今天的世界透過全球網路,比以往任何時候都更容易加相互聯繫,這已經不是什麼秘密。隨著網路空間的不斷擴大和演變,不幸的是,網路攻擊也迅速擴大和演變。事實上,根據《網絡犯罪雜誌》的估計,2021 年全球網路犯罪所造成的損失已超過 6兆美元。因此,組織投資在優化搜尋網路威脅的方法,並利用入侵威脅指標 (IoC) 來防止代價高昂的攻擊比以往任何時候都更加重要。
什麼是入侵威脅指標 Indicator of Compromise?
網路攻擊的目標是試圖在不被發現的情況下滲透到他們指定或選擇的任何目標。這些攻擊通常具有獨特或異常特徵,有異於政府或電信網路平時維運時期的流量。這些特徵可以歸類為「入侵威脅指標」(IoC);長久以來,IoC 一直是網路安全團隊的重要訊息來源。 可用作入侵威脅指標的特定訊息的一些範例包括:
- IP 地址
- 提供有關攻擊者身份或方法的線索的數位足跡或標識
- 惡意代碼植入或軟體
- 與已知威脅相關的 Hash 值(固定字串長度的十六進位碼)
- URL 和網域名稱
入侵威脅指標如何運作?
IoC 是來自任何類型攻擊的活動痕跡,可以在網路流資訊(NetFlow、IPFIX 或 Zeek)或日誌文件中收集以供進一步調查。它們通常被稱為「取證數據」,因為網路安全團隊使用 IoC 來追踪這些異常流量,這些是通過網路可視化所觀察到異常活動的原始封包所建立的指標。此取證數據可用於預防攻擊的發生,或當攻擊正在進行時發出警訊。
因此,入侵威脅指標是用於通知您的網路可能已遭受入侵的訊號。了解常見日常網路活動中的常見 IoC 很有幫助。收到電子郵件通知,有從特定未知設備嘗試登錄的 IoC 就是一個最好的例子。低速的網路連接和緩慢的網頁瀏覽(通常通過流中數據包之間的延遲來衡量)是 IoC 的另一個常見範例。在本文中,我們將重點關注大型網路背景下的 IoC,這些網路是使用於政府機構和電信服務提供商等實體的關鍵基礎設施。
基於網路攻擊類型的 IoC 範例
每種網路攻擊的功能可能不同,但幾乎可以為任何類型的攻擊識別出入侵威脅指標。 以下是一些可能產生 IoC 的攻擊範例。
惡意軟體
惡意軟體是破壞我們的計算機網路、伺服器和客戶端設備的惡意代碼,例如病毒、勒索軟體和蠕蟲。其目的是獲得對系統的未經授權的存取權限、洩漏或竊取敏感資訊,或導致全部(或部分)服務中斷。通常,惡意軟體可能包含可以被發現進入網路的常見屬性,這將可被視為 IoC。
殭屍網路活動
“殭屍網路”(“機器人網路” "Botnet" 的縮寫)是一組聯網設備的集合,這些設備已被入侵,並且集體工作。與過去的惡意軟體不同,在過去的惡意軟體中,獨立的單一設備被單獨撰寫程式,以進行攻擊。殭屍網路則由 bot-herder 或命令和控制 (C2) 伺服器集中協調管制。通常,殭屍網路的攻擊可以在沒有明顯證據證明其存在的情況下感染數千台設備。C2 伺服器通訊中的某些特徵可用作 IoC,以偵測受感染設備之間的類似活動。
分散式阻斷服務 (DDoS)
DDoS 攻擊是一種網路攻擊,攻擊者透過使伺服器或網路服務塞滿了流量,使合法用戶無法訪問計算機資源。這使受害者的網路不堪重負,使其他任何人都無法訪問有價值的資源。這種網路氾濫事件將被視為明顯的 IoC。
加密如何影響 IoC?
隨著 Internet 的發展和網路攻擊,帶來了數據保護的發展。這種對消費者隱私的關注導致加密的迅速增加。數據或明文通常包含在只能使用密鑰解密的加密演算法中。許多安全專業人士會同意,這在保護機密數據方面是積極的,但對於網路威脅緩解和網路安全團隊來說,這可能會帶來重大挑戰。
那麼,如何才能找到看不到的數據的入侵威脅指標呢?對於這項挑戰的對應之道是 JA3 簽名(或 JA3 指紋)。利用用戶端和伺服器之間發生的 TLS 交握,從該交握中提取的詳細資訊,可用於生成唯一的 JA3 指紋。威脅檢測工具可以使用 JA3 指紋來識別潛在的威脅流量,以便資安團隊可以更深入地檢查這些流量。
三種常見的入侵威脅指標
當要建立入侵威脅指標時,需要一個可以歸類為 IoC 的數據點作為證據。IT 團隊可以將網路流量的許多特徵作為識別威脅的標記。以下是一些常見的入侵威脅指標,它們可能是發現網路攻擊的關鍵線索。
對外網路流量異常
網路威脅最常見的跡象之一,就是對外連線的網路異常流量。專家認為這是一個更容易監控的 IOC,因為它應該與典型的內部網路流量大大的不同。IT 團隊可以發現異常的對外連線並監控這樣的進出網路是否有問題。
地理異常
如果組織不熟悉該地理位置,則嘗試登錄的地理位置標記可能會引發危險信號。安全團隊可以發現 IP 地址位置,並在他們存取文件或登入資料庫等連線行為時做出反應。這可能是試圖滲透網路的外部攻擊。
異常特權用戶帳戶活動
特權用戶帳戶可能是組織內使用的任何帳戶,可以存取對組織重要的或私人訊息和應用程式。IT 團隊可能會發現奇怪的活動,例如某個未知帳戶被允許具有特殊特權或授權。
現在就採取行動!
入侵威脅指標對於幫助 IT 專業人員和安全團隊識別異常活動至關重要。無論攻擊已經發生還是正在進行中,您的網路和安全程序都需要保持最新並且可以擴充。網路犯罪分子不斷發展,您的安全方法和設備也應如此。
為了使用先進的威脅搜尋技術以獲得最大的可視化,NetQuest 的 Streaming Network Sensor 流式網路感測器可監控大型企業和電信網路,檢查所有加密和未加密的流量。感測器從每個網路對話中提取詳細訊息,包括潛在的危害指標,並導出未採樣的 Flow Data 以用於檢測網路中可能存在的任何異常。
Source: https://netquestcorp.com/indicators-of-compromise/ (Indicators of Compromise: Threat Hunting’s Digital Bread Crumbs)
Photo Credit: Photo by Kevin Paster