使用思科威胁响应调查DNSpionage活动，包括远程工作

我已经讨论过免费的思科威胁响应（CTR）解决方案，该解决方案可以大大减少调查具有许多不同危害指标类型的事件的时间-文件哈希，IP地址，域名，电子邮件地址等。但是，过去的记录专门针对将CTR与单独的思科解决方案结合使用的示例，或与GosSOPKA和FinCERT集成的示例。今天，我想描述一下如何使用CTR来调查可以针对公司内许多不同目标使用多种媒介的黑客活动。例如，以我在上一篇文章中提到的DNSpionage活动为例。

上次我展示了如何仅使用一种解决方案-Cisco Stealthwatch Enterprise网络异常分析系统就可以检测到它。然后，我们通过DNS协议记录了恶意客户端部分与命令服务器的交互，这可以作为是否在公司网络内未经授权的节点上使用的指示。实际上，我们在网络流量中寻找异常情况以寻找事件征兆。现在，让我们看看如何使用更熟悉的恶意活动指标（IOC）来识别DNSpionage活动？

我们可以在任何威胁情报公告中看到指标列表。在这种情况下，我们将使用世界上最大的非政府事件调查组Cisco Talos的站点，该站点首先揭示了DNSpionage活动（在这里和这里）。



在时事通讯中，我们看到了一个指标列表-攻击所涉及的命令和网络钓鱼服务器的文件哈希，IP和域地址。



如果我们通过适当的保护手段来“推动”每个指标，那将花费我们太多时间。例如，在EDR类解决方案Cisco AMP for Endpoints中，我们在搜索栏中（右上角）输入一个或几个感兴趣的哈希值：



我们得到了我们感兴趣的结果-我们找到了一个节点，在该节点上检测到了我们有哈希的恶意程序的活动。 。



顺便说一句，我想指出的是，哈希搜索不仅可以用来检测恶意活动，而且还可以用来防止信息泄漏。回想一下，用于处理泄漏（连同容器/标签和内容分析）的技术之一是使用数字指纹，可以仅使用AMP4E将控制的哈希（以及其他可能包括以下解决方案的Cisco解决方案）来实现数字指纹。已实施的AMP引擎-Cisco Firepower，Cisco电子邮件安全设备，Cisco Web安全设备，Cisco伞等）。的确，这种机制仅适用于很少修改的文件。如果您对思科提供的解决泄漏的方法感兴趣，我建议您进行记录和演示。我们最新的网络研讨会，我们致力于该主题。

但是回到我们的故事。如果您尝试跟踪对命令或网络钓鱼服务器域的访问，则Cisco Umbrella可以为我们提供帮助。



由于大多数事件中主要的感染媒介是电子邮件，因此我们还需要在电子邮件中寻找我们感兴趣的指标。为此，我们在Cisco安全管理设备或Cisco电子邮件安全设备中指示相应指示符的哈希值：



我们找到5个邮箱，在其中找到了要查找的文件的痕迹。



最后，具有内置入侵防御系统的下一代防火墙Cisco Firepower可帮助我们跟踪（并阻止）恶意活动的客户端与之交互的IP地址。



在此示例中，尽管我们检测到DNSpionage的迹象，但我们没有按照自己想要的速度进行。我们正在控制台之间切换。我们进行了许多复制粘贴操作，并且4种不同的产品正在寻找4种不同类型的危害指标，从而增加了调查和响应时间。这个过程可以加速吗？当然。您可以使用SIEM，它可以与TI信息源集成在一起，也可以从外部TI信息源下载危害指标。但是，如果它来自开放源代码类别，则如果它是商业性的或需要高能力，则价格昂贵。有一个更简单，更免费的解决方案-思科威胁响应，它主要侧重于思科解决方案以及其他供应商的解决方案。使用浏览器插件，我们从Cisco Talos博客页面“拉出”描述DNSpionage活动的所有指标。



为了加快响应速度，我们可以直接通过插件阻止相关指标。



但是我们有兴趣调查此事件，以试图了解我们的哪个节点和用户受到了攻击。建议在一个屏幕上查看所有内容。点击率给了我们这个机会。在图形界面的左上方，我们看到了所有指标。在左下方-我们的“感染”地图。



紫色表示我们的基础架构中已经受影响的目标-PC，邮箱，子网等。在右上方，我们看到了一个时间线，显示了我们网络环境中指标出现的日期（包括第一个）。最后，右下角的区域使我们能够获取有关每个指标的详细信息，并由外部TI来源（例如VirusTotal或第三方保护工具）丰富和验证。



了解了感染的程度后，我们可以通过阻止与命令服务器域进行交互的Cisco Umbrella（



或隔离了恶意文件或进程的运行的Cisco AMP）阻止已发生的威胁，从而开始对已识别的威胁做出适当的响应。



立即从CTR界面中，我们可以看到阻止文件，域或其他指标的结果。



通过将CTR与Cisco电子邮件安全设备或Cisco Firepower集成，我们还可以分别隔离受感染的邮箱或受感染的站点。

是否可以做同样的事情，但不使用Cisco Threat Response接口？有时您想使用自己的，更熟悉的工具来完成此任务。是的你可以。例如，我们可以将CTR功能嵌入支持浏览器的任何技术中（例如，在我们自己的门户中），并且由于API的可用性，可以从任何地方访问CTR功能。

假设您希望使用命令行界面，并希望通过键盘输入所有命令来进行调查并做出响应。这也很容易做到。例如，以下是CTR集成与Cisco Webex Teams团队合作系统以及以DNSpionage活动为例开发的AskWill机器人一起工作的方式。我们的客户经常使用Cisco Webex Teams组织信息安全专家的互动。该示例更加有趣，因为它显示了在远程工作时如何建立调查和响应过程，而此时，唯一使SOC专家团结在一起的就是通信系统。

例如，我们要获取域0ffice36o.com的状态，该域被命令服务器用作DNSpionage的一部分。我们看到Cisco伞返回给我们“恶意”状态。



这是该团队将如何查找有关Cisco Talos在我们的基础架构中立即发现DNSpionage活动是否存在多个危害指标的信息。



然后，我们可以通过Cisco Umbrella或Cisco Stealthwatch Cloud阻止恶意域。在后一种情况下，异常分析系统将阻止与命令服务器的交互，以用于我们使用的Amazon AWS，MS Azure云基础架构等。



最后，如果我们错误地阻止了一个指标，或者随着时间的流逝，人们已经知道它已不再构成威胁，则可以将其从保护性解决方案的黑名单中删除。



这是免费的Cisco Threat Response解决方案的工作方式，其主要任务是减少调查和响应事件的时间。就像我们的客户所说的那样，点击率可以使他们大大降低点击率。60％的用户减少了50％；另外23％的人至少有25％。免费解决方案还不错，是吗？

附加信息：

• 思科威胁响应和思科Stealthwatch Enterprise的集成
• GosSOPKoy和FinCERT中思科解决方案的交互
• 思科为何不购买Splunk或谈论思科平台如何用于威胁搜寻
• 借助思科可见性进行威胁搜寻
• 使用网络异常分析工具的案例研究：DNSpionage广告活动发现