《透视APT》

网络空间中的对抗

APT的典型事件之——“震网病毒”

目标系统：工控系统
潜伏渗透：感染了伊朗境内60%的PC
突破物理隔离：U盘(病毒检测到宿主机插上U盘则主动向U盘感染病毒)
技术水平：同时利用多个0day(微软和西门子工控系统)，体现了APT的高级性
攻击者：极有可能是敌对关系的政治势力
攻击持续性：C2服务器2005.11就完成注册,可能长达6~7年

APT攻击的概念

起源
- 由美国一名空军上校2006年提出
何时引起关注、高潮
- 2010伊朗震网病毒、2013美国”棱镜门”事件
定义
- 知名第三方机构
  - 维基百科、Mandiant、赛门铁克、Damballa、TechTarget
    - 1.特性：高级、持续、威胁、针对。

2.目标动机：政治、情报、数据、经济利益
3.APT目标：国防、制造业、金融、科研

- 奇安信威胁情报中心

    - 不是一个纯粹的技术概念，泛指有组织，有计划针对特定目标的一系列攻击
    - 组织

        - 国家或者政府(精神支持和物质基础)
        - 情报机构、网络间谍活动的攻击组织
        - 经济实体、犯罪组织、恐怖主义组织

    - 能力：攻击不计成本(技术成本,比如系统0day)
    - 技术特点：针对性、高度隐藏(潜伏渗透周期长)、不以经济利益为直接目的、掌握0day
    - 重大安全事件不一定是APT

        - 重大损失的，也不一定是APT

            - 2016年美国东部互联网瘫痪

2018年Facebook数据泄露
国内酒店大量住户信息泄露

        - 影响范围大的，也不一定是APT

            - 2017年WannaCry勒索病毒

        - 针对性强的，也不一定是APT

            - 2008年8月俄罗斯对格鲁吉亚的军事行动

- APT 与威胁情报

    - 威胁情报：安全机构所掌握的、针对特定组织机构的各种网络威胁信息，而该组织机构自身可能并不知道相关威胁的存在或细节

        - 威胁情报的主要方面

            - 源头、目标、动机、工具、指标、表象、影响、方案

APT攻击的对象

工控系统

乌克兰圣诞大停电事件
- 核心攻击方式：BlackEnergy 后门程序、攻击者可远程访问并操控电力控制系统
沙特阿拉伯大赦之夜攻击事件
- 核心攻击方式：Shamoon(Disttrack)，能够导致目标网络完全瘫痪(通过当前的权限来访问活动目录、相同域及局域网其他主机进行横向移动)
  - 投放器(Dropper)
  - 通信组件(Communications)
  - 擦除组件(Wiper)
美国电网承包商攻击事件
- 核心攻击方式：渗透网站，向网站上传恶意程序，利用恶意程序跟踪网站访问者，获得相关人员的账号密码，利用该账号发送大量钓鱼邮件

金融系统

多国银行被盗事件
- 核心攻击方式：
  获得银行SWIFT权限，利用SWIFI向其他银行发送转账指令、篡改MT9XX报文清除证据
ATM 机盗窃事件
- 核心攻击方式：

1.针对性入侵金融机构员工的计算机或银行网络，进行视频监控，查看和记录负责转账系统的银行员工屏幕。获取足够的信息后，模仿银行员工的行为进行恶意操作。
2.插入特别制造的芯片(EMV)卡，植入恶意程序，吐钞的同时让计算机断网
3.入侵其他资产，通过资产内代理进行授权交易
4.入侵内部网络、获得ATM控制权限
5.通过光驱、USB接口等直接对ATM机进行操作

黄金眼(国内APT组织)行动事件
- 核心攻击方式：以合法软件开发公司伪装，以不当盈利作为目的，长期从事敏感金融交易信息窃取活动。（该组织攻击水平和反侦察能力均达到国际水平)

地缘政治

DNC邮件泄露、美国大选
- 希拉里邮件门事件，利用私人电子邮件向家里私人服务器发送大量涉及国家机密的绝密邮件，大约6万封。
- 相关细节：希拉里竞选团队主席被钓鱼攻击上钩，泄露邮箱密码，从而获取邮箱中的邮件，同样的攻击方法在团队其他成员中也相继成功。钓鱼邮件使用了(Bitly)短链接技术来进行伪装。
法国总统大选
- 攻击组织：APT-28
  文档:Trump’s_Attack_On_Syria_English.docx
  核心攻击技术：
  CVE-2017-0262(Word远程代码执行)
  CVE-2017-0263(Windows本地权限升级)

教育、科研系统

国内顶尖大学、研究院
国内海事、电信、能源、国防、军工业

APT攻击的技术手段

APT攻击的目标

敏感情报信息
- PC敏感文件扩展名
  - doc,docx,ppt,pptx,xls,xlsx,rtf,wps,et,dps,pdf,txt,dwg,rar,zip,7z,exe,eml
- 移动端敏感文件
  - 音频、照片、通话录音、录像、通话记录、通讯录、短信、手机基本信息、地理位置信息
- 敏感情报信息窃取方式
  - 核心思想：选择性窃取（攻击者如果活动太频繁，木马与C&C服务器的通信次数越多越容易暴露）。故APT组织一般只收集特定目录下的文件或者有特殊文件名的文件。
  - 文件直接回传、Socket通信、电子邮件
敏感文件
经济利益
持续监控
破坏
攻击目标平台
- Windows、Android、MacOS、iOS
- 跨平台的水坑攻击
  - 带有恶意程序的伪造Flash升级包

APT攻击的武器搭载系统

鱼叉攻击(Spear Phishing)
- 目的：不通过授权访问机密数据
- 手段：最常见的方式是通过电子邮件发送给特定的攻击目标，诱使目标打开附件，这种方式就是鱼叉邮件。
  - 钓鱼邮件：这个概念和鱼叉邮件类似。不过，钓鱼多是针对普通人的攻击，针对性较弱，精确度较低。
- 实施过程：前期准备->邮件制作->邮件投放->情报回收
- 防护方法：稍微有点安全意识即可，认真查看邮件来源，附件扩展名，病毒扫描，虚拟机，沙箱等。
水坑攻击(Water Holing)
- 攻击概述：攻击者通过分析攻击目标的网络活动规律，寻找攻击目标经常访问的网站的弱点，先攻下该站点并植入攻击程序，在攻击目标访问该站点时实施攻击
- 以海莲花APT组织的水坑攻击举例
  - A方式
    - 替换目标网站的可信程序(捆绑即时通、证书驱动)
    - 对目标网站插入恶意JavaScript程序(伪装成Adobe Flash更新程序)
  - B方式
    - 替换目标网站站点指定链接
PC跳板
第三方平台
- APT组织通过社交网络来下发C&C指令，APT组织的专用木马会读取文章中的程序指令来完成指定的攻击操作
- 微博、Twitter、Facebook、…
恶意硬件中间人劫持
- 在目标网络环境中部署物理硬件设备，通过中间人方式劫持用户网络流量，替换更新包等软件
  - 输入法软件、聊天软件、下载软件、影音软件、安全软件、微软系统软件
- 例子：火焰病毒

APT攻击的武器装备

专用木马
- 开机自启动
  - 修改快捷方式
  - DLL(动态链接库)劫持
  - 修改注册表、服务、计划任务
  - APT组织为何放弃开机自启动？
    - 特定场景下需要一次性攻击
      - 火力侦察判断目标是否为真实目标时、目标防护能力很强时（都是为了隐藏自己的攻击
    - 依赖原始母体文件运行
    - 用其他方法启动木马
      - 注入到其他进程、或者捆绑到其他软件
      - 利用漏洞劫持篡改网络流量
- 加密与自加密
- 木马升级换代
1day \ nday
- 出于攻击技术成本考虑、目标系统存在大量已知漏洞但未修复
- 相关例子
  - CVE-2012-0158
    - 微软Office漏洞(非常稳定)，远程攻击者诱使目标打开一个经过特殊构造的RTF文件，在符合漏洞条件下，即可在目标机器上执行任意指令。
  - CVE-2015-0097
    - 微软Office的一个逻辑漏洞，可导致目标通过HTA文件下载恶意程序到本机并执行
  - Android 漏洞
0day
- Office 文档漏洞
- Windows 提权漏洞
- Flash 漏洞
- 其他0day
APT组织武器使用成本原则(0day、或者技术成本较高的攻击手段)
- 攻击目标具有足够的攻击价值
- 一般的专用木马攻击无效或者无法达到预期目的
- 利用1day、nday攻击依然无法达到目的或者无效
APT武器研发趋势
- 特别关注点：RAT(Remote Access Trojan)文件,远程访问木马的文件格式、文件形态、功能形态、恶意程序寄宿位置的变化
- 相关武器研发趋势
  - 从PE到非PE，从有实体到无实体
  - 小众编程语言日渐流行(Delphi\GCC\NSIS\AutoIt
  - 模块互动，云控技术渐成主流
  - 恶意程序寄宿位置越藏越深：从常见的系统目录到难以追踪的MBR, VBR, 磁盘固件, EFI, BIOS, 移动存储设备的隐藏分区
  - 独立研发与委托定制成主流
    - 使用公开的RAT，目的是自我隐藏和嫁祸他人
    - 绝大部分的APT组织都是在相对独立的环境下完成攻击代码的开发工作
    - 不排除委托第三方组成协助定制开发的可能性

APT攻击的 C&C(Command and Control)

主要作用：

1.向感染了目标机的木马程序发送控制命令，提供下载资源(新木马，木马模块，配置文件等)
2.回收木马程序收集到的情报信息，包括文件、邮件等

地域分布
- 美国最多、其次中国、俄罗斯，西班牙，德国并列第三(2015年)
  - 一个APT组织可能拥有数十个，或者几个分布于不同地域的C&C服务器
注册机构
- 国内外APT组织均使用或部分使用境外服务商动态域名，ChangIP,DynDNS,No-IP,Afraid(FreeDNS),dnsExit
  - 动态域名的好处：

1.相关注册信息不对外公开(无whois信息)
2.需要域名持有者的权限才能查询相关信息

注册偏好
- 模仿邮箱类
  - 126mailserver 、mail163等
- 模仿杀毒软件类
  - safe360、rising等
- 模仿互联网公司类
  - 360sc2、sohu、sogou、sina等

APT攻击的战术布阵

情报收集

重要性：APT组织发动一次攻击，绝大部分时间都会消耗在情报收集环节上。为了达到攻击目的，攻击者必须尽可能地全面的收集攻击目标相关的情报信息，从认知水平到掌握水平。
公开情报收集
- 官方网站、行业网站、学术期刊、行业会议、新闻报道等
地下情报收集
- 地下黑市购买社工库
- 入侵第三方网站以获取目标人员、组织的情报信息
- 向其他APT组织购买情报信息

火力侦察

目的：收集攻击目标网络或设备的基本信息、判断攻击目标的真伪(是否为虚拟机)、防御能力、攻击价值。以及方便后期横向移动的准确性。
主机信息：操作系统信息、主机名称、本地用户名等
网络信息：主要是IP地址、网关信息
应用程序信息及相关版本信息，微软Office、微软Internet Explorer
磁盘信息、当前进程信息等

供应链攻击

攻击原理
- 当攻击目标本身的防御措施特别完善时，或初始攻击无法达到效果，对目标相关的周边企业、人员、供应链进行攻击，有可能取得较好的效果。
典型案例
- 震网病毒、Havex

假旗行动

概述
- 也叫伪旗行动，是隐蔽行动的一种。通过使用其他组织的旗帜、制服等手段误导公众、使公众认为该攻击是其他攻击组织执行。
  - 相关战术术语：拟态、诱饵、混淆、伪装、干扰
类型
- 预设陷阱
  - 样本文件、C&C服务器域名、特殊字符串、上线密码、诱饵文档属性信息等
- 事后掩盖
  - 攻击成功后，对域名whois、IP地址等信息进行伪装
冒充对象
- 冒充其他APT组织
- 冒充普通用户
国家级情报机构对该行动的观点
- 五眼联盟
  - 与欺骗相关的策略：暗区(DarkSpace)、蜜罐(Honeypot)、蜜令(Honeytoken)、蜜网(Honeynet)、假旗行动(False Flag)、效果(Effects)
- 五眼联盟对假旗行动的观点：1.有意制造攻击目标与被嫁祸国或组织间紧张的敌对气氛，以实现某种政治或经济目的 2.更好地隐藏自己，避免暴露，收获更大利益。

周期性袭扰

周一、二（工作日处理邮件、文件高峰期）
大型节日（如国庆节、春节等）

横向移动

目的：

1.进一步在感染的目标机器上获取更多有价值的信息
2. 借助受感染的机器，探测周边其他设备的情况或直接向周边设备发动攻击

横向移动攻击步骤
- 侦察和识别网络拓扑、获取域计算机信息、当前计算机相关主机信息、网卡信息、路由信息等
- 查看远程计算机服务及状态、获取指定IP共享信息、共享目录、扫描内网机器远程端口等
- 补充原有木马没有的功能、窃取本机更多信息、向周边其他设备发动攻击
- 常用命令：net view、ipconfig /all、netstat -a/n、nbstat -A、systeminfo、tracert -w 1000 8.8.8.8、ping、telnet、利用PowerShell远程加载木马或者上传情报信息到C&C服务器

伪装术

社会工程学伪装
- 邮件内容伪装
- 邮件身份伪装
文件视觉伪装
- 文件名
- 文件扩展名
- 文件图标
快捷方式伪装
- 将攻击代码文件和一个指向攻击代码的快捷方式文件打包成一个压缩包，同时，快捷方式的命名具有迷惑性
捆绑合法程序
- AWVS7
  - 针对网络安全行业
- 办公软件
  - 政府单位、事业单位
- 即时通、证书驱动
  - 政府机构
- 微软更新程序
- Microsoft Visio Professional 2013
压缩包外壳
- 将木马程序进行压缩，以压缩包的形式传播

反侦察术

一些APT组织的攻击木马会判断自身所处的环境、发现杀软时、会选择放弃执行后续的功能代码、或者设法绕过杀软的监测。
一些APT组织会对安全研究人员进行反向侦察工作，比如海莲花组织向AWVS的破解版中插入了木马。

APT攻击的监测与防御

如何发现APT攻击

大数据技术
- 数据采集、数据分析、数据呈现
威胁情报技术
- “标志”(Indicator of Compromise,IOC),也叫入侵指示器：通常包括主机活动中出现的文件、进程、注册表键值、系统服务、网络上的域名、URL、IP等
- 分类
  - 战术情报
    - 标记攻击者使用工具相关的特纸值及网络基础设施信息、可直接用于设备、实现对攻击活动的监控，IOC即是一个典型
  - 作战情报
    - 描述攻击者的工具、技术和过程，即TTP
  - 战略情报
    - 描述当前对于特定组织的威胁类型和对手现状、指导安全投资的大方向。使用者为CSO(Chief Security Officer), CISO(Chief Information Security Offier)
- 威胁情报的利用
  - ~在准备阶段、检测与分析阶段、隔离，清除，与恢复阶段、事后复盘阶段的作用
  - 安全运营团队会遇到的问题
    - 如何高效地发现攻击和入侵活动，评估影响面
    - 如何获取、处置与已经发现安全事件相关的活动
    - 如何基于对对手的了解、设置各个环节上的安全控制措施、以阻止相同对手或类似攻击手法的入侵
    - 理解目前安全威胁的全貌、实现有效的安全投资
流量威胁检测技术
- 流量威胁分析
- 流量日志存储
- 威胁回溯分析
网络检测响应技术(Network-based Detection and Response,NDR)
终端检测响应技术(Endpoint Detection and Response,EDR)
- 基于终端大数据分析的新一代终端安全产品，能对终端行为数据进行全面采集、实时上传、对终端进行持续检测和分析、增强对内部威胁事件的深度可见性，结合相关威胁情报中心推送的情报信息(IP、URL、文件Hash等)能帮助企业快速发现，精确定位高级威胁入侵

如何分析APT攻击

网络杀伤链模型(Cyber Kill Chain)
- 侦察
  - 攻击者选择目标、进行研究、搜集目标弱点
- 武器化
  - 攻击者创建针对一个或多个漏洞定制的远程访问恶意程序武器，比如病毒或蠕虫
- 散布
  - 将网络武器包向目标投放
- 恶用
  - 在受害者系统上运行代码
- 设置
  - 在目标位置安装恶意程序
- 命令和控制
  - 为攻击者建立可远程控制目标系统的路径
- 目标达成
  - 攻击者远程完成其预期效果
钻石模型
- 攻击者
  - 分清攻击者有利用了解其目的、归属、适应性和持久性
- 能力
  - 事件中使用的工具或技术
- 基础设施
  - 攻击者用来传递能力的物理或逻辑结构，如IP地址、域名、邮件地址、USB设备等
- 受害者
  - 以社会-政治为支点的安全分析中，受害者作用重大
自适应安全架构(Adaptive Security Architecture,ASA)
- 由美国安全公司Gartner于2014年提出的面向未来的下一代安全架构，从预测、防御、检测、响应四个维度，强度安全防护是一个持续处理、循环的过程，是细粒度、多角度、持续化地对安全威胁进行实时动态分析
- 目的：为了解决当前企业的安全防护功能难以应对高级定向攻击的问题
- 最终效果：达到网络安全的可管、可控、可视、可调度、可持续

协同联动的纵深防御体系

高级安全威胁的判定
- 结合多源头威胁情报应用、沙箱动态行为发现、关联引擎分析
安全威胁的处置
- NDR与EDR联动

APT攻击技术(趋势)

技术越发高超

非PE文件文件攻击
- 文件无需长期驻留磁盘
- 核心Payload存放在网络或注册表
- 通过系统进程执行Payload
开源工具和自动化攻击框架
- PowerShell自动化攻击框架
- CobaltStrike
  - Shellcode
  - Beacon
- Koadic
“Living off the land”技术

国际冲突地区的APT攻击更加活跃

能源资源、工业、持有不同政见者
这类APT组织：黄金鼠、人面狮、APT33、APT34等

网络空间已成为大国博弈新战场

影响面：政治、经济、军事谈判等

针对基础设施的破坏性攻击日益活跃

“互联网+”、5G、万物互联等新兴技术的兴起
涉及行业：能源、交通、制造、金融、通信等领域
现状：很多基础设施和生产系统的网络安全体系建设还基本为零

针对个人移动终端攻击显著增加

iOS、Android
系统漏洞、社会工程学
典型例子：“三叉戟漏洞”

典型的APT组织机构

方程式

索伦之眼

APT28

Lazarus

Group123

当然还有很多系统级别的漏洞，这里为什么经常用到的都是Office相关的，我个人认为是APT需要前期大量的鱼叉攻击来获取真实的目标信息，而Office在大部分攻击目标的机器上应该都有，作用范围比较大，成功率高的原因吧。

XMind - Trial Version