QQ截圖20201207105054

攻擊溯源或歸因往往很難,因為犯罪團伙常常共享代碼和技術,黑客國家隊則精通欺騙和消痕。安全研究人員在此分享溯源常用技術和常見陷阱。

將網絡攻擊溯源到特定威脅團伙極具挑戰性,尤其是在復雜攻擊源自黑客國家隊的情況下,因為攻擊者十分擅長隱藏或清除自身痕跡,或者故布疑陣轉移視線。

正如思科 Talos 安全研究員Paul Rascagneres和Vitor Ventura在9月30號的VB2020大會上所言,達成切實歸因的最佳辦法是分析攻擊中用到的基礎設施和技術,但即便如此,研究人員也常追往錯誤的方向。

Rascagneres稱,研究人員通常依賴三種情報源:互聯網上公開可用的開源情報(OSINT);依靠惡意軟件分析的技術情報(TECHINT);僅涉事公司才有的專有數據。

國家情報機構可作為另一情報來源,因為他們通常比私營產業擁有更多的信息和額外的資源,但情報機構往往對他們的方法秘而不宣。Rascagneres表示:“公營部門的人通常不會說出一切。他們不會解釋自己是怎么得到所有細節的。那要怎么建立聯系呢?”

溯源WellMess惡意軟件

Rascagneres舉了個分析基礎設施的例子,說明這種方法是怎么誤導安全人員的。例子從安全調查人員所謂的戰術、技術和程序(TTP)幾方面入手,展示2018年日本國家計算機應急響應小組(CERT)發現的WellMess多平臺惡意軟件。

英國國家網絡安全中心(NCSC)直接將WellMess惡意軟件溯源到APT29,也就是以安逸熊(Cozy Bear)之名更為人所知的俄羅斯國家威脅組織。這一結論得到了加拿大通信安全局(CSE)、美國國家安全局(NSA)和國土安全部網絡安全與基礎設施安全局(CISA)的認可。

WellMess在在等待進一步指令的同時從受感染主機抽取信息,擁有32位和64位的不同變種,利用DNS、HTTP和HTTPS等多種協議進行C2通信。通過觀察基礎設施,研究人員可以推斷出惡意軟件樣本之間的聯系。例如,如果惡意軟件A使用基礎設施X,惡意軟件B與同樣使用基礎設施X的威脅組織M相關聯,攻擊就通過共同的基礎設施關聯了起來。

此技術可用于調查共享的IP地址和域名,因為很多不同客戶會使用相同的IP地址。Rascagneres稱:“僅基于IP地址,事情有點棘手,你很容易犯錯?!?/p>

“另一個重要事項是時間間隔。IP地址隨客戶不同而快速改變。如果你今天看到一個威脅團伙使用某個特定IP地址,一年之后看到另一攻擊活動,你有太大的概率看到不同IP,關聯也就建立不起來了。”

基于對IP地址的分析,WellMess似乎是源于APT28(也稱奇幻熊(Fancy Bear))而非APT29,這個溯源就與英國官方發現的不一致了。即使使用TTP,溯源分析也會將研究人員導向錯誤的威脅組織。

Rascagneres分析了另一WellMess樣本的TTP,在VirusTotal上檢測時發現WellMess與DarkHotel攻擊團伙之間有關聯。DarkHotel團伙據信在朝鮮半島運作,從CEO等高級目標處盜取有價值數據。該團伙的名稱源自DarkHotel跟蹤旅行計劃并通過酒店Wi-Fi入侵的方法。

中國安全公司360的一份報告認為WellMess是完全未知的威脅組織,并將之命名為APT-C-42,進一步復雜化了對此樣本的分析。但盡管利用了私營產業各方可用的這三種情報來源,歸因分析依然無法達成NCSC獲得的結論,不能將攻擊者鎖定為APT29。(Rascagneres分析的詳細解讀可查閱文末所附論文鏈接。)

分析共享代碼

分析共享的代碼是溯源過程的另一常用技術。Ventura稱:“我們分析共享代碼,是因為我們看到這個樣本屬于那個樣本,然后第二個樣本可能關聯到一個國家或組織。由此,我們就能向前躍進,直至歸因了?!?/p>

但是,Ventura警告未來的歸因研究員:完全無法前進的情況也會出現,尤其是在共享的代碼公開可用的時候。這種情況下,代碼相同點反而會導向錯誤的歸因。Ventura認識的一名研究人員就因為共享的代碼而將兩個惡意軟件樣本關聯了起來。然而,后來發現,這段共享的代碼其實是內嵌TLS庫的一部分,是開發人員廣泛使用的公開代碼,不太可能提供兩個惡意軟件樣本間的強連接。“這種情況下,我們知道所有重疊,但當我們進一步研究,當我們審視其他可用信息,我們實際上推翻了我們的猜測?!?/p>

注意偽旗

偽旗可能將研究人員誤導至錯誤的結論。2018年韓國平昌冬奧會遭遇的Olympic Destroyer惡意軟件,就是最近曝光度很高的偽旗案例。由于此惡意軟件中內嵌偽旗的干擾,分析惡意軟件的安全專家得出了多種歸因結果,有俄羅斯、伊朗、中國、朝鮮。

在偽旗問題上,情報機構顯示出了相對于私營產業的優勢。Ventura稱:“情報機構享有我們沒有的信息。他們有信號情報(SIGINT),還有人力情報。他們擁有我們通常沒有的各種信息。我們手中的信息并不多?!?/p>

Ventura談到了安全研究人員感到沮喪的一個可能原因:沒辦法知道情報機構到底怎么做出的溯源?!皩ξ覀冄芯咳藛T而言,這讓我們十分不舒服,因為我們喜歡可以驗證的東西。但因為我們沒有這些信息,我就根本無法驗證?!?/p>

這種情況下,最佳應對機制就是承認有些東西可能永遠未知。Ventura表示:“我們需要承認這一點。我們不僅應該接受他們說的就是定論,還需要接受他們可能不會共享這些信息?!?/p>

Rascagneres 的論文:

https://blog.talosintelligence.com/2020/08/attribution-puzzle.html

來源:數世咨詢