PART 1 网络空间中的对抗
第1章 开篇故事:震网病毒
1.震网病毒的整体传播思路:首先感染外部主机;然后感染U盘;再以U盘为摆渡,利用系统漏洞传播到工业控制系统内部网络中;之后再在内部网络中通过多个系统漏洞实现连网主机之间的传播;最后抵达安装了WinCC系统的离心机控制主机,并展开攻击。
2.APT攻击的显著特点:攻击的高级性;攻击的持续性;攻击的针对性。
3.震网病毒的传播除了自身原因外,还有一个重要的原因就是当时主流的安全防御技术是基于特征码识别技术,只匹配自身的特征库,只能进行孤立的自我防御。在云查杀技术普及的今天,就不太可能传播数千台了。另外如果辅以社会工程等非技术手段,可以以更小的代价完成。
第2章 什么是APT攻击
1.APT:即高级持续性威胁,APT组织的背景、意图和能力是三个重要方面。主要目的是情报的刺探、收集和监控。具有针对性、高度隐蔽、不以直接获取经济利益为目的、漏洞利用等特性。目标以政府、军队、科研究过、关键基础设施和大型商业机构为主。
2.APT与威胁情报:威胁情报是安全机构所掌握的针对特定组织机构的各种网络威胁信息,包括八个方面(源头、目标、动机、工具、指标、表象、影响、方案),其意义在于威胁信息的扩展与延伸、威胁的预警与提前防御。
3.网络空间对抗新形态:APT攻击有自己的军火库,同时武器也有不同的搭载系统,不同的武器搭载系统与不同的武器结合能够产生不同的网络攻击方式,还有各种战略战术。
第3章 关于APT的全球研究
1.研究机构与研究报告:从研究报告、研究机构及APT组织的数量上来看美国、俄罗斯属于第一梯队,中国属于第二梯队的排头兵。
2.APT攻击目标
1)目标行业前五:军队与国防、政府、金融、外交、能源。
2)目标地域前五:韩国、中东、美国、俄罗斯、巴基斯坦
3)APT攻击者的来源前四:APT28、Lazarus、Group123、海莲花
PART2 典型APT事件及其影响
第4章 针对工业控制系统的破坏
1.乌克兰圣诞大停电事件:2015年12月23日,乌克兰电力控制系统被恶意程序BlackEnergy感染,配电公司设备中还检测除了破坏系统数据以延缓系统恢复过程的恶意程序KillDisk,以及被添加后门的SSH服务端程序。
2.沙特阿拉伯大赦之夜攻击事件:2016年11月17日晚,沙特阿拉伯民航总局在内的6家重要机构遭到了恶意程序Shamoon2.0攻击,大量文件数据被毁。Shamoon分为三个模块,投放器、通信组件、擦除组件。
3.美国电网承包商攻击事件:2018年美国乃至加拿大的电网的数百个承包商受到了攻击,借助模仿和欺骗,利用可信任的业务关系,从供应链入手进行了攻击。
第5章 针对金融系统的犯罪
1.多国银行被盗事件:2016年年初,孟加拉国、厄瓜多尔等多个国家和地区的银行的SWIFT银行间转账系统遭受攻击,攻击过程主要由三个步骤,获得目标银行SWIFT权限,利用SWIFT向其他银行发送转账指令,篡改MT9XX报文清除证据。
2.ATM机盗窃事件:针对ATM的主要攻击有两类:一是入侵银行内部网络,获得ATM机控制权限;二是通过光驱、USB接口等直接对ATM机进行操作。
3.黄金眼行劫事件:黄金眼是国内首个针对商业机构的APT组织,其攻击水平和反侦察能力达到了国际水平。黄金眼使用一整套恶意程序对目标系统实施入侵和控制,并可跨越所有Windows平台发动攻击。
第6章 针对地缘政治的影响
1.DNC邮件泄露与美国总统大选
1)希拉里邮件门:希拉里在担任美国国务卿的时间里,使用私人电子邮箱和位于家中的私人服务器收发公务邮件,其中包括一些涉及国家机密的绝密邮件。
2)DNC邮件泄露过程:2016年希拉里竞选团队主席John Podesta收到了一封钓鱼邮件,打开了恶意链接,泄露了自己的邮箱密码。
2.法国总统大选
2017年5月,马克龙竞选团队遭到大规模网络攻击,数名成员的个人和工作邮箱遭到攻击,攻击者使用了侦查工具Seduploader,利用了两个0day漏洞:word远程代码执行漏洞和windows的本地权限提升漏洞。
Part 3 APT组织的技术实战
第7章 APT攻击的目标与平台
1.战术目标:敏感情报信息与文件:窃密型攻击的战术目标是窃取情报信息,破坏型攻击的战术目标是破坏系统或设施。个人计算机上窃取文件的格式一般为Office文档、WPS文档等。智能移动终端上窃取文件的格式有音频、照片等。因为攻击者的活动越频繁,被发现或监测到的概率越大,所以一般会先了解被攻击者的行为习惯,再采取精准攻击。
2.攻击目标的系统平台选择: 无论是Windows、Android还是iOS、Mac OS X系统,都已经捕获了大量的攻击样本。还有跨平台的攻击,海莲花曾采取过跨平台的水坑攻击,当用户访问网站时,页面弹出要求用户更新Flash软件的提示,用户不慎下载就会被植入恶意程序,这个程序还会识别不同的操作系统平台,返回不同平台的恶意程序。
第8章 APT攻击的武器搭载系统
1.综述:APT实施攻击的武器通常是攻击文件、攻击程序或攻击代码,但要将这些攻击武器最终投放到目标系统中,则还需要一套精密设计的武器搭载系统。APT的武器搭载系统有鱼叉邮件、水坑攻击、中间人攻击、PC跳板和第三方平台跳板、即时通信工具、手机短信等。
2.导弹:鱼叉攻击:针对特定组织的网络欺诈行为,目的是不通过授权访问机密数据,最常见方法是将木马程序作为电子邮件的附件发送给特定的攻击目标,并诱使目标打开附件。与钓鱼邮件的区别在于,前者多用于政企机构,瞄准了再攻击,后者用于普通个人,愿者上钩。鱼叉邮件的实施过程分四个阶段前期准备(完成目标人群的信息收集)、邮件制作(编写带迷惑性的含恶意程序的电子邮件)、邮件投递(发送邮件给目标人群)、情报回收(通过C&C服务器回收窃取的情报信息)。鱼叉攻击的优点是目标投放精准,缺点是技术含量相对较低,易防范。
3.轰炸机:水坑攻击:攻击者通过分析攻击目标的网络活动规律,寻找攻击目标经常访问的网站的弱点,先攻下该网站并植入攻击程序,在攻击目标访问该网站时实施攻击。(在攻击目标的必经之路设下埋伏)。2015年海莲花发动了两类水坑攻击,一类是替换目标网站的可信程序或插入恶意javascript脚本,一类是替换目标网站指定链接。
4.登陆艇:PC跳板:攻击智能移动终端系统最典型的方式是通过PC端来感染移动端。某个APT组织采用过如下方法:先攻陷目标人群额PC端,然后收集系统中的adb信息,之后检测到移动智能终端连接到计算机上后就会利用某些软件的adb工具将木马文件安装到智能移动终端上。
5.海外基地:第三方平台:绝大多数APT组织都会使用完全由自己控制的C&C服务器,但也有一些组织为了更好的隐藏自己的身份,采用第三方平台作为木马的存储空间或木马回传信息的收集空间例如APT-C-02和APT-C-05组织就层使用某第三方云存储平台作为数据回传的收集平台,还会对数据进行加密。还有一些APT组织会通过社交网站如Facbook、微博等来下发C&C指令。
6.特殊武器:恶意硬件的中间人劫持:某些APT组织会采用通过物理接触的方式,在目标网络中部署硬件设备,通过中间人的方式劫持用户的网络流量,并通过劫持替换用户系统中常用软件的更新程序,达到植入攻击程序的目的。这种攻击能够实现的主要原因有两点,一是许多软件采用静默更新,而是更新过程中不会对更新包的来源、签名和文件内容做校验。火焰病毒就是利用劫持微软更新软件进行传播的,并且还采用MD5碰撞的方法来构造虚假签名。
第9章 APT军火库中的武器装备
APT攻击中最常用的攻击武器是专用木马、漏洞利用型文件和0day漏洞。真正决定最终攻击效果的就是这些搭载系统搭载的具体武器或弹头。
1.常规武器:专用木马(非漏洞利用型):所采用的专业技术手段包括开机自启动、加密技术等。
1)木马的开机自启动:APT组织比较难解决的问题之一是开机自启动,因为一旦木马通过修改注册表、服务、计划任务等方式实现自启动,往往能触发杀毒软件的主动防御功能,最常用的方式有两种,修改快捷方式和DLL劫持。以APT-C-01组织的一个专用木马样本为例,会首先寻找一个能够开机自启动的第三方应用,如输入法等,之后构造一个与系统同名的DLL文件
2)木马的加密与自解密:对自身及运行过程中的模块进行随机加密,是现代APT专用木马对抗安全软件查杀和安全研究人员分析的一个重要手段。以海莲花的一个木马家族Encryptor为例,其主要作用是打包和向C&C服务器上传计算机中存在的各种Office文档,Encryptor会对自己的数据区进行随机递归加密处理,从而增加安全软件对其进行识别的难度。
2.生化武器:1day、Nday漏洞的利用:攻击者使用漏洞的主要目的是可以在目标系统中进行未授权的操作。CVE-2012-0158是最受APT攻击者青睐的一个漏洞,称为“MSCOMCT;.OCX远程代码执行漏洞”。远程攻击者可以利用这个漏洞诱使用户打开一个经过特殊构造的RTF文件,可以在用户系统上执行任意命令。CVE-2015-0097是微软Office的一个逻辑漏洞,脚本通过利用ADODB.Recordset在本机启动目录写入一个HTA文件,下次重启时执行HTA代码将恶意程序下载到本机并执行。
3.核武器:0day漏洞的在野利用:0day漏洞即已经被发现,但官方还没有相关补丁的漏洞,一般无法防御。
4.APT组织武器使用的成本原则:一般而言,没有利用任何漏洞的木马的自造和使用成本最低,武器搭载系统中,鱼叉邮件的使用成本最低,因此携带恶意二进制可执行文件的鱼叉邮件是成本最低也是最广泛的攻击形式。而0day漏洞的使用成本是最高的,一方面需要很高的技术水平,一方面使用风险也较大,一旦使用被发现就有可能被修复,那就失去了最大杀伤力。一般在满足以下三个条件时才会使用0day漏洞,首先是攻击目标具有足够的攻击价值,且一般的专用木马攻击无效或无法达到预期,而且1day、Nday漏洞也无法达到预期目的。
5.APT攻击武器研发的趋势:1)从PE到非PE,从有实体文件到无实体文件 2)小众编程语言日渐流行 3)模块互动,云控技术渐成主流 4)恶意程序寄宿位置越藏越深 5)独立研发与委托定制成主流。
第10章 APT攻击的前线指挥部 C&C
C&C服务器主要作用有两个方面:一是向感染了目标机的木马程序发送控制命令,提供下载资源,二是回收木马程序收集到的情报信息,包括文件、邮件等多种形式。
1.C&C服务器的地域分布:2015年监测到的全球APT组织的数百个C&C服务器分布在全球至少26个不同的国家和地区,分布最多的前三分别是美国、中国,然后是俄罗斯、西班牙、德国并列第三。
2.C&C服务器域名注册机构:APT组织倾向于采用动态域名,相关注册信息不对外公开,安全研究人员很难回溯。
3.C&C服务器域名注册偏好:通常会选择一些具有迷惑性的关键字,如126mailserver、360sc2、baidu2等。
Part4 APT组织的战术布阵
第11章 APT组织的战术
本章介绍APT组织在实际攻击中采用的各种战略战术方法展开分析,包括攻击初期的情报收集、火力侦查、假旗行动,攻击过程中的供应链攻击、周期性骚扰,攻击成功后为扩大战果进行的横向移动,以及多种复杂的伪装术、反侦察术等。
1.情报收集:APT组织没发动一次攻击,绝大部分时间都会消耗在情报收集上,一般有两个主要渠道:一是公开情报(包括官方网站、行业网站、行业会议、新闻报道、社交网络等),二是地下情报(例如黑市上购买的社工库资料包、入侵第三方网站以获取目标人群的情报信息、向其他APT组织购买情报信息等)。
2.火力侦察:在收集到足够的情报后,正式发起大规模攻击前,某些APT组织还会进行一定程度的火力侦察,具体形式是先向预设的目标人群投放一些恶意行为不太明显的木马程序,收集目标网络或设备的基本信息(如主机信息、网络信息、应用程序信息、磁盘信息、进程信息等),用以辅助判断目标机器的真伪、防御能力、攻击价值等。火力侦察的手段也可能用在横向移动等需要对新的目标机器进行攻击的场景。
3.供应链攻击:当攻击目标本身防御措施较完备或初始攻击未能达到预期效果时,对与目标相关的周边企业、人员或供应链进行攻击,就有可能取得良好的效果。震网病毒、Havex恶意软件等就是供应链攻击的案例。
4.假旗行动:是指通过其他组织的旗帜、制服等手段误导公众。假旗行动一般有两种类型,一类是预设陷阱(样本实体文件、C&C服务器域名、特殊字符串、上线密码、诱饵文档等),一类是事后掩盖(在攻击过程中或攻击成功后,对域名、IP地址等信息进行伪装)。洋葱狗、SWIFT事件等就是假旗行动的案例。与欺骗技术相关的策略有6个:暗区、蜜令、蜜罐、密网、假旗行动、效果。
5.周期性袭扰:APT组织的攻击倾向于在工作日发起。以海莲花为例,因为中国政府和研究机构人员往往在周一、周二登录办公系统查询重大内部新闻和通知,所以经常在周一、周二发动水坑攻击。
6.横向移动:当初始攻击成功后,APT攻击者就会尝试扩大战果,进行横向移动,目的主要包括两个方面:一是进一步在受感染的目标机器上获取更多有价值的信息,二是借助受感染的目标机器探测周边其他设备的情况或向其他设备发动攻击。横向移动的攻击过程一般分为以下几个步骤:1)侦查和识别网络拓扑 2)查看远程计算机服务及状态 3)补充专用木马原本没有的功能。
7.伪装术:包括社会工程学伪装(邮件内容伪装、邮箱身份伪装)、文件视觉伪装(构造超长文件名来隐藏文件扩展名、使用双扩展名、文件图标伪装等)、快捷方式伪装、捆绑合法程序、压缩包外壳。
8.反侦察术:APT组织还会采用反侦察的技术,针对国内的安全软件包括360卫士、360杀毒、瑞星杀毒、金山毒霸、QQ软件管家等。还有一些专用木马程序会判断自身所处环境,当发现杀毒软件时,就会选择放弃执行后续的功能代码,或者设法绕过杀毒软件的监测。
PART5 APT攻击与防御技术趋势
第12章 APT攻击的特点与趋势
1.APT组织的发展越来越成熟:APT的发展经历四个阶段:初学乍练、广泛撒网、收缩攻击、无形攻击。
2.APT攻击技术越发高超:非PE文件攻击越来越多、开源工具和自动化攻击框架提高了APT攻击的效率。
3.国际冲突地区的APT攻击更加活跃:2018年,针对韩国、中东、美国、俄罗斯、巴基斯坦等地区的APT活动最为活跃,也被披露的最多。
4.网络空间已经成为大国博弈的新战场:无论是发动APT攻击,还是披露APT攻击,已成为国际关系中,大国政治与战略博弈的重要棋子。整个网络空间就是大国战略博弈的新战场。
5.针对基础设施的破坏性攻击日益活跃:乌克兰停电事件、沙特阿拉伯Shamoon2.0事件、孟加拉国央行被窃事件、泰国邮政储蓄银行ATM被窃事件等都属于非常典型的针对基础设施的破坏性攻击。
6.针对特定个人的移动端攻击显著增加:移动端存储敏感或机密文件的可能性要比C端小,因此针对移动端设备的攻击真正目的往往不是移动设备本身,而是其使用者,主要是获取目标人群的关系网信息。
第13章 APT攻击的监测与防御
1.如何发现APT攻击:传统的安全技术更加注重对已知威胁的防御能力,典型的监测方法就是用各种已知样本对安全产品或防御系统进行测试,以查杀率和误杀率作为产品能力的平平指标。但APT攻击属于位置威胁,应以“一定防不住”为出发点,利用大数据技术、威胁情报等技术提高安全能力。
1)大数据技术:包括数据采集、数据分析、数据呈现等多个方面
2)威胁情报技术:威胁情报是某种基于证据的知识,包括上下文、机制、标志、含义和可行的建议,这些知识与资产所面临的已有的或酝酿中的威胁或危害,可用于资产相关主体对威胁或危害的响应或为处理决策提供信息支持。
3)流量威胁检测技术:流量分析包括流量威胁分析(对网络中的所有行为从多个维度特征进行建模,设定相应的安全基线,弥补单纯依赖特征的不足)、流量日志存储(确保从时间轴和空间轴上实现网络内设备和应用的历史流量关联,从而做到实时检测)与威胁回溯分析(随时分类查看及调用任意时间段的数据,从不同维度、不同时间区间,提供不同层级的数据特征和行为模式特征,从而确定事件发生的根源)。
4)网络检测响应技术:NDR是指通过对网络流量产生的数据进行多手段检测和关联分析,主动感知传统防护手段无法发现的高级威胁,进而执行高效的分析和回溯,并智能地协助用户完成处置。在完整的NDR架构中,一般包括传感器、分析平台和执行器三种部件。
5)终端检测响应技术:EDR是基于终端大数据分析的新一代终端安全产品,能够对终端行为数据进行全面采集,实时上传,对终端进行持续检测和分析。
2.如何分析APT攻击
1)网络杀伤链模型:Cyber Kill Chain用来描述针对性攻击的各个阶段,分为七个部分:侦察、武器化、散布、恶用、设置、命令与控制、目标达成。反杀伤链模型包括六个步骤:发现、定位、跟踪、瞄准、打击和评估。
2)钻石模型:每个入侵事件有四个基本元素:攻击者、受害者、能力及基础设施。
3)自适应安全架构:是Gartner在2014年提出的面向未来的下一代安全架构,从预测、防御、检测和响应四个维度,强调安全防护是一个持续处理、循环的过程。
3.协同联动的纵深防御体系:包括两个部分:高级威胁的判定、安全威胁的处置。
Part6 典型的APT组织概述
第14章 全球知名的APT组织
1.方程式:由卡巴斯基在2015年披露,“影子经纪人”曾披露包括“永恒之蓝”等漏洞是出自方程式之手。该组织不仅针对军用,还针对民用。
2.索伦之眼:APT-C-16,由赛门铁克和卡巴斯基披露,该组织专门针对俄罗斯、中国、比利时、伊朗、瑞典等国家进行攻击。
3.APT28:其主要目标包括国防工业、军队、政府组织和媒体。
此外还有Lazarus、Group123等
第15章 国内安全厂商独立发现的APT组织
有海莲花、摩诃草、黄金眼、蔓灵花、美人鱼、黄金鼠、人面狮、双尾蝎、蓝宝菇、肚脑虫、毒云藤、盲眼鹰、拍拍熊等。
附录A APT组织的人员构成
一个来自境外的APT组织至少会由5个专业小组(情报收集小组、社会工程学小组、研发小组、C&C运维小组、情报分析小组)和1个指挥协调组成,有些甚至还有人工间谍。
附录B APT组织的命名规则
一般有以下原则:1)谁发现,谁命名 2)APT组织攻击方式或C&C服务器的特点 3)APT组织可能的政治及地缘背景猜测。