《攻防演练场景下的加密流量威胁分析-观成科技-202305-安世加-to安世加.pdf》由会员分享,可在线阅读,更多相关《攻防演练场景下的加密流量威胁分析-观成科技-202305-安世加-to安世加.pdf(20页珍藏版)》请在三个皮匠报告上搜索。
1、实战攻防场景下的加密流量威胁分析威胁趋势01 01技术创新02 02运营实践03 03实战案例04 0401 01威胁趋势网络中加密流量快速增长2018超过80%的企业网络流量将被加密(Gartner)2019Chrome 加载网页中启用加密的比例已经达到了95%(Google报告)2020密码法正式施行,国家关键信息基础设施持续进行商用密码改造,进一步推升政企网络加密流量占比2021当前互联网加密流量超过90%,并且还在保持快速增长(Google报告)2022从2020年的57%到2022年的85%以上,使用加密通道的攻击呈持续上升趋势。(Zscaler发布的2022年加密攻击状况报告)威胁
2、全面转向加密化随着世界多极化格局形成、云大物移工新场景不断涌现,近年来大国网络空间博弈日趋激烈,使得网络攻击、APT威胁等网络安全威胁日益凸显。恶意软件全面转向加密通信加密威胁成为关基单位主流安全事件2020年全球网络攻击中有70%采用加密(Gartner)2021年60%的恶意软件已采用加密,涵盖各种类型(观成)2022年超过95%的企业遭遇过由于加密流量引起的安全事件(ESG)2023年5月1号“关基安保”国标正式实施,对国家关键信息基础设施安全对抗与保障水平提出具体要求,拉开高烈度实战攻防对抗的序幕HW场景面临严峻的加密流量威胁出联威胁横向威胁威胁类型探测扫描暴力破解漏洞利用拒绝服务We
3、bshell涉及工具APPscanHydraBurpsuiteMetasploit等加密流量SSLShack2HydraFastRDPImmunity_CanvaSSLRDPSSHMetasploit等SSLRDPSSHImddosFbotNitolVJadtre冰蝎哥斯拉蚁剑等SSL威胁类型探测扫描暴力破解漏洞利用涉及工具APPscanHydraBurpsuiteMetasploit等加密流量SSLShack2HydraFastRDPImmunity_Canva等SSLRDPSSHMetasploit等SSLRDPSSH威胁类型木马回联反弹Shell隐蔽隧道代理转发远控工具涉及工具Cobal
4、tStrikeCrossC2Empire各类木马等加密流量SSLNcBashPhpopensslTCPCobaltStrikeMetasploitHTTPTunnelICMPtunnel等DNSICMPHTTPneo-regeorgRegeorgTunna等SSH向日葵TodeskTeamviewer等SSLTCP/UDPRDPHTTPTCPHTTPDNSTCPUDP入联威胁隐蔽隧道ICMPshPingTunnelICMPtunnel等ICMP初始信息搜集初始打点建立据点提升权限内部信息收集横向移动维持权限完成目标APT场景加密通信已成为主流SideWinder响尾蛇组织通信特点:SSLDon
5、ot/SectorE02肚脑虫组织通信特点:SSLLazarus、Group 123拉撒路组织等通信特点:SSL等BITTER蔓灵花通信特点:自定义加密OceanLotus海莲花组织通信特点:SSLPatchwork白象组织通信特点:SSLNSA、CIA方程式组织等通信特点:SSL、TCP加密等Turla、APT28、APT29政府、情报局通信特点:SSL、HTTP加密等数字化时代的战争早已是世界大战,目标是核心领域的关键信息资产顶级APT组织攻击产生加密流量占比基本为100%;重要APT组织攻击产生加密流量占比超过50%02 02技术创新恶意加密流量分类分类标准加密协议隐蔽隧道(非标准加密协
6、议)SSL加密SSH加密RDP加密网络层隧道(ICMP等)传输层隧道(TCP/UDP/SCTP等)应用层隧道(DNS/HTTP等)部分黑客工具入联/横向威胁:burpsuiteHydraMetasploit冰蝎、哥斯拉、蚁剑回联威胁:CobaltStrikeCrossC2EmpireFpipeRtcpReduhHydraK8ReduhRegeorgFastRDPBUbruteICMPshPingTunnelICMPtunnelptunnel-ngICMPdoorICMPtxMetasploit等Cobalt StrikeMetasploitGodzillaBehinderTunnaABPTTS
7、reGeorgHTTPTunnelDns2tcp部分APT组织北美:NSA、CIA东欧:Turla东欧:APT28、29东亚:Group123南亚:响尾蛇、白象东南亚:海莲花北美:NSA北美:CIA东欧:Turla北美:NSA、CIA东欧:Turla东欧:APT28东亚:Group123南亚:蔓灵花、白象东南亚:海莲花东南亚:海莲花东欧:Turla恶意加密流量面临检测难的问题明文信息不足,载荷不能作为识别加密流量的特征可用特征维度显著减少,高辨别力特征更加稀有数据被加密可用特征有限加密类型多样化高烈度对抗下,C&C频繁切换黑客工具种类繁多,更新迭代频繁标准加密协议SSL/SSH/RDP非标准加
8、密协议网络层隧道传输层隧道应用层隧道攻防博弈日益激烈,攻击者频繁切换C&C服务器、IP及域名来逃避基于威胁情报的跟踪基于IP、域名、HASH等的传统威胁情报存活周期日益变短,难以有效跟踪攻击者攻击资源追踪常用黑客工具100+知名的黑客工具几乎都有经过魔改的版本冰蝎 2018-2022 大版本4次Cobalt Strike 2022年小版本迭代了4次用户加密应用安全检测产品过去:通常采用“中间人”方式先解密再检测现在:采用含AI在内的综合决策在不解密的前提下检测可识别利用加密通信的恶意软件可识别非法的加密应用可识别变种/未知/高级加密威胁可识别加密通信中的攻击行为不支持“被解密”的场景有数据泄露
9、的风险响应时间将增加672%检测性能将损失60%网络行为分析证书分析背景流量分析握手信息分析多流分析机器学习深度学习算法集合专家规则流量行为用户行为操作行为可视化呈现综合决策加密流量检测的路线之争AI可以重用,但不能滥用可解释性变差AI在威胁检测的局限性部分加密威胁检测无法应用可用于不解密检测场景可应对变种及未知威胁构建可靠的特征工程使得机器学习可被应用123123AI加密流量威胁智能检测技术路线Cobalt Strike黑客工具精准检测哥斯拉冰蝎IcedID木马回连加密类威胁检测反弹Shell隐蔽隧道新型Webshell非法应用现网流量明文流量加密流量单流模型多流模型多模型机器学习智能研判技
10、术原创鱼骨图综合呈现哥斯拉海莲花APT-C-00方程式APT-C-40蔓灵花APT-C-08APT跟踪监测加密通信监测APT组织跟踪数据搜集黑流量白流量冰蝎网络行为分析证书分析背景流量分析握手信息分析多流分析AI多模型扫描暴破基于加密特征的威胁情报限定域指纹流量行为特征基于专家经验的限定域指纹技术综合决策体系DNS隧道检测引擎SSL出联威胁检测引擎HTTP隧道检测引擎TCP/UDP隧道检测引擎ICMP隧道检测引擎SSL/RDP/SSH攻击检测引擎流行为特征加密威胁情报数据预处理威胁标签+原创鱼骨图解决引入AI可解释性变差的问题握手检测模型行为分析模型检测总分威胁标签证书/DNS/背景流量检测模
11、型握手模型参数、关键特征证书模型参数、关键特征域名、背景流量模型参数、特征流模型关键指标03 03运营实践场景一:HW与APT场景加密威胁检测旁路部署在互联网出口或各区域或核心交换位置,对加密流量中的威胁行为进行监测分析:恶意家族、隐蔽隧道、加密攻击、全球APT家族攻防演练常用黑客工具同源变种或未知威胁覆盖SSL/RDP/SSH/TCP/UDP/DNS/ICMP等加密流量覆盖入联攻击、横向攻击、出联威胁等多个环节补齐HW与APT场景下加密流量威胁检测能力场景二:日常运维场景持续监测加密风险加密风险密码合规(满足“GB/T 39786-2021”国标及各行业密评标准)证书异常加密异常协议异常密码
12、异常敏感应用证书过期自签名证书证书链校验不通过使用弱密码算法支持弱密码算法支持非国密加密算法泄漏主机名服务器端扩展项异常SNI与CN/SAN不匹配明文方式传输用户名/密码的字符串用户名/密码字符串使用BASE64编码用户名/密码字符串使用未经验证的加密算法或摘要算法翻墙VPN(NordVPN、Tor等)境外应用(Twitter、Whatsapp等)不合规应用(远控工具、代理转发工具)持续监测流量、资产中存在的加密风险,实现加密业务安全运营的闭环!04 04实战案例2022HW加密威胁情况24起重点加密威胁事件防御2003次加密类威胁检出32款加密黑客工具撰写14篇防守技战法生产17091条加密类情报5起WebShell攻击事件(2起冰蝎4.0、1起哥斯拉、1起冰蝎、1起蚁剑)9起TLS木马回连事件(4起恶意木马回连、5起CobaltStrike回连)8起隐蔽隧道事件(4起ICMP隧道、3起DNS隧道、1起UDP隧道)2起其他事件(2起代理转发)22年HW中攻击暴露面很多,攻击手段很多22年HW中受控后95%都是加密通信方式22年HW中检出加密威胁90%是独家首发欢迎沟通交流北 京 观 成 科 技 有 限 公 司-加 密 网 络 空 间 安 全 领 航 者-