那些高级威胁响应调查背后的小秘密

引子

促成我写这篇超短文的想法，是看到鸟哥安全架构总结文章，其中提到了Crowdstrike Falcon OverWatch团队，提到了他们处理Microsoft Exchange 0day的攻击过程，有很多共鸣。因此有了兴趣记录下这篇简短的文字。

痛点

还是以Microsoft Exchange 0day为例，Falcon OverWatch团队拥有CrowdStrike这样强大的安全基建真是如虎添翼，一个APT组织的攻击行为必然会有文件读写、进程调用、执行参数等，安全人员只要能了解漏洞原理，了解APT组织的常规攻击模式和套路等技战术，就可以很好的发现一些攻击行为。

Falcon OverWatch这些经验都不是秘密，我相信很多安全厂商都已经可以做得很好。但是其中真正困扰安全人员的点，估计不会有太多人注意，笔者看到了如何捕获那些即时性的碎片攻击是安全人员共通的痛点，即那些高级威胁响应调查背后真正的小秘密。

秘密

一线的安全人员知道，安全事件的调查响应都是基于捕获的攻击样本和所有可用的安全数据，而现代的高级威胁攻击越来越多的呈现出碎片化、即时性特点，呈现在一线安全人员面前的往往只是碎片，且不说样本的缺失、日志的缺失，这种动态化的即时碎片攻击更是火上浇油。

OverWatch团队在调查分析过程中坦然，Falcon产品无法看到“一句话webshell”真正攻击过程，以至于只能上人守株待兔，收集 W3WP (IIS) 进程的内存转储，尝试恢复POST请求数据，到进程中找动态Webshell字符串，以捕获分析攻击者真正的攻击意图和过程。

当然“一句话webshell”只是一个粗浅的例子，只是一个小细节，代表不了全部，仅仅只让笔者共鸣到了一线人员的痛，侧面也说明了CrowdStrike还没有补齐RASP的产品线 ：）

现状

现代高级威胁攻击技术可以看到太多这种例子，比如一个程序的序列化漏洞完全可以做到全内存级别后门，一个恶意荷载Beacon有太多BOF攻击插件可以做到全内存级别攻击，更不要说高端APT组织下到硬件上到流量的全套隐蔽攻击技战术，类似的攻击都呈现了太多的碎片化、即时性特点，让高级威胁响应调查处于弱势的一方，让高级威胁调查响应变成一个碎片拼图难题。

问题

笔者并不想以长篇大论去说明问题、解决问题，谁家安全产品牛这样的伪命题，安全产品所捕获的安全数据都会有碎片化问题，纵深防御永远是解决之道。

未来，各种各样碎片化、即时性特点的高级攻击技战术会更加常态化，只会给安全人员进行调查响应带来更大的挑战。安全产品需要解决的问题太多，笔者只是简单开了个题，各位同仁继续努力。

最后

开年第三篇结束，假期的这三篇，算是笔者对2021年诸多过眼事件中来得及记录的几个做了一个小结吧，2022年我会尽量多记录一些感悟。

声明：本文来自QZ的安全悟道，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。