- 能力:社交工程、DDoS 攻击、窃取证书、凭证转储等。
- 受害者:电信、软件、技术和游戏行业的公司
钻石模型也被卡内基梅隆大学的研究人员 John Kotheimer、Kyle O’Meara 和 Deana Shick 使用。在他们的案例研究“使用蜜罐和钻石模型进行 ICS 威胁分析”中,这些研究人员检查了对手如何与工业控制系统蜜罐(设计用于吸引攻击者的假网络)互动,并将这些互动映射到钻石模型的不同组成部分。
参考文献
- Defense Technical Information Center. (2013). The Diamond Model of Intrusion Analysis.
https://apps.dtic.mil/sti/citations/ADA586960
- Esprit, Kate 和 Meghan Jacquot. (2022). LAPSUS$ 的复发:网络威胁情报案例研究。
https://www.csnp.org/post/relapse-of-lapsus-a-cyber-threat-intelligence-case-study
- Kotheimer, John 等. (2016). 使用蜜罐和钻石模型进行 ICS 威胁分析。https://resources.sei.cmu.edu/asset_files/TechnicalReport/2016_005_001_454247.pdf
END
点击上方蓝字关注我们
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...