安全資訊

   戰法簡(jiǎn)介     

APT即高級可持續威脅攻擊,也稱(chēng)為定向威脅攻擊，指某組織對特定對象展開(kāi)的持續有效的攻擊活動(dòng)。這種攻擊活動(dòng)具有極強的隱蔽性和針對性,通常會(huì )運用受感染的各種介質(zhì)、供應鏈和社會(huì )工程學(xué)等多種手段實(shí)施先進(jìn)、持久且有效的威脅和攻擊。

該戰法是針對APT攻擊事件的快速發(fā)現、定性分析，及其所屬攻擊組織的研判方法。戰法原理是先基于流量分析的不同技術(shù)角度來(lái)檢測發(fā)現APT攻擊線(xiàn)索事件，然后利用威脅線(xiàn)索TTPs（技術(shù)、工具、過(guò)程）分析中的攻擊資源同源性分析和惡意代碼同源性分析，快速研判事件所屬的APT攻擊組織。

該技戰法適用于初中級研判分析人員從各類(lèi)檢測產(chǎn)品告警中快速篩選APT威脅攻擊線(xiàn)索，通過(guò)快速的情報關(guān)聯(lián)分析來(lái)確定威脅事件的性質(zhì)，研判攻擊事件所屬的APT攻擊組織。

     戰法實(shí)施     

本戰法的實(shí)施可以分為檢測、分析、研判三個(gè)階段來(lái)開(kāi)展，各個(gè)階段均可以借助各類(lèi)安全產(chǎn)品來(lái)進(jìn)行基本應用，例如：檢測和分析階段可使用抗APT類(lèi)、NDR類(lèi)產(chǎn)品，能夠有效幫助檢測發(fā)現和基礎分析威脅線(xiàn)索；分析和研判階段則可以使用態(tài)勢感知類(lèi)、TIP威脅情報類(lèi)產(chǎn)品來(lái)進(jìn)行基礎的線(xiàn)索及情報關(guān)聯(lián)；研判階段還應借助基于攻防經(jīng)驗和威脅情報知識庫，來(lái)對威脅事件精確定性。

檢測階段

利用基于流量分析的各類(lèi)產(chǎn)品來(lái)進(jìn)行APT威脅事件和線(xiàn)索的檢測，主要包含以下兩個(gè)方面：

1）典型APT攻擊戰法檢測

可以使用虛擬化沙箱技術(shù)、AI建模分析技術(shù)針對流量中魚(yú)叉釣魚(yú)攻擊、水坑攻擊等典型APT攻擊技戰法進(jìn)行檢測發(fā)現。

針對已知APT組織常用惡意代碼家族攻擊，例如郵件投遞、文件欺騙下載、WEB誘導瀏覽、文件欺詐分享等攻擊戰法中投遞的各類(lèi)文檔、網(wǎng)頁(yè)和流量報文和網(wǎng)絡(luò )會(huì )話(huà)，抗APT產(chǎn)品通過(guò)內置強大的病毒庫、漏洞攻擊庫、黑客工具庫進(jìn)行靜態(tài)檢測，實(shí)時(shí)檢測各類(lèi)已知網(wǎng)絡(luò )漏洞攻擊和入侵行為。

針對未知惡意文件攻擊，抗APT產(chǎn)品將流量還原得到的辦公文檔和可執行文件放入虛擬執行檢測引擎的虛擬環(huán)境中執行，根據執行中的可疑行為綜合判定各類(lèi)含漏洞利用代碼的惡意文檔、惡意可執行程序及植入攻擊行為。

在虛擬化沙箱中誘導惡意代碼展現并記錄惡意行為后，使用AI建模分析方法可以使用機器學(xué)習算法，對樣本在虛擬執行環(huán)境中的各種行為進(jìn)行威脅判定。

2）APT威脅線(xiàn)索檢測

可以通過(guò)隱蔽信道、異常協(xié)議、異常流量等基于行為分析的、基于模型匹配的威脅線(xiàn)索發(fā)現能力，來(lái)發(fā)現各類(lèi)APT威脅攻擊在非法控制階段的線(xiàn)索事件。

從歷年來(lái)APT攻擊中所使用的惡意代碼的攻擊原理和特點(diǎn)來(lái)看，特種木馬需要與外聯(lián)的服務(wù)端進(jìn)行實(shí)時(shí)通信，才能達到竊取敏感信息的目的。那么在通信的過(guò)程中，在網(wǎng)絡(luò )內肯定存在外聯(lián)的活躍行為，抗APT系統可通過(guò)強大的木馬通信行為庫，基于多手段的流量行為分析檢測技術(shù)，檢測已植入內網(wǎng)的未知威脅，包括：動(dòng)態(tài)域名、協(xié)議異常、心跳檢測、非常見(jiàn)端口、規律域名統計、URL訪(fǎng)問(wèn)統計、流量異常等通過(guò)多種通信行為的復合權值，在網(wǎng)絡(luò )層對未知APT惡意代碼的網(wǎng)絡(luò )通信行為進(jìn)行實(shí)時(shí)監控、預警、分析。

從近幾年被曝光的APT攻擊組織樣本來(lái)看，其所使用的特種木馬、間諜木馬等惡意代碼，會(huì )使用自定義或者加密的協(xié)議建立隱蔽通信信道，用以繞過(guò)防火墻、IDS等傳統安全設備的檢測。針對網(wǎng)絡(luò )流量中的隱蔽信道進(jìn)行深度分析，通過(guò)分析隱蔽信道通信中的流量特征和行為特征，構建相應的檢測模型，能夠把隱蔽傳輸的數據從復合流量中分離出來(lái)，從而發(fā)現一些未知的攻擊行為。

分析階段

分析階段是需要從檢測階段發(fā)現的各種威脅攻擊事件/線(xiàn)索中，分析抽取可用于關(guān)聯(lián)分析的元數據，然后再通過(guò)基于威脅情報知識庫的同源性分析，將威脅事件/線(xiàn)索與已知APT組織進(jìn)行快速關(guān)聯(lián)比對。

這類(lèi)最常用且有效的關(guān)聯(lián)分析方法可以分為以下兩種方法：

1）攻擊資源同源性分析

通過(guò)分析攻擊投遞、非法控制兩個(gè)階段中攻擊者采用的攻擊載具，抽取相應的元數據，然后通過(guò)搜索引擎或威脅情報檢測類(lèi)產(chǎn)品，與各APT組織戰術(shù)類(lèi)威脅情報中的IOC指標進(jìn)行快速匹配。

攻擊載具可抽取的元數據包括但不限于：攻擊者郵箱、攻擊者郵件發(fā)送源IP、惡意代碼模塊下載地址、惡意代碼家族、惡意代碼文件模塊HASH、PDB路徑、文件簽名、C&C服務(wù)器域名/IP等。通過(guò)這些元數據與APT組織情報進(jìn)行關(guān)聯(lián)，就能夠快速分析出事件高概率所屬的APT組織。

2）惡意代碼同源性分析

由于A(yíng)PT組織會(huì )經(jīng)常變換C2服務(wù)器，使得利用威脅情報的可能性大大縮小。但對于長(cháng)期存在的APT組織來(lái)說(shuō)，雖然其使用的惡意代碼會(huì )經(jīng)常版本迭代，但很多基礎代碼和關(guān)鍵函數很少變動(dòng)，經(jīng)常能找到關(guān)鍵的關(guān)聯(lián)特征。

本戰法就可以采用模糊HASH算法、AI算法（聚類(lèi)算法）等模型匹配的方式，或者采用人工逆向分析的方式，來(lái)比對惡意代碼樣本的代碼與已知APT組織常用惡意代碼的相似性。

判研階段

基于以上檢測和分析的結果，需要威脅分析人員對已發(fā)現的信息威脅源進(jìn)行研判，對攻擊技術(shù)、工具、過(guò)程進(jìn)行綜合刻畫(huà)，判斷攻擊威脅體現的技術(shù)實(shí)力。然后再綜合攻擊者、受害者、動(dòng)機、攻擊后果四個(gè)維度進(jìn)行攻擊意圖研判。

通過(guò)以上研判，最終嘗試確定攻擊事件的性質(zhì)：間諜組織、涉政組織、暴恐組織等已知APT組織，或黑/灰產(chǎn)組織等已知其他攻擊組織。如有需要，還要確定進(jìn)一步溯源策略，例如反制C&C服務(wù)器、嘗試線(xiàn)上線(xiàn)下身份挖掘等。

     案例分析     

一則案例是在2019年4月間，APT34組織的武器泄密事件中，東巽科技對其常用武器做了一個(gè)詳細的分析。其中DNS隱蔽隧道就是該組織常用的技術(shù)，隱蔽隧道技術(shù)可以躲避常規流量的檢測，利用DNS協(xié)議與服務(wù)器通信，傳輸數據。

APT34常用武器中使用的DNS隱蔽隧道

APT34是一個(gè)來(lái)自于伊朗的APT組織，自2014年起，持續對中東及亞洲等地區發(fā)起APT攻擊，涉獵行業(yè)主要包含政府、金融、能源、電信等。多年來(lái)，攻擊武器庫不斷升級，攻擊手法也不斷推陳出新，并且攻擊行為不會(huì )因為被曝光而終止。在本戰法實(shí)際運用過(guò)程中，通過(guò)攻擊資源同源性（采用相同C&C服務(wù)器）關(guān)聯(lián)到APT組織的案例非常多，這里就不再贅述。

另外一則是分析一個(gè)通過(guò)攻擊載荷代碼同源性來(lái)研判APT攻擊的案例：

海蓮花（OceanLotus、APT32）是一個(gè)具有越南背景的黑客組織。啟明星辰金睛安全研究團隊發(fā)現了一起該組織的魚(yú)叉釣魚(yú)網(wǎng)絡(luò )攻擊事件。在該事件中，關(guān)鍵確認APT攻擊的同源關(guān)系有：

1) 攻擊者所使用的惡意代碼包含一個(gè)VBS腳本，其下載的shellcode的編寫(xiě)技巧，與以往海蓮花組織所使用的shellcode手法幾乎一致。

2) 本次攻擊事件中最后釋放的遠控惡意代碼，與在以往披露的海蓮花組織報告中（詳見(jiàn)《2017網(wǎng)絡(luò )安全態(tài)勢觀(guān)察報告》），無(wú)論是回傳特征，還是代碼結構都幾乎一致，甚至連偽裝成amazon的host主機也一致。

由此基本可以確認，本次攻擊的確為海蓮花組織發(fā)起，并且該組織仍然在沿用以往的武器。

     戰法點(diǎn)評     

本戰法優(yōu)點(diǎn)是能夠讓一般分析人員清晰的快速實(shí)現對已知APT組織攻擊事件的關(guān)聯(lián)確認，且大量成熟產(chǎn)品可以有效輔助該戰法的實(shí)現。

本戰法也有一定的局限性，大量APT組織的戰術(shù)類(lèi)和戰略類(lèi)威脅情報并未公開(kāi)曝光，可關(guān)聯(lián)情報不足也會(huì )導致無(wú)法關(guān)聯(lián)匹配。