目錄

我們在搜集惡意APT(Advanced Persistent Threats)事件時會需要一些有關聯性的資訊,透過這些資訊能夠指示出系統或網路中可能已經受到侵害的特定特徵或跡象,包括檔案特徵、網路特徵、主機特徵、電子郵件特徵、使用者行為特徵、 日誌特徵以及應用程式特徵等等。

檔案特徵

檔案雜湊值:在檔案特徵中我們可以搜集惡意檔案的雜湊值,例如像是MD5、SHA-1、SHA-256等等對檔案進行hash過後的特徵

檔案名稱:我們可以搜集並搜尋與已知惡意檔案相關聯的檔案名稱

檔案路徑:我們可以搜集並搜尋與已知攻擊或惡意活動相關聯的檔案存放路徑名稱

網路特徵

IP位址:可以淬取出已知攻擊者使用的惡意IP位址

域名:可以淬取出與已知攻擊或惡意活動相關連的惡意域名

URL:可以收集包含惡意內容的特定網址

通訊埠:我們能夠去搜集用於攻擊的特定網路通訊埠

主機特徵

系統活動異常:可以在主機內部尋找非正常系統活動,例如異常的process、services或者登入行為

不正常的登入模式:異常的帳戶登入模式或多次失敗的登入嘗試也是主機內一個重要的特徵

應用程式異常:針對特定的應用程式進行異常行為,例如讀寫檔案、資料夾等就非常可疑

已知漏洞:針對與已知漏洞相關連的應用程式被執行一些可疑的活動也是非常重要的特徵

惡意應用程式行為:針對特定應用程式的已知惡意行為動作

電子郵件特徵

寄件者地址:比對已知釣魚攻擊或惡意電子郵件的寄件者地址作為特徵

郵件主旨:包含惡意內容或釣魚詐騙的特定郵件主旨,常見於被用作社交工程,詢問受害者所知悉的相關事宜這點非常可疑

附件名稱:包含惡意軟體或惡意文件的特定附件名稱,此類特徵就數釣魚信件中危害較高

使用者行為特徵

登入模式:異常的使用者登入行為或非典型的使用者行為,多次登入嘗試或者登入後有某個使用者想要提權作為行為特徵看起來就是非常可疑

權限提升:非正常的帳戶權限請求提升行為

未授權的檔案存取:對系統或資料的未授權存取,在內部系統裡應該施行著最小權限原則

日誌特徵

系統、應用程式或設備日誌:包含攻擊特定事件的日誌記錄,攻擊者在內部機器做任何行為應該都不想要被記錄下來,所以會針對攻擊時段內的日誌檔案想進行刪除

異常事件:非正常的事件或系統行為的日誌記錄

應用程式特徵

已知漏洞:與已知漏洞相關連的應用程式

惡意應用程式行為:針對特定應用程式的已知惡意行為