快速發(fā)現(xiàn)APT攻擊事件及所屬組織研判
戰(zhàn)法簡介
APT即高級可持續(xù)威脅攻擊,也稱為定向威脅攻擊,指某組織對特定對象展開的持續(xù)有效的攻擊活動。這種攻擊活動具有極強的隱蔽性和針對性,通常會運用受感染的各種介質(zhì)、供應鏈和社會工程學等多種手段實施先進、持久且有效的威脅和攻擊。
該戰(zhàn)法是針對APT攻擊事件的快速發(fā)現(xiàn)、定性分析,及其所屬攻擊組織的研判方法。戰(zhàn)法原理是先基于流量分析的不同技術(shù)角度來檢測發(fā)現(xiàn)APT攻擊線索事件,然后利用威脅線索TTPs(技術(shù)、工具、過程)分析中的攻擊資源同源性分析和惡意代碼同源性分析,快速研判事件所屬的APT攻擊組織。
該技戰(zhàn)法適用于初中級研判分析人員從各類檢測產(chǎn)品告警中快速篩選APT威脅攻擊線索,通過快速的情報關聯(lián)分析來確定威脅事件的性質(zhì),研判攻擊事件所屬的APT攻擊組織。
戰(zhàn)法實施
本戰(zhàn)法的實施可以分為檢測、分析、研判三個階段來開展,各個階段均可以借助各類安全產(chǎn)品來進行基本應用,例如:檢測和分析階段可使用抗APT類、NDR類產(chǎn)品,能夠有效幫助檢測發(fā)現(xiàn)和基礎分析威脅線索;分析和研判階段則可以使用態(tài)勢感知類、TIP威脅情報類產(chǎn)品來進行基礎的線索及情報關聯(lián);研判階段還應借助基于攻防經(jīng)驗和威脅情報知識庫,來對威脅事件精確定性。
檢測階段
利用基于流量分析的各類產(chǎn)品來進行APT威脅事件和線索的檢測,主要包含以下兩個方面:
1)典型APT攻擊戰(zhàn)法檢測
可以使用虛擬化沙箱技術(shù)、AI建模分析技術(shù)針對流量中魚叉釣魚攻擊、水坑攻擊等典型APT攻擊技戰(zhàn)法進行檢測發(fā)現(xiàn)。
針對已知APT組織常用惡意代碼家族攻擊,例如郵件投遞、文件欺騙下載、WEB誘導瀏覽、文件欺詐分享等攻擊戰(zhàn)法中投遞的各類文檔、網(wǎng)頁和流量報文和網(wǎng)絡會話,抗APT產(chǎn)品通過內(nèi)置強大的病毒庫、漏洞攻擊庫、黑客工具庫進行靜態(tài)檢測,實時檢測各類已知網(wǎng)絡漏洞攻擊和入侵行為。
針對未知惡意文件攻擊,抗APT產(chǎn)品將流量還原得到的辦公文檔和可執(zhí)行文件放入虛擬執(zhí)行檢測引擎的虛擬環(huán)境中執(zhí)行,根據(jù)執(zhí)行中的可疑行為綜合判定各類含漏洞利用代碼的惡意文檔、惡意可執(zhí)行程序及植入攻擊行為。
在虛擬化沙箱中誘導惡意代碼展現(xiàn)并記錄惡意行為后,使用AI建模分析方法可以使用機器學習算法,對樣本在虛擬執(zhí)行環(huán)境中的各種行為進行威脅判定。
2)APT威脅線索檢測
可以通過隱蔽信道、異常協(xié)議、異常流量等基于行為分析的、基于模型匹配的威脅線索發(fā)現(xiàn)能力,來發(fā)現(xiàn)各類APT威脅攻擊在非法控制階段的線索事件。
從歷年來APT攻擊中所使用的惡意代碼的攻擊原理和特點來看,特種木馬需要與外聯(lián)的服務端進行實時通信,才能達到竊取敏感信息的目的。那么在通信的過程中,在網(wǎng)絡內(nèi)肯定存在外聯(lián)的活躍行為,抗APT系統(tǒng)可通過強大的木馬通信行為庫,基于多手段的流量行為分析檢測技術(shù),檢測已植入內(nèi)網(wǎng)的未知威脅,包括:動態(tài)域名、協(xié)議異常、心跳檢測、非常見端口、規(guī)律域名統(tǒng)計、URL訪問統(tǒng)計、流量異常等通過多種通信行為的復合權(quán)值,在網(wǎng)絡層對未知APT惡意代碼的網(wǎng)絡通信行為進行實時監(jiān)控、預警、分析。
從近幾年被曝光的APT攻擊組織樣本來看,其所使用的特種木馬、間諜木馬等惡意代碼,會使用自定義或者加密的協(xié)議建立隱蔽通信信道,用以繞過防火墻、IDS等傳統(tǒng)安全設備的檢測。針對網(wǎng)絡流量中的隱蔽信道進行深度分析,通過分析隱蔽信道通信中的流量特征和行為特征,構(gòu)建相應的檢測模型,能夠把隱蔽傳輸?shù)臄?shù)據(jù)從復合流量中分離出來,從而發(fā)現(xiàn)一些未知的攻擊行為。
分析階段
分析階段是需要從檢測階段發(fā)現(xiàn)的各種威脅攻擊事件/線索中,分析抽取可用于關聯(lián)分析的元數(shù)據(jù),然后再通過基于威脅情報知識庫的同源性分析,將威脅事件/線索與已知APT組織進行快速關聯(lián)比對。
這類最常用且有效的關聯(lián)分析方法可以分為以下兩種方法:
1)攻擊資源同源性分析
通過分析攻擊投遞、非法控制兩個階段中攻擊者采用的攻擊載具,抽取相應的元數(shù)據(jù),然后通過搜索引擎或威脅情報檢測類產(chǎn)品,與各APT組織戰(zhàn)術(shù)類威脅情報中的IOC指標進行快速匹配。
攻擊載具可抽取的元數(shù)據(jù)包括但不限于:攻擊者郵箱、攻擊者郵件發(fā)送源IP、惡意代碼模塊下載地址、惡意代碼家族、惡意代碼文件模塊HASH、PDB路徑、文件簽名、C&C服務器域名/IP等。通過這些元數(shù)據(jù)與APT組織情報進行關聯(lián),就能夠快速分析出事件高概率所屬的APT組織。
2)惡意代碼同源性分析
由于APT組織會經(jīng)常變換C2服務器,使得利用威脅情報的可能性大大縮小。但對于長期存在的APT組織來說,雖然其使用的惡意代碼會經(jīng)常版本迭代,但很多基礎代碼和關鍵函數(shù)很少變動,經(jīng)常能找到關鍵的關聯(lián)特征。
本戰(zhàn)法就可以采用模糊HASH算法、AI算法(聚類算法)等模型匹配的方式,或者采用人工逆向分析的方式,來比對惡意代碼樣本的代碼與已知APT組織常用惡意代碼的相似性。
判研階段
基于以上檢測和分析的結(jié)果,需要威脅分析人員對已發(fā)現(xiàn)的信息威脅源進行研判,對攻擊技術(shù)、工具、過程進行綜合刻畫,判斷攻擊威脅體現(xiàn)的技術(shù)實力。然后再綜合攻擊者、受害者、動機、攻擊后果四個維度進行攻擊意圖研判。
通過以上研判,最終嘗試確定攻擊事件的性質(zhì):間諜組織、涉政組織、暴恐組織等已知APT組織,或黑/灰產(chǎn)組織等已知其他攻擊組織。如有需要,還要確定進一步溯源策略,例如反制C&C服務器、嘗試線上線下身份挖掘等。
案例分析
一則案例是在2019年4月間,APT34組織的武器泄密事件中,東巽科技對其常用武器做了一個詳細的分析。其中DNS隱蔽隧道就是該組織常用的技術(shù),隱蔽隧道技術(shù)可以躲避常規(guī)流量的檢測,利用DNS協(xié)議與服務器通信,傳輸數(shù)據(jù)。
APT34常用武器中使用的DNS隱蔽隧道
APT34是一個來自于伊朗的APT組織,自2014年起,持續(xù)對中東及亞洲等地區(qū)發(fā)起APT攻擊,涉獵行業(yè)主要包含政府、金融、能源、電信等。多年來,攻擊武器庫不斷升級,攻擊手法也不斷推陳出新,并且攻擊行為不會因為被曝光而終止。在本戰(zhàn)法實際運用過程中,通過攻擊資源同源性(采用相同C&C服務器)關聯(lián)到APT組織的案例非常多,這里就不再贅述。
另外一則是分析一個通過攻擊載荷代碼同源性來研判APT攻擊的案例:
海蓮花(OceanLotus、APT32)是一個具有越南背景的黑客組織。啟明星辰金睛安全研究團隊發(fā)現(xiàn)了一起該組織的魚叉釣魚網(wǎng)絡攻擊事件。在該事件中,關鍵確認APT攻擊的同源關系有:
1) 攻擊者所使用的惡意代碼包含一個VBS腳本,其下載的shellcode的編寫技巧,與以往海蓮花組織所使用的shellcode手法幾乎一致。
2) 本次攻擊事件中最后釋放的遠控惡意代碼,與在以往披露的海蓮花組織報告中(詳見《2017網(wǎng)絡安全態(tài)勢觀察報告》),無論是回傳特征,還是代碼結(jié)構(gòu)都幾乎一致,甚至連偽裝成amazon的host主機也一致。
由此基本可以確認,本次攻擊的確為海蓮花組織發(fā)起,并且該組織仍然在沿用以往的武器。
戰(zhàn)法點評
本戰(zhàn)法優(yōu)點是能夠讓一般分析人員清晰的快速實現(xiàn)對已知APT組織攻擊事件的關聯(lián)確認,且大量成熟產(chǎn)品可以有效輔助該戰(zhàn)法的實現(xiàn)。
本戰(zhàn)法也有一定的局限性,大量APT組織的戰(zhàn)術(shù)類和戰(zhàn)略類威脅情報并未公開曝光,可關聯(lián)情報不足也會導致無法關聯(lián)匹配。