想象一下,有一個(gè)團(tuán)伙,一直在監(jiān)視你,你在明他在暗,他長期潛伏,收集關(guān)鍵情報(bào),只為找準(zhǔn)機(jī)會(huì),對你發(fā)起“襲擊”……害怕嗎?在網(wǎng)絡(luò)世界里,這種事情在默默上演,受害者可能是個(gè)人、可能是組織、可能是企業(yè),而后果可能是“致命”的……怎么辦?你只能一籌莫展?當(dāng)然不是!
10月23日,在第五屆看雪安全開發(fā)者峰會(huì)(2021 SDC)中,深信服藍(lán)軍高級威脅攻防研究員閆忠進(jìn)行了主題為《多維度視角下APT挖掘?qū)嵺`》的分享,以追蹤海蓮花APT組織攻擊活動(dòng)的實(shí)戰(zhàn)經(jīng)驗(yàn)為例,詳細(xì)分析了反向追蹤APT組織的實(shí)戰(zhàn)思路。
2021 SDC現(xiàn)場:深信服藍(lán)軍高級威脅攻防研究員閆忠
惡意文件的挖掘是反向追蹤APT攻擊者的關(guān)鍵
閆忠在分享時(shí)提到,APT 整個(gè)攻擊鏈中,存留時(shí)間最長的數(shù)字類型證據(jù)是惡意文件,惡意文件在整個(gè)網(wǎng)絡(luò)安全領(lǐng)域里存留時(shí)間最長,且因外因變化而改變的概率小,不易被篡改。因此,在反向追蹤APT攻擊者的過程中,惡意文件的挖掘是關(guān)鍵。
在惡意文件的挖掘中,可以充分利用 PE 文件元數(shù)據(jù)來追蹤APT攻擊者的更多樣本,然后再對APT攻擊者的樣本進(jìn)行研究擴(kuò)展,從而遞歸找到APT攻擊者更多的惡意文件與 IOC 情報(bào)。閆忠提到,可以從文件名、imphash 值、Rich header 哈希值、數(shù)字證書、模糊哈希(SSDEEP、TLSH、VHASH)等多個(gè)維度,挖掘到更多所屬攻擊者的惡意文件。
實(shí)戰(zhàn)!一步步反向追蹤并成功阻斷海蓮花APT攻擊
據(jù)深信服發(fā)布的《2020年網(wǎng)絡(luò)安全態(tài)勢洞察報(bào)告》,2020年,海蓮花主要對東南亞地區(qū)相關(guān)國家以及本國海內(nèi)外異見人士進(jìn)行攻擊與信息監(jiān)聽,十分活躍,因此其也成為深信服藍(lán)軍高級威脅攻防研究團(tuán)隊(duì)監(jiān)控的主要目標(biāo)之一。
通過對海蓮花在文件側(cè)與網(wǎng)絡(luò)側(cè)進(jìn)行多維度挖掘?qū)嵺`,深信服藍(lán)軍高級威脅攻防研究團(tuán)隊(duì)挖掘到了海蓮花大量文件側(cè)與網(wǎng)絡(luò)側(cè)的 IOC 情報(bào),從而發(fā)現(xiàn)并阻斷了好幾起海蓮花組織的攻擊事件……
文件側(cè):深信服藍(lán)軍高級威脅攻防研究團(tuán)隊(duì)充分利用 PE 文件元數(shù)據(jù)以及樣本獨(dú)特的特征來追蹤海蓮花的更多樣本,并在更高維度采用了代碼同源性分析來挖掘更多樣本。
網(wǎng)絡(luò)側(cè):因?yàn)閺亩ㄖ苹墓魳颖局校瑹o法挖掘到海蓮花組織的更多情報(bào),深信服藍(lán)軍高級威脅攻防研究團(tuán)隊(duì)為了突破這個(gè)限制,將以網(wǎng)絡(luò)資產(chǎn)為核心的挖掘作為新的拓展方向。
捕獲海蓮花網(wǎng)絡(luò)資產(chǎn)方式1:異常數(shù)據(jù)分析
通過深信服藍(lán)軍高級威脅攻防研究團(tuán)隊(duì)的持續(xù)觀察,對大量控制命令服務(wù)器網(wǎng)絡(luò)交互數(shù)據(jù) Server 字段的查看,“Apache/2.4.34 (Red Hat) OpenSSL/1.0.2k-fips”引起了研究人員的注意,因?yàn)檫@組數(shù)據(jù)的標(biāo)題為“Welcome to nginx!”,依據(jù)這個(gè)異常數(shù)據(jù),深信服藍(lán)軍高級威脅攻防研究團(tuán)隊(duì)挖掘到一批網(wǎng)絡(luò)資產(chǎn),確定了其中屬于海蓮花組織的網(wǎng)絡(luò)資產(chǎn)。
捕獲海蓮花網(wǎng)絡(luò)資產(chǎn)方式2:多個(gè)特征結(jié)合關(guān)聯(lián)
除了上述提到的方法,依據(jù) SSL 證書的強(qiáng)關(guān)聯(lián)特性,深信服藍(lán)軍高級威脅攻防研究團(tuán)隊(duì)發(fā)現(xiàn)海蓮花組織的 C&C 服務(wù)器往往采用自簽名證書,通過“篩查自簽名證書的網(wǎng)絡(luò)資產(chǎn),限定選擇返回的數(shù)據(jù)長度 501 字節(jié),且服務(wù)端組件為‘nginx 1.8.0’”的方式,深信服藍(lán)軍高級威脅攻防研究團(tuán)隊(duì)又發(fā)現(xiàn)了其中屬于海蓮花組織的網(wǎng)絡(luò)資產(chǎn)。
捕獲海蓮花網(wǎng)絡(luò)資產(chǎn)方式3:利用掌握的運(yùn)營特征指紋擴(kuò)大戰(zhàn)果
此外,深信服藍(lán)軍高級威脅攻防研究團(tuán)隊(duì)結(jié)合從文件側(cè)挖掘到的惡意攻擊文件,提取到屬于海蓮花的網(wǎng)絡(luò)資產(chǎn),發(fā)現(xiàn)國內(nèi)失陷主機(jī),這些IP資產(chǎn)成為了海蓮花攻擊的跳板,深信服藍(lán)軍高級威脅攻防研究團(tuán)隊(duì)利用掌握的運(yùn)營特征指紋,再次關(guān)聯(lián)到其他國內(nèi)失陷主機(jī),從而擴(kuò)大了戰(zhàn)果。依據(jù)這些特征,針對海蓮花組織,深信服藍(lán)軍高級威脅攻防研究團(tuán)隊(duì)在幾個(gè)月的時(shí)間里,最終挖掘到了海蓮花大量文件側(cè)與網(wǎng)絡(luò)側(cè)的 IOC 情報(bào)。
一直以來,以情報(bào)搜集、破壞、或經(jīng)濟(jì)利益為目的APT攻擊,是深信服藍(lán)軍高級威脅攻防研究團(tuán)隊(duì)重點(diǎn)關(guān)注的領(lǐng)域,因?yàn)锳PT組織的每一次動(dòng)作,都將可能給個(gè)人、企業(yè)、社會(huì)機(jī)構(gòu)甚至是國家安全帶來嚴(yán)重影響。通過攻擊和防御雙方的視角,從多維度分析和解決網(wǎng)絡(luò)安全問題,未來,深信服將不斷提高專業(yè)技術(shù)造詣,深度洞察網(wǎng)絡(luò)安全威脅,持續(xù)為網(wǎng)絡(luò)安全賦能。
