本篇纯属个人看法与技术经验交流,不代表任何团体和组织。文章有语句不通和观点错误之处欢迎指正。
随着《数据安全法》、《关键信息基础设施安全保护条例》出台,数据保护,尤其是敏感数据各环节合规使用,成为监管部门关注重点,APT也渐渐成为人们关注的热点。APT攻击,即高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。
网络安全是具有军工属性的,它的最终趋势是要被渐渐被国有化的。但发展网络安全,现代商业安全公司对APT的理解只能用批判性质的两个字概括:浮躁。APT的商业价值之一是宣传企业安全能力影响力,但最核心的价值还是保证企业自身的安全性。可以很确切地说,Solarwinds供应链攻击事件曝光不久后,某司第一时间关联到受害者名单,并且首发解密方法,这个真的不是一时半会儿靠人力和财力能解决的问题。这是安全公司在长期的数据和安全能力积累、对核心技术竞争力的坚持追求下才能达到一定程度的成果。
一、APT多多少少是有些炒作成分的
虽然说威胁情报体系建设到最后,情报的来源和挖掘的确是很具有研究价值的,但并不代表IOCs的至高占领就可以发动舆论压制,充其量只不过是一种传承下来的基于厚黑学的低级的竞争行为方式。APT样本并不是说谁先发出来就是谁的。真正有价值的样本也是不会发出来的,计较样本是谁先hunting到的只会降低去分析病毒的积极性。公然披露有益于追踪和分析,但每一次披露都是对APT组织的一次提醒,一次线索的曝光。过分的披露和炒作肯定会出事情,不是哪个安全公司就有资格上来就宣传是“什么组织针对我国”,说轻点是在制造舆论,说重点这就是干扰ZZ关系。这不是什么扩大企业安全能力影响力,是给ZZ增加风险和负担。
在网络安全仍然没有体制思想的今天,安全从业人员仍然存在不少研究人员素质低下的情况。比如随意转发别人的个人信息聊天记录,吃瓜爆料人肉溯源等等,这些恶心的行为当真真正正发生在自己身上的时候就会体验到真实的网络暴力。有相当一部分安全从业人员当初是凭着兴趣和爱好才入了行,可能学历比较低,有些行为没人监管就不能自律了。“消息”、“信号”、“信息”这三个名词的区别在哪呢?有价值的消息才叫信息。信息两字体现了一个人应当注意坚持保密严谨的态度当你没有把黑客抓出来有确凿证据的时候,这不叫信息,只能叫炒作和诬陷,而且严重性可能是拿着ZZ关系炒作。
二、APT四大难点:分析、挖掘、检测、溯源
今天,搞APT的三大基础是:
第一、要了解国际政治关系,及时关注国际政治局势走向。
第二、全球安全公司擅长方向与安全人员信息,与ZZ的关系等。
第三、安全分析能力。
但相比于普通病毒的恶意代码分析,APT有四大难点:分析、挖掘、检测、溯源。
四种能力并没有谁强谁弱,在一些比较僵硬的攻击手法中,攻击者甚至长达数年源代码都不会更换,这个时候看起来是挖掘情报相对来说比较重要。但随着APT攻击技术的复杂难度提升,分析所占的比重会越来越大,相反,对应的挖掘、检测和溯源的方法将会受限,可能不存在结果。
什么是溯源?它如同办案调查一样,需要去发现蛛丝马迹,方能找到溯源点,所以细心非常重要。证书指纹、PE编译痕迹、流量特征,网络空间关联,这些需要深入研究才有可能会发现。其中溯源可能是没有结果的,但是溯源确实有很大的发挥和挖掘空间。对已收集文件的同源性分析,批量化价值挖掘,毕竟黑客作案“百密总会有一疏”。有时候也应该脑洞大开,Linux有对命令执行的history记录功能,难道windows就没有cmd执行命令记录的功能吗?它很可能是有的,只是可能没公开而已,正如它源码不公开的商业性质一样,微软操作系统可能存在很多尚未公开的机制。一个操作系统的设计师如果不能保证安全问题的溯源能力的话,那它是很失败的,微软肯定在操作系统中留有不少可溯源点的设计。
另外APT查杀是没有作用的,检测是有效的,但是对已知情报检测的安全防护能力是很弱的。为什么说针对APT样本做精确查杀清除是没有用的?因为一旦中招APT攻击一般就会直接封存机器,放弃使用。在受害者看来,任凭你查杀哪怕出现再小的概率会复发,也会造成巨大的价值损失。0.001%乘以正无穷结果仍是正无穷。
三、APT与EDR病毒的区别
第一,APT的目标是GJ企业的关键基础设施的非商业性窃密涉及航空、军工、教育、科技等重点领域的持续性渗透入侵,其主要目的为潜伏性窃密,以得到非商业化的密级信息为最终结果。也就是说,攻击者很少会采用市场上常见的恶意窃密软件,更加侧重定制化的驻留攻击,甚至在得手后留下长达数年才会被再次启动的后门。
第二,长期潜伏渗透与长期关联追踪能力的对抗。反病毒人员就是长期挖掘追踪某一类黑客攻击在全网的攻击表现情况并试图预测下次攻击事件、揭露其成员身份。当然,挖掘追踪的方法包括在大量文件数据上使用同源性分析软件,Virustotal平台Hunting,特征匹配等等。当然,攻击技术其实是很超前于防御技术的,甚至可以说有很多攻击技术根本没有办法防御,这里就不再举例。
第三,APT攻击具有很强的针对性。APT的攻击绝大多数是专业的安全公司出身的高级红队开发的,而EDR防御的则是大多数更具有普遍性的病毒木马或者非正常行为软件。并不是APT和EDR具有高低贫贱的区别,而是APT更具有GJ性质,更偏向于溯源和追踪。当然EDR更着重研究偏向主机安全的技术,研究的技术很有实用性和拓展性。
第四,APT攻击带有很强的责任制。和一般普通木马不同的是,APT攻击在预警发现和应急响应的整个过程中必须谨慎考虑受害者的责任问题,而网络安全的责任往往牵涉到第一领导人,这就需要安全人员谨慎对待事件的处理流程和结果,严格步骤把握线索和证据。
四、APT的工作模式
东南亚的攻击并没有西方玩家的难度高,我们的目标应该是以色列、俄罗斯、美国这些高端玩家的样本。国内逆向安全分析的能力是比较弱的。逆向的门槛本来就很高,研究病毒的门槛也会越来越高,样本的价值会越来越大,因为情报IOCs被独立化,免费样本在未来可能不会存在。今天,别说个人研究爱好者,哪怕高校都很难拿到想要的样本,就算可以拿到也拿不到批量的高价值样本做大量性特征研究。所以说恶意代码研究的门槛是有的。
我们必须要正视安全能力建设,不是只停留在对远程模板加载的一类文件的分析上。
海莲花并非我们想象的那么简单只会dll劫持技术和ShikataGaNai混淆,其攻击技术越来越复杂,团队规模也在发展壮大,甚至可以说今天安全研究员可能只是研究到它的一个分支。对于APT攻击事件更考验的是挖掘能力和长期的追踪溯源能力,追踪一个组织至少要消耗掉一个安全研究员的精力。因为在研究的过程中必须做历史资料的收集和分析,组织画像记录,要沉下去研究整个攻击链。研究APT是非常有价值的一件事情,它的价值是关系到GJ安全关基设施的事情,远远比房地产的一个“窟窿”有价值。当安全能力体系运营建设完成之后,威胁情报就是APT的核心价值。安全公司第一是抓到样本就急着发报告,彰显狩猎能力,拿到第一手情报,这是非常有挑战性的一件事情。攻防的不对等性往往导致攻击者可以利用成熟的工具一个人完成渗透任务,但防守团队必须靠完整的安全体系建设和严密的团队协作能力才能完美预警一次攻击。所以比较严密的协作流程应该如下:
整个协作流程不能仅停留在IOCs层面,更应该侧重技术手段的传递,TTPs的沟通。因为威胁狩猎只有在技术手段和TTPs的层面上才有很大的挖掘延伸空间,这也是很多重大潜伏型APT事件之所以能被发现的关键点之一。
五、安全人员管理建议
安全它就是安全,安全是企业高速发展过程中必须经过的途径,它是软件行业发展到一定阶段的必然过程。安全的本质就是梳理企业内部资产和业务特征,查漏补缺之后,在此基础上才能建设企业自己的安全防御体系。APT本质是需要很多的文件网络资源和安全技术积累。当前安全面临的尴尬情况是安全核心技术不能产生过高的商业价值,但是过于追求价值产出肯定是会降低对于技术研究的精力的。在我看来,安全从业人员是一群善良正义坚持原则的一类人,营造积极温馨的工作氛围其实更加适用于对于安全人员管理方法。他们本身是具有良好价值观的,其本身能够抵制住黑产高收益的诱惑,产生的社会价值也远远大于实际工作的价值,所以过于强调工作中的OKR其实是非常不恰当的。
当然,凭良心讲,预警能力才是安全能力的最大价值,而不是去溯源已经攻击成功的事件。灾难发生后往往会出现很多感人的故事和英雄,但是我们必须明白我们的重点应该是在避免灾难的防御工作上,而不是看着我们感人的故事和英雄就认为我们一直做的很好,所以搞安全在预警技术的发展上必须坚持高精尖发展。
在未来,网络安全的军工属性势必会继续得到增强:
第一,力量不够集中。最突出的表现就是威胁情报没有集中化。企业在竞争关系中会产生独有的情报,但这些情报可以被G有力量统一集中,方便及时发现重要攻击事件。
第二,挖掘能力深入化。美国Fireeye之所以能对Solarwinds攻击事件具有自主的发展能力,是因为企业本身安全的挖掘和检查体系比较完善。对于每种攻击TTPs是否有人去做专门的狩猎,比如毒云藤明明很喜欢伪造官方网站进行钓鱼,那么有没有团队对重要大学和单位机构网站的ioc_hash进行统计监测?比如Bookit针对最早启动过程的感染,在商业化公司中有没有人能沉得住气去分析清楚并做出狩猎分析和解决方案?又有多少安全公司能为安全研究员提供额外的实体机和硬件去做这些研究,这些需要花费很多精力但可能没有结果的挖掘方式,纯粹的商业公司是很难能做下去的。
第三,操作系统底层的研究和国产化这个就不多说了,芯片硬伤, 大家都懂。
最后总结一句话:APT肯定是以挖掘潜伏攻击为安全能力核心的,而不是对一个几年都没换代码、连壳都不加的恶意软件痴迷追求的。什么是炒,什么是真拳头,这两个要搞清楚。
940
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
