0
| 本文作者: 李勤 | 2016-11-24 21:32 |
世界上最可怕的網絡“間諜”恐怕要屬“APT 攻擊”,潛伏數年、甚至數十年,默默偷取關鍵數據,它可能不為錢、不為利,但就是為了搞垮你。
聽上去實在是又賤、又狠的一種黑客攻擊。
趙雨婷,是第一個登上SyScan 360 安全會議演講臺的女講師。她是360追日團隊中的一員,面對 APT 攻擊,這個團隊希望像夸父追日一樣,一直堅持不懈地進行追擊。
關于 APT 攻擊,趙雨婷揭示了一些關于它的秘密。
最近一起重要的 APT 攻擊當屬11月曝光的蔓靈花 APT 行動。
美國網絡安全公司 Forcepoint 發布了一篇報告,該報告主要披露了巴基斯坦政府官員最近遭到了來源不明的網絡間諜活動。該報告描述了攻擊者使用了魚叉郵件以及利用系統漏洞等方式,在受害者計算機中植入了定制的 AndroRAT,意圖竊取敏感信息和資料。Forcepoint 研究人員認為該組織與 BITTER 相關,而且可能還不止發起了這一起攻擊事件。BITTER 攻擊始于2013年11月,且多年來一直未被檢測到,目前攻擊者背景尚未明確。相關 APP 信息包括提供關于印度和巴基斯坦之間的爭議地區新聞的 Kashmir News 等。
趙雨婷及團隊成員發現,這起看上去和我們沒有一毛錢關系的蔓靈花 APT 行動其實也悄悄潛伏在中國地區,受影響單位主要涉及政府、電力和工業相關單位,可怕的是,該組織至今依然處于活躍狀態。
最近一年來,和蔓靈花 APT 行動一樣“蜚聲中外”的,還有下面這些:
還好,通過對 APT 攻擊的行動特征分析,人們已經知道它們的一些行為模式,這正是揪出這個“間諜”的第一步。趙雨婷說,
APT 攻擊一般不會停歇,有一些可能會因為被安全廠商披露,導致過去的攻擊手段失效,而選擇暫時銷聲匿跡,但只要被攻擊的目標還存在價值,這個攻擊就會依然持續。另外有一些情況是,攻擊者在發動某一次攻擊時,已經達到了預期目標,攻擊組織可能會選擇暫時性蟄伏,但其目的是為了下一次攻擊養精蓄銳。
其次,APT 組織是否會對一個目標發動攻擊,并不取決于這個目標本身系統安全強弱的防護程度,而主要取決于目標是否有價值。即使,被攻擊目標的本身系統防御非常強,只要這個目標存在價值,APT攻擊組織也會不計成本對它進行攻擊。
真是不到黃河心不死!
再者,APT 攻擊者還會擁有大量的 0day (零日漏洞)資源,可以發動針對性攻擊。它具有有高度隱蔽性,可以持續數年,甚至數十年不被發現。APT 攻擊組織方發動攻擊不以直接獲取利益為目的,更傾向于竊取敏感數據和破壞基礎設施建設。
趙雨婷分析,近年來還發現 APT 攻擊逐漸轉向跨平臺攻擊。比如,蔓靈花 APT 行動就同時對 windows 和 安卓平臺進行了攻擊。
我們認為,在未來 APT 攻擊中,針對傳統 PC 的攻擊將會減少,針對移動設備、物聯網設備,甚至工業控制設備的攻擊將會持續性增加。
這是 APT 攻擊鏈的關鍵環節。攻擊者從偵查目標,制作攻擊工具,傳遞攻擊工具,利用被攻擊目標的漏洞或者弱點來進行突防,拿下全線運行工具,后期遠端的維護這個工具,到最后達到了長期控制目標的目的。針對這種現在日益廣泛的高級攻擊,威脅情報存在于整個攻擊的各個環節。
所謂威脅情報,就是 APT 將可能在這些環節露出蛛絲馬跡,安全人員如果能夠發現,就能抓到其中最關鍵的“線頭”,順藤摸瓜指日可待。
在攻防斗爭史中,安全人員曾認為漏洞是唯一能威脅企業安全的途徑,事實上,漏洞只是其中之一。釣魚郵件、員工利用社交網絡泄露的個人信息、黑客撞庫產生的密碼等都可能是 APT 攻擊潛伏進來的鑰匙。
雖然 APT 攻擊“安靜而又危害極大”,在攻防較量中,安全人員也在一步一步搜集攻擊者暴露的信息。
能夠觀察到的行為,也是威脅情報當中最基本的信息。比如,用戶網絡數據異常,網絡系統遭到了破壞等,其次是威脅的特征指標,這些特征可以用來判斷用戶是否真的遭受了這個威脅的攻擊,包括威脅處理的條件,威脅可能造成的影響,威脅的有效時間和測試方法等。
對事件的描述,主要包括事件發生的時間、位置、事件的日志等。然后是技術手法,從手段、技術、過程三個緯度,對安全事件進行了較為全面的描述,一般包括惡意攻擊的行為,惡意攻擊者采用的工具和整個工具的攻擊鏈,對漏洞造成的影響等。還有受害者和被攻擊目標的信息,一般包括被攻擊系統的基本信息,在 APT 攻擊中,通常會針對不同系統定制不同的攻擊策略,以及可能在這個攻擊中被利用的漏洞信息等。
最后是攻擊者的信息,只有到這個層次上,安全人員才會考慮關注攻擊者的動機——他為什么要發起這次攻擊?攻擊的發起方到底是誰?
趙雨婷說,
我們結合自己的研究經驗對威脅情報也有細化的解讀——威脅情報是一種基于證據的描述威脅的一組關聯的信息,通常包括威脅相關的環境信息,采用的手法機制,指標影響等。更細化一下,就會指具體的攻擊組織,惡意域名。這里的惡意域名通常是遠控的 IOC,惡意文件的 HASH 和 URL 以及威脅指標之間的關聯性,時間緯度上攻擊手法的變化。這些匯總在一起會形高級威脅情報。除此之外,我們所關注的情報,還包括傳統威脅種類的擴充,包括木馬遠控,僵尸網絡,間諜軟件,Web后門等。
按照趙雨婷給出的機器學習在威脅情報中的模型,機器學習三個基本元素分別是任務、經驗、性能。任務利用機器學習來處理威脅情報,對經驗 E 的選擇會直接影響最后流程產出的效果,所以在擇經驗 E 時需要考慮以下幾點:
第一,選取的經驗是否能為系統的決策提供直接或者間接的反饋;
第二,機器學習的決策要自主性,主要是指機器學習要能通過對自身的評估、估計、規劃來做出最終的決策,盡量不要受到人工控制;
第三,訓練的樣例是否盡可能接近真實世界的實例分布,只有選取的樣例更接近真實數據時,整個流程的性能才會非常高,也就是說,性能 P 通過這種相似性來衡量;
之所以要有這么一套看上去十分復雜的流程,是為了利用機器學習來處理威脅情報,檢測并識別出 APT 攻擊中的惡意載荷,提高 APT 攻擊威脅感知系統的效率與精確性,讓安全研究人員能更快實現 APT 攻擊的發現和溯源。
手把手教你“海底撈針”
那么,到底機器學習是如何幫助甄別威脅情報,從茫茫數據大海中撈取一根有用的針?
這里需要介紹一下背景。
機器學習分為兩類:監督學習和無監督學習。很多機器學習的問題都是在解決類別歸屬的問題,也就是給定一些數據,要判定每條數據是屬于哪些類,或者是這條數據可以和哪些其他的數據歸為一類,如果一上來就直接對輸入的數據進行建模,通過數據內在的屬性和聯系讓機器自動分類,這就屬于無監督學習。
如果一開始就知道了本身數據的類別,并且給其中一部分數據打上了標簽,通過對這些已經標好類別的數據進行歸納總結,然后得出數據到類別的映射函數,再用映射函數對剩余的數據進行分類,這種就屬于監督學習。
趙雨婷指出——無監督學習是機器學習未來發展的一個趨勢,但是基于目前的技術水平,她和團隊還是更傾向采用監督學習來處理威脅情報,畢竟技術層面上來看更成熟。
采用監督學習的一般過程是:首先是準備訓練數據,從訓練數據中抽取所需要的特征向量,把特征向量及對應的標記一起放到學習算法中,訓練得出一個預測模型,再用相同的特征選取方法,作用于新測試數據,得到用于測試的特征向量。最后使用預測模型對這些帶特征向量進行預測,并得到最終結果。
簡單而言,處理過程就是特征抽取、篩選、訓練和驗證。在特征抽取與篩選部分,首先準備訓練數據,即一切可以收集到的真實準確的數據,都可以嘗試拿來作為威脅情報處理流程的輸入數據。在這些大數據中抽取所需要的特征,即特征抽取,將原始數據逐條轉化為特征向量,會得到初始向量集。然后就可以對初始特征集進行一次特征篩選,篩選出想要的高效特征,形成特征向量。數據特征的抽取與篩選,主要是為了達到提升模型的目的。如果選取了過多特征,就會浪費服務器資源。如果選取了一些不良特征,就會大大影響模型的精確度。
在訓練生成模型的過程中,趙雨婷和團隊會從兩方面入手:一方面是樣本的相關靜態特征,另一方面是一切能夠觀察到的動態行為。
以 PE 文件為例,會先做一個特征抽取,抽取 PE 文件的一些靜態特征。比如,文件描述、可執行代碼靜態數據,簽名附件等,形成初始的特征集后,對它進行降維,即特征轉化,最后重復上面的這個過程,對模型進行驗證。在訓練過程中一個比較重要的點是——要維護自己的訓練樣本,這些訓練樣本統稱為訓練集,我們的訓練集通常由人工鑒定和算法結合選取出來,訓練集的好壞直接影響了最終模型的效率。
預測模型還需進行檢測和驗證,以保證性能是高效和準確的。在模型檢測過程中,趙雨婷及團隊會采取留一驗證和交叉驗證結合使用的方法。
留一驗證是什么?舉個栗子!
比如,在現有的 APT 樣本事件樣本集中,抽取一個 APT 事件不參與模型訓練,等模型生成后用模型來掃描這個 APT 事件,檢驗相關的威脅情報掃描結果。
交叉驗證就是多次使用留一驗證,保證每次不參與訓練的事件都不一樣,這樣是為了保證每一條可以用到的數據都參與了模型驗證和訓練的過程,會使優化后的模型更加可信。
在實驗室階段,這些方法通常用于檢測模型的有效性,在這套流程正式上線前,我們會選擇設置一個壓力池。壓力池中有很多數據,在上線前會對池子里的所有數據進行掃描,然后對掃描結果進行評估,如果這個掃描的結果符合我們的預期效果這個流程才會正式上線。
雖然利用機器學習來挖掘高級威脅情報目前效果不錯,但是趙雨婷告訴雷鋒網,還有一個瓶頸——如何要在時間緯度上實現交叉驗證。
如何在實現這個緯度以后還能保證這套流程的高效與精確性,是我們接下來研究的重點。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
