【网络安全 SOC】痛苦金字塔 Pyramid Of Pain

0. 痛苦金字塔简介

痛苦金字塔这一著名概念正在应用于思科安全、SentinelOne和SOCRadar等网络安全解决方案，以提高CTI（网络威胁情报）、威胁搜寻和事件响应演习的有效性。作为威胁猎人、事件响应者或SOC分析师，理解痛苦金字塔概念非常重要。

从简单到困难，痛苦金字塔指标包括：

1. 哈希值 （HASH Values）：SHA1、MD5 或其他与特定可疑或恶意文件相对应的类似哈希值。哈希值通常用于为特定恶意软件样本或涉及入侵的文件提供唯一引用
2. IP 地址 （IP Address）：顾名思义，但也包括网络块
3. 域名 （Domain Names）：域名本身或子域名
4. 网络 （Network Artifacts）：可观察到的对手网络活动。典型示例包括 URI 模式、嵌入在网络协议中的 C2 信息、独特的 HTTP 用户代理或 SMTP 邮件程序值等。
5. 主机 （Host Artifacts）：由攻击者在一台或多台主机上的活动引起的可观察结果，例如已知由特定恶意软件、文件或目录创建的注册表项或值
6. 工具 （Tools）：攻击者用来完成任务的软件。这包括用于创建用于鱼叉式网络钓鱼的恶意文档的实用程序、用于建立 C2 或密码破解器的后门或其他基于主机的实用程序
7. 战术、技术和程序 （TTP）：对手如何完成他们的任务，从侦察到数据泄露，以及其间的每一步

1. 哈希值

根据 Microsoft 的说法，哈希值是一个固定长度的数值，可唯一标识数据。哈希值是哈希算法的结果。以下是一些最常见的哈希算法：

**- MD5 （Message Digest，由 RFC 1321定义 ）**由 Ron Rivest 于 1992 年设计， 是一种广泛使用的加密哈希函数，具有 128 位哈希值。MD5 哈希并不 被认为是加密安全的。2011 年，IETF发布了RFC6151， “ MD5消息摘要和 HMAC-MD5算法的更新安全注意事项”，其中提到了许多针对 MD5 哈希的攻击，包括哈希碰撞。
**- SHA-1（Secure Hash Algorithm 1，由 RFC 3174定义）**由美国国家安全局于 1995 年发明。 当 数据输入到 SHA-1 哈希算法时，SHA-1 会接受输入并生成一个 160 位哈希值字符串，即 40 位十六进制数。NIST 于2011 年弃用 SHA-1 ，并于 2013 年底禁止将其用于数字签名，因为它容易受到暴力攻击。相反，NIST建议从 SHA-1 迁移到 SHA-2 和 SHA-3 系列中更强大的哈希算法。
- SHA-2（Secure Hash Algorithm 2） - SHA-2 哈希算法由美国国家标准与技术研究所 ( NIST ) 和美国国家安全局 (NSA) 于 2001 年设计，用于替代 SHA-1。SHA-2 有许多变体，其中最常见的可能是 SHA -256。SHA -256算法以 64 位十六进制数的形式返回 256 位哈希值。

如果两个文件具有相同的哈希值或摘要，则该哈希不被视为加密安全的。

安全专家通常使用哈希值来深入了解特定的恶意软件样本、恶意或可疑文件，并作为唯一地识别和引用恶意工件的方法。

可以使用各种在线工具进行哈希查找，例如VirusTotal和Metadefender Cloud - OPSWAT。

VirusTotal:

在上图的哈希下方，您可以看到文件名。在本例中，文件名为“m_croetian.wnry”

MetaDefender Cloud-OPSWAT：