網路犯罪地下活動日益轉向高度專業化的生態系統,這使得威脅分析師陷入困境。
目前的威脅建模和分析方法經常將攻擊活動視為完全由單一團體或出於單一動機進行的。但許多公司致力於修改現有的威脅模型,以應對威脅群體之間日益加劇的分化,因為他們專注於提供特定的技術或服務。
5 月 11 日,思科 Talos 威脅情報團隊的研究人員提議在傳統的入侵分析方法中採用關係層,即鑽石模型,這項更新允許分析師為每個參與者維護單獨的配置文件,同時映射他們之間的關係。思科 Talos 研究員、該分析報告的共同作者 Edmund Brumaghin 表示,修改後的方法有助於捕捉特定群體對提供服務的關注點。
布魯馬金表示:“通過利用擴展的鑽石模型並維護這些關係數據,社區將能夠更準確地報告觀察到的威脅,避免在分析入侵分析過程中發現的工件時出現歸因陷阱,並在分析相關入侵活動時更有效、更全面地識別重疊部分。”
網路犯罪分子轉向專業服務並不是一個新趨勢。地下市場(例如現已不復存在的 Genesis Dark Web 論壇)允許各種團體購買和出售離散服務,無論是最初訪問有價值目標的權限、按訂單進行的拒絕服務攻擊,還是透過勒索軟體即服務 (RaaS) 建立的附屬連接。
然而,這一既定趨勢是否正在加速尚不清楚。例如,Google的威脅研究人員發現,2024 年涉及初始訪問合作夥伴關係的勒索軟體事件較少。然而,Google威脅情報小組網路犯罪和資訊營運情報分析主管 Genevieve Stark 表示,該公司也會定期應對涉及多個威脅組織的事件。
她表示:「通常情況下,案件涉及一個威脅行為者向第二個威脅行為者提供初始訪問權限,後者完成入侵後的操作。」她補充道:「其中一些合作關係是短暫的、交易性的,而其他合作關係可能持續數年,並涉及大量協作。…進行入侵操作的威脅行為者往往適應性極強轉變,會隨著時間的推移貨幣化方法。」
許多威脅模型已經存在。入侵的殺傷鏈模型著重於威脅行為者使用的策略、技術和程序,通常涵蓋七個不同階段:偵察、武器化、交付、利用、安裝、命令和控制以及對目標的行動。鑽石模型專注於使用典型網路安全事件的四個不同方面來分析網路攻擊:受害者學、基礎設施細節、對手的屬性以及攻擊期間展示的能力。
然而,這些模型不足以幫助分析各個威脅群體。一個團體可能從第二個團體購買惡意軟體,使用該惡意軟體獲得初始存取權限,然後將該存取權限出售給第三個團體。布魯馬金表示,與Google不同,思科 Talos 認為這些分工越來越受歡迎。
他說:“我們現在看到其他類型的威脅行為者有所增加,例如與國家結盟或受國家支持的行為者,他們的任務是獲取訪問權限,以便將其轉移給其他行為者。” “隨著威脅行為者的能力不斷成熟並專注於執行某些任務,我們預計未來將出現更多的劃分。”
其他公司也注意到了區域劃分的增加,並調整了其分析方法以考慮多個群體。例如,專注於人工智慧的搜尋公司 Elastic 的事件回應人員越來越多地看到由 RaaS 推動的分隔化趨勢,Elastic 威脅研究主管 Devon Kerr 表示。
因此,克爾很欣賞增加關係層。
他說:“我認為採用這種分類法來描述威脅具有戰略優勢,例如利用你對具有交接關係的群體的理解來確定你最有能力擾亂哪個群體。”
思科 Talos 研究人員與 Vertex 計畫的情報平台合作創建了一個為鑽石模型添加關係層的情報工具。研究人員隨後使用更新的框架來繪製 ToyMaker-Cactus 活動中參與者之間的關係,展示新模型如何幫助分離不同群體的活動。
在那次活動中,ToyMaker 充當了以經濟利益為目的的初始訪問組織,獲取了系統的初始訪問權,然後將該訪問權移交給 Cactus 勒索軟體組織。解構的活動突顯了對手如何越來越多地外包攻擊組件,這也使歸因和威脅建模變得複雜。
思科的做法並不是唯一的。谷歌的威脅情報小組採用了標籤來表示角色或專業化,並採用了另一組標籤來追蹤動機。谷歌威脅情報小組的史塔克表示,專業化可以包括初步訪問、防彈託管或勒索軟體附屬機構,而動機可能是政治、經濟或個人動機。
她說:“我們推薦這種方法,而不是將它們合併為單一分類法,因為威脅集群的動機可能並不總是立即顯現,可能會隨著時間而改變,並且並不總是與其合作夥伴或客戶的動機保持一致。” “此外,威脅行為者的動機可能除了間諜活動和經濟利益之外,還包括意識形態和自我。”
改變威脅建模方法可以幫助研究人員專注於隔離威脅的其他方面,例如識別初始存取組的動機,思科 Talos 研究人員在第二次分析中對此進行了剖析。
研究人員表示,許多團體專注於初始訪問操作,至少有三種不同的變體。受經濟利益驅動的初始訪問團體 (FIA) 專注於破壞系統以獲取經濟利益,而受國家支持的初始訪問團體 (SIA) 則旨在在高價值目標網絡中建立灘頭陣地。最後,機會主義初始訪問 (OIA) 團體介於 FIA 和 SIA 團體之間,經常向兩個團體出售訪問權,重複使用一個領域(例如金融)的訪問權來攻擊另一個領域的目標。
思科 Talos 研究人員在分析中指出: “政府承包商等行為者可能會以 SIA 組織的形式運營,這是他們正常就業方式的一部分,同時以 FIA 組織的形式運營,以賺取額外收入。”
總體而言,Elastic 的 Kerr 非常欣賞這個額外的關係層。
他說:“Elastic Security Labs 的研究人員對我們追蹤的威脅進行了嚴格的分析,這些細節是分析的常規部分。” “如果我們作為從業者的目標是了解威脅現象並有效地改變不良結果,那麼這為我們這樣做提供了額外的背景。”