前言
在攻防演練中,高質量的藍隊報告往往需要溯源到攻擊團隊、國內黑產犯罪團伙、國外APT攻擊。
紅隊現階段對自己的資訊保護的往往較好,根據以往溯源成功案例來看還是通過前端js獲取使用者ID資訊、mysql反制、高互動蜜罐誘餌投放等手段來獲取。
除了紅隊,國內的黑產團伙和國外的APT攻擊也是能夠加分的,所以平時對APT組織的跟蹤發現起到了重要的作用。
APT攻擊定義
APT攻擊(Advanced Persistent Threat,高階持續性威脅)是指組織(特別是政府)或者小團體利用當下先進的攻擊手法對特定目標進行長期持續性的網路攻擊。APT攻擊的高階體現在於精確的資訊收集、高度的隱蔽性、以及使用各種複雜的網路基礎設施、應用程式漏洞對對目標進行的精準打擊。攻擊人員的攻擊形式更為高階和先進,稱為網路空間領域最高階別的安全對抗。APT是黑客以竊取核心資料為目的,針對客戶所發動的網路攻擊和侵襲行為。
APT(高階長期威脅)包含三個要素:高階、長期、威脅。高階強調的是使用複雜精密的惡意軟體及技術以利用系統中的漏洞。長期暗指某個外部力量會持續監控特定目標,並從其獲取資料。威脅則指人為參與策劃的攻擊。
APT攻擊的原理相對於其他攻擊形式更為高階和先進,其高階性主要體現在APT在發動攻擊之前需要對攻擊物件的業務流程和目標系統進行精確的收集。在此收集的過程中,此攻擊會主動挖掘被攻擊物件受信系統和應用程式的漏洞,利用這些漏洞組建攻擊者所需的網路,並利用0day漏洞進行攻擊
APT組織架構圖
APT攻擊常見方式
- 魚叉攻擊
- 水坑攻擊
- 路過式下載
- 社會工程學
- 即時通訊工具誘騙
盤點那些攻擊中國的APT組織Top5
APT-C-00 海蓮花
OceanLotus(海蓮花)APT組織是一個長期針對中國及其他東亞、東南亞國家(地區)政府、科研機構、海運企業等領域進行攻擊的APT組織,該組織也是針對中國境內的最活躍的APT組織之一,該組織主要通過魚叉攻擊和水坑攻擊等方法,配合多種社會工程學手段進行滲透,向境內特定目標人群傳播特種木馬程式,祕密控制部分政府人員、外包商和行業專家的電腦系統,竊取系統中相關領域的機密資料,通過追蹤它這些年的攻擊手法和攻擊目標,OceanLotus很有可能是具有國外政府支援背景的、高度組織化的、專業化的境外國家級黑客組織
APT-C-06 Darkhotel
APT-C-06組織是一個長期活躍的境外APT組織,其主要目標為中國和其他國家。攻擊活動主要目的是竊取敏感資料資訊進行網路間諜攻擊,其中DarkHotel的活動可以視為APT-C-06組織一系列攻擊活動之一。 在針對中國地區的攻擊中,該組織主要針對政府、科研領域進行攻擊,且非常專注於某特定領域,相關攻擊行動最早可以追溯到2007年,至今還非常活躍。
APT-C-08 蔓靈花
蔓靈花(APT-C-08)APT組織是一個長期針對中國、巴基斯坦等國家進行攻擊活動的APT組織,主要攻擊政府、電力和軍工行業相關單位,以竊取敏感資訊為主,具有強烈的政治背景,是目前活躍的針對境內目標進行攻擊的境外APT組織之一。
APT-C-01 毒雲藤
APT-C-01組織是一個長期針對國內國防、政府、科技和教育領域的重要機構實施網路間諜攻擊活動的APT團伙,其最早的攻擊活動可以追溯到2007年,團伙擅長對目標實施魚叉攻擊和水坑攻擊,植入修改後的ZXShell、Poison Ivy、XRAT商業木馬,並使用動態域名作為其控制基礎設施。
APT-C-24 響尾蛇
響尾蛇(SideWinder)組織是一個成熟的攻擊組織,該APT組織擅長使用office漏洞、hta指令碼、白加黑、VB木馬等技術來實施攻擊,並且攻擊手法還在不斷的進化中。目前該組織的攻擊目標主要在巴基斯坦,但是由於地緣關係,也不排除針對中國境內的目標發起攻擊,因此相關部門、單位和企業切不可掉以輕心。
APT組織發現溯源
內部被動發現
通過安全裝置告警,發現匹配的IOC或內網中的橫向攻擊,進一步分析取證溯源(一般很難發現)
內部主動上報
通過被攻擊人員的主動上報,如郵件釣魚事件、終端異常事件。需加強對內的網路安全宣傳
內部主動誘捕
通過高互動蜜罐裝置,或者引誘資訊。誘捕相關組織攻擊,進而捕獲相關樣本及組織資訊。
外部開源情報
二手情報
二手情報內容缺乏準確性研判,內容真實度待考量,只能作為參考
- 國內外安全廠商威脅分析報告、安全資訊和新聞資訊
- 安全廠商安全通告
- 社交網路,twitter、公眾號等
- APT歷史報告整理站點
我們需要關注的情報類別
- 安全新聞
- 勒索軟體、挖礦病毒、漏洞利用軟體等惡意程式碼分析
- 0day漏洞和漏洞利用技術方式分析
- 攻擊事件,定向攻擊,惡意郵件投放,供應鏈攻擊等
- APT組織分析報告、APT事件分析、APT技術
一手情報
惡意程式捕獲分析
維基解密祕密檔案披露
攻擊機發現
對於不同APT組織,往往會採用不同的攻擊手段方法,例如毒雲藤,從網上紕漏資訊可以瞭解到其會從用於控制和分發攻擊載荷的控制域名下載一個名為tiny1detvghrt.tmp的惡意payload。通過ZoomEye或fofa等空間搜尋引擎,搜尋相應內容,就有可能搜尋到組織相應的payload下載機器,然後再對其IP的歸屬,歷史埠,服務等進一步分析其活動時間等資訊
APT組織分辨手段
對於APT組織一般會從其攻擊入口、編碼方式、加密方式、惡意工具、漏洞利用、IOC、任務活動這幾個方面去分辨
傳統手段
惡意樣本捕獲
靜態分析:
檔名、檔案大小、時間截、殼資訊、編譯器資訊、入口點、程式碼段大小、病毒名、SSDEEP
動態分析:衍生檔名、衍生檔案路徑、登錄檔項及鍵值、域名、IP、URL、IP地理位置
新興手段
機器學習:
針對於資料訓練,通過多維度資料比對。建立資料模型
結構化輸出
| 型別 | 內容 |
|---|---|
| 組織名稱 | XXX |
| 攻擊目標 | 政府、能源 |
| 攻擊國家 | 中國 |
| 攻擊目的 | 竊取資訊、敏感資料、勒索 |
| 攻擊時間 | 時間週期 |
| 攻擊方式 | 魚叉攻擊→投放ps指令碼→RAT |
| 誘餌型別 | doc、lnk等 |
| 編寫語言 | C、C#、VB、powershell等 |
| 武器庫 | CVE-xxx-xxx |
APT防禦
目前業界比較流行的防禦APT思路有三種:
1、採用高階檢測技術和關聯資料分析來發現APT行為,典型的公司是FireEye;
2、採用資料加密和資料防洩密(DLP)來防止敏感資料外洩,典型的公司是賽門鐵克;
3、採用身份認證和使用者許可權管理技術,嚴格管控內網對核心資料和業務的訪問,典型的公司是RSA。
而一般企業最好的防禦方式就是提高人員的安全意識,因為APT攻擊入口點往往是針對於特定人員構造的攻擊鏈,其次就是各類安全措施了。
APT溯源與藍隊工作
身為藍隊,我們的主要關注點在於攻擊捕獲及目標匹配。
1、從日常對我們發起掃描的主機進行反制,進而從肉雞上查詢惡意程式、遠控木馬等,然後沙箱分析後對IOC和特徵進行目標匹配
2、從防病毒或郵件閘道器上提取惡意程式、文件,進而分析其IOC和特徵進行目標匹配
3、高互動蜜罐捕獲,在高互動蜜罐中往往可能有攻擊者留下的惡意程式,可以進一步提取分析,最後匹配
4、跟蹤對能源行業、電力行業有攻擊行為的APT組織,蒐集其攻擊手段及樣本,對內進行監測匹配,發現攻擊後可快速比對
結語
對於在日常的藍隊工作中,分析APT組織的攻擊手段和過程有助於我們更好的防禦其攻擊,同時可以在其攻擊路徑節點上,針對性部署反制手段,幫助我們更好的開展溯源反制工作。最終目的還是挖掘其攻擊目的及目標範圍,爭取及時發現APT攻擊