阿瓦斯威胁实验室的紫穹计划：无需恶意软体的攻击

TLDR Avast 正在启动研究项目Purple Dome，专注于无文件恶意软体及使用 Living Off the Land (LOLBins/LOLScripts) 技术的复杂攻击问题。我们将会模拟许多事物：网络、攻击者、防御系统。

对电脑系统的攻击不断演变。为了提高灵活性，人类操作员有时会参与攻击，这在高价值目标中特别普遍。由于人类操作员可以使用已安装于目标系统上的正常工具，这可能导致所谓的无文件恶意软体的出现。

这类攻击早在几年前就已经开始。恶意软体感染的电脑被连接成一个个的机器人网络，攻击者可以从他们的指挥和控制伺服器CampC远程控制。那时是 95 的恶意软体加上 5 的人类创意。目前则出现了混合攻击如 Trickbot，这种攻击可以自动感染系统并执行其脚本化攻击。

当这些系统看起来有吸引力例如：大型公司拥有大量金钱、可被勒索的有价值数据、损坏的备份系统使得勒索病毒攻击更加有效时，操作员会介入以彻底控制目标以索取更高的赎金。这些机器人网络的运营者不仅能利用嵌入在恶意软体文件中的功能，还能滥用已由公司管理员为系统管理安装的基本操作系统功能、管理工具和脚本。这被称为利用土地生存Living Off the Land LOL，意即 LOLBINs。其目的是要留下更少的痕迹，并更深层地感染系统。一些例子包括黑进 Active Directory 伺服器并在为勒索加密档案之前删除备份。

这并不是新鲜事，但这一变化的途径是明显的，并将持续下去。安全公司已经在适应这些新攻击向量。

为了让研究人员参与解决这个问题，Avast 正在其 AI 研究团队中创建一个新项目Purple Dome。

本篇博文所谈的项目

Purple Dome 旨在基于配置文件创建一个模拟的计算机网络。我们将预先安装一些传感器。然后，我们将启动一些攻击者虚拟机，让它们对这些系统进行攻击。我们的收获将是攻击者留下的痕迹的日志和信息。这些日志可以通过机器学习技术进行分析，这些信息随后可以转化为改进的最终用户产品。

这个项目的主要优势在于我们可以随时灵活地：

一切都必须完全自动化，因为 ML 需要大量的输入来识别标志攻击的红旗。

如果我们能够模拟出不同的场景，例如公司网络、中小型企业SMB、大学网络、家庭办公室或连接物联网的智能家居，我们就能更好地了解对它们的攻击情况。

详情

为了自动设置目标系统，我们使用 Vagrant (https//wwwvagrantupcom)。这是一个非常常见的虚拟机 (VM) 自动化系统。它可以创建、运行、停止和摧毁这些模拟的计算机系统。整个系统相当灵活。为了开发和调试，我们需要基于 Vagrant 的本地版本。除此之外，还有适用于大规模部署的云端版本。

无论我们使用哪种版本：系统配置都可以调整，以模拟您能想像的任何目标系统，例如拥有不同网络连接设备的普通家庭或办公环境。在配置完成后，我们只需执行我们的工具链，就能看到我们的模拟网络如期运行，并随即被攻击见下一步。

攻击同样在配置中定义。这些是黑客通常会实施的典型攻击。攻击或者从 Caldera 攻击者发起这是可扩展自动对手模拟平台 https//githubcom/mitre/caldera或者从 Kali Linux 环境 (https//wwwkaliorg/) 中进行，两者均模拟了具有他们通常拥有的工具的对手。这两种工具都有很多选择来攻击模拟的网络。

这些步骤对于收集结果是必要的：我们对模拟系统的观察。这将解答如：这些攻击对于运行在这些系统上的传感器来说是什么样的，何时可以确定攻击正在发生，并启动我们的反制措施如重新配置防火墙以阻止攻击者？

对于这些有关传感器和决策逻辑的问题，这正是我们将实验的部分，我们希望能够尽快公布有趣的结果。

以下展示了这将如何运作。

预期结果

该研究部门的其他项目已经开源或与大学合作开发 (https//githubcom/CTUAvastLab/Milljl)。我希望我们很快就能看到这个工具的公众版本。但首先，代码结构需要再稳定一下。

结论

在此篇文章中，我们宣布Purple Dome的开始。我们将后续更新有关其他研究社区成员如何参与的更多信息，并最终分享我们的研究成果。

为科学而努力！

Thorsten Sick

分享：XFacebook