基于ATT&CK 的ARP 攻擊語義構建

周婧瑩,曾楚軒,黎 宇

(中國聯合網絡通信有限公司廣東省分公司,廣東 廣州 510627)

0 引言

ARP 攻擊是指攻擊者利用ARP 協議自身存在的缺陷,在區域范圍內服務器上發布欺騙ARP 廣播包,由此來盜取用戶賬號、篡改網站內容、嵌入惡意代碼、發布不良信息、監聽傳輸數據。ARP 的攻擊方式是ARP 欺騙,但是受公共上網環境不完善的影響,互聯網上開始出現由ARP 基本攻擊和偵聽、網頁篡改等黑客技術融合在一起的攻擊方式。為了避免ARP 欺騙攻擊的出現,需要相關人員采取積極的措施來彌補欺騙性攻擊帶來的損失。

1 ARP 協議

ARP 是地址解析協議的簡稱,協議目的是實現IP地址到MAC 地址的轉換。OSI 七層模型中,對數據從上到下進行封裝發送,然后對數據從下到上解包接收,上層(網絡層)關心IP 地址,下層關心MAC 地址,這個時候就需要映射IP 和MAC[1]。

2 ARP 的攻擊類型

2.1 仿冒網關攻擊

仿冒網關攻擊是ARP 領域常見的攻擊方式,這種攻擊方式會發送廣播報文,使用者會根據自己掌握的局域網主機信息按照次序發送攻擊報文。

2.2 仿冒用戶攻擊

(1)欺騙網關。主機A 仿造主機B 向網關發送了仿造的ARP 報文,由此ARP 報表會記錄錯誤主機B 的地址[2]。(2)欺騙其他用戶。主機A 仿造主機B 向主機C 發送偽造的ARP 報文,在報文發送后,主機C 中的ARP 報表會記錄錯誤的主機B 映射關系,在這個過程中報文信息是無法被主機B 接收到的。

2.3 攻擊產生的危害

ARP 攻擊危害具體表現為:(1)攻擊范圍十分廣泛。在不需要具體服務器、不獲得目標主機權限的情況下,只需要在任何一個網絡環境中安放一個“ 肉機”就能夠將攻擊感染到整個網段平臺上。(2)攻擊隱蔽。在不需要改動任何主機頁面、配置的情況下,就能夠通過網絡傳輸系統來輸入病毒代碼[3]。(3)恢復復雜。網站平臺管理人員在發現系統被攻擊之后就會去關聯系統,但是從系統上無法真正清除這些數據信息。(4)攻擊手段多元。黑客能夠利用ARP 欺騙的方式來完成多種攻擊,比如拒絕服務、掛載病毒,在多種攻擊的作用下來實現病毒的傳播[4]。

3 ATT&CK 的基本框架

現階段,學術界對威脅情報的研究集中在IOC 提取和利用上,經過一系列的威脅檢測分析我們發現,IOC 生命周期比較短暫,多數IOC 的出現頻率比較低,系統檢測威脅率也會由此降低,導致網絡信息的定位不夠精準[5]。

以ATT&CK 為代表的攻擊戰術、技術框架在具體實施操作更實用,比如Exploit Public-Facing Application技術部分定義文本,通過利用軟件、數據、命令、系統、操作程序的攻擊弱點就能夠完成對目標系統的攻擊,在產生攻擊之后會出現一系列的惡意行為,在出現這類行為之后還會牽扯到系統漏洞、目標應用服務的問題。在這個過程中牽扯到的抽象攻擊流程,也會牽扯到文本網絡環境、關鍵工具、目標服務信息,這些自然語言文本描述信息可以通過分析人員理解知識來獲得具體的威脅辦法。

4 基于ATT&CK 的ARP 攻擊語義規則模型

4.1 模型定義

(1)語義規則模型的定義。語義規則模型會存在一張含有標簽的有向圖紙,在圖紙上面V 是圖的頂點,在這個過程中頂點會代表攻擊中的網絡實體。在網絡實體中,E 是圖中的集合,來描述網絡實體關系;L 是網絡數據信息的集合;A 是網絡實體、標簽的集合。(2)網絡實體。網絡信息是重要的客觀物質,具體包含概念和對象。概念是具備相同特點、屬性的抽象物質。(3)網絡實體關系。網絡實體關系會牽扯到各個系統的運作。在這個系統運作的時候R 代表了各個關聯體系。這些信息具有相同的特點、屬性和抽象。(4)網絡實體關系。網絡實體關系會展現出各個系統的關聯,這些關聯會通過R 體現出來,R 的體現包含操作關系、從屬關系、并列關系等。

在模型打造的過程中,為了能夠更為清楚地描述網絡實體的依賴關系,可以利用起源圖的數據表示方法來對網絡實體標簽、操作關系做出規范。在考慮各個因素的情況下將網絡實體劃分為進程、文件類型,其中進程是重要的行為主體,網絡數據收發、文件讀寫執行、進程的啟動和停止都是由進程發起來的。

語義規則圖模型會將自然語言描述的技術語義信息表現出意向圖,這種是對攻擊技術的一種知識化。如圖1 為Exploit Public-Facing Application 技術根據模型生成的語義規則圖。在圖中P1、F1、S1、P2、F2 描述了技術的實施過程,在語義規則圖中網絡實體會通過操作關系來連接在一起。在實際遠程漏洞利用的過程中,常用的方法是選擇漏洞攻擊工具、加載特定漏洞攻擊腳本,在網絡系統的支持下向目標發送攻擊荷載,并在目標系統運行的構成中執行惡意代碼。

圖1 Exploit Public-Facing Application 語義規則

4.2 規則定義

語義規則是描述攻擊行為模式規律的法則,針對網絡中可能遇到的威脅,可以通過從設計審計日志數據中,還原攻擊技術語義、上下文信息,為威脅分析、評估、響應提供重要支撐。

網絡實體屬性是網絡實體用在相互區分的性質、特征、類型,包含通用屬性、特有屬性。語義規則是一個規則的集合,包含實體匹配規則、關系匹配規則兩個類型。兩類規則是對網絡實體屬性的基本邏輯運算,在具體實施的時候會對數據中的網絡實體以及關系進行匹配。在數據中,實體之間可以通過屬性來進行區分,通用屬性是所有網絡實體所具備的屬性。

4.3 技術框架

ATT&CK 技術是以文本形式描述的,因此,需要從文本中來獲取語義知識。通過獲取語義知識來打造出對應的語義規則。在具體實施操作的時候會使用命名實體識別、關聯抽取、屬性抽取等方法。

4.4 數據預處理

數據預處理會牽扯到關鍵詞和語法。關鍵詞識別會根據領域詞匯特點,再利用詞匯之間的關聯性來識別詞語中的內容,由此能夠避免分詞導致的網絡實體識別錯誤。

4.5 知識抽取

知識抽取包含網絡實體識別和關系抽取。通過分析網絡實體詞匯特點來打造出一個完善的網絡實體詞匯規則。語法規則會根據英文文本語法來表達規范的目的,整個系統規則是利用詞匯和語法的依賴關系來打造的。輸入是預處理階段的關鍵內容,在這個階段中需要根據語法詞性、語法依賴關系來打造。

在網絡實體識別的時候,為了能夠覆蓋文本,在對文本語義規則定義的時候可能會出現信息雜亂的情況。文本語法規則包含了網絡體系內容,在彼此動作關系的作用下會展現實體的關聯。

5 結語

綜上所述,自然語言語義障礙是威脅情報傳遞的重要因素,文章結合情報信息傳遞需要打造出一種獨特的語義規則形式,在這個規則形式中將攻擊文本語義知識轉變為一種負面的操作信息,利用這些信息能夠完成信息映射。