“一條IOC”的APT阻擊戰
釋出日期:2020-12-10 作者:雷鋒網
蔓靈花(BITTER),國外著名APT組織,因該組織常用的特種木馬數據包頭部為“BITTER”而得名,近一兩年持續針對我國重點行業單位進行釣魚攻擊,其中攻擊方式較多樣,橫跨PC端到移動端,通常採取的手段為釣魚郵件攻擊,其中郵件中搭載的可能是釣魚網站,也可能是惡意附件。
在疫情爆發以來,蔓靈花組織從2020年初就開始製作防疫誘餌,攻防雙方的戰鬥仍在繼續。
一次告警,蔓靈花組織漏出了狐狸尾巴
2020年10月的某天深夜,一台辦公電腦收到了一封合作公司發來的業務郵件。
“合同終於發過來了。”大李端起咖啡杯輕抿了一口,興奮地説。為了這一次合作,大李一個月來都沒怎麼好好休息過。
就在大李打開附件後不久,電腦上安裝的奇安信天擎終端安全管理系統彈出了一個窗口。
“中病毒了?不能啊,我也沒幹啥啊,難道是?”想到這裏,大李不寒而慄,迅速關上電腦並將網線拔掉,撥通了公司網絡安全負責人老K的電話。
“嗯,我知道了。”老K甚至來不及洗把臉,往公司飛奔而去。盯着天擎管理後台的告警記錄,老K心裏咒罵着,稍有平復,撥通了4009-727-120。窗外,夜已深了。
“喂,您好!這裏是奇安信應急響應中心……”
恰在此時,南亞地區APT組織蔓靈花的總部也“熱鬧非凡”。
????“拿下多少台終端了?”一箇中年男人從裏屋走出來説。
“還沒。這輪攻擊剛開始,釣魚郵件發出去沒多久,估計還需要一段時間。”
“嗯,注意盯着點,我估摸着魚餌很快就能看到效果。”中年男人看了一眼旁邊的機房, “這一次,絕對能挖到一些我們意想不到的東西。”
“放心吧,這幾年哪次不是手到擒來。來了,C2(命令與控制,Command And Control)服務器後台有反應了……”
還原作案現場,蓄謀已久的社會工程學攻擊
“嚯!這蔓靈花組織又來了。”收到客户求助電話後,奇安信第一時間啓動了應急響應程序,威脅情報中心隨即針對樣本和攻擊手法展開了溯源分析工作,最終鎖定了蔓靈花APT組織。
自2016年首次披露以來,奇安信威脅情報中心與蔓靈花組織已經較量了多達數十次。
“從這幾年和蔓靈花交手的經驗來看,我們發現了他們攻擊手法的幾個特點。”奇安信威脅情報中心負責人Star稱。
第一類是以發送偽裝成目標單位郵箱登錄界面的釣魚網站為主,通過釣魚網站控制目標用户的郵箱賬户,從而竊取敏感信息。
第二類主要是發送帶毒附件,釋放專用下載器下載其特種木馬。蔓靈花組織會利用自有的C2服務器,遠程控制木馬完成敏感信息竊取任務,並回傳至自有的服務器中。
為了提升目標的中招幾率,蔓靈花組織非常善於偽裝。他們會把誘餌加上一個當前熱點事件的“外殼”,從而吸引目標的注意力。正如本文開頭所説,在今年疫情爆發後,蔓靈花組織就多次利用疫情熱點話題,向攻擊目標發送釣魚郵件,直到現在依然沒有停止。
後來,業界習慣把這種利用人性好奇或者其他弱點的攻擊方式,叫做社會工程學攻擊。這和某些新型毒品偽裝成跳跳糖、郵票、奶茶等形象,從而誘騙不知情人士染上毒癮的原理,非常相似。
收集證據鏈,威脅情報的進擊
“第一次面對APT攻擊的時候,真的很難。”Star笑着説,“你的對手完全是陌生的,你不知道他使用的攻擊手法、惡意樣本、基礎設施資源的情況,甚至你不能判斷這個行為是否合法。”
這就像一名拳擊手站在擂台上面對一個完全陌生的對手,你不知道對方的力量到底多大、速度多快,也不知道對方習慣使用上勾拳還是下勾拳。
一切都得從0開始。
時間拉回到蔓靈花組織首次被披露的2016年,威脅情報方興未艾,這為高級威脅檢測提供了一種全新的思路。
“每一個APT組織都有自己的招牌,也可以稱之為儀式感。比如蔓靈花組織使用的特種木馬,它的數據包頭部就有‘BITTER’字樣。”
看過武俠劇的朋友也都知道,很多高手都有自己的儀式,比如《神探狄仁傑》中的殺手蝮蛇會在殺人後留下一方繡有蝮蛇的手帕。
威脅情報分析師就是要從海量數據中,找到這些顯著特徵,為攻擊檢測和後續的溯源分析提供有力證據。
基於這些特徵,一條條IOC(全稱為失陷檢測情報,是威脅情報的一種)便被生產出來了。通俗理解,IOC就是攻擊者所使用工具的‘招牌’,包括攻擊者使用的惡意文件簽名、惡意IP地址以及服務器域名等等。
失陷檢測情報就是用來檢測已經失陷(被入侵)終端和服務器的。
舉個例子,當通過IOC與異常流量進行匹配,防火牆發現公司內網的一台電腦正在嘗試與蔓靈花組織經常使用的C2域名連接,那麼這台電腦就很可能已經感染蔓靈花組織植入的木馬了,安全人員就可以及時設置,讓防火牆阻斷所有非法連接。
就像在古龍的武俠小説裏,六扇門的捕頭髮現有人被靈犀一指殺死了,馬上就能想到這很有可能是陸小鳳乾的。
時至今日,IOC的應用已經非常廣泛。SANS歷年的威脅情報調研報告都顯示,最受歡迎、應用最多的威脅情報類型始終是IOC;在卡巴斯基發佈的應急響應手冊裏,IOC的匹配是觸發應急響應流程的最主要入口。
但IOC的生產絕非一日之功。就像你瞭解一個人一樣,必須要常年累月的與其接觸。
經過長時間對蔓靈花組織的追蹤,奇安信威脅情報中心掌握了大量有關蔓靈花組織的IOC,例如蔓靈花組織所使用的鍵盤記錄器、文件上傳、遠程控制等插件的MD5值(通俗理解為文件信息經過加密算法得到的一串十六進制字符,可認為具有唯一性),域名為162.0.229.203的C2服務器等等信息,一旦安全設備檢測到了與IOC匹配的異常信息,則基本可以判定受到了蔓靈花組織的攻擊,並及時阻斷非法通信和刪除病毒文件。
後續更深入的關聯分析,就可以交給專業的威脅情報分析師來處理了。
收網!QOWL反病毒引擎“一錘定音”
為了幫助防守方快速分析攻擊者所使用的攻擊手法,美國研究機構MITRE於2014年推出了ATT&CK框架。通俗理解ATT&CK框架是一個不斷完善的知識庫,能夠將已知攻擊者的攻擊手段、木馬類型、破壞行為等總結成一個列表,用於全面呈現攻擊者的技戰術水平,從而給防禦措施提供依據。
聽起來十分有用,只要這個知識庫足夠豐富,遇到攻擊只要往裏面套就沒錯了。但Star卻“潑了一盆冷水”。
“理論上是這樣沒錯,但在實際的APT分析過程中,價值不大,因為現有的ATT&CK框架只能讓你瞭解大致上的攻擊手法和過程,並不能作為判斷攻擊來源的依據。APT分析的核心在於能夠看見的細節,我稱之為‘元數據為王’。”
所謂元數據可以簡單理解為強特徵。舉個例子,説一個人兩米二六你能想到誰?我想所有人都會異口同聲的回答:姚明。因為放眼全世界,大家所熟知的也就只有姚明是兩米二六。所以,兩米二六就是姚明的強特徵。但如果你説一箇中國籃球隊員長的非常高,這恐怕得在中國籃球隊所有的中鋒裏,慢慢挑了。
APT分析也是如此。比如蔓靈花組織,他們所使用的C2服務器就是162.0.229.203,發現這個域名再結合其他關聯信息,基本就能判斷出就是蔓靈花組織所發起的攻擊。
不過,元數據的獲取並不容易,需要專業的分析師,利用專業的工具,對攻擊行為、攻擊樣本開展深度分析。
針對網絡流量的分析和元數據提取,當時業界有不少專業的產品,比如奇安信天眼新一代威脅感知系統、科來的全流量分析系統等等。但受限於傳統反病毒引擎對可疑文件的解析能力不足,往往難以做到細粒度精確度高的查殺和追蹤。這也是所有安全廠商在防禦APT攻擊時所面臨的難點。
“既然現在沒有合適的反病毒引擎,我們幹嘛不研發一款呢?”Star琢磨着。
於是,QOWL反病毒引擎應運而生,這個APT狩獵的獨門絕技,為文件元數據提取、APT樣本挖掘及檢測,立下了汗馬功勞。
在此次攻擊活動中,蔓靈花組織依舊使用了其常用的攻擊手法,企圖釋放執行其常用的下載者進行惡意軟件部署,威脅情報分析師生產的IOC,結合QOWL反病毒引擎的深度檢測分析,蔓靈花組織這次失算了。
這個世界上,每天都有數以萬計的“IOC”被生產出來。“把它用在最合適的地方,就是APT阻擊戰的戰士。”Star説。