编者按:新加坡网络安全公司Buguard旗下的研究和威胁情报团队DarkAtlas Squad于5月3日发布题为《超越策略、技术和程序:通过活动关联更好地归因高级持续性威胁活动》的研究报告,提出基于活动的网络威胁归因框架,旨在解决以群组为中心的传统归因的局限性。
该报告称,网络威胁情报中的归因分析是现代网络安全领域最复杂、最具争议的挑战之一,并且传统的网络威胁归因方法历来侧重于识别和追踪相对稳定的敌对组织,旨在根据观察到的行为、基础设施和工具,将恶意活动归类到统一的APT组织身份之下;APT组织画像本质上是基于不断演变且往往不完整的观察结果构建的,并且建立在相关组织是稳定、持续存在的实体的假设之上;但APT组织并非一成不变,而是不断演变,如轮换成员、更迭开发团队、更新换代工具和调整攻击目标等,从而构成了类似于“忒修斯之船”哲学悖论的根本挑战;网络能力的日益商品化进一步模糊了不同威胁行为体之间的界限,导致多个组织可能表现出重叠的行为,从而难以区分“真正的延续性”与“巧合的相似性”;传统的归因方法通常依赖于僵化的映射关系和历史一致性,例如静态的战术、技术和程序,该方法有助于建立对攻击者技术的基本理解并帮助防御者将检测策略与已知技术相匹配,但存在严重的结构性局限性,并带来归因错误和过度简化的风险;现代威胁情报实践正转向以基于活动的分析为中心的动态模型,通过分析具有特定目标、基础设施和操作模式的以及具有时限的活动集群,来推断出网络威胁活动的连续性、演变过程以及潜在的共同发起者。
报告提出,“基于活动的归因”代表着一种从静态的、以群组为中心的思维模式向更动态、更以证据为导向的网络威胁追踪模型的转变,可以构建一个更准确、更具适应性的分析模型;该方法并非试图在APT标签层面强行建立连续性,而是专注于具有共同目标、基础设施和行动模式的有时限活动集群;活动是“在特定时间范围内开展的一系列连贯的行动”,通常具有一致的目标选择、工具和执行流程,反映的是可观察的现实、而非推断的身份,是更可靠的网络威胁分析单元;“基于活动的归因”的关键优势在于其应对变化的能力,能够通过多个维度反映出活动的部分重叠性,而非完全匹配性;该模式还能降低误归因的风险,可随着活动间建立的独立联系增多提高归因的置信度。
报告指出,“基于活动的归因”框架的核心是“重叠模型”,该模型通过将关注点从单一指标转移到多维相关性,解决了如何跨时间维度关联看似独立的操作的核心挑战;“重叠模型”的优势在于其组合特性,可以通过多个分析维度上的部分重叠来关联活动,而非依赖于任何单一因素,每个维度都可对整体归因置信度做出增量贡献。“重叠模型”通常包括六个维度:一是基础设施,即共享或结构相似的基础设施,例如域名命名规则、托管模式、TLS证书重用或DNS行为;二是工具,即恶意软件家族、加载器或内部框架的重用或演化;三是代码相似性,即源代码、算法、加密例程或混淆技术方面的重叠;四是战术、技术和程序,即操作执行过程中的程序相似性,包括初始入侵方法、横向移动策略和持久化机制;五是受害者特征,即攻击目标模式的一致性,例如针对特定行业、地理区域或组织类型;六是时机,即时间模式,包括活动持续时间、活动周期、工作时间或与地缘政治事件的契合度。
该报告主张,网络威胁情报中的有效归因不能依赖单一数据源,而是建立在多层证据模型之上,通过多维证据汇聚来得出可靠结论,从而构成稳健且可靠的归因框架;该分层方法可以降低错误归因的风险,通过在多个维度上进行独立验证来区分巧合的相似和有意义的关联。该多层证据模型包括六个层面:一是“战略层”,侧重于高层意图和地缘政治契合度,分析行动开展的原因,包括目标选择、与国家利益的契合度以及行动时机与政治或经济事件的关系;二是“操作层”,分析活动随时间推移的开展方式,包括目标选择模式、受害者顺序、活动持续时间和活动时机;三是“战术层”,描述攻击的执行流程,通常与MITRE ATT&CK等框架相一致,包括初始访问技术、持久化机制、横向移动和数据窃取方法;四是“技术层”,侧重于工具和恶意软件的特征,包括定制植入程序、加载器、加密例程和配置模式;五是“基础设施层”,检查支撑操作的底层基础设施,例如域名、IP地址、托管服务提供商、TLS证书和DNS模式;六是“人为层”,捕捉操作者的特定特征,包括语言痕迹、编码风格、行为模式和操作安全实践。
该报告称,“基于活动的归因”和“重叠模型”通过“活动关联图”来付诸实践,从而将网络威胁归因形式化为关系网络,而不是简单地进行非线性分类;“活动关联图”以结构化的方式表示了活动随时间推移的关联方式,其中每个节点代表一个不同的活动,每条边代表活动之间的加权关系;“强链接”表示多个层级之间存在大量重叠,“中等链接”反映部分匹配,“弱链接”则表示需要进一步验证的初步连接;“活动关联图”通过证据推断而非假定来评估网络威胁的连续性,并根据重叠的强度和多样性进行加权;“活动关联图”能够自然地捕捉敌对行为的演变、碎片化和融合等特征,将工具变化吸收为新的节点,将基础设施的轮换视为较弱但可追踪的连接,将操作者变更视为可能会改变某些层面并保留其他层面的变量,并将群体分裂视为网络中的分支路径;该基于图的模型具有多重优势,包括变化适应性、透明度、可扩展性和概率推理;该模型还重新定义了APT组织的概念, APT组织不再被视为一个固定的实体,而是一个由多个维度上具有足够重叠且紧密关联的活动组成的集群。
该报告称,“基于活动的归因”框架并不能消除不确定性,而是引入了一种基于置信度的归因模型,其中结论的置信度根据证据层汇聚程度表现为高、中或低;“高置信度”需要强烈一致且多层次的重叠,例如跨多个独立证据层面的融合、在不同时间段内观察到的重复模式和最少的合理替代解释;“中置信度”反映了多个维度上的部分重叠,但存在一定程度的模糊性,例如仅部分指标具有一致、证据在范围或时间上受到限制、存在其他合情合理解释;“低置信度”适用于证据有限、薄弱或不确定的情况,例如仅单维度具有相似性、重叠现象常见于多个不相关的行为体以及数据不足、分散或缺乏验证。
奇安网情局编译有关情况,供读者参考。
超越策略、技术和程序(TTP):
通过活动关联更好地归因高级持续性威胁(APT)活动
01
介 绍
网络威胁情报中的归因分析长期以来都围绕着持续性敌对组织(通常被称为高级持续性威胁,APT)的概念展开。这些命名被MITRE等机构和领先的威胁情报供应商广泛采用,旨在根据观察到的行为、基础设施和工具,将恶意活动归类到统一的身份之下。然而,在当今的威胁形势下,这种模型正日益面临结构性限制。
事实上,APT组织并非一成不变。它们不断演变,成员轮换,开发团队更迭,工具更新换代,行动目标也随着地缘政治形势的变化而调整。这就带来了一个根本性的挑战:如果一个威胁组织的底层组成部分随着时间推移而改变,那么它的身份又该如何维系?这一困境与著名的“忒修斯之船”哲学悖论极为相似——如果一艘船的每个部件都被替换,它还能算是同一艘船吗?
传统的归因方法通常严重依赖于战术、技术和程序(TTP),例如MITRE ATT&CK框架中正式定义的TTP。虽然TTP为理解攻击者的行为提供了一个结构化的视角,但它们本身并非稳定的标识符。威胁行为体可以故意修改其技术、采用公开可用的工具,或模仿其他组织的攻击手法来逃避检测和归因。因此,仅仅依赖静态的TTP映射会带来归因错误和过度简化的风险。
为了应对这些挑战,现代威胁情报实践正转向以基于活动的分析(campaign-based analysis)为中心的动态模型。分析人员不再将APT组织视为固定实体,而是越来越关注独立活动——这些活动是具有特定目标、基础设施和操作模式的、有时限的活动集群。通过分析不同活动随时间推移的关系和重叠情况,即使在缺乏完全相同的战术、技术和程序(TTP)的情况下,也可以推断出活动的连续性、演变过程以及潜在的共同发起者。
02
问题陈述
网络威胁情报中的归因分析仍然是现代网络安全领域最复杂、最具争议的挑战之一。尽管像MITRE这样的机构和商业情报提供商维护着高级持续性威胁(APT)组织的结构化画像,但这些画像本质上是基于不断演变且往往不完整的观察结果构建的。根本问题在于,尽管有明确证据表明敌对组织的组成、工具和操作行为会随着时间推移而变化,但人们仍然假设敌对组织是稳定、持续存在的实体。
这一挑战在归因分析中引入了一个关键悖论:如果敌对组织更换了操作人员、采用了新的工具、修改了基础设施并改变了其战术、技术和程序(TTP),分析人员如何才能确信其身份的延续性?这一困境反映了“忒修斯之船”的哲学概念,即当所有底层组件都被替换时,身份的持久性便会受到质疑。
当组织成员、工具、基础设施和战术、技术和程序 (TTP) 不断变化时,威胁情报从业人员如何才能准确地关联和归因敌对活动?
传统的归因模型严重依赖于将观察到的活动映射到已知的战术、技术和程序(TTP),这些TTP通常通过MITRE ATT&CK等框架构建。然而,这种方法存在显著的局限性。TTP并非唯一标识符;它们可以被故意修改、在不同组织间共享,或者通过公开工具和恶意软件即服务(MaaS)生态系统被采用。因此,攻击者可以通过模仿其他组织的行为来规避归因,甚至故意误导分析人员。
此外,从漏洞利用工具包到网络钓鱼框架以及命令与控制基础设施等网络能力的日益商品化,进一步模糊了不同威胁行为体之间的界限。这导致多个组织可能表现出重叠的行为,使得区分真正的延续性和巧合的相似性变得困难。
因此,本研究的核心问题是缺乏一种可靠、系统的方法来应对攻击者的演变,从而维持归因的连续性。具体而言,本研究旨在回答以下问题。
03
传统归因及其局限性
传统的网络威胁归因方法历来侧重于识别和追踪相对稳定的敌对组织。安全厂商和诸如MITRE之类的框架通过将观察到的活动(包括恶意软件、基础设施以及战术、技术和程序)归类到MITRE ATT&CK等资源中指定的组配置文件下,来规范这种方法。该模型假设,随着时间的推移,一致的行为模式可以可靠地代表特定的敌对组织。
传统归因的核心在于将新观察到的活动与先前记录的战术、技术和程序(TTP)进行关联。当发现足够的重叠之处时,例如相似的初始访问载体、持久化机制或命令与控制行为,该活动就会被归因于已知组织。这种方法已被证明在建立对攻击者技术的基本理解以及帮助防御者将检测策略与已知技术相匹配方面具有重要价值。
然而,这种方法存在严重的结构性局限性。
首先,战术、技术和程序(TTP)并非唯一标识符。ATT&CK中记录的许多技术广为人知、经常被重复使用,甚至已经商品化。攻击者经常采用公开可用的工具、开源框架和恶意软件即服务(MaaS)产品,导致多个组织表现出相同或高度相似的行为。因此,共享的TTP并不一定意味着相同的身份,而是意味着共享的能力或访问权限。
其次,攻击者本身就具有适应性。他们会主动修改战术、技术和程序(TTP)以逃避检测、应对防御措施的改进,或故意制造虚假信号。这意味着,一个组织可能会在不同活动中显著改变其可观察的行为,从而打破基于传统TTP的归因模型的连续性。在这种情况下,生搬硬套历史技术匹配可能会导致相关行动之间缺乏关联。
04
基于活动的归因
基于活动的归因(Campaign-based attribution)代表着一种从静态的、以群体为中心的思维模式向更动态、更以证据为导向的敌手追踪模型的转变。这种方法并非试图在APT标签层面强行建立连续性,而是专注于独立活动——即具有共同目标、基础设施和行动模式的、具有时间约束的活动集群。
活动可以定义为在特定时间范围内开展的一系列连贯的行动,其通常具有一致的目标选择、工具和执行流程。与宽泛的群组划分不同,活动反映的是可观察的现实,而非推断的身份。这使得活动成为在对手不断演变的环境中更可靠的分析单元。
基于活动的归因的关键优势在于其应对变化的能力。如上图所示,活动被划分为多个活动(例如,活动A、B、C、D),每个活动代表一个不同的操作阶段。虽然各个活动在策略、工具或基础设施方面可能有所不同,但它们通常在多个维度上存在部分重叠。正是这些重叠而非完全匹配构成了关联不同时间段活动的基础。
基于活动的归因不是问“这项活动是否符合X组的已知TTP?”,而是将问题重新定义为“本次活动与以往的活动有何关联?有哪些证据支持活动的延续性?”
该模型还能降低误归因的风险。由于它不依赖于单一维度(例如TTP相似度),因此避免了共享工具和误报的陷阱。相反,归因变成了一个多维相关性问题,随着活动之间建立的独立联系增多,置信度也会提高。
在实践中,基于活动的归因通常表现为一个渐进的过程:活动A→活动B→ 活动C→ 活动D
每个过渡都由以下因素支持:
部分TTP重叠
基础设施相似性
共享目标针对模式
一致的操作意图
随着时间的推移,这些相互关联的行动形成了一种连续性叙事,使分析人员能够推断出持续性威胁行为体的存在——即使其行动的各个组成部分发生了变化。
05
关联活动:重叠模型
基于活动的归因面临的核心挑战之一,是如何可靠地将看似独立的操作在时间维度上联系起来。重叠模型通过将关注点从单一指标转移到多维相关性来解决这一问题,在该模型中,归因结果源于多个独立信号的融合,而非依赖于任何单一因素。
重叠模型的基本假设是,任何单一因素(无论是工具、IP地址还是技术)都不足以建立连续性。相反,活动是通过多个分析维度上的部分重叠来关联的,每个维度都对整体归因置信度做出增量贡献。
这些维度通常包括:
基础设施:共享或结构相似的基础设施,例如域名命名规则、托管模式、TLS证书重用或DNS行为。即使基础设施轮换,攻击者通常也会表现出一致的设置习惯或操作偏好。
工具:恶意软件家族、加载器或内部框架的重用或演化。这可能包括共享代码库、类似的构建流程或跨活动的一致开发模式。
代码相似性:源代码、算法、加密例程或混淆技术方面的重叠。即使是函数结构或错误处理逻辑等细微的重用,也能提供强有力的关联信号。
战术、技术和程序(TTP):指操作执行过程中的程序相似性,包括初始入侵方法、横向移动策略和持久化机制。虽然TTP可能发生变化,但对手通常会保留其操作工作流程中的某些要素。
受害者特征:攻击目标模式的一致性,例如针对特定行业、地理区域或组织类型。战略意图通常是衡量攻击持续性的最稳定指标之一。
时机:时间模式包括活动持续时间、活动周期、工作时间或与地缘政治事件的契合度。这些模式可以揭示潜在的运作节奏。
重叠模型的优势在于其组合特性。单独来看,每个维度提供的信号可能较弱或模糊。然而,当多个维度趋于一致时,例如相似的基础设施设置、重叠的受害者画像以及一致的执行流程,则共同起源的可能性会显著增加。
06
多层证据
网络威胁情报中的有效归因不能依赖单一数据源。相反,它建立在多层证据模型之上,其中各个独立的分析层共同构成统一的评估。这种方法承认敌对活动复杂且多面,只有当多个维度的证据汇聚在一起时,才能得出可靠的结论。
每一层都代表着对敌对行为、能力和意图的不同视角。单独来看,这些层可能提供不完整或模糊的信号;但结合起来,它们构成了一个稳健且可靠的归因框架。
战略层。战略层侧重于高层意图和地缘政治契合度。它分析行动开展的原因,包括目标选择、与国家利益的契合度以及行动时机与政治或经济事件的关系。这一层面通常是最稳定的,因为即使战术发生变化,其根本目标也往往保持不变。
操作层。操作层分析活动随时间推移的开展方式,包括目标选择模式、受害者顺序、活动持续时间和活动时机。例如,固定的工作时间、区域性重点或对特定行业的反复攻击可能表明存在共同的行动结构或任务目标。
战术层。战术层描述了攻击的执行流程,通常与MITRE ATT&CK等框架相一致。它包括初始访问技术、持久化机制、横向移动和数据窃取方法。虽然战术、技术和程序(TTP)很有价值,但必须谨慎解读,因为它们可能被修改或被多个攻击者共享。
技术层。技术层侧重于工具和恶意软件的特征,包括定制植入程序、加载器、加密例程和配置模式。代码结构、开发实践和构建工件可以提供强有力的关联信号,尤其是在识别出独特或专有元素时。
基础设施层。基础设施层会检查支撑操作的底层基础设施,例如域名、IP地址、托管服务提供商、TLS证书和DNS模式。即使服务器轮换频繁,攻击者通常也会表现出一致的基础设施管理行为,这些行为可用于关联活动。
人为层。人为层捕捉操作者的特定特征,包括语言痕迹、编码风格、行为模式和操作安全(OPSEC)实践。错误、习惯和风格特征可能会在不同的行动中持续存在,从而提供微妙但有力的连续性指标。
证据趋同和归因可信度
当来自这些层面的证据开始相互印证时,归因的可靠性也会增强。单一的匹配指标,例如重复使用的IP地址或攻击手法,提供的置信度有限。然而,当多个层面的证据趋于一致时(例如,相似的受害者特征、类似的工具、一致的作案时间以及重叠的基础设施模式),指向同一来源的可能性就会显著提高。
这种分层方法还能降低错误归因的风险。通过要求在多个维度上进行独立验证,分析人员可以区分巧合的相似之处和有意义的关联。
07
连续性模型:活动关联图
为了将基于活动的归因和重叠模型付诸实践,威胁情报分析可以通过活动关联图(Campaign Linkage Graph)进行形式化,该图以结构化的方式表示了活动随时间推移的关联方式。该模型将归因过程从线性或基于标签的过程转变为图驱动的分析框架,其中连续性来源于关联关系,而非假定的身份。
在这个模型中,每个节点代表一个独立的活动,其定义包括时间范围、目标、工具和操作特征。节点之间的连接(或称边)代表行动之间的关联程度。这些关系并非简单的二元关系,而是根据重叠证据的强度进行加权。
图结构与解释
各个活动之间通过链接连接,这些链接反映了不同的置信度:
强链接表明多个独立层面之间存在大量重叠,例如共享的基础设施模式、代码相似性、一致的受害者特征和协调一致的操作行为。
中等链接表示部分重叠,某些维度一致,但其他解释仍然合理。
弱链接只能捕捉到最小或初步的相似之处,通常需要进一步验证才能被认为有意义。
通过连接实现连续性
图模型并非询问两个活动是否相同,而是提出以下问题:“这些活动之间的联系有多紧密?又是通过哪些方面联系在一起的?”
即使直接相似之处有限,也能建立起关联性的连续性。例如,活动A可能与活动D并不十分相似,但如果两者都与活动B紧密相关,则可以推断出它们之间存在间接联系。随着时间的推移,这些关联链会形成一个更广泛的关系网,反映出敌对活动的演变。
处理演化和碎片化
活动关联图在应对对手演变方面尤其有效:
工具变更以新节点的形式被吸收,这些新节点与之前的活动有部分关联。
基础设施轮换表现为连接强度减弱但仍然可以追踪。
操作者变更可能会改变某些层面,同时保留其他层面(例如,战略意图或受害者特征)。
分裂或协作可以形象地理解为图中的分支节点或汇聚节点。
分析优势
基于图的模型具有以下几个主要优势:
变化适应性:维持连续性并不需要完全一致。
透明度:关系明确呈现且可追溯。
可扩展性:无需重新定义现有结构即可添加新的活动。
概率推理:置信度来源于连接的密度和强度。
从群组到图
最终,该模型重新定义了APT组织的概念。APT组织不再被视为一个固定的实体,而是图中涌现出的属性——一个由多个维度上具有足够重叠且紧密关联的活动组成的集群。
08
基于置信度的归因
网络威胁情报中的归因本质上是概率性的,而非绝对的。与结果可以确定无疑地证明的确定性系统不同,对手归因是在信息不完全可见、行为不断演变以及可能存在欺骗的情况下进行的。因此,结论必须以置信度来表达,以反映基础证据的强度、一致性和独立性。
这种基于置信度的模型直接建立在多层证据和活动关联性的原则之上。它并非强行做出非此即彼的二元判断,而是允许分析人员根据不同维度在不同活动中的一致性程度来量化其评估的可靠性。
高置信度
当活动之间存在强而一致且多层的重叠时,即可实现高置信度归因。这通常包括:
跨多个独立证据层面(战略、操作、技术、基础设施、人为)的融合
在不同时间段内观察到的重复模式
最少的合理替代解释
在该层级上,各活动之间的关联性得到了充分证实,它们具有共同起源的可能性极高。虽然我们从未声称拥有绝对的确定性,但这一评估是可靠且站得住脚的。
中置信度
中置信度的归因反映了多个维度上的部分重叠,但存在一定程度的模糊性。在这些情况下:
某些指标具有一致性(例如,相似的工具或受害者特征),但并非所有层面都保持一致。
证据可能在范围或时间上受到限制。
其他解释仍然合情合理,例如共用工具或巧合的袭击目标。
该层级的评估结果需要谨慎解读。虽然存在一些有意义的连续性信号,但该评估结果应被视为指示性而非结论性,通常需要更多数据来加强或否定这种关联。
低置信度
当证据有限、薄弱或不确定时,会进行低置信度归因。这种情况可能发生在:
仅有一个维度显示出相似性(例如,共享一个战术、技术和程序或基础设施要素)
观察到的重叠现象在多个不相关的行为体之间很常见
数据不足、分散或缺乏验证
在该层次上,归因应被视为暂定的,应避免做出过于绝对的断言。它更像是一种假设,而非结论。
09
结 论
现代网络威胁情报中的归因分析不能再依赖于敌对组织是静态、定义明确的实体的假设。正如本研究所示,威胁行为体不断演变,调整其工具、修改其战术、技术和程序(TTP)、轮换基础设施,甚至更换操作人员。这种动态特性对传统的归因模型提出了根本性的挑战,因为这些模型通常依赖于僵化的映射关系和历史一致性。
通过将归因分析的视角从群组转向活动,可以构建一个更准确、更具适应性的分析模型。活动提供了一个切实可观察的分析单元,使研究人员能够追踪现实世界的活动,而无需强行建立可能并不存在的连续性。通过运用重叠模型和多层证据,可以基于战略、操作、技术和人为等多个维度上的部分但有意义的相关性,识别活动之间的关系。
引入“活动关联图”进一步强化了这种方法,它将归因构建为一个关系网络,而非线性分类问题。在该模型中,连续性并非假定,而是通过证据推断,并根据重叠的强度和多样性进行加权。这使得分析人员不仅能够捕捉到敌对行动的持续性,还能捕捉到其演变、碎片化和融合等特征。
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
