《请君入瓮——APT攻防指南之兵不厌诈》—第1章1.4节APT和PT案例-CSDN博客

本节书摘来自异步社区《请君入瓮——APT攻防指南之兵不厌诈》一书中的第1章1.4节APT和PT案例，作者【美】Sean Bodmer , Max Kilger , Gregory Carpenter , Jade Jones,更多章节内容可以访问云栖社区“异步社区”公众号查看。

1.4 APT和PT案例
请君入瓮——APT攻防指南之兵不厌诈
我们在本节回顾近年来公众关注过的典型案例，了解各类“高级”和“持续”攻击的危害及严重程度。在分析这些案例时，我们首先介绍几个识别威胁类型和威胁级别的关键概念、核心原则，然后再逐一分析这些威胁。前文说过，您应当认为APT是资金充沛、保障有力的组织所为，其实PT通常也是这类人所为。PT和APT的区别仅在于入侵背后的“谁”、“什么”、“何时”、“何处”和“原因”这些要素。

有些时候，理解威胁的唯一办法就是把它拿出来晒晒，让全世界来评判。其中一些案例的长度、深度和黄球1——不论是“高级”之处，还是“持续”之处—都不足挂齿；但是这样的攻击也足够让您上火。

在后面的章节中，我们将借鉴公开论坛或公共媒体的信息，丝毫不掺杂任何政治意图或个人倾向地分析和介绍著名的历史案例；借此论证采取积极防御，尽早识别高级的和持续的攻击的必要性。我们也将使用本文早期提到的“可观测量”，从各个角度分析每个案例。

其中有些案例是至今无法确定肇事者的持续数年之久的恶意攻击。虽然这些恶意软件已经带来了严重的后果，但是公众对它们的分析也没有实质性进展。这里面的原因很简单——这些作恶的人并不需要遵循任何规则或任何法律。

注意：

某些读者可能会对上述文字将信将疑。不过在本书出版之前我们已经核对过，本节所涉及的内容确实都是早已公开披露的信息。也有些读者会不怀好意地笑出声来，他们自己可能就是书中什么事件背后的什么角色——请自重，我们比您想象的还要更加关注您……
1.4.1 月光迷宫
据报道，月光迷宫（Moonlight Maze）APT的作恶时间已经不止两年2。为数众多的政府部门、军事机构甚至学术网络据称都被成为了月光迷宫的受害者。这个攻击已经具有非常明显的行为模式。通过搜索引擎您就可以搜索到整件事件的相关报道，而所有媒体都将事情的源头指向了俄罗斯的某个地方。这个事件的肇事者至今逍遥法外，至今也没有关于他们更多的消息。特定的个人或团队蓄意攻击特定行业的拟定的目标。这个事件毫无疑问就是APT。

月光迷宫的恶意程序可以成功潜伏数年，这显示出肇事者具备高超的专业知识和丰富的行业资源。细节决定成败。虽然这个事件的可观测量尚未明确（或从未公开披露过），但是它的不自量力和过渡贪婪已经是一种标识了。

整个“月光迷宫”的可观测量如下表所示。
screenshot

1.4.2 思加图
自称为思加图（Stakkato）的肇事者（一人或多人）发起过一起APT。随着调查工作的进展，一名住在乌普萨拉（瑞典）的16岁未成年人被列为重点怀疑对象3。警方搜查了多名共犯嫌疑人的住所，并缴获了数台涉嫌作案的电脑。

从技术的角度看，这个威胁的技术水平确实先进。它利用Linux系统的远程漏洞偷取文件，破获网络账号，并能进行提权。从这些技术手段来看，其背后的作案人员独具匠心。

Stakkato利用内核漏洞对登录的账号进行本地提权，成功地控制了政府机构和私人企业的各种系统。他们的主要目标是美国的超级计算机实验室4，并且使用了那里的TeraGrid网络。TeraGrid是连接着全球的学术、军事、政府部门的高速分布式网络系统。Stakkato拿到账号之后，在长达两年以上的时间里潇洒地“参观”了TeraGrid所连接的各个系统。最后，Stakkato进入Cisco公司的网络，下载了IOS（路由器和交换机等网络设备的操作系统）的源代码。他（们）利用Cisco的源代码开发出了更多的exploit和rootkit，继而控制了全世界更多的路由器。

后来政府和军事单位插手处理这个事件，这使整个事情微妙地复杂了起来。目前主谋仍在通过正当司法程序处理中。

Stakkato的涉案人员能够栖身于世界各地的跨国企业，使用那里的跳板继续发起攻击，试图逃脱法律的制裁。这招确实有效，也是肇事者长期逍遥法外的主要原因之一。但是南柯一梦终将面对梦醒时分，司法单位最终逮捕到了Stakkato。我们一起看看司法人员分析整个事件时使用的可观测量。

screenshot

1.4.3 骤雨
骤雨（Titan Rain）事件最早于2005年见诸报道，据称那时它已经持续活跃3年5。这是一系列周密的攻击，它的目标是参与美国政府敏感项目的相关单位。虽然据称此次攻击发自某国，但是到目前为止肇事者的身份还不确定。总的来说，受害单位的敏感资料被窃取。虽然官方从未给这个事件贴上“国家资助的间谍案”或者“商业间谍案”的标签，但是这个事件可以认为是网络间谍案例。

因为跨国公司和各地政府将矛头指向了这次攻击源自的国家，指责它的公民出于社会、军事、财务的动机蓄意窃取他国知识产权，所以近期聚雨APT成为了炙手可热的焦点话题。

骤雨事件的公开资料很少。媒体只公布了可观测量，所以我们也只能通过可观测量评估事件的时间长度和损失程度。所幸的是，调查人员能够从事件初期的人为失误中吸取教训。在这个案例中，调查人员长年积累下来的一些经验发挥了作用，他们得以借此确定骤雨事件中重大的细节，而且成功解读出肇事者的动机和意图。专家们最终得到了各种定性数据，如下表所示。
screenshot

1.4.4 风暴蠕虫
风暴蠕虫（Stormworm）事件很“高级”：它使用了P2P网络的CnC（Command and Control）指挥控制框架通过网络配置实现僵尸网络的远程操作控制中心），它能在全球网络中够精确控制、干预、中断特定的网络通信。但是这个bot代理程序6的传播途径却很难称得上先进，它的传播途径主要使用老生常谈的社会工程学手段，在E-mail的附件放置木马，或者在E-mail嵌入恶意链接7诱骗收件人上当。这个手段至今还有人用，人们普遍将这些手段明确定义为“网络钓鱼攻击”、“鱼叉式网络钓鱼”和“捕鲸式攻击”。

注意：

在“鱼叉式网络钓鱼”里，收件人（潜在的受害人）会收到与公司、专业、兴趣有关的难辨真伪的电子邮件。这不仅增加了受害人对骗局的信任度，更增加了辨别社会工程学电子邮件的难度。
风暴蠕虫的僵尸网络存在某种防御机制。它的操纵者采取积极的手段保护整个僵尸网路，以避免各种网络追踪和破坏。曾经有安全公司进入僵尸网路一探究竟，但是他们很快就受到了整个僵尸网络的主动攻击。另有一些安全团队试图潜入僵尸网络将之关闭，在数小时至数天不等的时间后，自己反而被踢下线。

风暴蠕虫的僵尸网络至少经营了3年。一些业内专家认为，在这期间，Microsoft Windows平台上8%的恶意软件都是风暴蠕虫的变种病毒。风暴病毒席卷了不计其数的行业和机构，它的罪行罄竹难书。窃取知识产权、盗用用户个人资料、银行诈骗及间谍活动——这些坏事它一个也没少做。安全专家在2007年曾经报告过，这个僵尸网络异常庞大；如果它发起DDOS攻击，它控制的带宽足以让一个国家下线。

下表列举了它的一些可观测量。
screenshot

1.4.5 幽灵网络
历经1年的调查，信息战监视员（IWM，Information Warfare Monitor）才于2009年识别出幽灵网络（GhostNet）。IWM由来自全球的安全行业研究员、专家和分析师组成。他们发现，幽灵网络在攻击各国政府的政府机构和他们的外交系统。

据称，GhostNet渗透到全球20多个国家的使馆系统。攻击的传播过程又是那种历史悠久的社会工程学方法，即前文所介绍的“鱼叉式网络钓鱼”。

GhostNet所用的木马本身并不复杂，是简单改造过的RAT（远程遥控工具）。操纵人员能够实时地远程遥控受害主机而不被他们发现。通过这个恶意程序，入侵者能够进行各种类型的“记录”（logging）。它不仅可以进行击键记录，也能够使用被害人电脑的麦克风和摄像头进行音频录音和视频录像，再转移相应的文件。

这个威胁的可观测量足以证明它是多么的高级和持续。
screenshot

1.4.6 Byzantine Hades/Foothold/Candor/Raptor
Byzantine Hades（拜占庭冥王）系列事件的别名很多，本节的标题就很有说服力。一般来说，一个名字至少对应一次蓄意攻击。这长串名字意味着发生过多起情报刺探（也有其他目的）的事件，美国和他国的信息系统遭受过多轮攻击。他们故意窃取他国的敏感信息和高科技技术，借此提高本国技术和相关行业的水平。虽然关于这个事件的相关报道非常多，还有许多人指责涉案国黑客，但至本书截稿为止，没有一份公开披露的文件能够地将这些攻击定性为涉案国的军队所为。

据称，美国政府把这个APT当作有史以来最大规模的网络间谍事件。令人惊讶的是，几乎美国政府各个级别的部门都公开承认受到这个威胁的波及，他们也承认相关的分析工作遇到了困难。时至今日，警方似乎没有为此案逮捕过任何人，也没有任何受害单位正式起诉过。（谁愿意承认他们的整个网络已经被别人控制，而他们对此无能为力？）

根据估计，美国政府、美国军队的内网系统，还有很多国防部合同商的非保密系统都没能禁受起这起攻击的考验。这系列APT事件被定性为涉案国黑客蓄意潜入美国敏感部门（例如金融、企业、科研机构）的网络活动。公开披露的信息只有这些。
screenshot

1.4.7 极光行动
有证据表明，2009年曝光的极光行动（Operation Aurora）在同年中期就已经开始兴风作浪。多家公司就“这个事件是否是高级的攻击”这个话题争论不止。在我们看来，整体上说它所使用的工具和技术并没有什么过人之处；除去使用到的Hydraq木马之外，它称得上“高级”的地方并不多。有迹象表明，是外国的某些大学研发了Hydraq程序。这次事件有着重大的历史意义。颇多的巨型国际公司（Google、Adobe、Juniper Networks、Northrop Grumman、Yahoo!、Symantec、Dow Chemical等）都被极光行动的恶意程序吞噬。

我们将极光行动当作典型的APT案例来讨论，最主要的原因是它拟定的目标都非常有特色。极光行动非常挑剔，它只攻击私人公司和国防商务合作商，不攻击政府机构。在极光行动之前，每个人都认为APT攻击应该重点攻击政府部门和金融机构。不过极光行动纠正了整个行业对这一概念的认识，它证明了每个人都可能错得离谱。

极光行动持续了6个多月，是名副其实的持续性攻击。它虽然使用了标准的CnC，但是算得上是先进的地方不多。前面已经提到了，极光行动用Hydraq木马给目标主机安装后门，此后它就能够在主机上用最高权限（主机级别）运行各种指令，窃取目标主机可以访问到的所有信息。

Hydraq过于依赖传统的社会工程学手段。它主要以链接或附件的形式藏身于E-mail之中；换而言之，它诱使受害者访问攻击浏览器的网站，或者以社会工程学手段诱使收件人下载木马的埋植程序。

全世界各种媒体都在炒作这个APT涉及的受害者。在事件背后的被害人研究8并不明朗的同时，被入侵的单位就损失问题对媒体守口如瓶。公众掌握的情况寥寥无几，谜一般的故事留给媒体太大的推测和遐想空间。诚然，我们对被攻击的公司内部情况知之甚少，在分析极光行动时局外人的身份更处劣势；但是这并不影响我们用确凿的可观测量分析它。
screenshot

1.4.8 震网（Stuxnet）
震网（Stuxnet）毫无疑问就是APT。在此之前，攻击工业可编程逻辑控制器（PLC）和人机界面（HMI）的程序已经屡见不鲜。PLC和HMI是SCADA（管理与监控）系统的软件平台，运行于x86结构的硬件上；常见的Microsoft Windows和各种版本的Linux都是这样的操作系统，都运行在x86硬件平台上。因此，震网也属于常规的APT。震网的主程序首先利用操作系统的漏洞，在此基础上巧夺天工地继续利用其他的漏洞，续而发起系列的高级攻击。震网（Stuxnet）有跨时代的意义，它标志着APT已经进入了一个新时代。

震网（Stuxnet）是第一个真正意义上的网络战争的武器。它足以在数分钟到数小时之内放倒对手国家基础网络；而对手要想完成善后工作，将相关设施恢复运作，却要花上数周、数月甚至数年的时间。在这种情况下，即使对手修复了受损系统，硬件系统还将面临重现被感染地残留风险。借助同样的0-day exploit，震网背后的木马程序能够在整个网络里不受约束的传播、复制，不断地感染接入网络的系统。对于所有国家的运营网络而言，只要可被感染的目标存在，目标被感染的可能性就一直存在。值得注意的是，在“不给家打电话”（即不受CnC控制）的情况下，Stuxnet能够长时间地、自主地渗透各种系统。研发人员不仅借此表达了他们坚定的决心，也同时展示了他们身后充分的人力和资金支持。

下表是震网系列事件的一些可观测量。
screenshot

1.4.9 罗斯商业网络（RBN）
2005年前后，调查人员着手处理俄罗斯商业网络RBN（Russian Business Network），这是一个主机托管业务的服务商，也是一个分工明确到几乎无法追踪的神秘团体。在RBN步入人们视野之前，它的主要业务已经久负盛名，即“防弹主机（BPH）”业务。BPH包庇了各类让人反感的网络业务。嚣张的网络犯罪丝毫不畏惧法律制裁，他们不怕关闭业务的制裁，也毫无可能因此而被拘捕。这群算得上是“企业家”的网络罪犯是APT课题的典型研究对象。在2008年底被关闭之前，RBN和其客户发起过天文数字的持续、高级攻击，与世界各地发生的成千上万的网络攻击都有着直接的联系。

RBN有着专门从事网络犯罪活动的庞大网络。栖身于RBN的罪犯长年肆无忌惮地攻击世界各地各行各业的各个系统。据悉，RBN每个IP（或域名）的月租金是600美元，它的年收益可以达到1.5亿美元。如果粗略算下这笔巨款背后的犯罪总量，其结果足以让人心惊肉跳。RBN最成功的策略在于它根本不是一家正规注册的公司。无论您怎么调查，只能查到假人名、不存在的地址、匿名的邮件地址，最多能找到皮包公司而已。

RBN网络涉及的犯罪案件层出不穷，其中最著名的案件当属“伪装成反病毒软件的犯罪软件”的案件，即挂着“反病毒软件”的羊头，卖恶意软件的狗肉的事情。普通的电脑用户真的会错以为这些犯罪软件就是一般的杀毒软件。若有谁上当受骗安装了这些“狗肉”，他们就会饱尝狗血之苦：他们的应用程序不再安全，E-mail不再可信（社会工程学的攻击），电脑都可能被装上伪装过的木马。一旦受害人装了冒牌的杀毒软件，剩下的事情就不归受害人管了—电脑就会自动安装恶意软件，修改并停用安全策略，禁用安全防护软件，甚至会骗取用户的财务信息；最终，肇事者可以对受害人电脑上的信息为所欲为。

RBN的犯罪活动在2010年一直保持着上升的态势，并且在2011年发展到顶峰。这个类型的APT有引人注目的独到之处：网络犯罪也有聚沙成塔的效应——大量的伺机犯罪可以通过某种媒介组织起来，形成超大规模、超长时间的网络犯罪——只有将相关网络彻底关闭才能彻底解决它的问题。

下表展示了RBN有关事件的可观测量。
screenshot

1.4.10 面目全非的Botnet
近几十年来，僵尸网络（Botnet）已经成为持续攻击（PT）和高级待续攻击（APT）的标志。僵尸网络的规模各异，小的僵尸网络有几百台被控主机，大的僵尸网络的被控主机规模可以超过160万台。

要想根本解决僵尸网络的问题，就要抓出它的幕后黑手。不过这绝非易事：全球上千个团体控制着上千万台的僵尸电脑，僵尸电脑、僵尸网络是他们拼命保护的摇钱树。他们使用僵尸网络赚取巨额的不法收入，然后将这些黑钱主要分配给僵尸网络的控制人员和他们的下线。

15年之前，所谓的机器人（bot）不过是在IRC聊天频道里，代替服务器和频道管理员从事各种维护的程序9。在最初的时候，“机器人”并没有“邪恶动机”的含义。互联网普及之后就进入了弱肉强食的野蛮时代。研究人员和各类掘金者使用新技术创造各式各样的数字化生命，不断地让这些人造的数字化生命演绎你死我活的生存竞争。在互联网承载商业业务的同时，网络也变成罪犯的贪婪之地。实际上，相比武装袭击商店和银行的传统暴力犯罪而言，网络犯罪的风险更小，回报利润更大。

从地理坐标上看，僵尸网络的每台“僵尸”电脑都离控制人员和CnC服务器非常远。远程控制分散在全球的数百台、数百万台电脑绝非易事。虽然Botnet和云运营目的有着天壤之别，但是云的控制方法确实是控制Botnet的最简单的方案。僵尸网络的创意诞生于早期的非主流文化，普通的计算机发烧友迸发出“超越主机形态的、更大的统一体”的灵感。时至今日，虽然不能否认仍有少数的僵尸网络用于统一计算的目的，但是绝大多数的人都在用僵尸网络干坏事，创建、操控、维护僵尸网络的基本都是网络罪犯和专业罪犯。

借助僵尸网络，罪犯几乎能够为所欲为。僵尸网络可以在客户机上完成击键记录、截屏、窃取数据等任务；它甚至能够用来干更为缺德的事，例如使用受害人电脑的麦克风录音、使用摄像头录像等。个人生活或专业创作都被人偷偷拍和兜售，这是能忍的事吗？我们可以想象，僵尸网络将在未来替代起蠕虫和木马，成为间谍行动的主要手段。

下表展示了僵尸网络的可观测量。
screenshot
1.4.11 回报行动
2010年第四季度发生的回报行动（Operation Payback）与维基解密有密切关系。因涉嫌泄露美国国务院数千份外交电报（内部消息）、泄露美国驻外外交官和国务院之间的大量秘密信函，朱利安·阿桑齐（Julian Assange）因泄密罪被捕入狱。匿名组织和支持者都认为这是对阿桑齐的迫害。阿桑齐身陷囹圄后，为了向当局表示的抗议，数百个匿名组织的个人和团体纷纷向美国的多家跨国机构发动了DDoS攻击。他们没有放过停止支持阿桑齐的组织，也没漏掉各政府机构。Paypal、Visa、MasterCard、Interpol等公司都未能抵挡住这次攻击，业务一度中断。伴随着大众DDoS攻击，也有人采取SQL注入等手段攻击相关单位的网络系统。

我们也需要关注事件因果关系以及背后的相关组织——世界知名的匿名组织。这次事件的起因，主要是匿名组织对美国政府的立场不满意；这次事件的结果，就是匿名组织发起了DDoS攻击，他们要尽可能地中断相关公司的业务。

鉴于相关工具和手法，我们应当认定这种DDoS攻击属于不太复杂的PT。攻击者用的都是随手可得的网上工具，可以说这次攻击没有涉及任何高级的工具。在这些工具里，仅有一个程序可以安装后门，它用来帮助回报行动的指挥人员遥控行动参与人员的电脑，在他们不知情的情况下发起低强度的DDoS攻击。这一系列事件从2010年一直持续到了2011年。虽然第二年年初的规模已经明显减弱，但是那时整个行动还不算结束。

我们将这一系列事件定行为PT。希望借以说明，不仅专业人士和有国家背景的黑客会制造事端，发动PT或APT攻击，有充分动机（黑客文化情节）的平常人在特定条件下也会发起网络攻击。而且，再外行的非专业人士也能发起DoS攻击，中断跨国企业的网络通信。

“匿名的”匿名组织由道德和政治观点激进的个人组成，他们的行动都是各成员全数参与的集体行动。可以说“匿名组织”是他们用行动塑造出来的招牌，保护个人身份的“蜂箱”10。纵观2011年，这个黑客文化色彩的团体一直用行动回敬那些表示过反对（或不信任）的组织。尽管客观的说，他们已经触犯了法律，但是这些团队用行动所表达的感情，都是对“匿名组织”的集体主义的支持，对互相扶持的感谢。例如在2011年中东和北非的动荡时期，匿名组织就曾攻击多国政府以抗议当地政府对本国公民的不公正待遇11。

下表为回报行动的一些可观测量。
screenshot
1译者注：brass balls——斯诺克中的黄球——是分值最低的2分球，通常用来做障碍球、过渡球。作者在此诙谐地表达“假高级”之意。
2译者注：本书英文版于2011年出版，而月光迷宫是于1998年4月被发现的。作者可能引用其他资料而忽略了更新年份。为忠实原作，未作修改。
3译者注：据报道，首先发现这期APT的是伯克利市加州大学地理专业的研究生Wren Montgomery。她发现电脑被入侵文件丢失后，通过E-mail向管理员发牢骚——肇事者当然看得清清楚楚。肇事者随后以Stakkato的名义向这位研究生发送挑衅E-mail，他（们）声称入侵了海军，并偷取了F18图纸，还入侵了NASA的发动机动力研究实验室——只有NASA没有否认。不过，美国司法部的外号正是Stakkato，这个案件也肯定由其下属机构FBI负责调查。除此之外，这个德文单词是钢琴演奏法“断奏”的专有名词，也是2001年走红的一匹德国种马的名字。这个名字就足以体现肇事者的嚣张程度。
瑞典当局确认了皮得松（Pettersson）在网络上入侵了同城的乌普萨拉大学，美方追踪到的攻击源头主要就在这所大学，所以他是重点排查对象。在正式起诉皮得松后，这个APT攻击突然消声灭迹。虽然媒体认为皮得松是真正肇事者，但是相关机构没有披露直接证据。与媒体言之凿凿的说法不同，FBI的官方说法较为间接，“我们认为近期的行动已经达到了阻止犯罪的效果”。此案最终以未成年案件处理，未作深究。
4译者注：皮得松被指控于2004年5月份非法侵入NASA艾姆斯研究中心（Ames Research Center）的网络，并被指控于同年10月份侵入了NASA高级超级计算分部（Advanced Supercomputing Division）的网络。
5译者注：著名的SANS机构研究主管Paller认为，报导时，“骤雨”已经持续攻击了两年。
6译者注：通俗的说，就是能将被害人的电脑变成僵尸电脑的木马程序。
7译者注：如果收信人点击了这些链接，电脑将访问攻击者事先准备好的陷阱网站。这些网站通常能够利用浏览器或浏览器插件里的漏洞，致使访问这个网站的电脑立刻感染木马。
8译者注：victimology，即入侵者对受害目标进行的分析。
9译者注：作者指各种IRC服务和同级别的bot。IRC三剑客体系有著名的Nickname/ Channal/Operation Service。同级别的bot有Undernet、DALnet、Efnet等网络所使用的eggdrop；它们都可以叫做bot。除此以外，IRC中期出现了为普通用户执行各种服务的bot，例如wiki-bots、用户交换文件所用的bot等（也有人拒绝承认后者是bot）。这两类bot执行的机制和权限都有差别，但是可以笼统地认为一类bot运行于服务器上（扮演operator的角色），另一类bot运行在IRC客户端上。Botnet这个词的来源也与IRC网络有关系：在P2P技术流行之前，早期智能化中控病毒（或木马等）利用IRC结构上的特点，使用IRC作为CnC。1993年，最早的僵尸网络于就开始利用IRC了。
10原作者：感谢CommanderX、BB、SparkyBlaze、p0ke、Anonpanda、Optical、EP_0xE1和其他的朋友，他们提供了很多关于“匿名组织”的宝贵意见。
11译者住：原作者观点不代表翻译人员及出版社的观点；为忠实原文，此处如实翻译。
本文仅用于学习和交流目的，不代表异步社区观点。非商业转载请注明作译者、出处，并保留本文的原始链接。