三级分类体系填补情报空白
该框架通过三级分类系统填补了威胁情报的关键空白,从初始活动观察到最终威胁行为体识别形成完整闭环。与过度依赖研究人员个人经验的传统方法不同,该框架将入侵分析的钻石模型(Diamond Model of Intrusion Analysis)与海军部评分系统(Admiralty System)相结合,创建了标准化的可靠性与可信度评估机制。
网络安全从业者长期面临威胁组织命名不规范和过早归因等问题,这些问题可能导致防御资源错配。新框架为每个归因级别制定了明确标准,要求在威胁等级提升前必须获得多方佐证并进行全面分析。
Unit 42归因框架——三级活动追踪体系(来源:帕洛阿尔托网络公司)
七维数据评估与动态聚类机制
分析师发现网络安全社区普遍存在威胁行为体命名混乱现象后,开发了这套系统化解决方案。该框架在七个关键威胁数据类别实施严格标准:战术技术与程序(TTPs)、工具配置、恶意代码分析、操作安全一致性、时间线分析、网络基础设施和受害者特征模式。
归因流程始于活动聚类(前缀"CL-"),并标注动机指标:STA代表国家资助、CRI代表犯罪驱动、UNK代表动机不明。构成有效聚类需要至少两个关联事件,这些事件需共享入侵指标(IoCs)、相似TTPs或存在时间关联性。例如,针对金融机构的多起网络钓鱼活动若使用相同的SHA256哈希值,即可构成合格的活动聚类。
高级技术实现与案例分析
该框架的技术先进性体现在临时威胁组织(前缀"TGR-")的升级标准上:要求至少六个月的观察期,并完成涵盖四个维度(攻击者、基础设施、能力、受害者)的完整钻石模型映射。基础设施分析不仅检查IP地址和域名,还研究基础设施元素间的关系,包括共享托管服务和注册模式。
代码相似性分析超越简单的哈希值比对,深入考察结构功能、共享库和体现共同开发来源的独特特征。框架包含标准化的评分要素:
来源可靠性:A-F级(A=可靠,F=未知) 信息可信度:1-6级(1=确认,6=不确定) 默认IoC评分:IP地址(4)、文件哈希(2)、域名(3)
通过对Stately Taurus组织长达十年的活动分析(始于2015年发现的Bookworm木马),该框架得到实际验证。Unit 42研究人员运用SHA256哈希分析关联了看似无关的攻击活动,最终在2025年通过新归因方法确立了明确联系。框架还包含高级操作安全分析,追踪威胁行为体的持续性错误,如代码拼写错误、元数据中的开发者标识和开放的基础设施配置。这些"操作安全指纹"结合时间关联分析和地缘政治事件映射,可提供宝贵的归据证据。
这套系统化方法标志着威胁情报成熟度的重大进步,既提高了归因决策的透明度,又建立了可复现的方法论,有力促进了网络安全社区的协作威胁研究。
参考来源:
Unit 42 Unveils Attribution Framework to Classify Threat Actors Based on Activity
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...