来自 CC防护 2021-02-10 03:59 的文章

域名被攻击怎么办_怎么处理_游戏服务器cdn防御

域名被攻击怎么办_怎么处理_游戏服务器cdn防御

在最近的帖子中,我们与我们的检测工程团队一起深入幕后,解释我们如何使用探测器来提高威胁检测操作的质量和效率。在这篇文章中,我们将介绍探测器的创建:从想法的构思到研究和测试,再到它"复活"并投入生产的那一刻。首先,快速复习…什么是探测器?在最简单的形式中,redcanary的检测器是一小段包含布尔逻辑的Ruby代码。当我们的引擎从Carbon Black Response或CrowdStrike Falcon获取流程执行元数据时,元数据将与布尔项进行匹配,以确定特定事件是否足够有趣,小米路由器防御ddos,从而引起分析员的注意。这一点逻辑是一个强大的红色金丝雀,因为任何分析员都可以提交代码来扩展我们的检测能力,基于他们第一手观察到的或通过研究观察到的对抗性技术。那么探测器是如何产生生命的呢?为了便于说明,我们将按照检测器1236(也称为WIN-PRINT-WRITE-PE)的实现来完成这个过程。我们开发了这个检测器来识别打印.exe被用来执行ATT&CK技术T1105(远程文件复制),以便将有效负载下载到端点。开始创建探测器!从火花开始…每个检测器都是从我们的检测团队、事件处理者或我们的麻烦制造应用研究团队发布的GitHub问题开始的。我们的一些分析师专门与威胁情报部门合作,以了解新的行为,但我们也在组织内部众包,以确保我们不会错过创意。分析人员根据他们在红金丝雀工作时或在以前的工作中所看到的敌对行为提交想法;事件处理人员提交他们在客户环境中观察到的情况;研究人员寻找我们可以在对手开始利用它们之前发现的新行为。此外,原子红队的贡献可以帮助推动探测器的想法。凯西·史密斯和其他红色原子小组的研究人员提交了我们在野外从未见过的有趣测试。一个很好的例子就是macOS输入提示测试的贡献,它帮助我们提高了macOS系统的检测能力。最后,一些探测器的想法来自一个不幸的来源:探测失败。虽然这种情况很少见,但在处理TB级的流程执行元数据以寻找每天都可能发生变化的对手行为时,最终必然会发生遗漏恶意事件。当这种情况发生时,我们有责任为这次失误负责,并确保它不会再次发生。这些想法为我们提供了宝贵的经验教训,并使总体检测质量更高。在探测器1236的例子中,这个想法是由我们的一个检测工程师在阅读Oddvarmoe的Tweet后提出的。微博讨论打印.exe,默认情况下随Windows一起提供的二进制文件,以及它以可以逃避检测的方式下载项目的能力。于是,一个探测器的想法诞生了。验证探测器的想法一旦一个想法被记录为GitHub问题,我们就开始冒险,以确定围绕这个想法形成一个检测策略是否会给检测工程团队带来价值。我们通过观察对手战术的可能性和复杂性,结合我们从端点检测和响应(EDR)传感器获得的数据,来指导决策。简单的检测方法,关闭ddos防御,比如识别微软Word衍生的PowerShell是很容易取胜的,因为这种策略非常常见,而且我们可以用EDR数据轻松地检测到这些事件。有时,这一决定也受到EDR数据的限制。其中一个很好的例子就是在Linux中使用跨进程通信来窥探凭证。不幸的是,我们无法获得数据来证明这种策略的发生,cc高防cdn,我们需要砍掉这个想法。一些探测器的想法需要更多的研究来了解它们在野外的使用量。我们的研究经常涉及建立一个测试实验室来模拟受控环境中的敌对行为。虽然您可以为此花费数千美元来建立一个实验室环境,但我更喜欢保持简单:VirtualBox是免费的,并且足够容易使用。我们的一些工程师也更喜欢VMware Workstation或其他虚拟化技术。更复杂的检测器思想可能涉及设置专门的实验室机器,包括活动目录域控制器、SQL数据库或web服务器。我们最近进行的一个检测项目涉及在Linux和Windows上设置大量的web服务器产品,以测试web shell行为如何出现在EDR数据中。其他专门的测试也可能需要crowdstake Falcon或Sysmon传感器来测试产品之间的遥测差异。为了这个特殊的行为打印.exe将一个二进制文件写入磁盘,使用一个带有炭黑(Cb)响应传感器的windows7机器进行了一个简单的实验室实验。在仔细阅读了Tweet中的原始想法后,我们使用了一个类似的命令在实验室中进行测试。我们没有通过设置文件共享来托管要下载的文件的过程,而是利用了科技界最著名的支持WebDAV的站点之一:live.sysinternals.com网站.一次打印.exe执行后,我们潜入Cb响应遥测,观察测试留下的工件。有趣的是,我们观察到打印.exe但不是网络连接。这是由于WebDAV下载的特性,因为这些下载的网络连接被卸载到Windows中的另一个服务上。相反,这些连接由rundll32.exe进程处理。理论上,只要我们不关注网络连接,这种策略的检测策略就可以工作,重点是识别文件写入。但它会扩大规模吗?您可能会想知道为什么我们把重点放在二进制文件的交付上而不是其他的。毕竟,打印.exe可能会下载WebDAV共享中显示的任何文件。这个问题的答案集中在我们的探测系统的扩展上。当我们调查了几个客户环境时,我们发现打印.exe是常用的,但它经常将临时文件写入磁盘。如果我们只监视一个客户(或者像许多组织一样,只监视我们自己的客户),那么我们可能会容忍这个过程在写入任何文件时产生的大量警报。但是,由于Red Canary已经扩展到监控多个垂直领域的许多不同客户,我们发现稍微宽一点的网络可能会导致数千个假阳性警报,这会让我们的分析师陷入不必要的兔子洞。当我们接受假阳性是为了抓住邪恶的时候,我们也需要将假阳性率保持在一个合理的水平,以减少我们的检测分析员的警觉疲劳。因此,我们假设打印.exe交付可执行的二进制文件比编写其他文件类型的过程更有可能是邪恶的。测试,然后实施既然我们已经验证了检测器的想法,并且掌握了我们认为有趣的行为,我们就可以开始编写检测器的过程了。在将工程的概念应用到检测中时,我们从创建一个单元测试开始,让我们的最终检测器代码通过。我们通常在每个测试中创建条件来模拟真正的阳性事件以及我们期望不会触发检测器的事件。在这种情况下,我们在测试中的第一组条件寻找一个真正的积极事件:一个打印.exe执行并将可执行文件写入磁盘。我们的测试代码与此类似:下一个条件测试了一个事件,网站打不开,其中打印.exe已执行但没有可执行文件写入。写入的任何检测器代码都不应触发这种情况。最后,我们加入了另一个条件来测试Linux上的事件是否会触发检测器。作为打印.exe是一个Windows二进制文件,我们只想在Windows上执行它。任何写在检测器中的代码也不应该触发这种情况。我们现在可以写代码了吗???在花时间创建和验证单元测试之后,我们终于可以开始编写检测器代码了!正如前面的检测工程帖子中提到的,我们使用Ruby创建的特定于领域的语言来表示从我们的合作伙伴EDR传感器收集的数据片段,并标准化到Red Canary引擎中。我们为探测器创建了一个宽泛的术语百科全书,但我们想重点介绍的是:进程名称已关闭内部名称已关闭写了可执行文件?修改了可执行文件?我们为探测器编写了以下代码以通过我们的预先测试:遍历代码,我们指示检测器在Windows上查找进程或内部名称为的事件打印.exe. 此外,检测器查找可执行文件的文件创建或修改。我们已经学会了根据我们使用EDR传感器的经验来寻找文件的创建和修改,正如Cb Response和CrowdStrike Falcon报告文件以不同的方式编写。包括这两个检查允许一个探测器对来自两个传感器的事件工作。您可能还注意到了一行奇怪的代码:process\u command\u line\u not_include。包含这行代码是因为Windows上的另一个软件包也包含打印.exe与我们想要识别的不同的二进制文件。排除执行不需要的打印.exe,我们包含了这行代码。对于任何目光敏锐的穿透测试人员,我们在图像中模糊了文本,这样我们就可以在不给出建议的情况下讨论这些代码,以便于规避!既然检测器代码通过了单元测试,我们可以继续研究代码的附加功能。每个探测器都包括一个面向公众的客户描述和我们的检测工程团队的内部注释部分。内部注释有助于团队了解引发特定事件的原因以及如何进行调查。这有助于我们缩小不同团队成员之间的知识差距,同时向客户提供高质量的报告。A

,国外cc防御