PR - POSTER: Construct macOS Cyber Range for Red/Blue Teams

outx

2021-12-07

Paper Reading

原文作者：YH Chen, YD Lin, CK Chen, CL Lei

原文标题：POSTER: Construct macOS Cyber Range for Red/Blue Teams

原文链接：https://dl.acm.org/doi/abs/10.1145/3320269.3405449

原文来源：ASIA CCS 2020

笔记作者：outx

0x01 Intro

这是一篇发布在ASIA CCS 2020的POSTER，作者聚焦于现今越来越多恶意应用程序和APT攻击将MacOS作为攻击目标这一情况展开研究。造成这一情况的原因在读者看来有二，一是MacOS的普及，这主要是M1的高性能表现吸引了很多新用户转向MacOS；二是安全行业相关从业人员也有使用MacOS的习惯，最近几年这些安全行业从业人员也成为了APT组织的攻击目标，前段时候才看到了一个APT组织在推特养号，然后发布破解了的、号称“无后门”的安全方面的工具以侵入安全行业从业人员私人电脑的攻击手段。

综上，作者观察到目前研究工作很少讨论在MacOS上的攻击和防御技术，包括攻击方法、防护手段以及审查工具。所以作者便尝试构建一个用于评估红队和蓝队的MacOS网络靶场，以刺激更多关于MacOS威胁分析的研究创新。

0x02 Cyber Range

上图为网络靶场的结构，主要由三个部分构成。首先，作者建立了一个攻防关联图，它系统地总结了MacOS中可能存在的攻击和防御技术，该图的目的是描述MacOS领域内的恶意软件/APT事件、攻击技术、检测工具和分析工具之间的所有关系。其次，作者开发了一个通用的RAT用于红队模拟攻击，红队可以发动攻击、记录攻击，并使用该工具将攻击映射至ATT&CK矩阵中。第三，作者通过开源工具开发了一个蓝队用于检测和取证评估的工具包。蓝队可以利用这个工具包生成的记录（日志、告警等），以识别恶意行为并标记ATT&CK ID，最后对攻击情况进行评估。通过结合这三部分，作者处理红队日志和蓝队报告，最后生成一个全面的攻防关联图，让用户能够轻松识别不同参与方之间的关系。

攻防关联图

攻防关联图的核心是ATT&CK矩阵，这个矩阵相信大家多少都了解过，这里不多赘述。作者在此基础上构建了一个攻防关联图，用于评估红队和蓝队。上图为攻防关联图的一个样例图，可以看到其根本目的还是为了描述攻击和防御技术之间的关系。对于攻击方（红队），必须要根据ATT&CK矩阵来确定攻击过程中所涉及的攻击技术；对于防御方，则是需要找到行之有效的检测工具和取证工具，并整理出这些工具产生的记录（如事件、登录记录等）。如果这些记录中能够对应上攻击手段可能导致产生的记录，则在攻击技术和记录中添加关联，例如文件操作事件可以与T1105远程文件复制技术产生关联。对于MacOS来说有很多可以被检测工具和取证工具所留下来的记录，包括系统日志、钥匙串、通用日志等。根据这些记录，便可以追踪攻击者的活动。

在读者看来，作者所提出的这种关联图其实并不局限于MacOS，但需要限定场景使用，采用该关联图有几个优点。一是从红队的角度来看，该图总结了攻击方会使用到的一些技术，安全从业者便能够通过观察从这个角度出发常见的攻击技术，以实现更好的防护；二是从蓝队的角度出发，检测工具和取证工具及其对应能够产生的记录则展示了这些工具的能力，对于安全从业者来说可以按需选择和部署这些工具。

红队角度/蓝队角度

作者在开发红队仿真工具时，采用了模块化的方式进行构建，同时在最新的MacOS上进行测试，以确保其有效性。对于整个模块化的流程来说，保证其有效性其实也就是保证对应攻击模块的时效性。

在蓝队角度，作者调查了几个著名的蓝队用的取证工具，并总结了这些工具能够提供的记录，然后将其整合，以形成蓝队工具包。按照阶段划分，作者提供的蓝队工具包包括了两个阶段：1)信息收集阶段；2)恶意行为检测阶段。前一阶段主要是收集攻击过程中的动态信息（采集自动态监控工具）和静态信息（采集自静态取证工具），然后反馈至后一阶段，以识别恶意行为并标记ATT&CK ID。

0x03 Evaluation

作者利用其红队仿真工具构建了一整个APT攻击流程，并使用其蓝队工具包来检测。

攻击开始，红队首先利用CVE-2018-6574在Github上建立一个恶意包。在得到这个恶意包后，仿真工具被执行，并将自身复制为用户主目录下的一个隐藏目录。同时，它还将添加一个plist文件，以注册一个用户级的LaunchAgent。然后，它会通过一个socket连接到对应的C2服务器，红队便能够利用shell命令来收集主机上的敏感信息。同时，它还会扫描SSH配置文件，并向沦陷主机中添加自己的公钥。随后，红队通过进程发现、屏幕监控及特权提升等手段，注册一个系统级的LaunchDaemon，便能够以root身份进行更高权限的操作了。

下表为评估结果，列出了上述攻击流程中会用到的技术，以及蓝队工具包的检测结果。从结果不难看出，蓝队的检测结构从很大程度上依赖于过滤规则的完整性和可用性。因此，不支持的部分主要是由于现有的检测规则倾向于发现阶段，而非实际发生恶意行为阶段所造成的。尽管作者在系统日志文件中记录了尽可能多的系统信息，但在初始低权限阶段和权限提升阶段，是很难区分恶意记录和正常记录的，作者将这个问题作为其未来研究的主要工作之一。

0x04 Conclusion

总的来说，作者打算抛砖引玉以引起研究人员对于MacOS攻防方面的研究兴趣。诚然现在很多很多安全设备都是针对Windows或是Linux的，这是实际生产环境决定的。但是MacOS作为大量安全从业者所使用的设备，在其之上的攻防是不能够忽视的。读者认为作者可能想表达的是：也许系统是安全的，但是操作系统的管理员所使用的PC并不一定。那些重重布防难以攻破的系统，攻击者完全可以不从正面突破，转而攻击那些操作系统的人，最终也能达到相同的目的。因此，MacOS上的攻防也是值得注意和研究的！