了解复杂的威胁:敌人的意图、手段、方式和趋同知识艾马德·贝拉迪引用此版本:艾玛德·贝拉迪。了解复杂的威胁:对手的意图、手段、方式和趋同知识。密码学和安全学[cs.CR]。2022年中央超级电力公司。法语。NNT:2022CSUP 0004。电话:03861429v2HAL ID:电话:03861429https://theses.hal.science/tel-03861429v2提交日期:2023年HAL是一个多学科的开放存取档案馆,用于存放和传播科学研究论文,无论它们是否被公开。论文可以来自法国或国外的教学和研究机构,也可以来自公共或私人研究中心。L’archive ouverte pluridisciplinaireT Hese德博士学位中央备用电和科尔 D八角形第601章数学与信息与通信科学与技术通过艾玛德·贝拉迪了解复杂对手的意图、手段、方式和趋同知识论文于2022年研究单位:计算机科学与随机系统研究所(IRISA)论文编号:2022CSUP 0004答辩前的报告员:Marie-Laure POTET Ensimag/格勒诺布尔INP大学教授AurélienFRANCILLONEURECOM教授评审团组成:主席:Vincent NICOMETTE图卢兹INSA大学教授考试员:Jérôme François Inria Nancy Grand-EstEric FREYSSINET准将,国家宪兵博士生主任:Valérie VIET TRIEMTONG中央高等教育学院教授主管:Gilles GUETTE雷恩大学讲师1 Mathieu JAUME索邦大学讲师客人:Christophe BIDAN中央高等教育学院教授3我们不知道。海军突击队的座右铭5列表从出版物同行评审期刊上的文章— Aimad Berady、Mathieu Jaume、Valérie Viet Triem Tong和Gilles Guette:从TTP到 IoC:用 于威 胁搜索的高级持久图形 。IEEE网络和服务管理学报(TNSM)-特刊网络和服务安全管理的最新发展,2021年6月。DOI:10.1109/TNSM.2021.3056999,HAL ID:hal-03131262— Aimad Berady、Mathieu Jaume、Valérie Viet Triem Tong和Gilles Guette:PWNJUTSU:追溯攻击活动的数据集和语义驱动方法。IEEE网络和服务管理学 报 ( TNSM ) - 网 络 安 全 管 理 最 新 进 展 专 刊 , 2022 年 6 月 。 DOI :10.1109/TNSM.2022.3183476HAL ID:HAL-03694719与法案的— Aimad Berady、Valérie Viet Triem Tong、Gilles Guette、Christophe Bidan和Guillaume Carat:模拟APT活动的操作阶段。IEEE计算科学计算智能会议( CSCI ) , 2019 年 12 月 , 美国 。 DOI : 10.1109/CSCI49370.2019.00023HALID:hal-02379869无行为的— Aimad Berady 、 Valérie Viet Triem Tong 、 Gilles Guette 和 MathieuJaume:在共同承诺的网络中发展的攻击者的战术特征2021年5月,法国在线,2021年"系统、软件和网络安全"(SSLR)工作组关于网络安全的主题日网址:https://gtsslr21-reseau.sciencesconf.org/353075REMERCIENTS7如果没有你们给我的支持,如果没有你们给我的力量和勇气,如果没有你们给我的时间,如果没有你们给我的坚定信任,这篇论文的完成和成功是不通过这几句话,我想真诚地感谢你从一开始就参与了首先,我要感谢Erwan A。(XSS博士)。正是他几个月后,感谢你们四个人 在这方面,我总是记得在最初的一个星期里,当我在研究我的艺术状态并寻找可以遵循的线索时,我说的一句话:"如果你有一个想法,告诉自己别人也有这个想法,他们也有这个想法。" 可能已经出版了。"一开始我很生气,然后...我每天都在检查它,检查我认为我有的每一个"新"想法。所以我跟着你,为此,在PWNJUTSU项目的框架内,我在论文的大部分时间里都在忙着这个项目,多亏了Olivier F. 和文森特·C的投资。我也可以指望伯努瓦·F的宝贵支持。,8没有他们,这个平台的实施是不可能的最后,罗曼·L. 他和他的团队很快就了解了我的需求,并我还要感谢我的私人审稿人Baptiste B。和克洛伊·H。他们的可用性、开放性和专业知识。 你对我的工作的外部看法和你的验证总是让我放心,我能够平静地继续下去。在这段时间里,我也得到了同事们的大力支持,他们引导我"将限制转化为机会",然后让我开始了这个疯狂的项目,作为我职业活动的我还想到了所有那些与我就我的论文进行交流的人我没有忘记你,我非常感激你所有人都很健康!这个页面... ...为了像开始时那样自豪地结束这篇论文谢谢你花了最后,这个项目,也是为了我的家人,他们总是遵循我的选择。 我最后的话是对我的部落F S.和Y。(SYNS):非常感谢您的耐心。它S摘要91一般背景131.1导言141.2复杂威胁(APT)141.3攻击活动的生命周期建模1.4战术、技术和程序(TTP)201.4.1战术(意图)221.4.2技术(手段)221.4.3程序(方式)221.5情境知识231.6事件响应流程(PICERL)251.6.1准备工作251.6.2标识251.6.3容器251.6.4根除261.6.5恢复261.6.6经验教训261.7红色与蓝色261.8现有数据集271.8.1公开报告271.8.2在真实系统上收集事件日志1.8.3对比模拟或模拟TTP291.8.4红队在专用平台上的观察301.9捐款302对攻击活动的作战阶段进行建模2.1导言332.2核武器34型2.2.1核武器36的元素2.2.2核武器国家3710摘要2.3两次战役中的核对抗402.3.1Equifax遭受的数据泄露(2017)412.3.2TV5Monde的破坏(2015)452.4第二章第四十八章3正确看待对手的愿景513.1导言523.2型号54概述3.2.1L’infrastructure3.2.2攻击者的范围3.2.3防御者的边界563.2.4愿景的对抗563.2.5APT29 58模拟活动的实验3.3攻击者的视觉3.3.1攻击者的行为3.3.2攻击者在SI 62中的传播3.4捍卫者的愿景643.4.1信息系统监督3.4.2从防御者的角度看攻击者的扩散3.579型的试验3.5.1攻击场景3.5.2有针对性的基础设施和防御性架构843.685个结果3.6.1测量防御体系结构的质量3.6.2缩小防守方的图形以显示3.6.3关于规则883.7第三章结论904PWNJUTSU:追踪93次攻击活动4.1引言944.2实验架构4.2.1基础设施974.2.2部署1014.3攻击者的进展4.3.1攻击者的描述摘要S摘要114.3.2第107章第一次见面4.4攻击技术的语义4.4.1横向移动1104.4.2凭据访问1114.4.3特权升级1144.4.4发现1154.4.5持久性1204.5攻击活动示例4.6实验的好处4.6.1数据集的记录1254.6.2第125小组调查4.7第四章结论130一般结论和展望131参考书目135首字母缩略词145注释146词汇表149附件PWNJUTSU151A.1 基础架构部署脚本A.2 VM1154计算机的配置脚本A.3 PWNJUTSU158与会者须知A.4 参与者的非正式报告P12162A.5 攻击树实验13C第1章C反文本将军们1.1导言141.2复杂威胁(APT)141.3攻击活动的生命周期建模1.4战术、技术和程序(TTP)201.4.1战术(意图)221.4.2技术(手段)221.4.3程序(方式)221.5情境知识231.6事件响应流程(PICERL)251.6.1准备工作251.6.2标识251.6.3容器251.6.4根除261.6.5恢复261.6.6经验教训261.7红色与蓝色261.8现有数据集271.8.1公开报告271.8.2在真实系统上收集事件日志1.8.3对比模拟或模拟TTP291.8.4红队在专用平台上的观察301.9捐款3014第1章1.1简介在2021年期间,国家信息系统安全局(ANSSI)了解到1082起经证实的对法国实体的这一不断上升的数字指的是防御者检测到的攻击活动。然而,出于经济利益、窃取敏感信 息( 间 谍活 动 )或 破 坏 稳定 ( 破坏或虚假信息)的动机,攻击者每天都在继续造成新的受害者。如果说在信息系统(IS)中追捕攻击者似乎是一个永恒的重新开始,那么近年来防御者的姿态和理解水平已经发生了很大的变化。事实上,由于网络威胁情报(CTI)[ 2 ]学科的出现,社区不仅意识到攻击者实施的新技术并做好应对准备,而且还努力了解威胁的性质,特别是通过描述攻击者的意图和作案手法。此外,现在人们认识到,从军事世界借用的许多概念可以转移到网络空间进行的行动中因此,这门学科的专家们经常从军事学说中汲取灵感,以便更好地L’objectif为此,我们将激励他们的意图(战术)、他们实施的手段(技术)、他们的行动方式(程序)以及他们在各自行动过程中积累的趋同知识置于我们思考的核心1.2复杂威胁(APT)在计算机安全领域,科学界和专业人士近年来已经意识到所谓的"持久性和高级"威胁的存在,通常称为高级持续性它们的具体形式是经常针对或涉及民族国家[4]或任何国籍的公司Burita等人 [5]确定了CTI社区承认其国籍甚至与国家有联系的APT团体[6]。15高级持续威胁(i) 在很长一段时间内反复追求目标。(ii) 适应防御者抵抗它的(iii) 致力于保持实现其目标所需的互动水平。1.2. 复杂威胁(APT)自那时以来,具有不同意图和背景的行为者采用了防止酷刑协会的运作方式。正如ANSSI最近指出的那样,其中包括实施这些攻击的高级网络犯罪集团,以便在受害者中部署勒索软件[ 1 ]。早在2011年,美国国家标准与技术研究所(NIST)就在一份专门出版物中定义了APT[7]。此定义强调了此类威胁的三个基本方面:— 攻击的持续时间— 适应和规避防御系统的能力— 实现目标的决心和动力它必须由文献中的另一个定义来补充[8][9][10]:— 高级:指的是隐蔽性,以及受害者是这些攻击的具体目标(与完全oppotunist攻击相反此外,这些攻击者在有组织的群体中工作,并由共同的赞助商或利益驱动(黑客行动主义的特殊— 持续性:表示这些攻击持续很长时间。 在IS中站稳脚跟的攻击者可能会在那里停留数月甚至数年而不被发现。— 威胁:提醒我们,这些入侵者在信息系统中的存在攻击者的这一行动目标在逻辑上被视为受害者害怕的事件(窃取敏感数据、破坏设备、勒索然而,正如因此,我们将使用通用术语"复杂",这是卡巴斯基常用的一个形容词[ 11 ],指的是由个人出于特定目的进行的入侵第1章16认可度为了表示这些复杂攻击的进展,科学界和业界共同定义了攻击者在其操作过程中所遵循的生命周期的表示。因此,应对这些威胁的风险缓解措施通常指的是所谓的"杀死链"模型。1.3攻击活动的生命周期建模正如Tatam等人在他们的科学调查中所表明的那样,虽然有几种观点是对立的或互补的,但大多数模型都参考了其中最流行的一种,即美国洛克希德·马丁公司引入的一种这一概念借用自军事战术,用于描述摧毁目标的进攻过程[ 13 ],普及了进攻性网络行动的战术分为了满足对组织开始面临的复杂攻击进行分析、理解和响应的日益增长的需求在这篇文章中,作者还提出了在这些阶段中的每一个阶段阻止攻击的对策然而,由于该模型是线性的,并且由于其关注初始立足点(IS)访问,因此该模型对于说明攻击者在受损IS内前进以寻求其最终目标的动作是不相关的 在第2章中,我们提出了一个模型来弥补这一不足。FIGURE 1.1C2安装剥削交付武器化针对目标1.3. 攻击活动的生命周期建模17同样在2011年,有趣的是,在这一概念的背后,是攻击者需要长期坚持,并在面对可能干扰其行动的不可预见事件时保持它的圆形形状也暗示了在失去对镜片的访问的情况下返回到先前状态的可能性图1.2C’est早在2013年,Mandiant就在他们的报告中使用循环(Fi- gure1.3)来表示攻击者的生命周期。这有助于恢复洛克希德·马丁公司在其开创性论文中提出的重复性概念随后,在2017年,Pols(Fox-IT)在他的论文中提出了统一杀死链的想法,他通过聚合以前发表的模型和两个案例研究(Fox IT的红队和APT 28)来构建统一杀死链他的杀死链由分布在三个循环中的17个可选步骤组成(图1.4)。认可度目标定位维护进一步访问数据收集准备工作图1.3FIGURE 1.4第1章181.3. 攻击活动的生命周期建模19我们认为,这些循环模型更适合描述复杂攻击活动的基本概念,因为它们考虑了持续时间,因此也考虑了持久性然而,我们认为这些模型存在两个主要缺陷。首先,他们没有考虑到攻击者在进步过程中可能的倒退这种倒退可能是由于受害者的非自愿行为或防御者为阻止攻击而采取的对策其次,这些模型没有显示等待期,而等待期然而,这些时间段及其上下文对于深入了解攻击者的操作流程和能力 图1.5来自瑞士政府CERT报告的间谍案件[ 18 ],是一个具体的例子。该图显示了每天从瑞士公司RUAG的信息系统中泄漏的数据量。该公司活跃于航空航天和国防领域,是2016年发现的APT活动的受害者该图清楚地显示了攻击者活动不存在的时期,但也显示了显示大量数据泄漏的高峰期图1.5- 显 示 从 R U A G 信 息 系 统 泄 漏 的 数 据 量 的 图 表 。C’est ce constat qui nous a poussé à modéliser un cycle de vie sous la forme d’unautomate 第二章介绍了这一初步贡献。
我的内容管理
展开
