标签(空格分隔): Paper
该文全面审视了APT攻击中的归因问题,以及攻击者蓄意诱导归因错误的情况。文章也介绍了归因的常见方法与实际场景中的复杂情况,以及攻击者蓄意破坏归因的示例。
当“回击“成为受害者的合法选择、政府可能采取地缘政治报复措施时,错误归因可能会付出巨大的代价。此外,攻击者意识到这种情况时可能会有目的地诱导这种事件的发生。作为卡巴斯基实验室高级研究与分析团队(GReAT),我们希望这些错误归因的示例可以缓解威胁情报消费者对于归因的期望和反应。 即使是草率而粗心的攻击者也不会提供比(如调试路径、语言字符串或重用攻击基础设施等)更多的数据,这些都对研究人员的归因有所帮助。幸运的是,有时候IP地址会指向一个存在问题的位置或者可以发现一个广泛重复使用、带有个人信息的指标。其他时候,机会没有任何指标存在任何特定的指向。
PE文件格式中一个优势就是包含编译时间,虽然时间戳可以很容易地修改,但许多样本仍然包含着原始时间戳。时间戳可以跟踪攻击组织存在和活跃的时长,也能了解具体的攻击行动以及攻击组织不断改进的攻击工具。随着大量相关样本被收集起来,也可以创建攻击行动的时间线。根据时间线可以发现攻击行动的高峰和低谷,工作日和相关时区。
最明显的是首选语言,特别是在APT攻击中的罕见语言。可以看出攻击者语言熟练程度包括口语的弱势。在字符串中,研究人员最喜欢的是调试路径。描述文件路径结构的字符串可以显示用户名,也可能显示内部命名约定。另一个十分有用的字符串是在诱饵文件和宏文档Dropper中的元数据。有时元数据可以表明开发人员使用的语言或者系统使用的本地语言。谨慎的攻击者经常使用具有不标明用户名和软件注册者的虚拟机、带有公共软件属性的盗版软件或者公开的、通用的工具包资源。但是元数据有时也会包含指向实际攻击者的用户信息与无意识保存的状态信息。
将不同攻击行动关联在一起的首选方法是通过网络基础设施。C&C 基础设施可能是成本高昂而且难以维护的,其可用性还受到研究人员、执法机构的影响。即使是资源丰富的攻击者也倾向于重用 C&C 基础设施。网络基础设施的重用是攻击者重新部署或者更新设施的明显迹象,极少数情况下,多个组织可能会使用同一台失陷主机,但这极为罕见。组织内的小组之间也存在基础设施的重用,如共享横向移动工具等。
所谓后续连接即为攻击者从窃听服务器或电子邮件账户中检索数据,或者准备登录失陷主机确保持久化时产生的连接。攻击者几乎总是使用 Tor 或其他匿名服务来掩盖此行为,发生错误的概率极低。
尽管目前最先进的攻击者也可能依赖于公开可用的工具,但大多数组织还是构建自己的工具包、开发自定义后门、横向移动工具等。研究人员可能会通过严格的恶意软件家族发现潜在的攻击者。例如:存在 Snake 可能是 Turla、存在 WildPositron 可能是 Lazarus,以此类推。务必记住,恶意代码的所有关系并不是一成不变的。同一组织间的不同团队可能存在共享,开发人员可能会离开开发团队转售给其他人或者源代码因为各种情况遭到泄露。
即使完全重新设计恶意软件的功能,开发人员也经常会重用过去运行良好的特定函数或者代码片段。这意味着高级研究人员和熟练的 Yara 规则编写者可以利用这些特征将新的攻击行动和旧的攻击行动联系起来,甚至是看似无关的攻击行动。
攻击者在使用那些用于钓鱼或渗透的电子邮件账户的密码、失陷主机的账户名或者恶意软件中硬编码的密钥等信息时往往也倾向于重用。最近的情况表明,攻击者正在部署资源经过加密的 Dropper,资源中包含实际的 Payload,通过加密阻止沙盒与自动检测系统的检测。即使释放了不同的、看似无关的恶意软件,其加密资源的硬编码密钥也是相同的。研究人员可以通过这条线索将不同的攻击行动关联到一起。
0day 漏洞的出现可以立刻将普通攻击者和有组织的攻击者区分开,攻击者也往往会重新编写或者从公开来源获取利用代码。公开的 POC 可能有助于攻击者利用新发现的漏洞,攻击组织中往往拥有漏洞利用开发人员,一些组织会在需要时使用不同的漏洞利用代码。
在漏洞的特定实现在给定的时间范围内出现在不同的、不相关的实体中时,可能存在的代码共用可能指向相同的组织。但是这并不能消除黑市中的漏洞利用交易或与其他组织的互动的可能性,这一点在发现 Aurora 使用 CVE-2013-3918 后几天内方程式组织就利用了这个漏洞可以被证实。当然,也存在公开的漏洞利用程序本身被攻击组织入侵的可能性。
经常被忽略的是攻击组织选定的目标本身,这代表了资源丰富的攻击者的攻击意图。尽管许多信息可以被伪造或篡改,但攻击者和受害者的关系很难掩盖或操纵,因为这一般涉及到现实中公开已知的信息或者地缘政治冲突。无关第三方可以对攻击组织的大范围攻击目标进行感知,这一分析也可用于攻击组织分析。 某些目标的特殊性加剧了分析的复杂性,因为某些目标本身极具吸引力,同时吸引了几个不同的攻击组织。同样的,某些攻击组织则完全打破了这种规矩。
2014 年 12 月,BlueCoat 发现名为 Inception 的恶意软件框架,随后归因于名为 Cloud Atlas 的攻击组织。也有人认为 Cloud Atlas 是先前组织 Red October 的一部分。这两个组织应该都是东欧人,都说俄语。Cloud Atlas 可能在 2014 年春季克里米亚地缘政治冲突后原始组织的新团队。
在对这一新的攻击行动进行调查期间,发现了各种各样的怪异之处。对这些问题进行全面的分析后确定 Cloud Atlas 最可能来自 Muddy Water,这使得归因变得更加困难。其大多数攻击都主要针对俄罗斯,特别是政府和外交部门。攻击行动使用了非常相似的诱饵文件,两种压缩算法的实现方式几乎相同,Cloud Atlas 使用的版本略有改进。到此为止,相似之处就消失了。
攻击行动中发现的早期诱饵文件之一与俄罗斯官员有关,但标题为西班牙语。对原始诱饵文档的元数据进一步分析后发现该文档是在以西班牙语为母语的系统上创建的。期初带来了很多困惑,后来确定诱饵文件可能是从西班牙驻莫斯科大使馆的一名顾问处偷走并用于攻击的。Cloud Atlas 循环使用大量的 IP 地址托管有效的 Payload 与泄露的数据。这些 IP 地址主要位于韩国,后来的分析发现这些 IP 地址主要都是失陷的家庭路由器。
而从语言着手的归因产生了更多问题:
- BlackBerry 版本的恶意软件找到了阿拉伯语字符串
- Android 版本的恶意软件找到了印地语字符串
- BlackBerry 版本的恶意软件发现了字符串 God_Save_The_Queen
- iOS 版本的恶意软件发现了字符串 JohnClerk
不同版本的恶意软件中存在这些互相冲突的字符串,可能意味着攻击者使用各种来源的代码在恶意软件中,也可能是故意误导研究人员的。如果在没有采用典型 Cloud Atlas 框架的研究人员的机器上执行,将会显示出中文恶意软件的特征,并且使用了当时并不活跃的 C&C 服务器进行通信。有人相信,攻击者会在日志中识别出研究人员的分析尝试,不提供正常的二阶段文件。
BlueCoat 的研究人员在其原始文章中描述了尝试进行归因的各种途径,但最终都走到了尽头或者发现了无用的数据。该示例表明某些 APT 组织已经意识到研究人员倾向于使用哪些特征并进行有意地修改。
Wild Neutron 在 2013 年被发现,尽管有证据表明该组织自从 2011 年就开始活跃。该组织攻击的目标是Apple、Facebook、Microsoft 和 Twitter 等国际知名的大公司。攻击工具横跨多个平台,并且掌握 Java 的 0day(CVE-2013-0422) 漏洞。沉寂一年后,2015 年 Wild Neutron 卷入了 2015 年的竞选活动,这次使用了盗取的数字证书和 Flash 的 0day 漏洞。
研究人员在在 Windows 版本的恶意软件中发现了简单的误导,在字符串中发现了罗马尼亚语和俄语。还有其他一些如与知名研究人员有关、与明显的骗子投资基金、与成功的加密货币骗局的线索。通常情况下,通过查看受害者的分布情况可以发现攻击者针对的组织和实体。但是这种情况下,受害者的范围并不能减轻归因的不确定性。从 Wild Neutron 的目标来看没有明显的规律和联系:
- 涉及并购的大型公司、集团
- 房地产公司
- 比特币相关公司
- 投资公司
- IT 公司
- 医疗保健公司
- 法律公司
- 开发人员(iOS 和 Linux)
在十一个国家的多个垂直领域的受害者中,也许可以假设其中有几个可能存在重叠的利益关系。值得注意的是,外交机构和政府单位没有受害者,研究人员得出结论该组织的攻击行动是雇佣军性质的。它从不同的实体得到命令发动攻击,虽然这种组织不可能低调行事、保持神秘,但却从本质上破坏了基于攻击目标形成广义归因的能力。
Lazarus 组织的攻击行动一直可以追溯到 2009 年,其最著名的是 2014 年针对 Sony Pictures Entertainment(SPE)的数据进行毁灭性攻击。就攻击 SPE 而言,该组织是和平卫士(Guardians of Peace)。同样的,2012 年针对韩国报纸《中央日报》的攻击中,留下了“Hacked by IsOne”的标语。2013 年韩国机构遭到攻击,使用的恶意软件使用罗马军队术语“HASTATI”和“PRINCPES”覆写文件,然后破坏该驱动器的 MBR。有趣的是,这两个攻击行动是由两个闻所未闻的组织发起的,即“New Romantic Cyber Army Team” 和 “WhoIs Team”。
该组织被普遍认为归属于俄罗斯情报组织,拥有大量的基础设施与丰富的 0day 漏洞。多年来,Sofacy 的攻击目标与俄罗斯的政治气候都发生了变化,其中包括外国政府机构、涉嫌恐怖主义的目标、媒体、非政府组织和能源公司等等。以下将列举 Sofacy 使用的虚假线索掩盖其真实意图的三种情况。
2014 年 3 月,据称是乌克兰亲俄罗斯分离主义团体自称为 CyberBerkut,在克里米亚地缘冲突期间对乌克兰政府和其他支持乌克兰的实体进行了攻击。该组织在 2014 和 2015 年非常活跃,不仅针对乌克兰当地政府和基础设施,还针对北约、美国国防公司和德国联邦议院等目标发动攻击。一些研究人员认为 Sofacy 和 CyberBerkut 之间存在联系,一些研究人员认为二者是同一组织。
2014 年 2 月 22 日,时任乌克兰总统 Viktor Yanukovych 被议会罢免。2 月 25 日,乌克兰名为 Berkut 的特种警察被议会解散。接下来的几周内,被广泛认为是俄罗斯士兵的不明身份持枪者占领了整个克里米亚的各个检查站和机场。大约在同一时间(2014 年 3 月 3 日)创建了 cyberberkut.org 域名,该组织首次浮出水面。
CyberBerkut 的一些攻击目标恰好也是 Sofacy 的受害者。2015 年 1 月,CyberBerkut 对德国联邦议院在内的多个德国政府进行了攻击。随后的 2015 年 5 月,联邦议院也遭到了后来被确证为 Sofacy 的攻击。
2014 年 12 月 24 日,一个新的亲 ISIS 的黑客组织 CyberCaliphate 宣布控制了 Albuquerque Journal 的移动应用程序病向其订户进行推送,宣告了自己的存在。随后的 2015 年 1 月 12 日,CyberCaliphate 又夺取了美国中央司令部(USCENTCOM)的 Twitter 和 Youtube 的账户。2015 年 2 月,CyberCaliphate 又破坏了新闻周刊的 Twitter 账户,并使用 WBOC 马里兰州的文本警报系统向订阅者发送了宣传短信。2015 年 4 月,CyberCaliphate 攻击法国电视台 TV5 Monde,控制了电视台的社交媒体账户。
最初的研究认为这是一个试图向公众宣传 ISIS 的组织,随后发现了指向 Sofacy 的证据。首先,没有证据表明该组织在 1 月的首次袭击之前已经存在过,对于黑客主义团体来说在破坏美国中央司令部之前没有任何历史记录是不典型的。其次,据 FireEye 事后透露攻击 TV5 Monde 的 IP 地址来自和已知 Sofacy 基础设施同一网段。另外,注册 cyb3rc.com 域名的注册人也与其他已知的 Sofacy 域名有关。
继 CyberCaliphate 取得成功后,2015 年 5 月又出现了一个黑客主义组织 Yemen Cyber Army。与其余两个组织一样,Yemen Cyber Army 也没有任何历史记录,成员也完全未知。自称是一个在也门以外进行活动的黑客组织,专门支持胡塞武装并带有强烈的反沙特情绪。
2015 年 3 月,沙特针对也门展开轰炸以压制不断壮大的胡塞武装。2015 年 4 月,总部位于伦敦的 AlHayat 报纸的网站就被 Yemen Cyber Army 攻陷。随后,2015 年 5月,沙特阿拉伯外交部也遭到了 Yemen Cyber Army 的攻击,并在维基解密上发布了数千条内部通信记录。目前广泛认为基督教青年会是伊朗领导的、针对沙特政府的阵线,但尽管没有确凿的证据证明该行动与 Sofacy 有关,但我们仍然认为与 Sofacy 的关系比伊朗更大。首先,沙特是俄罗斯政府的头号公敌之一,最早可追溯到 1980 年苏阿战争中沙特支持 Mujahideen。沙特又是美国在中东的重要盟友,并且与该地区没有与俄罗斯保持密切关系的国家结盟。2015 年 2 月,沙特阿拉伯向土耳其派遣了战斗机用于压制叙利亚的地面行动以支持反对派。同样在此期间,俄罗斯公开指责沙特压低石油价格破坏俄罗斯经济。
2015 年 2 月,使用了 0day 漏洞攻击了指定的几个目标,其中一个就是乌克兰的沙特大使馆。直到 2015 年 4 月,微软才对这个漏洞进行了修复。Sofacy 最早可能在 2015 年 2 月攻入沙特外交部网络,与 Sofacy 产生关系的是 Yemen Cyber Army 在 2015 年 6 月创建的域名 wikisaleaks.com。该域名使用了隐私保护,但深入研究发现,该域名使用的电子邮件注册者为 [email protected],相同的邮箱也被用于注册 Yemen Cyber Army 控制的另外三个域名(yemenica.com, yemenica.org, and yemenica.net)。尽管该电子邮件账户并未与 Sofacy 产生直接的关系,但 Yandex 邮箱是该组织的最爱。同样有趣的是 Wikisaleaks.com 的 NameServer 是 orderboxdns.com,这同时也是 Sofacy 的首选提供商。进一步挖掘该域名托管在 87.236.215.129,尽管这个 IP 地址并非 Sofacy 使用的,但该子网段也是 Sofacy 的最爱。
当然,这些证据都并不是板上钉钉的证据,也可能是 Sofacy 向一个总部位于伊朗的组织提供信息和援助。
这类攻击组织并不想诱导研究人员认为攻击行动是一个新的攻击组织,而是将归因引入另一个存在的组织上。
CrySyS 在 2011 年发现了 Duqu,该恶意软件与 Stuxnet 存在千丝万缕的联系,特定模块显示出了 Tilded 平台的共享开发特征。但是 Duqu 最令人敬佩的是它选择感染匈牙利数字证书颁发机构的大胆。这次攻击,Duqu 配备了多达 3 个 0day 漏洞进行攻击,甚至包括内核漏洞(CVE-2015-2360)。同时,也使用了窃取的数字证书签名恶意软件,通过驻留内存保持持久化等技术。攻击涉及到六方会谈、工控系统公司和电信提供商等。
Duqu 2.0 是完全模块化的,覆盖了一百多个插件模块。具有单独的模块处理特定的操作,例如与 C&C 服务器的通信以及直接进入受害者 LAN 的信道。后者是被称为 termport.sys 的 NDIS 驱动程序,其功能由数据包切换,这些数据包在 32 位驱动程序中包含硬编码的字符串“romanian.antihacker”。64 位驱动程序中使用的字符串“ugly.gorilla” 是对 APT1 的引用。Wang Dong(Ugly Gorilla)是 2014 年被美国起诉的五名黑客之一。攻击者留意到了设备驱动程序与内存驻留模块相比被检测到的风险更大,添加了一系列错误线索误导事件响应。
TigerMilk 从未公开过,该组织从 2015 年初开始针对秘鲁机构和实体发动攻击,为期六个月。攻击者结合从本地受害者处窃取的履历使用普通的漏洞(CVE-2012-0158)发动攻击。在 64 位系统中,恶意软件将生成一个单独的桌面,带有恶意的 explorer.exe 以避免引起怀疑。但实际上,该恶意软件的行为明显地导致了不稳定。
TigerMilk 值得一提的是每个后门都使用了与 Stuxnet 相同的被盗的 Realtek 证书进行签名。在证书的有效期过期后,对样本进行了编译和签名。该做法应该只是向混淆研究人员的分析,但是除了这个基本的欺骗外,TigerMilk 真正的未解之谜是该组织是如何得到这个证书的?
Turla 组织是最先进、最多产的组织之一,至少从 2006 年就开始活跃。2012 年 11 月,Turla 已经攻陷了少数受害者,其中一个欧洲的受害者上已经部署了典型的一阶段恶意软件 Wipbot。也已经开始了正常的收集和监控,但是忽然有一天受害者与应急响应团队开始调查网络并研究攻击来源。应急响应团队开始了调查的常规流程,但是并未切断计算机的网络连接。Turla 立刻意识到它很快就会被发现,此时大多数攻击者会选择卸载恶意软件长期潜伏。相反的,Turla 决定和应急响应团队玩捉迷藏。Turla 利用 Wipbot 下载安装二阶段文件,但这个文件并不是 Turla 使用的恶意软件,而是一种相当罕见的、被编译为 Quarian 的中国恶意软件。Quarian 与位于北京的基础设施进行了通信,该基础设施并不受 Turla 的控制,也与 Turla 无关。随后 Turla 卸载了 Wipbot 并清除了痕迹。
应急响应团队花费了无数小时追踪 Quarian 恶意软件,并假设受害者是中国 APT 组织的攻击目标。由于使用的是鲜为人知的恶意软件,因此调查人员必须首先确定家族归属然后深入研究庞大的基础架构以寻找归因线索。这些工作当然都是毫无意义的,也成为了 Turla 撤退的绝佳机会。
归因会受到各种复杂因素的影响,包括外部动机、内在局限以及供应商和研究团队之间方法的差异等。归因分析远非直接的,很大程度上是解释学的,目前没有标准的做法。
尽管一些威胁情报团队是处于内部研究人员应对复杂攻击的需要而兴起的,但许多人后来意识到威胁情报产品吸引了媒体的广泛关注而且具有极大的市场价值。与之相伴的就是大量不成熟的威胁情报生产者以夸大、荒谬、不可验证的归因主张成为了舞台的主角、占据了新闻的头条。过于相信这些将会被迫花费宝贵的有限资源追查模糊的线索。
威胁情报生产者的位置将因为可见度有限而影响研究的质量,所有的生产者都不可避免地受到不同程度的可见度限制。声称对攻击行动具有完全的认识是短视的愚蠢,从披露的 IOC 也能看出单一来源报告不完整。
威胁情报分析师整合各种信息源得出结论并审查总体逻辑。令人遗憾的是,目前的招聘过分强调了专业的技术知识而避开了通才的广泛思考能力。某些结论可能源于一种预感,此时证据是稀疏的、不能独立支撑研判的,资深威胁情报分析人员可以通过高精度的直觉猜测攻击的起源。
一个常见的陷阱是到底通过共享代码、重用基础设施还是攻击目标相似性或其他手段来判断归因,针对 APT 的归因调查是一个解释性工作。