TL;DR: Avast 正在启动研究项目「Purple Dome」,专注于无文件恶意软体及使用 Living Off the Land
(LOLBins/LOLScripts) 技术的复杂攻击问题。我们将会模拟许多事物:网络、攻击者、防御系统。
对电脑系统的攻击不断演变。为了提高灵活性,人类操作员有时会参与攻击,这在高价值目标中特别普遍。由于人类操作员可以使用已安装于目标系统上的正常工具,这可能导致所谓的「无文件」恶意软体的出现。
这类攻击早在几年前就已经开始。恶意软体感染的电脑被连接成一个个的机器人网络,攻击者可以从他们的指挥和控制伺服器(C&C)远程控制。那时是 95%
的恶意软体加上 5% 的人类创意。目前则出现了混合攻击(如 ),这种攻击可以自动感染系统并执行其脚本化攻击。
当这些系统「看起来有吸引力」(例如:大型公司拥有大量金钱、可被勒索的有价值数据、损坏的备份系统使得勒索病毒攻击更加有效)时,操作员会介入以彻底控制目标以索取更高的赎金。这些机器人网络的运营者不仅能利用嵌入在恶意软体文件中的功能,还能滥用已由公司管理员为系统管理安装的基本操作系统功能、管理工具和脚本。这被称为「利用土地生存」(LivingOff the Land, LOL,意即 LOLBINs)。其目的是要留下更少的痕迹,并更深层地感染系统。一些例子包括黑进 Active Directory伺服器并在为勒索加密档案之前删除备份。
这并不是新鲜事,但这一变化的途径是明显的,并将持续下去。安全公司已经在适应这些新攻击向量。
为了让研究人员参与解决这个问题,Avast 正在其 AI 研究团队中创建一个新项目「Purple Dome」。
本篇博文所谈的项目
Purple Dome旨在基于配置文件创建一个模拟的计算机网络。我们将预先安装一些传感器。然后,我们将启动一些攻击者虚拟机,让它们对这些系统进行攻击。我们的收获将是攻击者留下的痕迹的日志和信息。这些日志可以通过机器学习技术进行分析,这些信息随后可以转化为改进的最终用户产品。
这个项目的主要优势在于我们可以随时灵活地:
- 尝试不同的目标网络设置
- 尝试不同的传感器和功能
- 执行不同的攻击场景,包括不同的
- 在我们获得的大量日志上尝试不同的机器学习 (ML) 算法
一切都必须完全自动化,因为 ML 需要大量的输入来识别标志攻击的红旗。
如果我们能够模拟出不同的场景,例如公司网络、中小型企业(SMB)、大学网络、家庭办公室或连接物联网的智能家居,我们就能更好地了解对它们的攻击情况。
详情
为了自动设置目标系统,我们使用 Vagrant (https://www.vagrantup.com)。这是一个非常常见的虚拟机 (VM)
自动化系统。它可以创建、运行、停止和摧毁这些模拟的计算机系统。整个系统相当灵活。为了开发和调试,我们需要基于 Vagrant的本地版本。除此之外,还有适用于大规模部署的云端版本。
无论我们使用哪种版本:系统配置都可以调整,以模拟您能想像的任何目标系统,例如拥有不同网络连接设备的普通家庭或办公环境。在配置完成后,我们只需执行我们的工具链,就能看到我们的模拟网络如期运行,并随即被攻击(见下一步)。
攻击同样在配置中定义。这些是黑客通常会实施的典型攻击。攻击或者从 Caldera 攻击者发起(这是「可扩展自动对手模拟平台」
https://github.com/mitre/caldera)或者从 Kali Linux 环境 (https://www.kali.org/)
中进行,两者均模拟了具有他们通常拥有的工具的对手。这两种工具都有很多选择来攻击模拟的网络。
这些步骤对于收集结果是必要的:我们对模拟系统的观察。这将解答如:这些攻击对于运行在这些系统上的传感器来说是什么样的,何时可以确定攻击正在发生,并启动我们的反制措施(如重新配置防火墙以阻止攻击者)?
对于这些有关传感器和决策逻辑的问题,这正是我们将实验的部分,我们希望能够尽快公布有趣的结果。
以下展示了这将如何运作。
- 我们从一个控制器开始:
- 控制器然后启动攻击者
- 接下来,控制器启动目标
- 控制器指挥攻击者对目标进行攻击
- 从攻击者和目标收集数据
- 攻击者与目标的数据用于机器学习 (ML)
预期结果
该研究部门的其他项目已经开源或与大学合作开发
(https://github.com/CTUAvastLab/Mill.jl)。我希望我们很快就能看到这个工具的公众版本。但首先,代码结构需要再稳定一下。
结论
在此篇文章中,我们宣布「Purple Dome」的开始。我们将后续更新有关其他研究社区成员如何参与的更多信息,并最终分享我们的研究成果。
为科学而努力!
Thorsten Sick
分享:XFacebook
