全球高級(jí)持續(xù)性威脅(APT)2018年中報(bào)告
責(zé)編:gltian |2018-08-07 14:20:23序言
APT,又稱高級(jí)持續(xù)性威脅,通常用于區(qū)分由國家、政府或情報(bào)機(jī)構(gòu)資助或具有相關(guān)背景的攻擊團(tuán)伙實(shí)施的攻擊行動(dòng)。該類攻擊行動(dòng)的動(dòng)機(jī)往往與地緣政治沖突,軍事行動(dòng)相關(guān),并以長久性的情報(bào)刺探、收集和監(jiān)控為主要意圖,其主要攻擊的目標(biāo)除了政府、軍隊(duì)、外交相關(guān)部門外,也包括科研、海事、能源、高新技術(shù)等領(lǐng)域。
近年來,結(jié)合國內(nèi)外各個(gè)安全研究機(jī)構(gòu)、安全廠商對(duì)APT類威脅活動(dòng)的持續(xù)跟蹤和分析的結(jié)果,可以看到攻擊團(tuán)伙使用的攻擊戰(zhàn)術(shù)、技術(shù)和過程已經(jīng)達(dá)到非常成熟的階段,即便部分攻擊團(tuán)伙的技術(shù)能力不高,但也能通過利用公開的或開源的腳本類或自動(dòng)化攻擊框架快速形成完備的攻擊武器。攻擊團(tuán)伙不但使用針對(duì)個(gè)人PC、服務(wù)器和目標(biāo)內(nèi)部網(wǎng)絡(luò)的攻擊向量技術(shù),并且覆蓋了移動(dòng)設(shè)備和家用路由器,其攻擊目標(biāo)也延伸至金融、工業(yè)控制、醫(yī)療、酒店領(lǐng)域。
本報(bào)告是360威脅情報(bào)中心結(jié)合公開的威脅情報(bào)和內(nèi)部情報(bào)數(shù)據(jù),針對(duì)2018年上半年高級(jí)威脅事件相關(guān)的分析和總結(jié),并對(duì)近半年的APT攻擊活動(dòng)所呈現(xiàn)的態(tài)勢進(jìn)行分析。
主要觀點(diǎn)
近期的APT攻擊活動(dòng)呈現(xiàn)出明顯的地緣政治特征,當(dāng)前主要活躍的APT攻擊活動(dòng)可以劃分為如下幾塊:中東地區(qū)、東歐和中亞、亞太地區(qū)、美國和歐洲。
近半年來,針對(duì)境內(nèi)的APT攻擊活動(dòng)異常活躍,從360威脅情報(bào)中心的監(jiān)測來看,至少存在8個(gè)不同來源的APT組織在上半年都有不同程度的,針對(duì)境內(nèi)機(jī)構(gòu)實(shí)施了攻擊活動(dòng),這可能也與近年來中國在亞太地區(qū)的國際形勢有關(guān)。
APT攻擊組織更多的引入一些公開或開源的工具和攻擊框架,并用于實(shí)際的攻擊活動(dòng)中,而不再單純依賴自身開發(fā)的網(wǎng)絡(luò)攻擊武器。其在初始攻擊階段更多使用一些輕量級(jí)的攻擊技術(shù),只有針對(duì)明確的高價(jià)值目標(biāo)才會(huì)觸發(fā)后續(xù)階段載荷的植入。這說明攻擊者對(duì)后續(xù)攻擊載荷的投放更加謹(jǐn)慎,以避免過早的暴露其整體的攻擊鏈路。
APT組織在攻擊行動(dòng)中刻意引入的false flag,有意避免和過去的攻擊行動(dòng)產(chǎn)生重合,增大了威脅分析中對(duì)背景研判的難度。例如在攻擊韓國平昌奧運(yùn)會(huì)的事件中,多家安全廠商對(duì)其攻擊來源的歸屬做出了不同的分析和推斷。
針對(duì)移動(dòng)設(shè)備、路由器的攻擊技術(shù)給網(wǎng)絡(luò)間諜活動(dòng)帶來了更多的攻擊向量,例如賽門鐵克披露的Inception Framework組織[2]利用UPnProxy技術(shù)[3]攻擊路由器用于構(gòu)建隱匿的回傳控制網(wǎng)絡(luò)。
摘要
近半年來,全球APT攻擊活動(dòng)呈現(xiàn)出較高的活躍程度。360威脅情報(bào)中心在近半年中監(jiān)測到的APT相關(guān)公開報(bào)告(從2017.12月至2018.6月)也多達(dá)227篇。本次研究主要以2017年底至2018年上半年,全球各研究機(jī)構(gòu)公開披露的APT報(bào)告或研究成果為基礎(chǔ),對(duì)當(dāng)前的APT攻擊形勢進(jìn)行綜合分析。
2018年上半年,APT攻擊活動(dòng)呈現(xiàn)出明顯的地緣政治特征,當(dāng)前主要活躍的APT攻擊活動(dòng)可以劃分為如下幾塊:中東地區(qū)、東歐和中亞、亞太地區(qū)、美國和歐洲。
2018年上半年,至少存在8個(gè)不同來源的APT組織針對(duì)境內(nèi)實(shí)施APT攻擊行動(dòng)。它們分別是:海蓮花、摩訶草、蔓靈花、Darkhotel、APT-C-01、藍(lán)寶菇,以及另外兩個(gè)已被360威脅情報(bào)中心監(jiān)測到,但尚未被任何組織機(jī)構(gòu)披露的APT組織。
APT威脅的攻防技術(shù)對(duì)抗持續(xù)升級(jí)。其中,0day漏洞利用能力日益提升;結(jié)合開源工具和自動(dòng)化攻擊框架提高攻擊效率;不斷加強(qiáng)對(duì)自身攻擊手法特點(diǎn)的掩蓋和迷惑性;更多的展開對(duì)移動(dòng)設(shè)備和路由器攻擊等,成為2018年上半年全球APT攻擊的重要特點(diǎn)。
第一章?地緣政治背后的攻擊團(tuán)伙
近半年來,全球APT攻擊活動(dòng)呈現(xiàn)出較高的活躍程度。360威脅情報(bào)中心在近半年中監(jiān)測到的APT相關(guān)公開報(bào)告(從2017年12月至2018年6月)也多達(dá)227篇。本次研究主要以2017年底至2018年上半年,全球各研究機(jī)構(gòu)公開披露的APT報(bào)告或研究成果為基礎(chǔ),對(duì)當(dāng)前的APT攻擊形勢進(jìn)行綜合分析。
近半年來,APT攻擊活動(dòng)呈現(xiàn)出明顯的地域特征,這也與國家背景黑客團(tuán)伙間的圍繞以地緣政治因素和間諜情報(bào)活動(dòng)為主要意圖的動(dòng)機(jī)有關(guān)。當(dāng)前主要活躍的APT攻擊團(tuán)伙其攻擊活動(dòng)的地域范圍可以大體分為四塊:中東地區(qū),東歐和中亞,亞太地區(qū),美國和歐洲。
一、?中東地區(qū)
中東地區(qū)常以動(dòng)亂的政治局勢,復(fù)雜的宗教背景,和豐富的能源資源為主,其地域下的網(wǎng)絡(luò)間諜攻擊活動(dòng)尤為頻繁,大多圍繞以地緣沖突的國家政府和機(jī)構(gòu)為主要目標(biāo),也以包括工業(yè),能源行業(yè),以及持不同見政者。
2018年上半年,被全球各個(gè)研究機(jī)構(gòu)披露的中東地區(qū)最為活躍的APT組織中,有多個(gè)組織被認(rèn)為與伊朗有關(guān)。這可能與RecordedFuture宣稱的伊朗利用多個(gè)承包商和大學(xué)分層承包策略實(shí)施其網(wǎng)絡(luò)攻擊活動(dòng)的背景有關(guān)[5]。
| 組織名稱 | 攻擊目標(biāo)地域 | 主要攻擊目標(biāo) |
|---|---|---|
| APT34 | 中東地區(qū) | 金融、政府、能源、化工、電信 |
| MuddyWater | 中東和中亞,包括土耳其、巴基斯坦、塔吉克斯坦 | |
| Chafer | 以色列、約旦、阿聯(lián)酋,沙特阿拉伯和土耳其 | 航空、海運(yùn)、電信相關(guān)機(jī)構(gòu)及其軟件和IT公司 |
| OilRig | 中東地區(qū),包括伊拉克、以色列等;巴基斯坦和英國 | 石油、天然氣、電力等能源機(jī)構(gòu)和工業(yè)控制系統(tǒng) |
表1??部分攻擊中東地區(qū)的APT組織的主要攻擊地域與攻擊目標(biāo)比較
下面主要對(duì)APT34、MuddyWater,以及2018年1月,由360威脅情報(bào)中心披露的,針對(duì)敘利亞地區(qū)展開攻擊的黃金鼠組織(APT-C-27)進(jìn)行介紹。
(一)?APT34
APT34是由FireEye披露的,被認(rèn)為是來自伊朗的APT組織,其最早攻擊活動(dòng)至少可以追溯到2014年[6]。APT34主要利用魚叉攻擊。該組織過去的魚叉攻擊活動(dòng)主要是投遞帶有惡意宏的誘導(dǎo)文檔,而其近半年的攻擊活動(dòng)中則更多的使用魚叉郵件投遞漏洞利用RTF文檔(CVE-2017-0199和CVE-2017-11882)。被投遞的惡意文檔主要是向受害目標(biāo)主機(jī)植入其自制的PowerShell后門程序達(dá)到攻擊目的,其主要使用的兩個(gè)PowerShell后門為POWRUNER和BONDUPDATER。
| 后門名稱 | 持久性 | 控制通信 | 主要功能 |
|---|---|---|---|
| POWRUNER | 計(jì)劃任務(wù) | HTTP | 文件上傳,截屏 |
| BONDUPDATER | 計(jì)劃任務(wù) | DGA生成子域名 | 實(shí)現(xiàn)命令控制 |
表2? APT34組織使用的兩個(gè)PowerShell后門
(二)?MuddyWater
MuddyWater是另一個(gè)被認(rèn)為是來自伊朗的APT組織,其最早攻擊活動(dòng)可以追溯到2017年,并在2018年初發(fā)起了多次魚叉攻擊活動(dòng)。
MuddyWater利用魚叉郵件投遞嵌有惡意宏的文檔文件,其執(zhí)行VBS腳本或利用scriptlet植入PowerShell后門POWERSTATS,其回連的控制鏈接主要利用被攻擊的網(wǎng)絡(luò)站點(diǎn)。
APT34和MuddyWater這兩個(gè)組織的攻擊特點(diǎn)對(duì)比如下。
| 攻擊行為 | 具體攻擊方式 | APT34 | MuddyWater |
|---|---|---|---|
| 攻擊入口 | 魚叉攻擊 | √ | √ |
| 初始植入 | 文檔漏洞 | √ | |
| 惡意宏文檔 | √ | √ | |
| 載荷執(zhí)行 | 腳本執(zhí)行 | √ | |
| PowerShell后門 | √ | √ | |
| 控制回傳 | DGA | √ | |
| 失陷網(wǎng)站 | √ |
表3? APT34和MuddyWater的攻擊特點(diǎn)對(duì)比
(三)?黃金鼠
2018年1月,360威脅情報(bào)中心披露了一個(gè)針對(duì)敘利亞地區(qū)新的APT組織黃金鼠(APT-C-27)[27]。
研究顯示,從2014年11月起至今,黃金鼠組織(APT-C-27)對(duì)敘利亞地區(qū)展開了有組織、有計(jì)劃、有針對(duì)性的長時(shí)間不間斷攻擊。攻擊平臺(tái)從開始的Windows平臺(tái)逐漸擴(kuò)展至Android平臺(tái)。
2015年7月,敘利亞哈馬市新聞媒體在Facebook上發(fā)布了一則消息,該條消息稱帶有“土耳其對(duì)敘利亞邊界部署反導(dǎo)彈系統(tǒng)進(jìn)行干預(yù),詳細(xì)信息為http://www.gulfup.com/?MCVlNX”的信息為惡意信息,并告誡大家不要打開信息中鏈接,該鏈接為黑客入侵鏈接。哈馬市揭露的這次攻擊行動(dòng),就是我們在2016年6月發(fā)現(xiàn)的針對(duì)敘利亞地區(qū)的APT攻擊。從新聞中我們確定了該行動(dòng)的攻擊目標(biāo)至少包括敘利亞地區(qū),其載荷投遞方式至少包括水坑式攻擊。
目前已知的,黃金鼠組織的主要攻擊活動(dòng),如下圖所示。
二、?東歐和中亞
東歐和中亞地區(qū)的APT攻擊活動(dòng)主要以被認(rèn)為是俄羅斯背景的APT組織實(shí)施,這也與俄羅斯在東歐和中亞的政治軍事沖突和戰(zhàn)略地位有關(guān),包括烏克蘭、格魯吉亞等。結(jié)合歷史各研究機(jī)構(gòu)對(duì)多個(gè)被認(rèn)為是俄羅斯背景的攻擊組織的披露情況分析,這些組織主要的攻擊目標(biāo)不僅針對(duì)東歐和中亞地區(qū),也針對(duì)北美和北約組織等國。
相比于其他地區(qū)的多數(shù)APT組織,被認(rèn)為是俄羅斯背景的APT組織通常擁有更高的攻擊技術(shù)能力,并實(shí)現(xiàn)了其自有的完備的攻擊武器。近年來被公開披露的相關(guān)APT組織主要活動(dòng)如下表所示。
| 組織名稱 | 攻擊目標(biāo)地域 | 主要攻擊目標(biāo) |
|---|---|---|
| APT28 | 東歐和中亞,包括烏克蘭,格魯吉亞,土耳其等北美和歐洲 | 政府機(jī)構(gòu),外交部門 |
| APT29 | 烏克蘭,格魯吉亞,美國,北約等 | 政府機(jī)構(gòu),智庫,NGO |
| Turla | 東歐 | 大使館和領(lǐng)事館,國防工業(yè) |
| Energetic Bear | 烏克蘭,美國,英國等 | 能源和工業(yè)部門 |
表4??部分被認(rèn)為是俄羅斯背景的APT組織2018年上半年主要活動(dòng)
下面主要針對(duì)最為活躍,也最引人關(guān)注的APT28組織進(jìn)行詳細(xì)說明。
APT28被認(rèn)為是隸屬于俄羅斯軍事情報(bào)機(jī)構(gòu)GRU背景的APT組織,其與另一個(gè)據(jù)稱和俄情報(bào)機(jī)構(gòu)有關(guān)的APT29常被美國DHS統(tǒng)稱為GRIZZLY STEPPE。
APT28是一個(gè)高度活躍的APT攻擊組織,其擁有如DealersChoice的漏洞利用攻擊套件和Xagent這樣針對(duì)多平臺(tái)的攻擊木馬程序。
該組織在2018年上半年的主要攻擊活動(dòng)如下:
| 攻擊活動(dòng)時(shí)間 | 攻擊活動(dòng)簡介 |
|---|---|
| 2018年2月初 | 針對(duì)兩個(gè)涉外政府機(jī)構(gòu)的攻擊活動(dòng)[10] |
| 2018年3月9日 | 卡巴斯基總結(jié)了APT28在2018年的攻擊活動(dòng)現(xiàn)狀和趨勢[11] |
| 2018年3月12日-14日 | 針對(duì)歐洲政府機(jī)構(gòu)的攻擊活動(dòng)[10] |
| 2018年4月24日 | 安全廠商披露APT28近兩年的攻擊活動(dòng)中主要使用Zebrocy作為初始植入的攻擊載荷[12] |
| 2018年5月1日 | 安全廠商發(fā)現(xiàn)APT28修改Lojack軟件的控制域名實(shí)現(xiàn)對(duì)目標(biāo)主機(jī)的監(jiān)控[9] |
| 2018年5月8日 | 美聯(lián)社披露APT28組織偽裝IS對(duì)美國軍嫂發(fā)送死亡威脅信息[8] |
| 2016年至2018年5月 | APT28針對(duì)烏克蘭家用路由器設(shè)備的攻擊事件,被命名為VPNFilter[7] |
表5? APT28組織在2018年上半年的主要攻擊活動(dòng)
在近期該組織的攻擊活動(dòng)中,其主要利用DDE或宏代碼投放初始階段的攻擊載荷Zebrocy,其是使用AutoIt和Delphi實(shí)現(xiàn)的用于初步植入的攻擊載荷,可用于信息收集和將后續(xù)階段載荷(如Xagent)投遞到高價(jià)值的攻擊目標(biāo)主機(jī)。
在初始攻擊階段,其也開始使用PowerShell腳本實(shí)現(xiàn)部分功能,并利用開源的后滲透工具Koadic替代該組織自行研制的木馬后門程序[10]。
三、?亞太地區(qū)
亞太地區(qū)的APT攻擊活動(dòng)主要可以分為圍繞朝鮮半島局勢,南亞和東南亞的地緣政治沖突以及針對(duì)我國境內(nèi)的APT攻擊活動(dòng),而其中以據(jù)稱是朝鮮來源的APT組織尤為活躍。
被認(rèn)為是朝鮮背景的APT組織主要以Lazarus Group和Group 123為主,并且Lazarus Group組織下存在部分子組織,其具有相對(duì)獨(dú)立的攻擊目標(biāo)和攻擊動(dòng)機(jī),并且與Lazarus使用的攻擊工具和惡意載荷存在部分交叉。結(jié)合公開的披露報(bào)告,我們整理被認(rèn)為是朝鮮APT組織的層次結(jié)構(gòu)如下。
| APT組織名稱 | 主要攻擊目標(biāo)地域 | 主要攻擊目標(biāo)領(lǐng)域 | 組織簡述 |
|---|---|---|---|
| Lazarus Group | 韓國 | 政府,銀行等 | 朝鮮背景最為活躍的APT組織 |
| Bluenoroff group | 歐洲東南亞等 | 銀行機(jī)構(gòu),SWIFT系統(tǒng) | Lazarus下專門針對(duì)銀行機(jī)構(gòu)的攻擊子組織 |
| Andariel Group | 韓國 | 政府,企業(yè),加密幣交易機(jī)構(gòu)等 | 定向攻擊韓國的子組織[13] |
| COVELLITE | 全球范圍 | 民用電力,ICS | 與Lazarus有關(guān)專門針對(duì)工業(yè)控制網(wǎng)絡(luò)的攻擊組織[14] |
| Group 123 | 韓國日本俄羅斯中國 | 政府、軍事、國防,電子、制造業(yè)、航空航天、汽車和醫(yī)療保健實(shí)體 | 以秘密情報(bào)搜集為主要目的,最早攻擊活動(dòng)至少可以追溯到2012年[15][16] |
| Sun Team | 韓國 | 脫北者,記者 | 主要移動(dòng)APT攻擊活動(dòng) |
表6??部分被認(rèn)為是朝鮮背景的APT組織2018年上半年主要活動(dòng)分析
下面主要針對(duì)最為活躍的Lazarus Group進(jìn)行進(jìn)一步的分析。Lazarus Group被認(rèn)為是朝鮮人民軍121局背景下的APT組織,美國DHS通常將該組織的攻擊行動(dòng)稱為“Hidden Cobra”。
該組織最早的攻擊活動(dòng)可以追溯到2007年,其歷史攻擊行動(dòng)主要目的是以圍繞地緣和政治因素的網(wǎng)絡(luò)破壞和情報(bào)竊取,在其后續(xù)的攻擊活動(dòng)中也出現(xiàn)了以全球部分金融機(jī)構(gòu),數(shù)字貨幣交易機(jī)構(gòu)為主要攻擊目標(biāo)的攻擊行動(dòng),并以資金和數(shù)字貨幣盜取為目的。
該組織近2017年年來被披露的主要攻擊活動(dòng)情況如下。
| 攻擊活動(dòng)時(shí)間 | 攻擊活動(dòng)簡介 |
|---|---|
| 2017年3月-11月 | Lazarus在移動(dòng)終端設(shè)備上的攻擊活動(dòng) |
| 2017年6月 | 安全廠商發(fā)現(xiàn)新的RATANKBA變種,其利用PowerShell替代可執(zhí)行形態(tài)實(shí)現(xiàn) |
| 2017年10月-12月 | 針對(duì)倫敦?cái)?shù)字貨幣交易公司的攻擊 |
| 2017年末 | 針對(duì)中美洲在線賭場的攻擊 |
| 2018年2月 | 針對(duì)土耳其金融行業(yè)的攻擊 |
| 2018年3月 | 安全廠商披露Lazarus一系列攻擊行動(dòng),并命名為Operation GhostSecret |
| 2018年4月27日 | 泰國CERT發(fā)布朝鮮Hidden Cobra組織的GhostSecret攻擊行動(dòng)預(yù)警 |
| 2018年4月-5月 | 針對(duì)南美多個(gè)銀行的攻擊,包括墨西哥銀行和智利銀行等 |
| 2018年5月29日 | 美國CERT發(fā)布了關(guān)于HIDDEN COBRA組織RAT工具和一個(gè)SMB蠕蟲的預(yù)警 |
| 2018年6月14日 | 美國CERT再次發(fā)布HIDDEN COBRA使用VBA宏分發(fā)新的惡意代碼預(yù)警 |
表7? 2017年以來Hidden Cobra組織的主要攻擊活動(dòng)
從該組織近期被披露的攻擊活動(dòng)來看,其主要攻擊的目標(biāo)可能更多轉(zhuǎn)移到金融,銀行或加密貨幣機(jī)構(gòu)相關(guān),這可能也與朝鮮實(shí)施APT攻擊需要大量資金需求有關(guān)。
四、?美國和歐洲
從2015年7月,著名網(wǎng)絡(luò)軍火商Hacking Team內(nèi)部400GB數(shù)據(jù)被泄露,包括內(nèi)部郵件內(nèi)容,其開發(fā)的監(jiān)控系統(tǒng)RCS及相關(guān)源碼文檔資料。2016年8月,黑客組織“影子經(jīng)紀(jì)人”公開披露并拍賣據(jù)稱是NSA的網(wǎng)絡(luò)武器庫資料,后被證實(shí);2017年3月,維基解密網(wǎng)站公開披露CIA關(guān)于Vault 7項(xiàng)目的相關(guān)資料。
上述泄露事件展現(xiàn)了美國相關(guān)情報(bào)機(jī)構(gòu)背景的國家政府黑客組織擁有非常復(fù)雜和先進(jìn)的攻擊技術(shù)。同樣,歐洲擁有一些老牌網(wǎng)絡(luò)軍火商,如Hacking Team,F(xiàn)inFinsher等,將其完備的攻擊能力和網(wǎng)絡(luò)武器提供和販賣給各國政府或情報(bào)機(jī)構(gòu)。由于其先進(jìn)和復(fù)雜的攻擊技術(shù),其相關(guān)攻擊活動(dòng)更加隱匿而難以發(fā)現(xiàn)。
卡巴斯基在上半年發(fā)現(xiàn)了一個(gè)針對(duì)中東和非洲的網(wǎng)絡(luò)間諜活動(dòng),其利用了Windows漏洞和Mikrotik路由器漏洞實(shí)施,被命名為Slingshot[17]。后被美國情報(bào)辦公室披露其為美軍方Special Operations Command (SOCOM)下的Joint Special Operations Command (JSOC)所為?[18]。
第二章?頻繁針對(duì)境內(nèi)的APT攻擊
根據(jù)360威脅情報(bào)中心對(duì)2018年上半年的APT攻擊活動(dòng)監(jiān)測,近半年來,針對(duì)境內(nèi)的APT攻擊活動(dòng)異常活躍。2018年上半年,至少存在8個(gè)不同來源的APT組織針對(duì)境內(nèi)實(shí)施APT攻擊行動(dòng)。它們分別是:海蓮花、摩訶草、蔓靈花、Darkhotel(APT-C-06)、APT-C-01、藍(lán)寶菇、,以及另外兩個(gè)已被360威脅情報(bào)中心監(jiān)測到,但尚未被任何組織機(jī)構(gòu)披露的APT組織。
一、?海蓮花
“海蓮花”APT組織是一個(gè)長期針對(duì)我國政府、科研院所、海事機(jī)構(gòu)、海域建設(shè)、航運(yùn)企業(yè)等領(lǐng)域的APT攻擊組織,該組織不僅頻繁對(duì)我國境內(nèi)實(shí)施APT攻擊,也針對(duì)東南亞周邊國家實(shí)施攻擊,包括柬埔寨,越南等。
360威脅情報(bào)中心在2018年上半年發(fā)布的“海蓮花APT團(tuán)伙利用CVE-2017-8570漏洞的新樣本及關(guān)聯(lián)分析”的報(bào)告[1]中,披露了該組織近期的魚叉攻擊活動(dòng)。
總的來說,“海蓮花”組織在近半年的攻擊活動(dòng)中基本延續(xù)過去的攻擊戰(zhàn)術(shù)技術(shù)特點(diǎn),其主要使用魚叉攻擊投遞誘導(dǎo)漏洞文檔或內(nèi)嵌惡意宏代碼的文檔。
我們也發(fā)現(xiàn)“海蓮花”組織正在測試新的初始植入方式和攻擊利用技術(shù),并進(jìn)行武器化,包括:
1)??利用DKMC開源框架的代碼加載shellcode
2)??通過修改CLSID注冊表鍵值實(shí)現(xiàn)持久性
3)??實(shí)現(xiàn)多種白利用技術(shù),包括Flash Player、Word、Google Update等
4)??更多使用Cobalt Strike生成的shellcode和攻擊載荷實(shí)現(xiàn)對(duì)攻擊目標(biāo)的監(jiān)控。
“海蓮花”組織采用多階段的shellcode和植入腳本,并加以嚴(yán)重的混淆來對(duì)抗檢測和分析,其還不斷發(fā)掘新的白利用技術(shù)等來對(duì)抗主機(jī)的一些安全防御機(jī)制。該組織還大量使用商業(yè)或開源的攻擊框架,如Cobalt Strike和DKMC,并作為后續(xù)的攻擊載荷模塊。
我們相信“海蓮花”組織正在積極更新和準(zhǔn)備新的攻擊利用技術(shù),并將應(yīng)用于未來的攻擊活動(dòng)中。
二、?摩訶草
“摩訶草”組織,主要針對(duì)中國、巴基斯坦等亞洲地區(qū)和國家進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)。在針對(duì)中國地區(qū)的攻擊中,該組織主要針對(duì)政府機(jī)構(gòu)、科研教育領(lǐng)域進(jìn)行攻擊。根據(jù)能力型廠商針對(duì)APT組織和報(bào)告的互認(rèn)共識(shí),該APT組織也是安天所發(fā)布的“白象”組織。360威脅情報(bào)中心在上半年披露了該組織利用新的腳本類攻擊載荷的技術(shù)和針對(duì)境內(nèi)的多起魚叉攻擊事件的分析[1]。
該組織主要使用魚叉郵件投遞誘導(dǎo)文檔附件。
其攻擊利用過程如下圖所示,主要使用C#開發(fā)的控制程序。
該組織上半年的攻擊活動(dòng)也被國內(nèi)外安全廠商多次披露。
| 披露時(shí)間 | 披露廠商 | 描述 |
|---|---|---|
| 2018年2月13日 | 趨勢科技 | 披露Confucius的攻擊活動(dòng),其與Patchwork攻擊活動(dòng)存在部分重疊。[19] |
| 2018年3月7日 | Palo ?Alto Networks | 利用惡意代碼BADNEWS在印度次大陸的網(wǎng)絡(luò)攻擊活動(dòng)分析[20] |
| 2018年3月8日 | ARBOR NETWORKS | Donot Team在南亞的網(wǎng)絡(luò)攻擊活動(dòng),并提出其與Patchwork存在一些相似之處[21]。后續(xù),360威脅情報(bào)中心披露了該組織與內(nèi)部跟蹤的APT-C-35(肚腦蟲)相關(guān)[1]。 |
| 2018年5月23日 | 趨勢科技 | 披露Confucius更多的攻擊技術(shù)細(xì)節(jié),和其與Patchwork的更多關(guān)聯(lián)性[22] |
| 2018年6月7日 | Volexity | Patchwork攻擊美國智庫[23] |
表8? 2018年上半年國內(nèi)外安全廠商對(duì)“摩訶草”組織的研究情況
三、 Darkhotel
Darkhotel是一個(gè)長期針對(duì)企業(yè)高管、國防工業(yè)、電子工業(yè)等重要機(jī)構(gòu)實(shí)施網(wǎng)絡(luò)間諜攻擊活動(dòng)的APT組織。2014年11月,卡巴斯基實(shí)驗(yàn)室的安全專家首次發(fā)現(xiàn)了Darkhotel APT組織,并聲明該組織至少從2010年就已經(jīng)開始活躍,目標(biāo)基本鎖定在韓國、中國、俄羅斯和日本。360威脅情報(bào)中心也發(fā)布報(bào)告“DarkHotelAPT團(tuán)伙新近活動(dòng)的樣本分析”[1]公開披露其近期的攻擊技術(shù)細(xì)節(jié)。
該組織利用魚叉攻擊投遞誘導(dǎo)文檔,利用如下的技術(shù)植入主控DLL模塊。主控DLL模塊通過實(shí)現(xiàn)插件化能夠靈活加載和執(zhí)行具有不同功能的插件DLL模塊。
1)?????白利用
2)?????UAC繞過
3)?????圖片文件隱寫
4)?????DLL劫持
5)?????內(nèi)存反射加載
其主要的攻擊利用過程如下圖。
四、 藍(lán)寶菇
2018年7月初,360威脅情報(bào)中心披露了一個(gè)長期對(duì)我國政府、軍工、科研、金融等重點(diǎn)單位和部門進(jìn)行了持續(xù)的網(wǎng)絡(luò)間諜活動(dòng)的APT組織藍(lán)寶菇(APT-C-12)。
360追日團(tuán)隊(duì)捕獲的首個(gè)藍(lán)寶菇組織專用木馬出現(xiàn)在2011年3月左右。從時(shí)間段上看,在2011-2012年,核危機(jī)行動(dòng)所使用的主要攻擊木馬是Poison Ivy;而到了2013-2014年,Poison Ivy雖然仍在繼續(xù)使用,但被升級(jí)到了幾個(gè)全新的版本;2014年三季度–2015年,核危機(jī)行動(dòng)開始大量進(jìn)行橫向移動(dòng)攻擊,并從2014年底開始,使用Bfnet后門。
截止2018年5月,360追日團(tuán)隊(duì)已經(jīng)監(jiān)測到核危機(jī)行動(dòng)攻擊針對(duì)的境內(nèi)目標(biāo)近30個(gè)。其中,教育科研機(jī)構(gòu)占比最高,達(dá)59.1%,其次是政府機(jī)構(gòu),占比為18.2%,國防機(jī)構(gòu)排第三,占9.1%。其他還有事業(yè)單位、金融機(jī)構(gòu)制造業(yè)等占比為4.5%。
下圖為核危機(jī)行動(dòng)魚叉郵件壓縮包中的一個(gè)偽裝成Word文件的專用木馬的圖標(biāo)和文件名截圖。該文件偽裝成一份通信錄文件,同時(shí),為了更好的偽裝誘餌文檔,攻擊者使用了RLO控制符。RLO控制符是Unicode控制符的一種,用來顯示中東文字,中東文字的書寫順序是從右到左的。攻擊者通過在文件名中插入RLO控制符,使得字符的顯示順序變成從右至左,從而來隱藏文件的真實(shí)擴(kuò)展名。
當(dāng)受害者點(diǎn)擊打開這個(gè)偽裝成Word文檔的專用木馬后,木馬會(huì)在釋放攻擊代碼的同時(shí),釋放一個(gè)真正的Word文檔。下圖為該誘餌Word文檔打開后的信息內(nèi)容,其中信息確實(shí)是一份詳細(xì)的通訊錄。可見,該組織在文件偽裝方面確實(shí)下足了功夫。
下面是我們截獲的另一個(gè)使用了RLO偽裝的專用木馬樣本信息及該樣本打開后的截圖。該文件的文件名格式偽裝方法與前述兩個(gè)樣本相同,但具體內(nèi)容則偽裝成了一份智庫文件。
2018年4月,我們捕獲到了一次核危機(jī)行動(dòng)的最新攻擊活動(dòng)。某些重要的政府和企業(yè)機(jī)構(gòu)的郵箱用戶收到一份發(fā)自boaostaff[@]163.com的魚叉郵件,魚叉郵件仿冒博鰲亞洲論壇主辦方向受害者發(fā)送了一封邀請函:
郵件附件是一個(gè)163郵箱的云附件,為RAR壓縮包文件。點(diǎn)開云附件,會(huì)跳轉(zhuǎn)到對(duì)應(yīng)的云端下載地址將附件下載到本地,這一過程與早期的攻擊活動(dòng)大致相同。
不同的是,此次新攻擊下載得到的附件包含的是一個(gè)惡意LNK文件:
一旦受害者被誘導(dǎo)打開該LNK文件,LNK文件便會(huì)通過執(zhí)行文件中附帶的PowerShell惡意腳本來收集上傳用戶電腦中的敏感文件,并安裝持久化后門程序長期監(jiān)控用戶計(jì)算機(jī)。
第三章?變化的攻擊方式和技術(shù)
近年來,隨著APT威脅攻防雙方的技術(shù)博弈,APT攻擊所使用的攻擊方式和技術(shù)變得更加成熟和體系化,并且也呈現(xiàn)出一些變化。
我們結(jié)合APT攻擊活動(dòng)的生命周期和戰(zhàn)術(shù)特點(diǎn)對(duì)當(dāng)前主要的攻擊戰(zhàn)術(shù)技術(shù)特點(diǎn)進(jìn)行總結(jié),并橫向比較主要的APT組織近期常用的攻擊技術(shù)。
一 、攻擊入口
當(dāng)前APT攻擊活動(dòng)中,初始攻擊入口通常以魚叉攻擊和水坑攻擊為主,利用釣魚郵件或基于即時(shí)通訊和社交網(wǎng)絡(luò)的誘導(dǎo)攻擊也頻繁出現(xiàn)。
結(jié)合社會(huì)工程學(xué)針對(duì)目標(biāo)人員郵箱的攻擊方式往往能夠比較容易達(dá)成初步的攻擊入口,其原因主要如下:
1)???結(jié)合對(duì)攻擊目標(biāo)組織或機(jī)構(gòu)的信息收集,能夠比較容易獲取組織人員的相關(guān)郵箱地址信息;
2)???結(jié)合社會(huì)工程學(xué)往往能夠迷惑目標(biāo)人員的安全防范意識(shí),提高攻擊的成功率;
3)???郵件通常為企業(yè)或機(jī)構(gòu)的目標(biāo)人員最常用的通信方式,對(duì)郵箱的攻擊,不僅能夠?qū)崿F(xiàn)初始的攻擊植入,達(dá)到攻擊立足點(diǎn),并且更容易進(jìn)一步用于收集賬戶憑據(jù)和內(nèi)網(wǎng)的橫向移動(dòng)。
360威脅情報(bào)中心聯(lián)合Coremail在上半年也發(fā)布報(bào)告“2017中國企業(yè)郵箱安全性研究報(bào)告”[1],對(duì)郵箱安全性和流行的攻擊方式進(jìn)行分析。
我們結(jié)合魚叉郵件投遞載荷的形態(tài)進(jìn)行橫向?qū)Ρ取?/p>
| 誘導(dǎo)文檔附件 | 載荷文件壓縮包 | 釣魚鏈接 | 入侵網(wǎng)站鏈接 | Drive-by Download | |
|---|---|---|---|---|---|
| 海蓮花 | √ | ||||
| 摩訶草 | √ | √ | |||
| Darkhotel | √ | ||||
| APT-C-01 | √ | √ | |||
| Group 123 | √ | √ | √ | ||
| APT28 | √ | √ | √ | √ |
表9??部分APT組織魚叉郵件攻擊特點(diǎn)對(duì)比
二、?初始植入
APT組織利用魚叉郵件等方式誘導(dǎo)受害目標(biāo)點(diǎn)擊和下載誘導(dǎo)文件,其結(jié)合社會(huì)工程學(xué)技術(shù)誘導(dǎo)攻擊目標(biāo)人員觸發(fā)執(zhí)行誘導(dǎo)文件。
其中用于誘導(dǎo)目標(biāo)人員的技術(shù)方式主要有如下幾種。
1)???投遞偽裝的PE文件,文件名利用RLO技術(shù)欺騙;
2)???投遞偽裝的PE文件,利用超長文件名或空格填充來隱蔽可執(zhí)行文件后綴;
3)???偽裝成Office文檔,PDF或其它文檔的圖標(biāo);
4)???將釣魚鏈接采用短鏈接,或偽裝和目標(biāo)熟悉的域名極為相似的域名地址。
誘導(dǎo)文件通常包含用于初始植入的攻擊代碼,并主要用于下載和植入第一階段的木馬或后門。我們總結(jié)了APT組織常用的初始植入載荷形態(tài)和利用的技術(shù),并進(jìn)行橫向比較。
| 文檔漏洞 | DDE | 惡意宏 | HTA | 執(zhí)行腳本 | PowerShell | LNK | PE捆綁 | |
|---|---|---|---|---|---|---|---|---|
| 海蓮花 | √ | √ | √ | √ | √ | |||
| 摩訶草 | √ | √ | √ | √ | ||||
| Darkhotel | √ | √ | ||||||
| APT-C-01 | √ | √ | √ | √ | ||||
| Group 123 | √ | √ | √ | |||||
| APT28 | √ | √ | √ | √ | √ |
表10??部分APT組織初始植入載荷形態(tài)和利用技術(shù)
三、?載荷執(zhí)行和持久化
APT組織針對(duì)目標(biāo)的主體攻擊載荷植入和執(zhí)行主要分成兩個(gè)階段,第一階段植入的攻擊載荷主要用于收集信息,包括主機(jī)信息,文檔資料等。
攻擊組織結(jié)合收集的信息確定高價(jià)值目標(biāo),選擇性的植入第二階段載荷執(zhí)行更加隱匿和持久性的監(jiān)控活動(dòng)。
我們總結(jié)了APT組織常見的攻擊載荷實(shí)現(xiàn)方式并進(jìn)行橫向?qū)Ρ取?/p>
| C/C++ | .Net | PowerShell | AutoIt | Delphi | Cobalt Strike | 開源攻擊代碼 | |
|---|---|---|---|---|---|---|---|
| 海蓮花 | √ | √ | √ | √ | |||
| 摩訶草 | √ | √ | √ | √ | |||
| Darkhotel | √ | √ | √ | ||||
| APT-C-01 | √ | √ | |||||
| Group 123 | √ | √ | |||||
| APT28 | √ | √ | √ | √ |
表11??部分APT組織的攻擊載荷實(shí)現(xiàn)方式
面對(duì)攻擊目標(biāo)主機(jī)的一些安全防御機(jī)制,以及達(dá)到更加隱匿植入和持久化控制的目的,攻擊者會(huì)主要利用以下的一些攻擊技術(shù)。
| 白利用 | DLL劫持 | UAC繞過 | 圖片隱寫 | PE反射加載 | 任務(wù)計(jì)劃 | CLSID注冊表修改 | |
|---|---|---|---|---|---|---|---|
| 海蓮花 | √ | √ | √ | √ | |||
| 摩訶草 | √ | √ | |||||
| Darkhotel | √ | √ | √ | √ | |||
| Group 123 | √ | ||||||
| APT28 | √ |
表12??部分APT組織的攻擊技術(shù)對(duì)比
四、?回傳和命令控制
APT攻擊行動(dòng)的目的除了對(duì)目標(biāo)主機(jī)和內(nèi)網(wǎng)進(jìn)行長期的攻擊滲透外,還包括對(duì)目標(biāo)網(wǎng)絡(luò)的持久化控制與監(jiān)控,以及收集目標(biāo)網(wǎng)絡(luò)中的情報(bào)信息。為了避免被輕易追溯,通常會(huì)實(shí)現(xiàn)更加隱匿的控制回傳網(wǎng)絡(luò)。在過去,威脅分析人員會(huì)根據(jù)控制域名的注冊信息將攻擊活動(dòng)進(jìn)行關(guān)聯(lián),然而隨著域名隱私保護(hù)以及一些數(shù)據(jù)保護(hù)政策導(dǎo)致這種方式的效果大打折扣。部分APT組織也會(huì)使用動(dòng)態(tài)域名,云服務(wù)等作為其慣用的攻擊手法。
| 域名注冊 | 動(dòng)態(tài)域名 | 云存儲(chǔ)服務(wù) | DGA | DNS隧道 | 失陷網(wǎng)站 | |
|---|---|---|---|---|---|---|
| 海蓮花 | √ | √ | ||||
| 摩訶草 | √ | |||||
| Darkhotel | √ | |||||
| APT-C-01 | √ | |||||
| Group 123 | √ | √ | ||||
| APT28 | √ | √ |
表13??部分APT組織C&C服務(wù)器實(shí)現(xiàn)方法分析
第四章?面向新的威脅場景和趨勢
隨著近年來APT威脅的攻防技術(shù)對(duì)抗升級(jí),APT組織也在不斷演進(jìn)其攻擊的戰(zhàn)術(shù)思路和技術(shù)手段,在近年來的APT攻擊活動(dòng)中,也出現(xiàn)了一些新的威脅場景和趨勢,下面總結(jié)了一些威脅趨勢的觀點(diǎn)。
一、?APT組織的0day漏洞利用能力日益提升
在過去的APT攻擊中,漏洞的利用通常伴隨著大部分的攻擊行動(dòng),其中利用文檔和Flash類漏洞結(jié)合魚叉攻擊為APT攻擊中主流的攻擊入口。360威脅情報(bào)中心在上半年也總結(jié)了“近年來APT組織使用的10大(類)安全漏洞”一文[1]。
特別的,在APT攻擊中,0day漏洞的發(fā)現(xiàn)和利用能力通常可以用于評(píng)估APT組織的技術(shù)能力。例如,在被泄露的方程式組織相關(guān)資料中,就可以看到該組織儲(chǔ)備了大量的針對(duì)多平臺(tái)的0day漏洞利用技術(shù)。
下表給出了2018年上半年,國內(nèi)外多家安全廠商發(fā)現(xiàn)和披露的與APT相關(guān)的0day漏洞利用情況。有趣的是,其中一些0day漏洞在被用于實(shí)際攻擊之前,就被意外泄露了。
| 漏洞編號(hào) | 漏洞類型 | 0day漏洞 | 攻擊前意外泄露 |
|---|---|---|---|
| CVE-2018-0802 | Office文檔漏洞 | √ | |
| CVE-2018-4990 | PDF文檔漏洞 | √ | |
| CVE-2018-8120 | Windows提權(quán)漏洞 | √ | |
| CVE-2018-4878 | Flash漏洞 | √ | |
| CVE-2018-8174 | 瀏覽器漏洞 | √ | |
| CVE-2018-5002 | Flash漏洞 | √ |
表14? 2018上半年APT組織使用的0day漏洞
2018年4月18日,360高級(jí)威脅應(yīng)對(duì)團(tuán)隊(duì)監(jiān)控發(fā)現(xiàn)到高危0day漏洞。該漏洞影響最新版本的IE瀏覽器及使用IE內(nèi)核的應(yīng)用程序,且已被發(fā)現(xiàn)用于有蓄謀有計(jì)劃的APT攻擊。當(dāng)天,360核心安全事業(yè)部高級(jí)威脅應(yīng)對(duì)團(tuán)隊(duì)立即與微軟積極溝通,將漏洞細(xì)節(jié)信息提交到微軟。微軟在4月20日早上確認(rèn)此漏洞,并于5月8號(hào)發(fā)布了官方安全補(bǔ)丁,對(duì)該0day漏洞進(jìn)行了修復(fù),將其命名為CVE-2018-8174。
另外,360高級(jí)威脅應(yīng)對(duì)團(tuán)隊(duì)還首次在野外捕獲了CVE-2018-0802 Office 0day被用于執(zhí)行APT攻擊,軟件廠商得到了第一時(shí)間的通知并確認(rèn)。
CVE-2018-8174是?Windows VBScript Engine?代碼執(zhí)行漏洞。由于VBScript腳本執(zhí)行引擎(vbscript.dll)存在代碼執(zhí)行漏洞,攻擊者可以將惡意的VBScript嵌入到Office文件或者網(wǎng)站中,一旦用戶不小心點(diǎn)擊,遠(yuǎn)程攻擊者可以獲取當(dāng)前用戶權(quán)限執(zhí)行腳本中的惡意代碼。
| 時(shí)間 | 進(jìn)程 |
|---|---|
| 2018年4月18日 | 360核心安全事業(yè)部高級(jí)威脅應(yīng)對(duì)團(tuán)隊(duì)發(fā)現(xiàn)高危漏洞 |
| 2018年4月19日 | 360核心安全事業(yè)部高級(jí)威脅應(yīng)對(duì)團(tuán)隊(duì)將漏洞的詳細(xì)信息提交至微軟 |
| 2018年4月20日早晨 | 微軟官方確認(rèn)漏洞 |
| 2018年5月9日凌晨 | 微軟發(fā)布新一輪安全更新,修復(fù)漏洞,并公開致謝360 |
| 2018年5月9日 | 360核心安全事業(yè)部高級(jí)威脅應(yīng)對(duì)團(tuán)隊(duì)發(fā)布詳細(xì)版報(bào)告披露漏洞細(xì)節(jié) |
表15? CVE-2018-8174的發(fā)現(xiàn)到修復(fù)的歷程
此次捕獲到的APT攻擊相關(guān)的誘餌文檔為猶太小語種的意第緒語內(nèi)容,文檔通過CVE-2017-0199的OLE autolink漏洞利用方式嵌入惡意網(wǎng)頁,所有的漏洞利用代碼和惡意荷載都通過遠(yuǎn)程的服務(wù)器加載。
中招用戶點(diǎn)擊打開誘餌文檔后,首先Word進(jìn)程將訪問遠(yuǎn)程的IE vbscript? 0day(CVE-2018-8174)網(wǎng)頁,漏洞觸發(fā)后將執(zhí)行Shellcode,然后再發(fā)起多個(gè)請求從遠(yuǎn)程的服務(wù)器獲取payload數(shù)據(jù)解密執(zhí)行。
Payload在執(zhí)行的過程中Word進(jìn)程會(huì)在本地釋放3個(gè)DLL后門程序,通過Powershell命令和Rundll32命令分別執(zhí)行安裝后門程序,后門的執(zhí)行過程使用了公開的UAC繞過技術(shù),并利用了文件隱寫技術(shù)和內(nèi)存反射加載的方式來避免流量監(jiān)測和實(shí)現(xiàn)無文件落地加載。
利用CVE-2018-8174漏洞進(jìn)行攻擊的主要過程如下圖所示:
二、?開源工具和自動(dòng)化攻擊框架提高了APT攻擊效率
近年來,隨著PowerShell實(shí)現(xiàn)的自動(dòng)化攻擊框架和攻擊利用代碼越來越成熟,APT組織頻繁使用PowerShell作為初始植入和攻擊載荷的實(shí)現(xiàn),并利用混淆技術(shù)對(duì)抗分析檢測。
APT組織更多利用一些開源攻擊代碼和工具一定程度降低了攻擊實(shí)現(xiàn)的成本,并且更加靈活。例如海蓮花使用Cobalt Strike生成的Shellcode和beacon模塊,APT28使用開源滲透工具Koadic[10]等。
除此以外,攻擊組織開始更多利用“l(fā)iving off the land”技術(shù)來減少自身研制的攻擊載荷投放到目標(biāo)主機(jī)或網(wǎng)絡(luò)中。
三、?攻擊者加強(qiáng)對(duì)自身攻擊手法特點(diǎn)的掩蓋和迷惑性
APT攻擊組織更加注重對(duì)自身攻擊手法特征的掩蓋,以及使用一些手段來迷惑威脅分析人員。在2018年攻擊韓國平昌冬奧會(huì)的攻擊事件中,多家安全廠商對(duì)其攻擊來源給出來不同的猜測和推斷[4]。
以下總結(jié)了攻擊者常用的一些掩蓋和迷惑方式。
1)???在攻擊載荷中引入false flag,例如引入其他組織常用的語言和地域特征;
2)???模仿其他組織的攻擊載荷實(shí)現(xiàn)細(xì)節(jié),例如動(dòng)態(tài)獲取模塊和函數(shù)地址的方式,加密解密函數(shù)等;
3)???利用開源攻擊代碼和本地命令,減少攻擊組織自行研制的載荷投放,避免通過載荷的相似性實(shí)現(xiàn)背景的研判;
4)???減少與歷史攻擊使用的控制基礎(chǔ)設(shè)施信息的重疊,頻繁更換控制域名或使用動(dòng)態(tài)域名或云服務(wù)等;
四、?移動(dòng)設(shè)備和路由器攻擊是不可忽視的APT場景
針對(duì)高價(jià)值目標(biāo)人員的移動(dòng)終端的定向攻擊活動(dòng)在近幾年也頻繁被披露,該類攻擊活動(dòng)在中東地區(qū)尤為活躍,主要用于收集目標(biāo)人員信息和監(jiān)控的目的,例如上半年披露的Dark Caracal[24]和ZooPark[25]相關(guān)攻擊行動(dòng),攻擊者往往通過頻繁更新其木馬應(yīng)用程序以達(dá)到繞過應(yīng)用市場監(jiān)測和持續(xù)性監(jiān)控目標(biāo)人員的目的,所以往往該類定向攻擊也滿足長期持久性的攻擊特點(diǎn)。
而針對(duì)路由器的攻擊也逐漸成為APT攻擊組織新的威脅場景[26],例如Slingshot[17]和VPNFilter事件[7]。
2018年7月,360烽火實(shí)驗(yàn)室在監(jiān)測黃金鼠組織(APT-C-27)的攻擊活動(dòng)過程中,發(fā)現(xiàn)其新版本的移動(dòng)端手機(jī)攻擊樣本首次具備了針對(duì)PC的RAT誘導(dǎo)跨越攻擊[28],開啟了移動(dòng)端手機(jī)跨越攻擊的“潘多拉魔盒”。
新版本的移動(dòng)端手機(jī)攻擊樣本除了保留原版的移動(dòng)端RAT功能之外,還新增移動(dòng)存儲(chǔ)介質(zhì)誘導(dǎo)攻擊方式,首次實(shí)現(xiàn)了從移動(dòng)端到PC端的攻擊跨越,其攻擊細(xì)節(jié)如下:
第一步:移動(dòng)端攻擊樣本攜帶針對(duì)PC的PE格式RAT攻擊文件“hmzvbs”。
第二步:移動(dòng)端手機(jī)攻擊樣本運(yùn)行后,立即把該針對(duì)PC的RAT攻擊文件“hmzvbs”,釋放到指定好的移動(dòng)端外置存儲(chǔ)設(shè)備中的圖片目錄下進(jìn)行特殊名稱的偽裝。這個(gè)偽裝實(shí)現(xiàn)了跨越攻擊前的特殊準(zhǔn)備,該偽裝具有兩個(gè)特點(diǎn):攻擊文件名稱偽裝成常見的圖片相關(guān)目錄名;攻擊文件的擴(kuò)展名為“.PIF”(該擴(kuò)展名代表MS-DOS程序的快捷方式,意味著在PC上可直接運(yùn)行)。
第三步:借助用戶會(huì)不定期使用PC來瀏覽移動(dòng)端手機(jī)里照片的一種習(xí)慣,當(dāng)受到移動(dòng)端攻擊的目標(biāo),使用PC瀏覽移動(dòng)端手機(jī)里的照片,一旦被誘導(dǎo)觸發(fā)到偽裝后的“圖片目錄”?(該偽裝對(duì)于普通用戶較難識(shí)別發(fā)現(xiàn)),即運(yùn)行起該P(yáng)E RAT攻擊文件,從而使PC遭受RAT攻擊。
總結(jié)
360威脅情報(bào)中心結(jié)合近半年的公開APT情報(bào)和內(nèi)部威脅情報(bào)數(shù)據(jù),總結(jié)了當(dāng)前主要活躍的APT組織現(xiàn)狀和使用的攻擊戰(zhàn)術(shù)技術(shù)特點(diǎn)。我們認(rèn)為攻擊者正在不斷演變其攻擊手法和攻擊工具,以更有效的達(dá)到攻擊的目的和效果,并加強(qiáng)對(duì)自身活動(dòng)的隱藏。在這種對(duì)抗升級(jí)的趨勢下,純粹基于惡意載荷的相似程度來評(píng)判其攻擊來源已經(jīng)變得不是那樣可靠,結(jié)合更多維度的威脅情報(bào)數(shù)據(jù),評(píng)估攻擊者的真實(shí)攻擊意圖和動(dòng)機(jī),以及對(duì)攻擊TTP的分析能夠更好的提高背景研判的準(zhǔn)確程度。
我們也總結(jié)了部分常用的攻擊方式和技術(shù)手段,并對(duì)APT威脅的趨勢提出了一些觀點(diǎn)和看法,期望能對(duì)當(dāng)前業(yè)內(nèi)針對(duì)高級(jí)威脅防御策略和威脅發(fā)現(xiàn)有所幫助。
附錄 參考鏈接
2.?https://www.symantec.com/blogs/threat-intelligence/inception-framework-hiding-behind-proxies
4.?https://blog.talosintelligence.com/2018/02/who-wasnt-responsible-for-olympic.html
5. https://www.recordedfuture.com/iran-hacker-hierarchy/
6.?https://www.fireeye.com/blog/threat-research/2017/12/targeted-attack-in-middle-east-by-apt34.html
7.?https://blog.talosintelligence.com/2018/05/VPNFilter.html
8.?https://apnews.com/4d174e45ef5843a0ba82e804f080988f
9.?https://asert.arbornetworks.com/lojack-becomes-a-double-agent/
10.?https://researchcenter.paloaltonetworks.com/2018/06/unit42-sofacy-groups-parallel-attacks/
11.??https://securelist.com/masha-and-these-bears/84311/
12.?https://www.welivesecurity.com/2018/04/24/sednit-update-analysis-zebrocy/
14.??https://www.dragos.com/blog/20180531Covellite.html
15.??https://www.fireeye.com/blog/threat-research/2018/02/apt37-overlooked-north-korean-actor.html
16.?https://blog.talosintelligence.com/2018/01/korea-in-crosshairs.html
17.??https://securelist.com/apt-slingshot/84312/
18.??https://www.cyberscoop.com/kaspersky-slingshot-isis-operation-socom-five-eyes/
21.??https://asert.arbornetworks.com/donot-team-leverages-new-modular-malware-framework-south-asia/
23.??https://www.volexity.com/blog/2018/06/07/patchwork-apt-group-targets-us-think-tanks/
24.??https://info.lookout.com/rs/051-ESQ-475/images/Lookout_Dark-Caracal_srr_20180118_us_v.1.0.pdf
25.? ?https://securelist.com/whos-who-in-the-zoo/85394/
27.???https://ti.360.net/blog/articles/analysis-of-apt-c-27/
28.??http://zt.360.cn/1101061855.php?dtid=1101061451&did=210702435
29.??http://zt.360.cn/1101061855.php?dtid=1101062370&did=210645168
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧