基于ATT&CK 的ARP 攻击语义构建
2022-06-23周婧莹曾楚轩
周婧莹,曾楚轩,黎 宇
(中国联合网络通信有限公司广东省分公司,广东 广州 510627)
0 引言
ARP 攻击是指攻击者利用ARP 协议自身存在的缺陷,在区域范围内服务器上发布欺骗ARP 广播包,由此来盗取用户账号、篡改网站内容、嵌入恶意代码、发布不良信息、监听传输数据。ARP 的攻击方式是ARP 欺骗,但是受公共上网环境不完善的影响,互联网上开始出现由ARP 基本攻击和侦听、网页篡改等黑客技术融合在一起的攻击方式。为了避免ARP 欺骗攻击的出现,需要相关人员采取积极的措施来弥补欺骗性攻击带来的损失。
1 ARP 协议
ARP 是地址解析协议的简称,协议目的是实现IP地址到MAC 地址的转换。OSI 七层模型中,对数据从上到下进行封装发送,然后对数据从下到上解包接收,上层(网络层)关心IP 地址,下层关心MAC 地址,这个时候就需要映射IP 和MAC[1]。
2 ARP 的攻击类型
2.1 仿冒网关攻击
仿冒网关攻击是ARP 领域常见的攻击方式,这种攻击方式会发送广播报文,使用者会根据自己掌握的局域网主机信息按照次序发送攻击报文。
2.2 仿冒用户攻击
(1)欺骗网关。主机A 仿造主机B 向网关发送了仿造的ARP 报文,由此ARP 报表会记录错误主机B 的地址[2]。(2)欺骗其他用户。主机A 仿造主机B 向主机C 发送伪造的ARP 报文,在报文发送后,主机C 中的ARP 报表会记录错误的主机B 映射关系,在这个过程中报文信息是无法被主机B 接收到的。
2.3 攻击产生的危害
ARP 攻击危害具体表现为:(1)攻击范围十分广泛。在不需要具体服务器、不获得目标主机权限的情况下,只需要在任何一个网络环境中安放一个“ 肉机”就能够将攻击感染到整个网段平台上。(2)攻击隐蔽。在不需要改动任何主机页面、配置的情况下,就能够通过网络传输系统来输入病毒代码[3]。(3)恢复复杂。网站平台管理人员在发现系统被攻击之后就会去关联系统,但是从系统上无法真正清除这些数据信息。(4)攻击手段多元。黑客能够利用ARP 欺骗的方式来完成多种攻击,比如拒绝服务、挂载病毒,在多种攻击的作用下来实现病毒的传播[4]。
3 ATT&CK 的基本框架
现阶段,学术界对威胁情报的研究集中在IOC 提取和利用上,经过一系列的威胁检测分析我们发现,IOC 生命周期比较短暂,多数IOC 的出现频率比较低,系统检测威胁率也会由此降低,导致网络信息的定位不够精准[5]。
以ATT&CK 为代表的攻击战术、技术框架在具体实施操作更实用,比如Exploit Public-Facing Application技术部分定义文本,通过利用软件、数据、命令、系统、操作程序的攻击弱点就能够完成对目标系统的攻击,在产生攻击之后会出现一系列的恶意行为,在出现这类行为之后还会牵扯到系统漏洞、目标应用服务的问题。在这个过程中牵扯到的抽象攻击流程,也会牵扯到文本网络环境、关键工具、目标服务信息,这些自然语言文本描述信息可以通过分析人员理解知识来获得具体的威胁办法。
4 基于ATT&CK 的ARP 攻击语义规则模型
4.1 模型定义
(1)语义规则模型的定义。语义规则模型会存在一张含有标签的有向图纸,在图纸上面V 是图的顶点,在这个过程中顶点会代表攻击中的网络实体。在网络实体中,E 是图中的集合,来描述网络实体关系;L 是网络数据信息的集合;A 是网络实体、标签的集合。(2)网络实体。网络信息是重要的客观物质,具体包含概念和对象。概念是具备相同特点、属性的抽象物质。(3)网络实体关系。网络实体关系会牵扯到各个系统的运作。在这个系统运作的时候R 代表了各个关联体系。这些信息具有相同的特点、属性和抽象。(4)网络实体关系。网络实体关系会展现出各个系统的关联,这些关联会通过R 体现出来,R 的体现包含操作关系、从属关系、并列关系等。
在模型打造的过程中,为了能够更为清楚地描述网络实体的依赖关系,可以利用起源图的数据表示方法来对网络实体标签、操作关系做出规范。在考虑各个因素的情况下将网络实体划分为进程、文件类型,其中进程是重要的行为主体,网络数据收发、文件读写执行、进程的启动和停止都是由进程发起来的。
语义规则图模型会将自然语言描述的技术语义信息表现出意向图,这种是对攻击技术的一种知识化。如图1 为Exploit Public-Facing Application 技术根据模型生成的语义规则图。在图中P1、F1、S1、P2、F2 描述了技术的实施过程,在语义规则图中网络实体会通过操作关系来连接在一起。在实际远程漏洞利用的过程中,常用的方法是选择漏洞攻击工具、加载特定漏洞攻击脚本,在网络系统的支持下向目标发送攻击荷载,并在目标系统运行的构成中执行恶意代码。
图1 Exploit Public-Facing Application 语义规则
4.2 规则定义
语义规则是描述攻击行为模式规律的法则,针对网络中可能遇到的威胁,可以通过从设计审计日志数据中,还原攻击技术语义、上下文信息,为威胁分析、评估、响应提供重要支撑。
网络实体属性是网络实体用在相互区分的性质、特征、类型,包含通用属性、特有属性。语义规则是一个规则的集合,包含实体匹配规则、关系匹配规则两个类型。两类规则是对网络实体属性的基本逻辑运算,在具体实施的时候会对数据中的网络实体以及关系进行匹配。在数据中,实体之间可以通过属性来进行区分,通用属性是所有网络实体所具备的属性。
4.3 技术框架
ATT&CK 技术是以文本形式描述的,因此,需要从文本中来获取语义知识。通过获取语义知识来打造出对应的语义规则。在具体实施操作的时候会使用命名实体识别、关联抽取、属性抽取等方法。
4.4 数据预处理
数据预处理会牵扯到关键词和语法。关键词识别会根据领域词汇特点,再利用词汇之间的关联性来识别词语中的内容,由此能够避免分词导致的网络实体识别错误。
4.5 知识抽取
知识抽取包含网络实体识别和关系抽取。通过分析网络实体词汇特点来打造出一个完善的网络实体词汇规则。语法规则会根据英文文本语法来表达规范的目的,整个系统规则是利用词汇和语法的依赖关系来打造的。输入是预处理阶段的关键内容,在这个阶段中需要根据语法词性、语法依赖关系来打造。
在网络实体识别的时候,为了能够覆盖文本,在对文本语义规则定义的时候可能会出现信息杂乱的情况。文本语法规则包含了网络体系内容,在彼此动作关系的作用下会展现实体的关联。
5 结语
综上所述,自然语言语义障碍是威胁情报传递的重要因素,文章结合情报信息传递需要打造出一种独特的语义规则形式,在这个规则形式中将攻击文本语义知识转变为一种负面的操作信息,利用这些信息能够完成信息映射。