时间:2021-11-02 作者:奇安信集团
有人的地方就有江湖。武侠江湖中有侠客、剑客;安全江湖内有黑客、红客、灰客、极客……总之,一个“客”字,就带出了江湖神秘而又炫酷的味道。
不会代码、没有神技的小编靠着娴熟的叨法,斗胆自封了一个名号——
第4叨
我用12个字母,围观了APT活动的所有细节
2018年,一种伪装成邮箱登录页面的钓鱼网站,开始频繁进入奇安信威胁情报中心的视野。
说句实在话,钓鱼邮件作为最为古老的攻击方式之一,大家早已司空见惯,收到之后或许就一笑以蔽之,转眼就抛诸九霄云外。可短时间内监测到大量相似的钓鱼邮件,还是引起了分析师们的注意。
通过分析钓鱼网站的源代码发现,当受害者输入自己的账号邮箱后,该钓鱼网站并不以窃取邮箱账户为主要目的,而是会将受害者访问页面的时间和当前使用的IP地址,一同发送到攻击者服务器。
经验丰富的分析师们敏锐地意识到,和寻常盗取账户的钓鱼邮件攻击不同的是,这或许是一次有预谋、有组织的情报搜集活动,很可能是为了后续的入侵“踩点”。
在浏览器地址栏中输入ti.qianxin.com共计12个英文字母后,奇安信威胁情报中心就此揭开了“毒云藤”APT组织一次精心谋划的APT攻击活动的神秘面纱。
“平安格勒”战役
从表面上,ti.qianxin.com是奇安信的一个二级域名,但它究竟是什么?为什么可以围观APT活动的细节?要知道,如果不是通过它寻根究底,这次APT攻击可能就从眼皮子底下溜走了。在介(广)绍(告)之前,先回顾一小段电视剧。
《亮剑》这部电视剧里,有一集讲述了独立团团长李云龙冲冠一怒为红颜的故事。
图片来源:电视剧《亮剑(2006年版)》
在358团炸毁山本特工队的汽车之后,李云龙短时间内集结了近万人的武装力量,将偷袭赵家峪、劫持秀芹的山本一伙,围在了平安县城里。
作为日驻晋第一军司令官筱冢义男的心头肉,山本特工队全军覆没是他绝不允许的。于是在接到山本的求援电报后,筱冢义男一刻都不敢耽误,随即向平安县派遣援兵。一时间,来自太原、水泉、太古等地的日军均不顾一切向平安增援。
这样一来,本就敌、我、顽势力犬牙交错的晋西北,一下子乱成了一锅粥。
不过,由于李云龙的作战行动并没有向上级汇报,八路军总部却一直蒙在鼓里。好在总部的侦察员顺利监听到了日军的电台,并获取了一条重要的情报信息——敌人反复提到了平安县。正在认真研究作战地图的总部首长,一下子就明白了过来,所有战斗皆围绕此地打响,并判断是李云龙在搞什么大动作。
形势豁然开朗。
放眼当时的中国版图,平安县城只是一个芝麻大小的据点,如果不是山本特工队来到这里,或许八路军、晋绥军、中央军甚至日军,都不会注意到这个地方的存在。可当指挥员把围绕平安县所展开的战役在作战地图上标示出来之后,却折射出了抗日战争后期,中国军民由战略相持阶段,转入战略反攻阶段的画卷。
网络资源与钻石模型
在网络空间,也有无数个这样看起来并不起眼的地方,从表面上看,它可能是邮箱、域名或者IP地址等,从而标记出网络空间的具体位置,我们习惯把这些元素叫做网络资源。
在平时,这些网络资源之间相安无事,甚至“见面”之后还会打个招呼:比如我在某网站注册一个会员,管理员邮箱没准会给我发一封验证邮件。可一旦发生网络攻击,它们之间也会乱成“一锅粥”:我可能在不知情的情况下就访问了一个恶意域名,管理员发给我的也可能是一封精心伪造的钓鱼邮件。
“或许这样一封钓鱼邮件的背后,就是一次策划精密的网络渗透活动。”奇安信威胁情报中心负责人汪列军说。
为了帮助安全分析师们完整的描述一次网络攻击,有人在2013年提出了入侵分析钻石模型,用于把对手(攻击者)、受害人、能力(攻击者使用的攻击代码或者恶意工具)以及基础设施(指向服务器的IP地址和域名等网络资源)这四类关键元素以一定的关系给关联起来。
至于为什么叫钻石模型,你看下面这张图像不像钻石?
举个例子。在李云龙率部攻打平安县城这段故事中,从太原、太古等地开来的日军援兵就是攻击者,平安县城就是他们的增援目标,太原、太古这些增兵的地方就是网络资源,而部队番号、数量、交通工具、火力配备情况等等就是能力。
八路军总部以平安县城这条情报为基础,把所有围绕此地展开的战役,绘制成了一张作战态势图,继而下达了下一步作战命令:联系一切能联系上的部队,不惜一切代价阻敌增援。就算要枪毙李云龙,也得等打完仗再说。
搞网络安全的又何尝不是在打仗。而且这个仗是打的那么悄无声息,没有震耳欲聋的枪炮声,甚至在攻击者得手后的很长一段时间后,才会发现防线已经被对方攻破了。
由此可见,第一时间掌握对手的动向多么重要。
想要掌握对手的攻击态势,基于网络资源进行威胁情报关联分析,是最常用也是最有效的手段,因为你能清楚地看到敌人从哪里来,要到哪里去。
而所谓威胁情报,简单来说就是一切和对手相关,能够为安全决策提供支持的知识。(有兴趣可以看看《网络空间的隐蔽战线:一场情报传递的“生死时速”》点击题目即可跳转)
其中,攻击者使用的特定IP、域名、邮箱、社交账号等等网络资源,就是威胁情报来源的主力。
网络资源之所以应用最为广泛,最重要的是在于其消除不确定的能力。尤其是域名,在特定的时间内,只会被特定的攻击者使用。相比之下,尽管某些APT组织(如蔓灵花等)早期使用的特种木马也有很强的特征,但大多数时候,单靠样本特征并不容易判断它到底归属那个APT组织。
还是举这个例子。
假设从太原方向的日军援兵为了迷惑八路军打援部队,换上了八路军的衣服向平安方向开进,途中被我军侦察员发现,行动可疑。如果侦察员只是发现这伙人齐刷刷的装备日军制式步枪三八大盖,并不能完全消除不确定性,因为在对日作战过程中,八路军也大量缴获并使用这种步枪;但如果发现这伙人是从太原出发前往平安方向的,那结果就不一样了。当时,太原属于日占区,绝不可能驻扎八路军。
除了这个原因之外,相比其他类型的数据,网络资源的收集,可能更加容易一些。
细节决定一切
话说回来,APT活动的关联分析并没有什么高深莫测的手法,也没有什么特别的捷径,关键在于数据收集能力。只有数据足够完整,才有可能掌握APT活动的所有细节。如果你能掌握所有攻击者使用的IP地址、域名、邮箱、社交账号、恶意代码以及这些信息之间的关系,那么攻击者的所有动向将一目了然。说细节决定一切,一点都不为过。
假如在李云龙攻打平安县城的时候,八路军方面并没有获得太古方面日军前来增援的这个细节,没有派兵阻击,导致太古方向的日军及时赶到平安城下,独立团立马将会面对两面夹击的窘境,甚至导致整个行动功亏一篑。
那么问题来了,怎么才能获得这些信息。众所周知,APT组织都喜欢玩捉迷藏的游戏,你想发现他们,总得费点功夫。
说起来其实很容易,收集这些信息主要有两种方法:
第一种是“别人告诉你”,也就是通过收集公开的APT活动报告或者威胁情报共享的方式,获取APT组织的名字、使用的IP地址、域名whois或者恶意代码这些信息;除此之外,组织还可以购买一些商业威胁情报。
需要强调的是,千万不要忽略公开信息的重要性,基于开源威胁情报进行APT组织追踪,同样是一个非常重要的方法。并且,目前没有一个平台有能力收集APT分析所需的全部基础数据,所以多平台联合使用互相参照补充是合理的做法。
第二种是“自己告诉自己”,也就是依靠工具(如EDR、沙箱、DNS解析工具等),记录应用程序的网络行为,包括和访问了哪些IP地址等。
但其实这两种方法可以归结成一种方法,无论是别人的还是自己的,都是依靠工具的记录。
“所以,APT的关联分析,需要海量的历史数据积累和强大的信息收集和技术平台支持。”汪列军说。
没有金刚钻,还真揽不了这个瓷器活。
说起信息收集能力,奇安信还是有几样能拿得出手的“绝活”。
第一,奇安信天眼。作为一款高级威胁检测和安全态势感知的产品,天眼拥有强大的全包存储能力,能够将网络上视野范围内的TCP会话记录、邮件活动、DNS交互、URL访问、文件下载都能够记录并存储下来。
第二,红雨滴云沙箱。它能够基于QOWL反病毒引擎和文件深度扫描系统,对可疑文件进行深度动态扫描,并把文件的所有行为如创建进程、注册表以及连接外网IP等都记录并存储下来。
第三,奇安信安全DNS。它能为用户提供DNS解析服务,并判断所解析的域名以及对应的IP地址是否存在威胁。仅2021年6月,奇安信安全DNS已对公众提供域名解析服务570亿次,解析域名近2亿,拦截威胁域名请求1800万次,涉及威胁域名15万。
至于其他的绝活,这里就不一一列举了。
“甜蜜的烦恼”
——自动化分析工具不可或缺
对于APT活动分析来说,没有数据收集渠道自然是万万不能的,可是当你收集到的数据太多,虽然能看到非常多的APT活动细节,但是同样会带来“甜蜜的烦恼”:看不过来了(脑补一下拼图游戏,10000个碎片起的那种)。不过,在最开始的时候,并不是所有的信息都一股脑摆在分析师的面前。APT活动的关联分析,往往是从一小撮信息开始的,需要通过不断的关联拓展,最终形成一块完整的拼图。有公开统计显示,绝大多数的恶意软件会使用DNS协议,比如回连一个以Domain/URL呈现在互联网上的的C2地址、使用一个Domain/URL作为投递地址(挂马、钓鱼等等)。所以,当分析师利用EDR或者沙箱捕获了一个恶意软件之后,很大概率能够通过DNS解析记录,追踪到该软件外连的域名,再继续该域名进行whois查询,找出域名注册信息,同时关联到其他相关的域名,而这些相关的域名又可以通过DNS解析信息,追踪到更多尚未被捕获的恶意软件……最终将所有攻击活动查个水落石出。
举个非常形象的例子:当你发现一张桌子的时候,你可以通过技术手段找到这张桌子的主人是谁;再通过询问主人,发现他不仅有其他桌子,还有不少椅子,并且这些桌子和椅子都有谁用过。
由于需要同时跟踪大量的数据,一个自动化的基于规则或模型的工具平台是必需的。它能够把这些数据,按照一定的规则给关联起来。
在浏览器地址栏输入ti.qianxin.com这12个英文字母后,你就可以访问到这样一款工具——奇安信Alpha威胁分析平台。
汪列军说,该平台汇集了全球数百个威胁情报源和奇安信多个安全研究团队的APT事件发现、跟踪成果,提供基于情报及时、精准发现关键威胁的能力。
回到文章开头那个APT攻击的案例。在提取到钓鱼域名之后,分析师们很快在Alpha威胁分析平台上查到了它的whois信息,管理员邮箱一目了然,并且其相关域名有10个。
让分析师们惊喜的是,在所有相关的域名中,除了已知的恶意域名之外,还发现了一个新的恶意域名。
Alpha威胁分析平台的恶意域名标签显示,这些已知域名来自毒云藤组织。
……
经过一系列的关联分析,所有的细节一目了然。
有趣的是,当分析师将此次攻击者投递的木马,与之前追踪的毒云藤组织的恶意软件的代码对比后发现,二者出奇的一致,钓鱼页面也大致相同,能看出来是同一个团伙开发的。
“你知道吗?用这12个英文字母,我们已经围观了超过46个APT团伙的各种活动姿势,其中13个是我们首先发现并围观的,并且持续发布了超过90篇APT组织的跟踪报告。”汪列军说。
本期叨主:魏开元安全圈“首席编剧”,写点小故事还原网络攻防一线的明枪暗箭
95015服务热线
微信公众号