目前的APT报告出处非常集中,基本都出自几大知名安全厂商。因此,这些报告在例如风格、内容、结构上的差异非常鲜明。虽然一份APT报告的最终目的应该是通过来自长期对来自同一组织的攻击活动的监测,而对这一黑客组织给出多维度的准确刻画,但在数据量大小、检测力度以及各公司本身对攻击痕迹分析的着重点的不同的影响下,各家厂商所产出的报告各自的特点和规律。
在现有的APT报告报告中,我们可以看到很明显的两种报告风格:一种是类似新闻报道的叙事型报告,另一种则更像是一份技术分析报告。前者通常更加侧重于攻击事件为主要线索,将所有事件根据时间、目标、目的,再结合事件所处时间点的前后相关大事件,来对黑客组织的构建一个合理且尽量严密的行动逻辑框架。通常会在文末或附件中给出相关事件的IOCs。但这类报道主体较少涉及具体操作细节,通常仅点到攻击行为的特征便不再具体展开。在这种类型中,以在近几年来自火眼(FireEye)发布的APT报告最为典型。而另一种报告类型中,我们可以看到具体的技术性分析占了大量篇幅,仅对组织的整体攻击行为有小篇幅的因果串联。这种类型在早期的一些报告中能够见到,近几年国内也有少量报告采用这样的形式。这种类型的报告中,通常通过简单的逻辑串联来交代组织的行动目标,及对组织的出处和目的的分析与猜测,技术性细节分析相对占比较大。这样的报告虽然可能出于不同的考量,但相比之下,在刻画的一个组织形象方面,容易显得特色点不够鲜明,逻辑脉络不够明确。
在APT分析近10年的发展过程中,其内容和形式都在变化,但其最终目的和核心主体是不变的。对于一份APT报告不可缺少的元素,可以总结为以下结构:
命名
除了最早期少量的APT报告以外,几乎所有的安全厂商都会为报告中提及的APT组织命名。这些对组织的命名通常来自该组织在攻击行为中反复出现的关键字或其极具辨识度的攻击手法。虽然大家都会默认按照APT的序列为APT报告的组织编号,但是特点鲜明的命名能让APT组织更具辨识度。
在现有的APT报告中,相对较早的有APT-17,由于该组织擅长通过将恶意软件BALCKCOFFEE及其变体植入合法的计算机作为流量中介来传输数据,以隐藏真实的C&C控制器IP,而被命名为“代理狗”(Deputy Dog);后来也有APT-29中,通过组织惯用的恶意软件命名中的关键词进行提取得到的命名——“HAMMER DUCK”;以及时间距离较近的ATP-41的报告中,根据其间谍行为和金融犯罪双线并行的活动特点,而将其命名为“双龙”(Double Dragon)。
以上三种命名思路都很具有代表性,但同时也反映出要刻画一个APT组织的一些要求。在对一个组织进行肖像描绘的时候,我们必需有清晰的逻辑框架,并且将其中最有价值和辨识度的特征提取出来,才有可能得出合适的命名。
三要素:目标、目的和来源
对于一个APT黑客组织,我们最想弄清楚的无非三点:
- 他们攻击谁?
- 他们想要什么?
- 他们是谁?
对于第一个问题,我们需要得出的答案通常是一个或多个国家,以及相关的产业和领域。APT组织通常为谋取或维护国家利益而进行攻击行为,因此,他们所对准的攻击目标通常也是以国家或者部族为单位。而在之前已有的结果中我们可以发现,不同的组织主要关注的领域并不尽相同且明显聚焦在不同产业。所以,通常从国家和相关领域两个维度来标记APT组织的攻击目标。
根据APT组织攻击行为造成的不同效果,我们可以看出他们进行攻击的目的。资料窃取是目前的APT行为中占比最大的攻击目的。可以说APT攻击周期长、隐蔽性强的特点也是由这样的目的引导形成的。同时,攻击目的也为我们对APT组织各个方面的分析提供了重要根据。
APT攻击的来源对于APT的防控有重要意义。也是清晰刻画一个APT组织的重要特征。确定APT攻击的来源才能得到后续更加合理的行动逻辑分析。
合理且缜密的逻辑链
在拥有了大量追踪到的数据和相关恶意软件之后,才是APT分析最重要的部分。对于已经掌握的大量的攻击行为及其相关细节,通过对其攻击手法、技术特征、所使用的相关恶意软件进行分析,最终得出尽可能详细的结果。在最终对APT组织的指控中,包括但不限于APT组织的来源地区、幕后实际收益方、具体组织成员等。
建立逻辑链架构通常要从多个角度进行分析:
- 以关键事件作为结点进行串联,结合攻击行动的“目标—来源”双方所处特殊情况,对分析攻击行为三要素提供有力支撑。攻击行为窃取的信息与机密通常与攻击行为发生前后的大事件有关,通过分析相关大事件的利害关系,可以串联得出APT组织的利益输送关系。
- 根据对攻击行动中的物料细节进行分析,摸清攻击时间的规律;对构造攻击行为的计算机环境进行分析,为确认攻击来源提供有力支撑。有规律的攻击时间可以帮助我们推测攻击者的工作时间,由此可以进一步定位攻击者大概率所在位置的时区。而计算机环境则容易暴露使用者的习惯特征,例如编码类型容易暴露日常使用语言的种类,系统部署的软件环境同意暴露一些相关的技术特征。
- 根据对攻击行为所使用的技术以及相关恶意软件进行特征分析,结合已有资料,定位攻击来源。同一地区或存在利益共识的组织之间,经常存在互利互助的关系。通过对攻击痕迹或相关恶意软件底层逻辑的分析,使用类似技术的组织之间,存在紧密联系。
技术层面的总结
大部分近期的APT报告尽管篇幅越来越大,但是并不会着重于攻击行为中的操作细节。对攻击行为所包含的攻击技术分析通常通过建立攻击生命周期进行来对APT组织的整体攻击过程做一个完整而精炼的总结。一般来说,攻击生命周期分成四个阶段:
- 初始入侵:这个阶段是为了整个攻击任务打开突破口。通过信息收集分析可以利用的服务器或相关网络设备,通过设备漏洞尝试入侵并控制与目标相关的设备。钓鱼攻击在这一阶段被高频使用,另外也包括一些常见的CVE漏洞。而能力强的APT组织甚至有使用0day漏洞进行入侵的现象。
- 建立立足点:在成功入侵相关设备以后,攻击者会试图隐秘地控制这些机器以获取更多的资料。
- 开展行动:这一阶段又可以细分为四个板块:
- 提权:进一步提升权限以获得更丰富的情报资源,为内部探测和横向扩张提供可能。
- 内部探测:对被控设备进行内部环境探测,整合资源以进一步渗透。
- 横向扩张:利用已经入侵的设备,进一步入侵相关联的其他设备。
- 维护:在完成任务之前,维护对已经完成入侵的设备的控制权限。
- 完成任务:在渗透工作足够深入以后,对可用资源进行删选,并清除攻击痕迹。
除了攻击生命周期外,也可以通过ATT&CK框架总结APT组织所使用的技术要点。此外,也有提供关键要点的分析过程和相关文件IOCs加以补充。
7771
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
