0
還記得韓國災難片《潘多拉》嗎?
韓半島6.1級地震之后,引發了位于釜山地區的1號原子能發電站爆炸,核電站陷入了危機。大規模強震引發的爆炸導致核電站出現裂縫,放射性物質泄漏事故發生,然而下一輪爆炸的威脅已經襲來……
對于普通群眾來說,“核”猶如傳說中的潘多拉魔盒,魔盒的相關信息被層層加固,保護的嚴嚴實實。但總有些別有用心之人試圖對這個神秘又強大的武器了解更多,并為此做出種種努力,比如最近被披露的高級攻擊組織藍寶菇。
雖然名字有點可愛,但這個APT組織很“虎”,先來看一波他們的“戰績”:
2011年3月,與該組織相關的木馬首次被發現針對政府相關機構進行攻擊。
2011年11月,對某核工業研究機構進行攻擊。
2012年1月,對某大型科研機構進行攻擊。
2012年3月,對某軍事機構進行攻擊。
2012年6月,對國內多所頂尖大學進行攻擊。
2013年6月,對某中央直屬機構進行攻擊,同時開始使用新類型的RAT。
2014年8月,該組織使用5種以上的橫向移動惡意代碼針對重點目標機構進行大量橫向移動攻擊。
2014年12月,被發現新的RAT,該后門具備竊取指定擴展名文檔等重要功能。
2015年9月,針對多個國家的華僑辦事機構進行攻擊。
2018年4月,針對國內某重要敏感金融機構發動魚叉郵件攻擊。
當然這僅僅是目前已經了解掌握的情況,不代表已經掌握了該組織的全部攻擊事件和行為。
向雷鋒網宅客頻道透露這個大秘密的是360行業安全研究中心主任裴智勇,據說藍寶菇的攻擊目標主要集中在中國大陸境內,主要關注核工業和科研等相關信息,從2011年持續至今對我國政府、軍工、科研、金融等重點單位和部門進行了持續的網絡間諜活動,可以說非常執著了。
談起藍寶菇命名緣由,搭著汗巾,趿著拖鞋的裴智勇哈哈一笑,“我們團隊專門有研究過命名的藝術。”
事實上,APT組織的命名并沒有統一的規則或規范,但相關機構在命名過程一般會參考三個原則:
誰發現,誰命名;
APT組織攻擊方式或C&C服務器的特點;
APT攻擊組織可能的政治及地緣背景猜測。
據裴智勇透露,他們在給APT組織命名時除了會參考上述三個原則,也會帶上自己的“設計”。
比如根據組織與目標配對原則,將APT組織分為三類:攻擊境外目標的境外組織,攻擊境內目標的境外組織,以及攻擊境內目標的境內組織(第四類此處省略);
又根據現實世界不存在原則多使用虛擬的,傳說的,甚至是神話中的事物來命名APT組織,不僅顯得炫酷神秘還能體現虛擬空間戰爭的主題;
另外根據地緣與領域兼顧原則即會考慮攻擊者及攻擊目標的地緣特征,也會考慮攻擊者所攻擊的特定領域特征。舉個栗子,披露的第一個APT組織“海蓮花”,“蓮花”就是表現了該組織的地緣及文化特征,同時,“海”則主要表現了該組織以海洋領域為主要攻擊目標的活動特征。再比如,APT組織黃金眼,“黃金”代表的就是攻擊者以金融機構為目標這一特征。
最終,360對APT組織及其行動的命名大致可分為三個系列:
幻獸系(攻擊境外目標的境外組織,使用各種傳說中的,或者是虛擬的動物形象來命名,如美人魚、人面獅等。)
魔株系(攻擊境內目標的境外組織,使用各種傳說中的,或者是虛擬的植物形象來命名,如海蓮花、摩訶草、蔓靈花等。)
超人系(攻擊境內目標的境內組織,使用各種虛擬的,具有超能力的人體器官來命名,如黃金眼。)
間諜組織整體情況
在多數人眼中,這些從事網絡間諜活動的黑客組織都是武力值滿級的SSR,隨便動動手指就能搞出個大新聞。當然,各國APT組織的確數不勝數,SSR之間也會有能力大PK,雷鋒網特意給各位圍觀群眾寫了份武力排行榜,這就點擊查收吧。
NO1.美國&俄羅斯
毫無懸念,美國和俄羅斯的APT組織穩坐第一梯隊,但這兩國APT組織的特點還真不一樣,甚至在某些地方截然相反。
首先是美國,美國APT組織用三個詞形容就是技術牛,武器多,還低調。目前業界認為是滅霸級別的兩個APT組織:方程式和索倫之眼,其后臺都被普遍普遍認為是NSA(美國國家安全局,NationalSecurityAgency)。裴智勇感慨道:“引起2017年512WannaVry災難的永恒之藍漏洞利用工具,僅僅是影子經紀人泄露的方程式組織武器庫中的一件武器而已。但永恒之藍曾經被用于攻擊什么目標,至今全球都沒有明確的結論。”這就足見技術牛X的美國組織是多么的低調。如果不是斯諾登同學站出來說話,很多事情我們真的是“不知道”。
與之相反,俄羅斯的APT組織就有很多高調的,大手筆的作為了,而且往往政治目非常明顯,攻擊注重實效,不出手則已一出手或可改變世界格局。
此處不得不提的就是2014年被發現的APT28組織了,目前普遍認為其身后的大佬是俄羅斯軍事情報機構(GRU)。如果你對這個組織不那么熟悉,可以回想下直接改變世界歷史走向希拉里郵件門事件,這個牛X組織還曾幫助親俄分裂分子追蹤烏克蘭部隊,造成炮兵部隊損失一半以上武器,是迄今為止,對全球政治、歷史發展影響最大的網絡攻擊組織。
NO2.伊朗&以色列&朝鮮&韓國&一個不可說的國家
第二優勝團隊有五位成員:伊朗的APT組織攻擊活動頻繁,且長期針對以色列和巴基斯坦等國攻擊。而被針對的以色列也非常牛氣,雖然少有曝出其對某國發動攻擊,但他是全世界最大的網絡軍火商,日常操作就是賣漏洞,賣木馬。2016年曝出的蘋果IOS三叉戟漏洞事件,就被認為與以色列的網絡軍火商NSO有關。
另一位意想不到選手是朝鮮,朝鮮APT組織的攻擊水平其實也并沒有很高,重點在于膽子大,比如2016年發現的被普遍認為來自朝鮮的黑客組織Lazarus,就曾經黑進索尼影視娛樂公司,搞癱韓國金融機構和媒體公司的DarkSeoul,還從孟加拉央行盜走8100萬美元(此事也不排除是有人嫁禍)。總之朝鮮APT組織要么不動,一動就是大手筆,每次攻擊都是驚天動地。
有朝鮮的地方怎么可能沒有韓國,盡管韓國APT組織的攻擊行為不明顯,但和朝鮮這對冤家之間互有攻防是常見的。另外韓國有不少頂級人才,在網絡戰中人才意味著什么?實力。
至于最后一個出道名額,大家可以發動想象力猜一下,編輯就不多作提示了。
按理說這些SSR級別的APT組織非常不容易被發現,但任何事物都有成長過程,APT組織也是如此。
一般來說從S級修煉到SSR級有四個階段:
第一階段是初學乍練,在這個階段中APT組織大量使用民間代碼,不會隱藏容易暴露,經常進行沒有意義的攻擊;
第二階段為廣泛撒網,此時APT組織的攻擊手段日漸成熟,為尋找目標大面積撒網,并開始使用漏洞攻擊。在這兩個階段APT組織較容易被發現。
第三階段為收縮攻擊,此時其攻擊隱秘不易發現,能夠找到目標精準攻擊,并開始使用0day漏洞 且攻擊代碼對抗性很強;
第四階段時無形攻擊,這個聽起來就很厲害階段可以將攻擊過程隱于無形,此時這些APT組織代碼武器堆積成庫,并掌握大量0day漏洞。目前美國大部分APT組織都發展為第四階段。
以這次的主角藍寶菇童鞋舉例,從2011-2015年,其處于前兩個階段被發現,2017年以后進入了第三階段,可以明顯看出,藍寶菇在2017-2018年的攻擊行為發現的較少。
具體來說,其初始攻擊主要采用魚叉郵件攜帶二進制可執行文件這種攻擊方法。攻擊者仿冒官方郵件向受害者發送魚叉郵件,誘導受害者點擊郵件所攜帶的惡意附件。攻擊者使用的郵件附件多為一個WinRAR壓縮包,其中包含偽裝成Word文檔的SCR文件。而后期下載得到的附件包含的是一個惡意LNK文件:
一旦受害者被誘導打開該LNK文件,LNK文件便會通過執行文件中附帶的PowerShell惡意腳本來收集上傳用戶電腦中的敏感文件,并安裝持久化后門程序長期監控用戶計算機。
面對這些神龍見首不見尾的SSR們,怎樣才能發現和還原APT組織活動的歷史和全貌呢?裴智勇舉例介紹了一種常用的分析方法,并將其形象的比喻為:拎葡萄。
怎么拎?
和傳統人員破案是一樣的,先鎖定受害人,然后整理受害人社會關系,而每一條關系鏈都連接了其他關系鏈。
對應APT攻擊中,首先當我們確定了某個樣本是高級攻擊樣本后,就可以在歷史大數據中去尋找相關的線索,比如,哪些黑、灰樣本與這個樣本是同源的,這個樣本曾經鏈接過哪些惡意服務器,哪些電腦曾經遭到過這個樣本或同源樣本的攻擊。
之后,根據拓展出來的這些線索,我們又可以拓展出更多的線索。比如,與惡意服務器連接過的其他電腦都有可能是被攻擊目標,被感染的電腦上存在的其他不明程序也可能是APT木馬。
緊接著,拓線出來的APT同源木馬可能還連接過更多的服務器,那么這些服務器也可能是同一APT組織的服務器。同時,活動特征、行為特征上與已知惡意服務器相似的服務器也都可能是同一組織的服務器。
“如此一來,一個樣本可以關聯出若干線索,若干線索又可以關聯出更多的線索,這就像拎葡萄一樣,抓住一個頭,就拎出一大串。只要有足夠規模的安全歷史大數據,對這些大數據有足夠的快速分析和檢索能力,就能夠快速還原一個組織的攻擊范圍與攻擊歷史。”裴智勇說道。
說到底,依仗還是大數據。這是個好東西,不僅能追蹤服務器,還能建立黑客歷史基因圖庫。
APT組織的成員并非一開始就是頂級高手,誰都有混跡黑客技術論壇的小白時期,如果從這一黑客進入論壇第一天開始建立檔案,之后的每一步都會留下些信息。
最后,面對這些SSR,我們有防御能力嗎?
“理論上來說是不可能全部防御住的,畢竟這些組織有確定的目標,且這一目標價值無限,這些APT組織要做的就是使用各種手段達到目的。”裴智勇告訴雷鋒網。
對于站在明處的防御方來說,偶發性強、樣本稀疏、手段高級、不易發現都造成了APT組織及其行動研究的難度。
“對于我們來說,最有價值的防御策略是:結合大數據技術及高水平安全運維,第一時間發現問題,快速響應減少損失。”裴智勇說道。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
