一年一度的阿里安全峰会创立于 2014 年,今年已是第三届,于7月13-14日在北京国家会议中心举办。峰会旨在促进亚太区信息安全行业发展,为本地区信息安全组织、信息安全专业人士和决策者搭建一个信息交流展示平台,探讨当前安全行业的最佳实践、热点议题、信息安全人才培养、新 兴技术与发展趋势等。2016 阿里安全峰会设立12个分论坛,数十家领军企业参与、国内外顶级安全专家演讲,在电商金融安全,移动安全,威胁情报,人才培养,电子取证等热门安全行业问题进行深入探讨与交流,除此之外大会前一天还进行了顶级电商安全移动安全等方向的专业安全技术培训。
7月13日2016阿里安全峰会上,安天实验室首席技术架构师肖新光提出:APT不是一个严格的技术概念,必须关联其政经背景。
安天实验室首席技术架构师 肖新光
以下是演讲实录:
肖新光:今天的主题是熊猫伤痕——中国遭遇的APT攻击,这是我一直以来告诉大家的观点,中国是网络安全威胁的受害者。
讲这个案例之前,我还是要重新的解读一下APT的概念和起源,关于APT这个词,这是一个缩写,高级识别系统威胁,但是APT他们之间到底是什么样的关系,如果我们超越之前种种的所谓技术化的概括和想象,放在一个更大的背景和场景里面去,我们会对他有一个什么样解读呢?大家都知道这样一句话:威胁是能力与意图的乘积。何为能力?在我们讲APT的过程中,大家往往会把它概括为一些攻击法,最常讲的是0day漏洞和格式文档攻击等等。讲到持续的时候,大家也总是想到比如说这个加密的连接,反复的进入等等,但是归根结底,它是作业者的攻击意志。所以说APT的T的威胁是高级与持续性的一个乘积。他们是互为放大的关系,但是高级和持续性达不到一个基础的水准的时候,它们又是一个相互限制的关系。所以从一个更为广阔的来谈综合性威胁的观点来看,那么,这就是APT三个词的相关的关系。
第二点,我想再重复讲一次是谁创造了APT一词。这里有很多的同仁听我讲过,但是我依然发现,在本应非常专业的技术文章方面,依然有很多不正确的猜测和想象。那么,目前来看,关于APT起源,最为准确的说法是它是在2006年由美国空军上校Greg提出的术语;为什么这里要重复一下这个起源呢?我们看一下Greg的经历,他是担任凯里空军基地23期信息作战军队的指挥官,后来担任白宫网络安全的主管和空军信息站业务指挥的指挥官,这期间他提出并概括了APT一词;后来他做过安全咨询的高级顾问,创业过相应的安全企业,当前担任了资本方摩根大通的总经理。这样一个轨迹,如果放在美国政治体制上是非常典型的词,就是旋转门。为什么讲这个观点,我再重复一下APT从来不是一个技术概念,是一个非常复合的政治与经济的概念,带有着非常浓重的大国博弈的精彩。所以我们用简单的观点去看待APT的话,我们不能正确的去应对。过去的若干年中,各种来自不同方面的APT攻击横扫全球,这是2015年网络安全年报中的一张图,我们把主要的APT攻击和他的受害国做了一个关联,这里我们可以看到中国是APT攻击最为严重的受害国家之一。只不过是这样的一个事实,目前不是国际上普遍接受的一个结论,因为有人散播了一个刻板的偏见。
那么我们进入到这样几个案例,这些案例我们之前在各种不同的场景下讲过,这是我们做过很多分析工作的案例,大家可以查看我们开放的分析报告。首先,我们还是想去看到那种我们认为技术手段最高级,甚至可以说是开启了上帝视角了的。大家知道,2015年初卡巴斯基曝光了命名为“方程式”的一个攻击组织,实际上我们追踪这样一个攻击组织也有接近四年的时间,大家知道在国内想要曝光一些事件还要经过很多的准备工作,还会有一些周折,所以很多时间很难扮演先发方的角色。在整个APT的作业中,我们所看到的是什么?如果说我们单独把它拿出来看,我们只能看到它们的一些特点,但是其实比如说我们把这么多的,把所谓的上帝模式的APT攻击视角来看,我们会发现这里有很多一脉相承的东西,包括精密的框架,包括复杂的指令体系以及相应的高度的可附庸化,其中重要的特点是针对硬盘固件来实现,这一特点是鉴于我们讲的其他的具有风格延续性的,有相同或者是不同的其他的组织所发动的攻击。关于硬件的固件这里我们不过多的介绍,这里我们有许多的报告可以去看。我们可以看到的是什么?整个达成实体化作业方面的想象力。还有很遗憾的一件事,当我们已经发现它其实是一个在发现高价值目标之后所采用的实施化方式或者是拦截这种存储的物流配送来实现这种注射的方式之后,我们国内依然刻意的把它解读为所有的硬盘和安装了什么,这无疑不是一种严重的误导,一旦这种误导到达我们政策以后我们不能很好的去应对相应的风险。
这样的攻击组织最大的特点是什么?是整个的载荷覆盖了我们所能想象的全部的操作系统的平台,无论是微软还是其他。这样的一种全平台的作业能力,包括如何获取几乎所有主流硬件品牌的固件能力。从我们的分析来看这并不是一个产业协同的结果,而是大量的深刻的逆向工程,工程组织与测试的结果,这是对手的真实目的,对手并不是通过耍流氓的方式来达成,这是我们要深刻记录的。我们也可以看到深刻的指令体系,如果我们拿这个指令体系和我们之前发布的分析报告,包括了乌克兰的停电事件,以及发布的白象事件,就可以看到这样的一个指令体系是多么的精密,多么的严谨和市场性,同时在上帝视角中极度强调严格的本地化的数据加密和加密的通讯,以及把数据打到一个第三方,从中间来拦截劫持的方法。
所以说刚才是我们所看到的一种我把它称之为上帝模式视角这样的一种攻击方式。当然,在这里我们也可以看到一些并不太高明的攻击方式,以及这种攻击方向所看到的一些能力的成长。那么这里面,我们在前天发布了一篇名为白象,来自南亚次大陆网络攻击的报告,实际上关于公开的资料,可以看到2013年7月发布的报告,以及我们在2014年的4月在计算机学会通讯上所发布的文章以及相应的报告。实际上,最初攻击者所具备的能力,并不是一个非常高明的、甚至是没有必要的伪装,但是就是这样一个攻击却使我们的高等院校沦陷了。这样一个过程中我们也看到了来自于同一方向的攻击,在2012-2013年到今年年初的攻击波中的成长。当然我们只能认为这两个攻击目前来看来自于同一个国家背景,我们还不能找到相应的关联,但是我们可以看到从最开始的构造大量的PE来进行连杀,现在做4114的漏洞的文档连杀,最开始PE和图片结合的粗糙的技巧,到今天采用这种具有极富引诱力的邮件通过UIL来加载的攻击,相继这样的攻击组织从最开始的轻量级的攻击进展到一个经典的APT攻击组织,我们做了很多工作,锁定相应的时区,确定了人员的规模和使用相应的IP。大家可以在网上看公开的事件视频,比较详细。
攻击者即使是原来并不拥有很好的基础,但是强大的攻击意志驱动下会逐渐的演进,即使来自于不同的攻击组织,但是同一背景下能力更强的组织,有可能会取代能力弱的组织。这种能力更强会更加胆大妄为,从一代的攻击谨慎而少量的进行投放,到二代构造出的具有诱饵性质的信息之后对我们国家的很多信箱大面积的投放,构成了这样的路径。
除了这种自有式的能力之外,还有一个因素在整个的针对中国的APT攻击中起到非常关键的因素,那就是商用的攻击平台。在去年的五月份,曝光了一个APT的事件,360也爆发了一个事件,实际上这是同一个攻击组织的两个不同维度的视角解读。友商的报告非常有数据的底蕴,而我们揭示了其中一个细节的场景。这个场景中最重要的一点是什么?就是这样的一个来自于中南半岛某国的攻击对手以前是非常弱的攻击能力,突然具备了与上帝视角的某些相似的攻击方法,这些方法从何而来?来自于商用的攻击平台。在这样一个攻击平台中,他通过一个非常典型的,利用注册表来分段加载脚本的方法实现了本地的无文件载体的载荷加载,然后包括实现与服务器的同联,这种能力并不来自于攻击方自研的能力,而是通过大数据的平台很容易关联到另外一个攻击平台所生成的。具有这样一个全能力,全格式的打击力量平台,包括具有载荷投放和加密回传这样的设计平台,我们认为像这样的工具超出了传统的理解,像安全扫描器这样的基础的安全的能力,他们不是一个靶弹,而是真实的具有战斗能力的导弹。我们所面临的环境是一个脆弱的信息机体,但是面临着商业中扩散的危险。
我们还是要把不同能力的攻击行动做一个概括,有人就觉得之前的四象限的图不够精准,如果我们想把APT攻击分成两个维度,一个是攻击方的成本投入,一个是攻击方的行动能力,这样李戡毫无疑问被我们称之为高级的APT,既所谓的A方的攻击需要维护巨大的成本,比如说卡巴斯基所依赖的工程体系和研发,以及相应使用的各种维护和研发需要五千万美金的成本。所以说这种A方PT,毫无疑问是成本投入和行动能力的最大化的结果。同时我们看到另外一个部分是当前大量的商业中,包括了买卖和商用的和免费的攻击平台,以及商用木马的使用情况下,使那些原来只具备初级攻击能力的,然后也缺少天才的攻击手的团队,具有了原子弹,具有了中国这样的信息化大国实现挑战的能力。当然了我们也可以看到传统的APT组织正在坚持他旧有的风格。
同时我一直讲一件事,对于APT攻击,大场合下分析的只是弹头,弹头就是载荷,弹头是当我们被APT远程狙射的时候,留在我们身体中,从伤口中挖出的金属物质,可以分析口径和大致的方向,但是目前来看还有很多的攻击,特别是来自于上帝视角的攻击,我们看不清他的来历,我们看不清他的枪械和狙击手,我们看不清他的位置,但是我们连分析弹头的能力都没有,我们不能从分析弹头来做脚踏实地的工作,我们何谈对抗APT。
我们之前谈的很多点,都是老生常谈。但是这里还是有解决方案要重复,第一点避免纯技术视角来看待综合性危机,APT不是一个严格的关联,必须要关联起背景,首先APT是分析发起方与动机,其次是受害方的动机,最后是作业过程和手段。因此所谓的A不是一种绝对高级的手段,如果说目标只关注在技术手段上,而不是去关注是不是给我们造成威胁以及我们本身所具有的防御能力的话,那么我们就会经常的被猪一样的对手搞定。
所以说这个A不是一种绝对的技术水平,而是相对攻击体系中背景中相对高的能力层次,第二点是代表加密通信,可能加密实体化的接入,但是本身取决于攻疾方的作业意识和持续的成本投入冷藏。所以我们对APT的再认识,我们认为他是情报作业的网络空间延展,网络犯罪的高阶形态,我们说这是三种不同的场景。就是说这是三种有关,但是有区别的场景。他可能是情报作业的网络空间延展,也有可能是网络犯罪的高阶形态。但是情报作业的网络空间延展本身就有可能构成网络战的环境。我们为什么要研究APT攻击,我是为了发报告吗?为了涨江湖声望吗?不是,所有的研究威胁的目的是为了对威胁达成止损、遏制和防御,所以APT的博弈手段,或者是说曝光只是其中一种,那么真正的,我们要有效的实现在载荷投放时候的手段,在载荷已经运行后的止损和反恐,以及配合其他的博弈手段的惩戒和相应的报复。
体系化的攻击必须有体系化的防守,集大成者的攻击必须有相应的动态综合纵深的体系去防御,而我们面临的现实情况是什么,尽管很多人声讨老三样,但是我们再次强调一下,国内的基础信息场景中最大的问题是老三样没有发挥应有的作用。尽管我们不做这样的产品,但是高级的技术能力和产品形态需要有可靠的,基础的IP治理形态,另外是看到的问题是,这次我们分析了大量所投放的信箱,这里有很大一部分的比例是重要人员的免费信箱,163,126,腾讯等等,这里所带来的问题?我们分析了大概数千个政府网站的信箱,发现几乎一半的联系信箱是免费的,这使威胁是高度的离散的,我们没有把高价值的目标牵引到一种高防御能力的体系中,我们就造成了对于威胁是高度不敏感的,我们把威胁的基础放在免费信箱所能提供给个人的防御能力上去。
所以说在当前的整个作业中,已经影响到关联人员的个人信息,个人设备,个人手机,以及家庭成员的身上。这又是APT防御的一个重要的点。同时目前我们正在举行的活跃的IOC的威胁情报的交换,为什么要进行威胁情报的交换,这是因为APT的定向性导致了大家都不能够去捕获所有的信息。但是我们需要注意的几点是什么,第一点是APT这种攻方具有击强的系统体系和资源连接能力的情况下,攻防双方均具有强大的IOC获取能力。也就是说防御方可以通过IOC来增强能力,攻击方同样可以通过IOC来判断自己是否已经暴露。另外一点的情况,刚才我们看到了面对无文件载体这种方式的流行,是一种威胁情报的价值,我是指文件的价值在打折扣,我们一直坚持一个观点,威胁情报需要有可靠的感知、检测、分析、防御能力为支撑,威胁情报需要有效的行动力转化和验证情报。
今天已经很多人讲终端了,终端依然是重要的终极的防御。云实际上是对终端的一种组织形式,并不改变终端也是一个操作系统,以及受到相应威胁的本质。我们今天很多人在讲白防,利用可信来改进这种安全防御,但是白防不能只有白,没有防。因为最终来看不是对攻击者一个对黑名单或者是白名单的签名和载荷的控制,而是对于是否能够获取入口的控制,今天我们看到了很多是白名单,而不是白名单防御。还有一个是什么,如何看待反病毒引擎与沙箱,原来基于一个静态引擎就能解决的问题,当前确实很多不能解决,但是没有这样一个静态引擎所提供的威胁标注能力,很多的上层决策难以进行,所以已经从核心模块转化为基础设施,还有一点是现在反病毒引擎的重大价值是什么,是他本身就具有了格式解析和向量拆解能力。比如说为什么这次白象要把PPT,就是说XML这个格式转化成老的劳拉格式。
实际上是因为在很多的粗浅的静态分析中,是经过开源的代码就可以解析,而劳拉格式是通过拆解原有的结构,这恰恰是传统的AV厂商的强项,传统的AV厂商的静态分析和决策能力是未来的资源。另外沙箱不是反病毒引擎,比如说误报了,误报率是多少,结果是否准确,沙箱的最重要的一点是漏洞的处罚能力。第二点是要有行为的深度的揭示,通过这样的一个静态,动态的环节输送出相应的向量,最终形成上层的与威胁情报联动的这样一个检索和相应的决策机制,而不是依赖于某一个单独的环节达成判断,而这个过程中很重要的一点,或者是网管,或者是厂商运维支持一定是勤奋的,两个人都指望着展望格式去解决,这是不一样的。
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
