快速發(fā)現(xiàn)APT攻擊事件及所屬組織研判
戰(zhàn)法簡介
APT即高級可持續(xù)威脅攻擊,也稱為定向威脅攻擊,指某組織對特定對象展開的持續(xù)有效的攻擊活動(dòng)。這種攻擊活動(dòng)具有極強(qiáng)的隱蔽性和針對性,通常會(huì)運(yùn)用受感染的各種介質(zhì)、供應(yīng)鏈和社會(huì)工程學(xué)等多種手段實(shí)施先進(jìn)、持久且有效的威脅和攻擊。
該戰(zhàn)法是針對APT攻擊事件的快速發(fā)現(xiàn)、定性分析,及其所屬攻擊組織的研判方法。戰(zhàn)法原理是先基于流量分析的不同技術(shù)角度來檢測發(fā)現(xiàn)APT攻擊線索事件,然后利用威脅線索TTPs(技術(shù)、工具、過程)分析中的攻擊資源同源性分析和惡意代碼同源性分析,快速研判事件所屬的APT攻擊組織。
該技戰(zhàn)法適用于初中級研判分析人員從各類檢測產(chǎn)品告警中快速篩選APT威脅攻擊線索,通過快速的情報(bào)關(guān)聯(lián)分析來確定威脅事件的性質(zhì),研判攻擊事件所屬的APT攻擊組織。
戰(zhàn)法實(shí)施
本戰(zhàn)法的實(shí)施可以分為檢測、分析、研判三個(gè)階段來開展,各個(gè)階段均可以借助各類安全產(chǎn)品來進(jìn)行基本應(yīng)用,例如:檢測和分析階段可使用抗APT類、NDR類產(chǎn)品,能夠有效幫助檢測發(fā)現(xiàn)和基礎(chǔ)分析威脅線索;分析和研判階段則可以使用態(tài)勢感知類、TIP威脅情報(bào)類產(chǎn)品來進(jìn)行基礎(chǔ)的線索及情報(bào)關(guān)聯(lián);研判階段還應(yīng)借助基于攻防經(jīng)驗(yàn)和威脅情報(bào)知識庫,來對威脅事件精確定性。
檢測階段
利用基于流量分析的各類產(chǎn)品來進(jìn)行APT威脅事件和線索的檢測,主要包含以下兩個(gè)方面:
1)典型APT攻擊戰(zhàn)法檢測
可以使用虛擬化沙箱技術(shù)、AI建模分析技術(shù)針對流量中魚叉釣魚攻擊、水坑攻擊等典型APT攻擊技戰(zhàn)法進(jìn)行檢測發(fā)現(xiàn)。
針對已知APT組織常用惡意代碼家族攻擊,例如郵件投遞、文件欺騙下載、WEB誘導(dǎo)瀏覽、文件欺詐分享等攻擊戰(zhàn)法中投遞的各類文檔、網(wǎng)頁和流量報(bào)文和網(wǎng)絡(luò)會(huì)話,抗APT產(chǎn)品通過內(nèi)置強(qiáng)大的病毒庫、漏洞攻擊庫、黑客工具庫進(jìn)行靜態(tài)檢測,實(shí)時(shí)檢測各類已知網(wǎng)絡(luò)漏洞攻擊和入侵行為。
針對未知惡意文件攻擊,抗APT產(chǎn)品將流量還原得到的辦公文檔和可執(zhí)行文件放入虛擬執(zhí)行檢測引擎的虛擬環(huán)境中執(zhí)行,根據(jù)執(zhí)行中的可疑行為綜合判定各類含漏洞利用代碼的惡意文檔、惡意可執(zhí)行程序及植入攻擊行為。
在虛擬化沙箱中誘導(dǎo)惡意代碼展現(xiàn)并記錄惡意行為后,使用AI建模分析方法可以使用機(jī)器學(xué)習(xí)算法,對樣本在虛擬執(zhí)行環(huán)境中的各種行為進(jìn)行威脅判定。
2)APT威脅線索檢測
可以通過隱蔽信道、異常協(xié)議、異常流量等基于行為分析的、基于模型匹配的威脅線索發(fā)現(xiàn)能力,來發(fā)現(xiàn)各類APT威脅攻擊在非法控制階段的線索事件。
從歷年來APT攻擊中所使用的惡意代碼的攻擊原理和特點(diǎn)來看,特種木馬需要與外聯(lián)的服務(wù)端進(jìn)行實(shí)時(shí)通信,才能達(dá)到竊取敏感信息的目的。那么在通信的過程中,在網(wǎng)絡(luò)內(nèi)肯定存在外聯(lián)的活躍行為,抗APT系統(tǒng)可通過強(qiáng)大的木馬通信行為庫,基于多手段的流量行為分析檢測技術(shù),檢測已植入內(nèi)網(wǎng)的未知威脅,包括:動(dòng)態(tài)域名、協(xié)議異常、心跳檢測、非常見端口、規(guī)律域名統(tǒng)計(jì)、URL訪問統(tǒng)計(jì)、流量異常等通過多種通信行為的復(fù)合權(quán)值,在網(wǎng)絡(luò)層對未知APT惡意代碼的網(wǎng)絡(luò)通信行為進(jìn)行實(shí)時(shí)監(jiān)控、預(yù)警、分析。
從近幾年被曝光的APT攻擊組織樣本來看,其所使用的特種木馬、間諜木馬等惡意代碼,會(huì)使用自定義或者加密的協(xié)議建立隱蔽通信信道,用以繞過防火墻、IDS等傳統(tǒng)安全設(shè)備的檢測。針對網(wǎng)絡(luò)流量中的隱蔽信道進(jìn)行深度分析,通過分析隱蔽信道通信中的流量特征和行為特征,構(gòu)建相應(yīng)的檢測模型,能夠把隱蔽傳輸?shù)臄?shù)據(jù)從復(fù)合流量中分離出來,從而發(fā)現(xiàn)一些未知的攻擊行為。
分析階段
分析階段是需要從檢測階段發(fā)現(xiàn)的各種威脅攻擊事件/線索中,分析抽取可用于關(guān)聯(lián)分析的元數(shù)據(jù),然后再通過基于威脅情報(bào)知識庫的同源性分析,將威脅事件/線索與已知APT組織進(jìn)行快速關(guān)聯(lián)比對。
這類最常用且有效的關(guān)聯(lián)分析方法可以分為以下兩種方法:
1)攻擊資源同源性分析
通過分析攻擊投遞、非法控制兩個(gè)階段中攻擊者采用的攻擊載具,抽取相應(yīng)的元數(shù)據(jù),然后通過搜索引擎或威脅情報(bào)檢測類產(chǎn)品,與各APT組織戰(zhàn)術(shù)類威脅情報(bào)中的IOC指標(biāo)進(jìn)行快速匹配。
攻擊載具可抽取的元數(shù)據(jù)包括但不限于:攻擊者郵箱、攻擊者郵件發(fā)送源IP、惡意代碼模塊下載地址、惡意代碼家族、惡意代碼文件模塊HASH、PDB路徑、文件簽名、C&C服務(wù)器域名/IP等。通過這些元數(shù)據(jù)與APT組織情報(bào)進(jìn)行關(guān)聯(lián),就能夠快速分析出事件高概率所屬的APT組織。
2)惡意代碼同源性分析
由于APT組織會(huì)經(jīng)常變換C2服務(wù)器,使得利用威脅情報(bào)的可能性大大縮小。但對于長期存在的APT組織來說,雖然其使用的惡意代碼會(huì)經(jīng)常版本迭代,但很多基礎(chǔ)代碼和關(guān)鍵函數(shù)很少變動(dòng),經(jīng)常能找到關(guān)鍵的關(guān)聯(lián)特征。
本戰(zhàn)法就可以采用模糊HASH算法、AI算法(聚類算法)等模型匹配的方式,或者采用人工逆向分析的方式,來比對惡意代碼樣本的代碼與已知APT組織常用惡意代碼的相似性。
判研階段
基于以上檢測和分析的結(jié)果,需要威脅分析人員對已發(fā)現(xiàn)的信息威脅源進(jìn)行研判,對攻擊技術(shù)、工具、過程進(jìn)行綜合刻畫,判斷攻擊威脅體現(xiàn)的技術(shù)實(shí)力。然后再綜合攻擊者、受害者、動(dòng)機(jī)、攻擊后果四個(gè)維度進(jìn)行攻擊意圖研判。
通過以上研判,最終嘗試確定攻擊事件的性質(zhì):間諜組織、涉政組織、暴恐組織等已知APT組織,或黑/灰產(chǎn)組織等已知其他攻擊組織。如有需要,還要確定進(jìn)一步溯源策略,例如反制C&C服務(wù)器、嘗試線上線下身份挖掘等。
案例分析
一則案例是在2019年4月間,APT34組織的武器泄密事件中,東巽科技對其常用武器做了一個(gè)詳細(xì)的分析。其中DNS隱蔽隧道就是該組織常用的技術(shù),隱蔽隧道技術(shù)可以躲避常規(guī)流量的檢測,利用DNS協(xié)議與服務(wù)器通信,傳輸數(shù)據(jù)。
APT34常用武器中使用的DNS隱蔽隧道
APT34是一個(gè)來自于伊朗的APT組織,自2014年起,持續(xù)對中東及亞洲等地區(qū)發(fā)起APT攻擊,涉獵行業(yè)主要包含政府、金融、能源、電信等。多年來,攻擊武器庫不斷升級,攻擊手法也不斷推陳出新,并且攻擊行為不會(huì)因?yàn)楸黄毓舛K止。在本戰(zhàn)法實(shí)際運(yùn)用過程中,通過攻擊資源同源性(采用相同C&C服務(wù)器)關(guān)聯(lián)到APT組織的案例非常多,這里就不再贅述。
另外一則是分析一個(gè)通過攻擊載荷代碼同源性來研判APT攻擊的案例:
海蓮花(OceanLotus、APT32)是一個(gè)具有越南背景的黑客組織。啟明星辰金睛安全研究團(tuán)隊(duì)發(fā)現(xiàn)了一起該組織的魚叉釣魚網(wǎng)絡(luò)攻擊事件。在該事件中,關(guān)鍵確認(rèn)APT攻擊的同源關(guān)系有:
1) 攻擊者所使用的惡意代碼包含一個(gè)VBS腳本,其下載的shellcode的編寫技巧,與以往海蓮花組織所使用的shellcode手法幾乎一致。
2) 本次攻擊事件中最后釋放的遠(yuǎn)控惡意代碼,與在以往披露的海蓮花組織報(bào)告中(詳見《2017網(wǎng)絡(luò)安全態(tài)勢觀察報(bào)告》),無論是回傳特征,還是代碼結(jié)構(gòu)都幾乎一致,甚至連偽裝成amazon的host主機(jī)也一致。
由此基本可以確認(rèn),本次攻擊的確為海蓮花組織發(fā)起,并且該組織仍然在沿用以往的武器。
戰(zhàn)法點(diǎn)評
本戰(zhàn)法優(yōu)點(diǎn)是能夠讓一般分析人員清晰的快速實(shí)現(xiàn)對已知APT組織攻擊事件的關(guān)聯(lián)確認(rèn),且大量成熟產(chǎn)品可以有效輔助該戰(zhàn)法的實(shí)現(xiàn)。
本戰(zhàn)法也有一定的局限性,大量APT組織的戰(zhàn)術(shù)類和戰(zhàn)略類威脅情報(bào)并未公開曝光,可關(guān)聯(lián)情報(bào)不足也會(huì)導(dǎo)致無法關(guān)聯(lián)匹配。