安天實驗室肖新光:APT事件樣本集的度量
責編:admin |2014-09-25 20:26:02在2014中國互聯網安全大會的第二天上午9點,APT防御技術論壇如期開始,吸引了大量的APT專家和其他嘉賓。主持人趙效民先生表示,大家對APT的技術防御有很大關注。APT防御技術論壇也不會讓大家失望。開場的短片,也讓大家了解到APT如果類比于人的話,其實是一個人的長期安全狀態的縮寫。
APT的樣本集不是指它用什么技術方法,而是它支撐的國家或者是政經集團具備的最高水平的攻擊能力。這個可能就是這個攻擊者擁有的極限能力,如果是一個針對特定目標的威脅,我們依然可以把它叫做樣本。這幾個樣本的作用是非常離散的,由于這種離散,每一個都顯示不出特別顯著的威脅,這就好在,其中五個樣本在同一個時間段內是打向同一個目標的,我們可以理出這五個樣本的作業鏈條。
肖新光用多個實際的例子反應了APT其整個作業鏈條的攻擊過程,主要講解三個部分。第一是關于APT的線索,第二個是樣本之間的關聯,第三個才是我原來想講的樣本集的度量。APT的線索說起,分析了次攻擊高度的定向性和隱藏性。
其實樣本并不重要,因為我們對每一個攻擊事件,事后都能找到很多樣本,這個事件最為重要。這個事件的情況是怎樣的?它實際上就是從分別位于瑞典、荷蘭、法國的服務器,把PE的攻擊載荷投放給上海的兩個目標和北京的一個目標。陸續有一些新的回聯地址,這些是從樣本行為中發現的,目前我們并不確定一定是在目標機上中了,導致這個行為,我們并不能完全排除它是一個主動的下載行為。同時,確實由于時間是APT的最大敵人,目前來看并不能再判斷出這三個回聯的IP地址在哪里。從已有的載荷行為和攻擊行為,可以把它拼成剛才我們看到的這個作業鏈。
我們剛剛談了一個觀點,我們無法判斷這是主動的樣本下載行為,還是真正中了樣本之后導致的行為,需要來推斷一下。
在整個分析中,我們調用了相關的協作資源。在這個協作中,很重要的一點就是我們做了這樣一個假定,假定它是被分析研究者主動下載的批樣本,它必然要在其他的通道暴露過,然后通過研究者獲取到URL,再去下載。我們把能夠接觸到的相關的URL的開放和商用的資源進行查詢,所有標紅的都是在開放的URL查詢中不能查到的。這里面有四條是可以發現它已經在其他的惡意地址捕獲中被發現的,但它晚的時間比較短,有三條都在24小時之內,只有一條是在31天之后。
從這個角度來看,我們更傾向于認為這是一個相對完整的APT攻擊事件,它已經發生了相應的效果。從這個節點來看,它確實是在相對長的時間段內,陸續下載了多個文件。當然,也不能完全排除掉它是主動發現的可能性。
我們看到了一個問題,諾曼通過全球的攻擊體系發現了數百個文件,我們也有數百個樣本,問題就在于,從真實感知的路徑上來看,我們只能查到多少。其他樣本更多的是通過各種樣本的交換渠道到達的。
這就帶來了APT的特點,對APT事件來說,任何一個團隊都不會擁有完整的樣本集,在任何一個團隊擁有的海量的樣本集中,我們往往不知道哪一個樣本歸屬于哪個事件。大家剛才看到了,各個殺毒廠商對這幾個樣本的命名。
這種情況下提出了一個問題,就是關聯。傳統的APT最重要的關聯無疑是把開始的載荷投放、信息回傳、組織關系完整摸出,這樣一個作業過程往往不是一個商業團隊能完成的,甚至也不是有一定的國際協作能力的公益組織能完成的。對于一個傳統的反惡意代碼團隊來說,擁有最多的還是樣本。很重要的可以做的事情,很現實的事情,不是去找到它到底是誰,不是去找到某個機構或某個人,而是有沒有可能從已知的線索中,從自身的庫中找到更多樣本。從自身的庫中找到更多樣本,這些樣本有可能在感知體系中有新的存在,這就是一個過程。一旦提到樣本的關聯查找,毫無疑問,所有的研究者都會想到一個詞,同源性。
如何把事件和樣本之間的關系建立起來?這是一個很關鍵的問題。肖新光以熊貓燒香為例,APT很重要的一點,它其實是有被入侵的場景復雜度,可能有一個復雜的樣本集合。
當2010年面臨的數以千萬計的樣本集合的時候,對每一個文件提取100個向量,假設庫中有1億個樣本,也有100億的向量,怎么從百萬級的向量實現快速搜索,這帶來了問題。
現有的學術方法最可笑的一點是他們無疑不是用殺毒軟件的家族做參照系。像卡巴斯基非常嚴謹的反病毒軟件也對樣本集給出了九個不同家族的命名。學術界在命名上并沒有給出方法,我們還是要跳出美麗的圖譜,回到最傳統、最擅長的方面去,尋找它的靜態關聯點,在自動化分析中生成的大量向量。
實際上要采取組合條件的思路,把一個樣本集轉化成一種條件組合的邏輯。通過這種條件的組合邏輯,它就會生成相應的分支。在這種分支之后,就可以生成一個樣本集合。從目前的角度來看,至少對于APT這樣的樣本資源,我們所使用的方法還是要進行人工判定。
再回到剛才講的事件,因為這個事件使用的就是多人編寫的多種編譯器,在不同的編譯器上建立不同的模板方法,最終轉化成四個模式。在這四個模式上,我們又分別判定出有效的,原始的樣本體,不是經過加工改變的方式。也可以看到,關聯處新的樣本,包括剛才提到的對編譯器的分布進行統計。基于這些,我們就可以看到Hangover的特點,首先是攻擊組織人員較多,采用人海戰術的方法。二是編程水平參差不齊,有使用數字證書,但沒有流行廠商的證書。使用少量的加密算法,非常簡單,使用了大量的C&C,沒有發現有使用0day漏洞的情況。樣本集可以反映出攻擊團隊的方法和水平的,我們嘗試建立度量。
我們舉了幾個事件,通過上述條件關聯方法,可以建立起樣本集合。我們已經找到了910個樣本,已經多于了諾曼提供的樣本集,就是基于這種條件關聯的方法。盡管絕大部分都是PE的樣本,也有一些非PE的文件,包括腳本等等。在不同的編譯器上使用,有不同的風格,Hangover是對為混亂的。
相應的使用數字簽名的情況,使用數字簽名的樣本里面最多的是Hangover,有76個樣本使用,它的本身基數也比較大,其他的都有一定的樣本帶有數字簽名。
也可以統計每個事件習慣性使用的C&C地址。這些工作是非常粗糙的,盡管目前把所有的殼都脫掉了,建立起樣本集,并且保證所有的樣本都是確切的經過人工的確定,它屬于這個家族。同時,可以看到還有很多工作要做。我們目前希望后續推動的,一個就是真正形成每個事件集合的樣本版本的關聯圖譜。
盡管我們很早就分析了Flame、Duqu、Stuxnet的關聯性,但我們一直沒有有效的描述,沒有著手研究的事情是為什么Stuxnet有2千個樣本,而只有4個大的版本。當我們得到個樣本集,并且對它進行度量之后,這種度量有助于判斷背后攻擊團隊的人員規模,這種判斷力應該得到定量。這個就是我們正在做的工作,也得到了國內大學的支持。
樣本集確實是APT的一部分,而且是目前能夠研究APT最有效、最直接的資源,因為我們匱乏的是它投放的過程、回傳的過程,我們擁有最多的只能是樣本集。當我們再看諾曼發布陣網蠕蟲檔案很久以后發布的文獻,比如之前沒有深入分析的0.5版本,他認為這可能是有可能隨同PRC投放的版本。特別是它的0.5版本使用的是和1.0完全不同的破壞機理。
絕大多數研究者都知道它是通過改變離心機的轉速形成相應的破壞效果。實際上0.5版本是通過多個閥門極聯,造成超壓來形成效果的。這種效果打擊的破壞性和毀滅性有可能是超過后者的,因為閥門超壓的版本在前。他認為這是一個沒有生效的機理。為什么突然從樣本集拐到了離心機?是因為我想說真正衡量一個APT的主要工作量,一個像陣網這樣具有縱深性的APT攻擊,它的主要工作量絕對不在樣本集上,而是在于對手場景的仿真、模擬、研究、嘗試過程,而這個過程確實超出了我們現有的研究意志、研發決心和研究成本承擔的能力。如果我們還是簡單的把APT當成樣本,當成格式溢出穩當,就會錯過很多東西。
我還要回到我的觀點,盡管我認為在一個具有極大最深能力的APT中,樣本不是其中主要工作量,但樣本可以真實體現攻擊者擁有的能力。我在這里套用了魔力四象限的方法,把剛才列舉的事件擺到魔力象限上,包括高思在內一系列的以美國被背景的事件,毫無疑問的處于能力的第一平臺,它所具有的戰略方面的前瞻性,對0day漏洞的儲備,工業配套的基礎設施,它使用的成本能力,以及與它傳統的基于人脈的情報體系和基于梯隊的電磁信號體系成一體的綜合機制,使它處于整個APT金字塔塔尖的位置。類似于來自俄羅斯的事件,我們也可以看到它擁有的非常豐富的想象力。
像Hangover事件基本的基礎能力與我們當前看到的很多地下黑產的技術手法大概一致,甚至還不如地下黑產。這可以看作一種窮國原子彈式的攻擊,基于人海戰術。它也反映了進行這樣一個攻擊的所在國家或者是所在組織的最高水平。
從2003年追蹤口令蠕蟲失敗開始,我們做了很多的思考,為什么參與了這么大規模的追蹤,依然沒有辦法判定它的源頭,或者是取得更有效的進展。從蠕蟲的溯源角度,我把它稱作百萬軍中取上將首級如探囊取物。基于大量的載荷投放所建立起的感知體系不再能夠應對新的威脅,新的威脅具有高級性和高度的定向性和持續性。我們相信夢想永遠,人在征途。