一種基于STIX信息交互的滲透測試協作方案研究*

劉 岳，張海峰，張 良，楊秉杰，邊 帥

(國家互聯網應急中心河南分中心,河南 鄭州 450000)

0 引言

在日常開展的網絡安全測試工作中，網絡安全工作人員經常接觸到來自各個渠道、自行編寫或同行分享的測試工具代碼。因為工具代碼使用在某些方面存在效率瓶頸，影響了日常工作開展的質量和效率。其中包括：

(1)在實際使用POC進行測試的時候，代碼的編寫者一般有自有習慣，不太明確應當傳入怎樣的參數，各參數采取怎樣的格式。因為通常不會附帶詳細的文檔說明，往往需要進行很多嘗試，降低了效率。

(2)在實際使用POC進行測試的時候，對于該POC將達到怎樣的效果不明確，不知道返回的結果會采取怎樣的格式,且返回的信息不夠詳細。

(3)由于各個POC的輸入、輸出情況不明確，不同的POC之間無法進行互操作，如很難將不同POC連接使用來完成測試目標，難以自動使一個POC的輸出成為另一個POC的輸入，無法實現自動化測試。

(4)多個工作人員一起進行滲透測試協作時常有較多不便，一名測試人員測試得到的結果必須詳細向另一名測試人員描述，如已經在目標主機上上傳腳本，但所上傳目錄沒有執行權限，需要另一名測試人員進行提權或者移動腳本至其他目錄。測試人員無法系統化描述其測試的中間結果，只能使用低效的口頭描述方式。

網絡安全滲透測試工作由于以上的一些效率瓶頸，事實上還處在手動進行、各自為戰的工作協作狀態，已完成的測試工作只能通過語言描述，效率較低。本文擬提出一種基于STIX信息交互的滲透測試協作方案，可有效提高滲透測試工作的標準化、規范化程度，并可一定程度上實現自動化測試。

1 STIX介紹

結構化威脅信息表達式(Structured Threat Information eXxpression, STIX)是結構化信息標準促進組織(Organization for the Advancement of Structured Information Standards，OASIS)的網絡威脅情報技術委員會(Cyber Threat Intelligence Technical Committee，CTITC)通過的用于機器可讀威脅情報(Machine-Readable Threat Intelligence，MRTI)的實時信息共享的委員會規范。

STIX 2.0是個概念性數據模型，用于描述攻擊指標(IOC)，凸顯網絡攻擊序列中可影響技術棧的其他各種元素。包括攻擊者所用戰術、技術和規程(TTP)，威脅執行者的潛在動機和意圖、惡意軟件屬性，受害目標確定的各種特征以及其他元素。

STIX 2.0的主體架構是一個由節點和邊組成的圖，“節點”是Domain Objects(SDOs)，“邊”是Relationship Objects(SROs)。SDO描述了網絡安全攻擊情報的方方面面，包括Campaign、Identity、Indicator、Malware、Intrusion Set、Vulnerability等。SROs描述了SDO之間的關系，包括Relationship、Sighting。

一種SDO類別Observed Data提供了對各種可以被觀察到的對象的結構化描述，其中包括了大部分IOC指標中所涉及的數據類型，如域名、IP地址、目錄、文件、進程、注冊表項、證書等。每一種類型的Observed Object都擁有一定數量的基本屬性和擴展屬性(extensions)。

STIX具有高度的可擴展性，如Observed Data可以進行基于對象(Custom Observable Objects)、基于擴展(Custom Object Extensions)和基于屬性(Custom Object Properties)的定制。

STIX 2.0將網絡攻擊情報和IOC用SDO及SRO進行系統性的描述，然后通過標準格式使用XML或者JSON承載，生成文件在公司和組織之間完成網絡安全威脅信息交互的功能。

2 方案介紹

本文提出的基于STIX信息交互的滲透測試協作方案,可以有效解決上述工作中的效率瓶頸問題，旨在建立一個高效普適的滲透測試協作系統，該系統如圖1所示，由中央控制單元以及與中央控制單元相接口的滲透測試人員和自動化測試軟件組成。中央控制單元與測試人員和測試軟件都通過基于STIX的滲透測試描述文檔進行交互，即中央控制單元向測試人員和測試軟件都可以發送“測試任務書”，也可以從后者獲取“測試結果報告”，“測試任務書”和“測試結果報告”都是基于STIX的XML文檔(在本文中稱為PEN_STIX文檔)，測試人員之間和測試軟件之間可通過中央控制單元進行交互。此方案中將測試人員和測試軟件作為同等的測試單元，每個測試單元所完成的工作都通過基于PEN_STIX文檔記錄，具有某方面特長的滲透測試人員可以獲取適合他的“測試任務書”完成某個測試環節，實現滲透測試工作的流水線化作業，提升測試效率。

圖1

為完成流水線化作業，必須解決測試單元的信息交互問題。信息交互的場景可能發生在以下的幾種情況：

(1)所編寫的針對某一類漏洞的測試工具，對此工具提供必要的信息進行調用，調用者可能是測試人員或者其他測試軟件，因此發生人對軟件或者軟件對軟件的信息交互。

(2)所編寫的針對某一類漏洞的測試工具，執行完成后得到的結果，需要供外界使用，使用者可能為測試人員或者其他測試軟件，因此發生軟件對人或者軟件對軟件的信息交互。

(3)不同的測試人員進行測試協作，可能是某種形式的眾測，測試進行到某一步驟的中間信息可能需要互相交流，此時發生人與人之間的信息交互。

(4)實現某種形式的測試平臺時，可能會由平臺調用眾多不同的滲透測試代碼，因此平臺需要將目標主機信息傳送到測試代碼，此時發生軟件與軟件的信息交互。

眾多信息交互場景需要一種系統性的描述測試信息的方式，可以消除歧義，也可以消除安全人員隨手寫下測試腳本的隨意性。

STIX本身即是一種標準化傳輸威脅信息的方式，其定義的類別Observed Data可以用來傳輸各種滲透測試中所需要使用的數據，但是標準中定義的類型和屬性有限，必須使用其支持的擴展定制功能進行擴展，以滿足實際滲透測試的需求。

方案繼續利用Directory、Domain Name、File、IPv4 Address、IPv6 Address、MAC Address、Email Address、Email Message、Network Traffic(包含HTTP、ICMP、TCP等多個擴展，表示網絡請求、網絡訪問情況等)、Process、Software、User Account、URL、Registry、Certificate等。

為更加適合滲透測試需要進行一些定制。如增加Network Service表示目標服務器上存在的網絡服務如SSH、FTP等。在User Account中增加SSH等服務相應的extension。增加Database表示主流數據庫系統。IPv4 Address中增加Port屬性，并增加兩種Observed Object:IPv4 Range和IPv4 CIDR,分別表示普通的IP地址段和CIDR形式的IP地址段等。具體情況如表1所示。

表1 添加定制

如下代碼段為給某次測試的輸入信息，包括目標主機IP及主機上運行服務的信息。

[

{

"type":"observed-data",

"id":"observed-data--b67d30ff-02ac-498a-92f9-32f845f448cf",

"created_by_ref":"identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",

"created":"2018-10-29T15:58:16.000Z",

"modified":"2018-10-29T15:58:16.000Z",

"objects":{

"0":{

"type":" ipv4-range",

"value":"198.51.100.15-198.51.100.23",

"port":"8080",

"description":"待測試主機IP地址"

}

"1":{

"type":"Network Service",

"value":"Weblogic",

"port":"8080",

"description":"待測試主機運行服務信息"

}

}

}

]

如下代碼段為測試的輸出信息，如在服務器某路徑上傳腳本及檢測到服務器上運行FTP服務等。

[

{

"type":"observed-data",

"id":"observed-data--b67d30ff-02ac-498a-92f9-32f845f448cf",

"created_by_ref":"identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",

"created":"2018-10-29T16:10:16.000Z",

"modified":"2018-10-29T16:10:16.000Z",

"objects":{

"0":{

"type":" ipv4 address",

"value":"198.51.100.19",

"port":"8080",

"description":"測試輸出相關IP地址"

}

"1":{

"type":"URL",

"value":"http://198.51.100.19:8080/bea_wls_internal/abc.jsp",

"description":"上傳后門腳本"

}

"2":{

"type":"Network Service",

"value":"FTP",

"port":"4400",

"ip_ref":"0",

"description":"目標主機存在FTP服務"

}

"3":{

"type":"file",

"hashes":{

"SHA-256":"35a01331e9ad96f751278b891 b6ea09699806faedfa237d40513d92ad1b7128f"

},

"extensions":{

"script-ext":{

"type":"jsp",

"url_ref":"1",

"path":"/var/aaa/bbb/abc.jsp"

"description":"后門腳本物理路徑"

}

}

}

}

}

]

如上示例的輸入信息可用于測試人員之間的信息交流，亦可輸入測試IOC，由測試IOC選取必需的目標參數進行測試。而輸出的信息可作為中間信息傳遞給其他測試人員，亦可傳入另外的測試腳本。

3 方案實現

Github上有python-stix和java-stix等STIX規范的實現,對代碼加以修改，添加對定制對象和屬性的支持,即可實現PEN_STIX文檔的生成和讀取；將代碼封裝成為庫函數import_module和export_module。import_module負責解讀PEN_STIX文檔，解析為輸入參數集合；export_module負責生成PEN_STIX文檔，將測試工作完成所得結果元數據表達為PEN_STIX文檔。具體可分為測試代碼和測試人員兩種情況：

(1)對測試代碼情況，為使測試代碼可以使用STIX方式獲取傳入數據，需在測試代碼入口處使用import_module，解析傳入的PEN_STIX文檔，即獲得了此測試任務的全部輸入參數，且這些輸入參數全部是標準格式。測試代碼選取其需要的參數進行測試工作，得到結果后，在程序的出口處使用export_module，將結果記錄在PEN_STIX文檔，供下一步測試使用。

(2)對測試人員情況，測試人員可自行讀取PEN_STIX文檔，或者使用import_module編寫簡單的讀取工具，來獲取此測試任務的全部輸入參數，并使用這些參數進行測試。在測試完成后，測試人員可以使用export_module編寫簡單的生成工具，將自己在測試中所發現的或者完成的工作記錄為PEN_STIX文檔，供下一步測試使用。

中央控制單元按照測試項目的工作規劃使用import_module和export_module將測試任務表達為PEN_STIX文檔，根據任務特征將文檔分別發往測試軟件和測試人員，測試人員反饋的PEN_STIX文檔如包含了新發現的服務器或系統應用，即可根據這些特征將PEN_STIX文檔派發給相應的測試軟件。如果某個測試人員沒有得到最終結果而只是中間結果，即可將反饋的PEN_STIX文檔派發給其他測試人員和測試軟件。如此循環，可高效協作完成測試任務。

4 結束語

本文提出了一個基于STIX信息交互的滲透測試協作方案，該方案利用STIX威脅情報標準交換格式，添加適合滲透測試工作場景的定制對象和屬性等，制定了一種進行滲透測試工作時的完善、高效、準確的信息交換方式，利用該方式既便于滲透測試人員對測試工具的使用，便于測試POC使用其他測試工具產生的測試結果，也便于測試人員之間的信息交互，可有效提高滲透測試工作的效率。