聊聊APT的溯源分析 |
來源:聚銘網(wǎng)絡(luò) 發(fā)布時間:2020-12-25 瀏覽次數(shù): |
信息來源:Freebuf
閱讀這篇文章之前,如果你對APT一無所知,可以先了解一下APT三個字的英文,A-Advanced,P-Persistent ,T-Threat。 SolarWinds APT事件前段時間火眼發(fā)現(xiàn)了一個基于供應(yīng)鏈攻擊的黑客組織攻擊事件,并將黑客組織命名為UNC2452/Dark Halo,看到這個名字,就想起了Dark Hotel,國內(nèi)外各安全廠商也都在第一時間拿到了APT攻擊的后門樣本,并對樣本進(jìn)行詳細(xì)分析,之后又有國內(nèi)外的一些廠商跟蹤分析了攻擊樣本中使用的DGA算法,并通過解密DGA算法,找到了一些受害者客戶的數(shù)據(jù),至于溯源到的這些客戶里有沒有誤報的,已經(jīng)不重要了,反正是溯源到了,接著又有越來越多的國內(nèi)外安全廠商發(fā)布了自己的相關(guān)報告,報告基本內(nèi)容就是大同小異,有些廠商加了自己的一些猜測推理啥的,包含微軟也發(fā)報了報告,也對后門進(jìn)行了詳細(xì)分析以及DGA部分,同時還推廣了一波自己的產(chǎn)品攔截技術(shù)等,我研究了十幾個國內(nèi)外不同的安全廠商針對此事發(fā)布的報告,能分析的基本都分析了,其實這個事能做的就只能到這里了,作為一個專業(yè)的安全廠商能在第一時間內(nèi)拿到攻擊的樣本,并做出快速響應(yīng),提供相應(yīng)的檢測清除以及防御解決方案就可以了,如果真的需要進(jìn)行下一步的溯源分析,也只能聯(lián)系SolarWinds公司配合,進(jìn)行內(nèi)部的調(diào)查取證分析了,但如果SolarWinds不配合,或者SolarWinds不找你做溯源取證分析,各大安全廠商基本能做的事就是這些了,至于攻擊者是如何攻擊SolarWinds恐怖也只有曝光的黑客組織Dark Halo或其他攻擊SolarWinds的黑客組織才最清楚了,因為大部分安全廠商是沒辦法去找Solar Winds進(jìn)行溯源取證分析的,所以溯源分析也就到此為止了,至于其他的一些什么分析就是純猜測了,沒啥意義,隨便怎么猜測都可以,而且就算SolarWinds找專業(yè)的安全廠商進(jìn)行溯源分析,最后的報告也不會對外發(fā)布,黑客的攻擊手法的相關(guān)細(xì)節(jié)也不會曝光,有些不懂的人還會說,難倒全球的安全廠商能做的就是這些?是怎么攻擊的,我還是不知道呀,其實確實也只能做這些,或者說能報道的也只能是這些了,更多的溯源分析大部分安全廠商也沒有辦法去做,因為SolarWinds沒有找他們溯源,其次就算找到了完整的攻擊鏈,你也看不到報告,就說到這里了,懂的人自然就懂了。 所有對外發(fā)布的APT報告最大的價值就是品牌宣傳,說白了就是"秀肌肉",告訴客戶我有能力幫你找到并處理APT攻擊事件,同時我有APT數(shù)據(jù),我還有產(chǎn)品能檢測和防御,我能幫助你發(fā)現(xiàn)企業(yè)中可能存在的APT攻擊事件,因為現(xiàn)在全球還有多少政府或企事業(yè)單位已經(jīng)被黑客攻擊了,無時無刻不在監(jiān)控和盜取政企的重要數(shù)據(jù),其實是未知的,這也是全球的安全廠商做安全的意義,事實上真實的客戶APT報告是不會對外發(fā)布的,都是定向發(fā)給客戶的,沒有哪個安全廠商會把自己重要客戶的APT事件報告發(fā)到外面,這樣做沒有任何意義,給客戶保密是安全從業(yè)人員最基本的素養(yǎng)。 APT攻擊解讀經(jīng)常在一些安全大會上聽到一些人講APT攻擊,以及APT溯源分析啥的,其實一些人還沒有搞清楚APT攻擊是啥意思,就在談?wù)揂PT溯源分析,啥是APT都不知道?為什么叫APT?APT攻擊的目的是什么? 啥是APT:APT就是高級可持續(xù)性威脅攻擊 我們要討論某個攻擊行為的時候,為什么稱這類攻擊為APT,其它攻擊不是APT呢:為什么火眼發(fā)現(xiàn)的這個東西就是APT攻擊事件,并不是因為他使用了供應(yīng)鏈攻擊技術(shù),供應(yīng)鏈攻擊僅僅是APT攻擊使用的一種高級技術(shù),所以供應(yīng)鏈攻擊僅僅是代表了A,僅只有A,是不能叫APT,完整的APT攻擊一定是:A-高級,使用了一些高級的攻擊手法,比方供應(yīng)鏈攻擊手法,利用了一些系統(tǒng)或應(yīng)用的0day漏洞,或者使用了很多以前未見過的各種組合攻擊方式等,然后這些僅僅是A,還需要P。 P-持續(xù)性,在黑客組織攻擊成功之后,一定會在受害者機器上駐留植入后門,以達(dá)到長期監(jiān)視受害者,盜取重要數(shù)據(jù)的目的,P就是APT攻擊最后釋放的高端遠(yuǎn)控后門,也稱為APT特馬,一個高級特馬的免殺效果在一定程度上決定了一個APT組織技術(shù)的高低。 只有滿足了這兩點才能叫APT,高級可持續(xù)性攻擊,很多人其實并不理解什么是APT,也沒搞清楚APT的本質(zhì)是啥,也不懂為啥叫APT,還有APT的重點是什么? APT的目的:黑客組織使用一些高級可持續(xù)的攻擊方法和手段,通過長期監(jiān)視目標(biāo),獲得目標(biāo)的重要數(shù)據(jù),持續(xù)監(jiān)控獲取數(shù)據(jù)是APT的關(guān)鍵,具體強烈的政治和經(jīng)濟目的。 以后別人再跟你談APT的時候,你就先問他啥是APT,怎么定義這個事件是APT的,再跟他聊后面的溯源分析,如果連APT都沒有搞清楚,就沒有必要聊下去了。 我在面試的過程中會遇到不少人在自己的簡歷中寫APT啥的,也遇到不少人聊APT,其實很多人連APT是啥都沒有搞清楚,有些人說APT:使用一些0day漏洞攻擊就說是APT,發(fā)個釣魚郵件,使用魚叉攻擊,水坑攻擊手法就說是APT,其實都是不準(zhǔn)確的,這些只能叫APT攻擊的一種手法,使用了這種攻擊手法的安全事件,并不一定就是APT攻擊事件,APT攻擊事件的核心一定要找到P,沒有P(APT特馬),再高級的攻擊手法,也只能叫AT事件,這次攻擊事件僅僅是利用了一些高級手法的威脅事件而已,并不能稱為APT。 APT攻擊思考我常常說我們做安全就跟當(dāng)警察是一樣的,做安全就是為了保障我們的客戶安全,當(dāng)警察是為了保障人民群眾的安全,我們在客戶現(xiàn)場溯源分析的過程,就和警察在刑事犯罪現(xiàn)場推理案件的過程是一樣的,警察破案,一切的根本是基于證據(jù)的,沒有證據(jù),如果一切僅僅都是猜想,猜想是定不了罪的,同時當(dāng)企業(yè)被黑客攻擊之后,我們需要從客戶的機器上進(jìn)行溯源分析,獲取相關(guān)的證據(jù)和數(shù)據(jù),客戶的機器其實就是“犯罪現(xiàn)場”,存留在機器上的樣本就相當(dāng)于受害者的“尸體”,我是很喜歡看刑偵類電視劇的,比方《法證先鋒》《刑事偵緝檔案》《插翅難逃》《神探狄仁杰》《重案六組》《鑒證實錄》等,基本都看了好幾遍,相信很多朋友也看過,大家可以發(fā)現(xiàn)要想破案的關(guān)鍵因素之一首先就是要保留作案現(xiàn)場,如果作案現(xiàn)場被破壞會加大破案的難度,同時最后大家會發(fā)現(xiàn),警察一定要找到受害者的“尸體”,不管是不是一具完整的“尸體”,或者僅僅是“尸體”的一些殘留物質(zhì),找到受害者“尸體”是定罪的關(guān)鍵因素之一,有些極端的犯罪份子會“毀尸滅跡”,警察會通過各種技術(shù)手段找到“尸體”殘駭,這種“毀尸滅跡”類型重大刑事案件一般是比較難偵破的,往往需要去收集和尋找更多的證據(jù),有時候甚至還需要和犯罪份子打心理戰(zhàn),通過心理戰(zhàn)突破他的防線,從而破案,但是不管是哪一個案件,一切都是拿證據(jù)和事實來定罪的,純憑猜測是沒有辦法定罪的。 當(dāng)我們在處理客戶應(yīng)急響應(yīng)的時候,存留在客戶機器上的樣本就是我們要找的“尸體”,只有先找到“尸體”才能定義它為一個重大的刑事案件,如果連“尸體”都沒有找到,是沒有辦法定義的,從“尸體”中去尋找證據(jù)和答案是最有效也是最直接的方法,首先警察會將“尸體”移交給專業(yè)的法醫(yī)人員進(jìn)行檢測和分析,判斷死者的大體死亡日期(樣本的感染時間),死者的年紀(jì)(樣本的編譯時間),死者此前是否有受到過侵犯和死者的死亡原因(樣本的靜態(tài)和動態(tài)行為特征),從這些可以大致判斷犯罪份子大概的行兇時間(黑客攻擊時間),行兇過程以及死者的死亡原因。 APT溯源的關(guān)鍵問題是要有客戶的犯罪現(xiàn)場,如果沒有犯罪現(xiàn)場,一般的安全廠商能做的事就是通過從犯罪現(xiàn)場找到的受害者的“尸體”(樣本)進(jìn)行溯源分析了,所以如果一個安全廠商又沒有犯罪現(xiàn)場,又沒有拿到受害者的“尸體”(樣本),就在那里大談溯源分析,APT溯源分析,基本就是純扯淡,這種報告完全不用看,可以看國內(nèi)外各大安全廠商發(fā)布的APT報告,“尸體”(樣本)分析是必不可少的一部分,不管有沒有客戶現(xiàn)場,如果連簡單的“尸體”(樣本)分析都沒有,就跟能法醫(yī)的報告都沒有拿到,就幾個警察在那里推判猜測,是沒有任何意義的,一切的犯罪都是要基于證據(jù)的,沒有證據(jù),推論和猜測就毫無意義了。 APT攻擊溯源APT攻擊應(yīng)該如何溯源?一定是有什么異常,先從異常入手,不管是多么高端的APT組織一定會在機器上駐留信息,因為這是APT的核心之一,沒有P,不能算是APT攻擊,僅僅是AT攻擊或普通的T攻擊,APT攻擊一定是有P的,那我們最好的方式就是從P入手,從而溯源推理出整個攻擊事件。 P就是“尸體”(樣本),所有的APT攻擊的最后都會保留一個“尸體”(樣本),這個“尸體”(樣本)就是P,不同水平的APT組織使用的P的技術(shù)不一樣,判斷是一個APT組織技術(shù)的高低標(biāo)準(zhǔn)之一就是P能存留多長時間不被安全廠商發(fā)現(xiàn),如果一個APT組織的P在十年之后都沒有被全球的各安全廠商發(fā)現(xiàn),那這個APT組織一定是最厲害的APT組織之一,一般的P的存活時間不到一天,厲害的一周,更厲害的幾周,幾個月,頂級的可以存留幾年甚至更長時間不被發(fā)現(xiàn)。 當(dāng)然判斷一個安全廠商的安全能力的標(biāo)準(zhǔn)也就是發(fā)現(xiàn)P的能力了,不管你用什么方法,管你什么AI,大數(shù)據(jù),算法等等,只要你能第一時間發(fā)現(xiàn)客戶機器上的P,分析出黑客做了什么事,同時能追蹤到黑客的攻擊手法以及攻擊流程,這就是代表你的安全能力的。 當(dāng)我們拿到P之后,如果想溯源,能做的第一件事情就是分析研究P,這就需要一名經(jīng)驗豐富優(yōu)秀的法醫(yī)了,一個優(yōu)秀的法醫(yī)并不是他的解剖技術(shù)有多好,而且他的經(jīng)驗豐富,分析解剖的“尸體”很多,見過的“尸體”更多,一般的“尸體”一個經(jīng)驗豐富的法醫(yī)在很短的時間內(nèi)就能大概判斷出“尸體”的特征,這和我們在分析樣本的時候是一樣的,當(dāng)你對各種不同類型的樣本都很熟悉之后,分析過的樣本越來越多之后,你就會很快的定位到樣本的關(guān)鍵信息。同樣一名優(yōu)秀的警察也是他的Q法有多準(zhǔn),而且他的辦案經(jīng)驗比較豐富,能快速的推理出案件的關(guān)鍵信息等。 其實P(樣本)就是APT的核心,沒什么好辯解的,針對樣本的分析就是APT分析的關(guān)鍵,首先需要從樣本中找到更多有價值的東西,如果一次APT攻擊事件連樣本都沒有找到,就純猜測沒啥意義,APT報告的核心就是對樣本的分析,如果一篇報告連基本的樣本都沒有分析清楚,就大談APT攻擊,攻擊手法什么的,就是純扯,就像這次如果火眼不公布樣本,其他廠商能分析啥?推測啥?其實啥也不會知道?APT攻擊過程中黑客能留下的最真在最有價值的東西就是樣本,樣本也是你能與黑客組織”對話“最直接的橋梁,所有的一切結(jié)論都是基于樣本分析得出來,然后再通過獲取到更多的樣本數(shù)據(jù)推論出更多的結(jié)論,不然就是純猜測,沒有任何事實依據(jù)可言,如果你覺得對已知或未知的APT事件的樣本逆向分析價值不大,只能說明一點:你分析的樣本真的太少了,你見過的樣本太少了,你處理的安全攻擊事件太少,你的經(jīng)驗不足而已,對安全的理解不夠深入。 APT溯源分析不是單靠數(shù)據(jù)就能解決的,更多的是需要經(jīng)驗豐富的安全人員進(jìn)行定向的取證分析,首先需要有犯罪現(xiàn)場(客戶),如果沒有犯罪現(xiàn)場(客戶),就只能通過獲取到的APT事件的“尸體”(樣本)進(jìn)行技術(shù)分析取證,然后再通過自家的數(shù)據(jù)進(jìn)行跟蹤分析了,所以這就是為啥大部分安全廠商對外發(fā)布的APT事件都是以樣本分析為主的,有些順帶會寫一些應(yīng)急措施以及相關(guān)的可能受影響的客戶,真實的APT攻擊事件的客戶溯源以及提供給客戶的APT報告是一定不會公開分享的,因為里面會涉及到客戶的重要的數(shù)據(jù)以及客戶產(chǎn)品中重要的安全問題,這種報告都是定向輸出給客戶的,對外輸出的APT報告基本都是為了宣傳自家的安全廠商有這種安全分析能力以及數(shù)據(jù)能力,因為當(dāng)真正有客戶找你進(jìn)行APT溯源分析的時候,才是真正展示一個廠商安全能力的時候,其它的時間都是要練兵,正所謂,養(yǎng)兵千日,用在一時,平時沒事的時候,就是要多去分析樣本,研究漏洞原理,多去熟悉一些常用的黑客攻擊手法,見的多了,經(jīng)驗自然就豐富了,如果連樣本都不去分析,常見的漏洞和攻擊手法都不知道有哪些,平時也沒有機會接觸一些APT攻擊事件,那如何鍛煉自己的APT溯源分析能力,如何能快速的定位問題,找到安全攻擊事件的關(guān)鍵信息,就相當(dāng)于一個法醫(yī),從來不解剖研究“尸體”,一個警察從來不去犯罪現(xiàn)場調(diào)查取證,就純靠意淫,或者看看別人的報告,就憑自己的想象斷案,基本就是扯淡,所以如果你要跟我討論APT溯源什么的,我首先會問你有沒有抓到APT事件的樣本(P),有沒有分析過事件中的樣本(P),從P中找到了什么有價值的信息沒有,或者有沒有發(fā)現(xiàn)可疑的日志信息(犯罪現(xiàn)場),如果連基本的樣本(P)都沒有拿到,也沒有去犯罪現(xiàn)場(日志信息)分析過,我覺得咱們暫時沒啥討論的必要,純意淫沒啥價值,浪費時間和精力。 這里還說一點,就是前面說的APT數(shù)據(jù),因為現(xiàn)在做安全的人喜歡說數(shù)據(jù)這個詞,其實一切都是數(shù)據(jù),代碼是數(shù)據(jù),樣本也是數(shù)據(jù),特征是數(shù)據(jù),行為也是數(shù)據(jù),網(wǎng)絡(luò)流量還是數(shù)據(jù),這一切皆為數(shù)據(jù),單純的說APT數(shù)據(jù)也是沒有啥意義的,一定要有具體的東西,比方APT 樣本二進(jìn)制代碼數(shù)據(jù),漏洞規(guī)則數(shù)據(jù),威脅情報IOC數(shù)據(jù),APT攻擊行為數(shù)據(jù)等等,安全廠商能做的事,就是基于現(xiàn)有的APT歷史數(shù)據(jù)和最新的APT事件攻擊樣本,建立APT數(shù)據(jù)庫,然后關(guān)聯(lián)更多的數(shù)據(jù),APT數(shù)據(jù)的積累其實也是一個平常練兵的過程,因為當(dāng)你沒有客戶來找你的時候,或者你沒有受到APT攻擊的時候,通過收集和整理之前的一些APT事件的數(shù)據(jù),形成一個APT的知識數(shù)據(jù)庫,積累自己的辦案經(jīng)驗,也是一種方法,這些APT攻擊事件文檔其實就是警察辦案后的案卷存檔,通過整理這些案卷,進(jìn)行標(biāo)準(zhǔn)化的保存,方便進(jìn)行信息的檢索和關(guān)聯(lián),從而可以對案件的證破起到一定的作用,所以現(xiàn)在安全廠商都在進(jìn)行APT相關(guān)數(shù)據(jù)的運營,APT數(shù)據(jù)的積累是需要一個長期的過程的,但這種方式對一些關(guān)聯(lián)的APT組織是有很大的幫助的,但是對于一些新型的APT組織幫助不大,不過APT數(shù)據(jù)的收集和整理是必不可少的一部分,這就相當(dāng)于對全球刑事案件的檔案管理一樣,但僅僅依靠APT數(shù)據(jù)是沒辦法溯源分析最新的APT攻擊事件的,需要專業(yè)的經(jīng)驗豐富的安全專家對客戶進(jìn)行溯源分析,調(diào)查取證。 APT溯源的過程就是一個警察破案的過程,警察怎么破案的,我們做安全的就怎么去做溯源分析,犯罪現(xiàn)場和受害者人“尸體”是所有重大刑事案件中兩個最關(guān)鍵的東西,一切的一切都是需要證據(jù)的,沒有證據(jù),利用什么數(shù)據(jù)來扯淡,一切靠猜想,是沒有任何意義的。 如果一個人跟你說基于AI技術(shù)、大數(shù)據(jù)技術(shù),還有其他啥技術(shù),就可以分析檢測未知APT攻擊,基本可以斷定這個人是不懂APT的,可能連APT是啥都不知道,任何高級安全威脅事件的溯源分析,都不能僅僅依靠產(chǎn)品或者數(shù)據(jù),實戰(zhàn)經(jīng)驗豐富的安全從業(yè)人員是必不可少的,只有這些經(jīng)驗豐富的安全人員才最了解黑客,更別說是一些高端未知APT攻擊了。 總結(jié)未來網(wǎng)絡(luò)安全事件,一定是以定向攻擊為主的,同時APT攻擊手法也一定為成為未來安全攻擊的主流,通過APT攻擊獲取國家政企業(yè)重要的數(shù)據(jù),并長期對國家政企業(yè)進(jìn)行監(jiān)控,達(dá)到黑客組織攻擊的目的。 好了,就寫到這里了吧,真正深入研究并理解安全的人,一看就明白了,看不懂的人,也沒辦法,就踏踏實實花時間多去研究安全,提升一下自己的安全能力和對安全的理解,再多經(jīng)歷一些事情,經(jīng)歷多了自然就明白了,說真的,雖然現(xiàn)在很多人做安全,但并不是每個做安全的人都懂安全,也并不是每個做APT研究的人都懂APT,一些人說使用什么產(chǎn)品就能檢測APT,利用什么算法就能檢測APT啥的,這些都是基于已有的APT數(shù)據(jù)進(jìn)行檢測,真正的未知APT攻擊事件,基于現(xiàn)在這些已知的數(shù)據(jù)肯定是檢測不出來,不管你用什么算法,你有什么數(shù)據(jù),基本都沒用,真實的只有當(dāng)APT事件真實發(fā)生之后,有某些異常產(chǎn)生,然后再通過經(jīng)驗豐富的安全研究人員基于這些異常所在的環(huán)境對異常進(jìn)行跟蹤溯源分析之后,確認(rèn)為APT攻擊事件,再快速應(yīng)響,最大限度的幫助客戶減少因為APT攻擊事件造成的重大損失,只有真正接觸過很多客戶真實APT攻擊案例,做過很多客戶重大安全應(yīng)急響應(yīng)溯源分析,并且經(jīng)驗豐富的基礎(chǔ)安全研究人員才是發(fā)現(xiàn)APT攻擊事件的關(guān)鍵,這是一種非常強的安全分析研究能力,這種能力并不是一朝一夕能達(dá)到的,需要經(jīng)過長時間的訓(xùn)練,那么針對以后可能發(fā)生的一些未知的APT攻擊事件,我們?nèi)绾文芸焖侔l(fā)現(xiàn),以及我們現(xiàn)在能做什么呢?其實很簡單,就是不斷的積累安全分析與研究經(jīng)驗,以后當(dāng)別人跟你討論安全,或者跟你討論APT的時候,你首先要判斷的是這個人值不值得你花時間去跟他深度的探討一些問題,如果大家都不在一個層次,對安全的理解都不在一個層次,點到為止即可,安全的路還很長,不管未來時代怎么發(fā)展,不管平臺如何變化,框架如何更新,概念如何炒作,安全問題總是會一直存在,可能不同的時代表現(xiàn)形式不一樣吧了,安全是一個過程,并不是開發(fā)個什么新平臺,推出什么新產(chǎn)品就完事了的,是需要長期的運營的,而且隨著現(xiàn)在國際形勢的發(fā)展,未來這種定向有目的未知的黑客組織發(fā)起的APT高級攻擊事件在國與國,企業(yè)與企業(yè)之間會越來越多,安全發(fā)展的這么多年,你會發(fā)現(xiàn)其實核心的東西其實一直沒有變,做為一名安全從業(yè)人員,只需要做到:堅持,不忘初心。
|