0
蔓靈花(BITTER),國外著名APT組織,因該組織常用的特種木馬數據包頭部為“BITTER”而得名,近一兩年持續針對我國重點行業單位進行釣魚攻擊,其中攻擊方式較多樣,橫跨PC端到移動端,通常采取的手段為釣魚郵件攻擊,其中郵件中搭載的可能是釣魚網站,也可能是惡意附件。
在疫情爆發以來,蔓靈花組織從2020年初就開始制作防疫誘餌,攻防雙方的戰斗仍在繼續。
2020年10月的某天深夜,一臺辦公電腦收到了一封合作公司發來的業務郵件。
“合同終于發過來了。”大李端起咖啡杯輕抿了一口,興奮地說。為了這一次合作,大李一個月來都沒怎么好好休息過。
就在大李打開附件后不久,電腦上安裝的奇安信天擎終端安全管理系統彈出了一個窗口。
“中病毒了?不能啊,我也沒干啥啊,難道是?”想到這里,大李不寒而栗,迅速關上電腦并將網線拔掉,撥通了公司網絡安全負責人老K的電話。
“嗯,我知道了。”老K甚至來不及洗把臉,往公司飛奔而去。盯著天擎管理后臺的告警記錄,老K心里咒罵著,稍有平復,撥通了4009-727-120。窗外,夜已深了。
“喂,您好!這里是奇安信應急響應中心……”
恰在此時,南亞地區APT組織蔓靈花的總部也“熱鬧非凡”。
“拿下多少臺終端了?”一個中年男人從里屋走出來說。
“還沒。這輪攻擊剛開始,釣魚郵件發出去沒多久,估計還需要一段時間。”
“嗯,注意盯著點,我估摸著魚餌很快就能看到效果。”中年男人看了一眼旁邊的機房, “這一次,絕對能挖到一些我們意想不到的東西。”
“放心吧,這幾年哪次不是手到擒來。來了,C2(命令與控制,Command And Control)服務器后臺有反應了……”
“嚯!這蔓靈花組織又來了。”收到客戶求助電話后,奇安信第一時間啟動了應急響應程序,威脅情報中心隨即針對樣本和攻擊手法展開了溯源分析工作,最終鎖定了蔓靈花APT組織。
自2016年首次披露以來,奇安信威脅情報中心與蔓靈花組織已經較量了多達數十次。
“從這幾年和蔓靈花交手的經驗來看,我們發現了他們攻擊手法的幾個特點。”奇安信威脅情報中心負責人汪列軍稱。
第一類是以發送偽裝成目標單位郵箱登錄界面的釣魚網站為主,通過釣魚網站控制目標用戶的郵箱賬戶,從而竊取敏感信息。
第二類主要是發送帶毒附件,釋放專用下載器下載其特種木馬。蔓靈花組織會利用自有的C2服務器,遠程控制木馬完成敏感信息竊取任務,并回傳至自有的服務器中。
為了提升目標的中招幾率,蔓靈花組織非常善于偽裝。他們會把誘餌加上一個當前熱點事件的“外殼”,從而吸引目標的注意力。正如本文開頭所說,在今年疫情爆發后,蔓靈花組織就多次利用疫情熱點話題,向攻擊目標發送釣魚郵件,直到現在依然沒有停止。
后來,業界習慣把這種利用人性好奇或者其他弱點的攻擊方式,叫做社會工程學攻擊。這和某些新型毒品偽裝成跳跳糖、郵票、奶茶等形象,從而誘騙不知情人士染上毒癮的原理,非常相似。
“第一次面對APT攻擊的時候,真的很難。”汪列軍笑著說,“你的對手完全是陌生的,你不知道他使用的攻擊手法、惡意樣本、基礎設施資源的情況,甚至你不能判斷這個行為是否合法。”
這就像一名拳擊手站在擂臺上面對一個完全陌生的對手,你不知道對方的力量到底多大、速度多快,也不知道對方習慣使用上勾拳還是下勾拳。
一切都得從0開始。
時間拉回到蔓靈花組織首次被披露的2016年,威脅情報方興未艾,這為高級威脅檢測提供了一種全新的思路。
“每一個APT組織都有自己的招牌,也可以稱之為儀式感。比如蔓靈花組織使用的特種木馬,它的數據包頭部就有‘BITTER’字樣。”
看過武俠劇的朋友也都知道,很多高手都有自己的儀式,比如《神探狄仁杰》中的殺手蝮蛇會在殺人后留下一方繡有蝮蛇的手帕。
威脅情報分析師就是要從海量數據中,找到這些顯著特征,為攻擊檢測和后續的溯源分析提供有力證據。
基于這些特征,一條條IOC(全稱為失陷檢測情報,是威脅情報的一種)便被生產出來了。通俗理解,IOC就是攻擊者所使用工具的‘招牌’,包括攻擊者使用的惡意文件簽名、惡意IP地址以及服務器域名等等。
失陷檢測情報就是用來檢測已經失陷(被入侵)終端和服務器的。
舉個例子,當通過IOC與異常流量進行匹配,防火墻發現公司內網的一臺電腦正在嘗試與蔓靈花組織經常使用的C2域名連接,那么這臺電腦就很可能已經感染蔓靈花組織植入的木馬了,安全人員就可以及時設置,讓防火墻阻斷所有非法連接。就像在古龍的武俠小說里,六扇門的捕頭發現有人被靈犀一指殺死了,馬上就能想到這很有可能是陸小鳳干的。
時至今日,IOC的應用已經非常廣泛。SANS歷年的威脅情報調研報告都顯示,最受歡迎、應用最多的威脅情報類型始終是IOC;在卡巴斯基發布的應急響應手冊里,IOC的匹配是觸發應急響應流程的最主要入口。
但IOC的生產絕非一日之功。就像你了解一個人一樣,必須要常年累月的與其接觸。
經過長時間對蔓靈花組織的追蹤,奇安信威脅情報中心掌握了大量有關蔓靈花組織的IOC,例如蔓靈花組織所使用的鍵盤記錄器、文件上傳、遠程控制等插件的MD5值(通俗理解為文件信息經過加密算法得到的一串十六進制字符,可認為具有唯一性),域名為162.0.229.203的C2服務器等等信息,一旦安全設備檢測到了與IOC匹配的異常信息,則基本可以判定受到了蔓靈花組織的攻擊,并及時阻斷非法通信和刪除病毒文件。
后續更深入的關聯分析,就可以交給專業的威脅情報分析師來處理了。
為了幫助防守方快速分析攻擊者所使用的攻擊手法,美國研究機構MITRE于2014年推出了ATT&CK框架。通俗理解ATT&CK框架是一個不斷完善的知識庫,能夠將已知攻擊者的攻擊手段、木馬類型、破壞行為等總結成一個列表,用于全面呈現攻擊者的技戰術水平,從而給防御措施提供依據。
聽起來十分有用,只要這個知識庫足夠豐富,遇到攻擊只要往里面套就沒錯了。但汪列軍卻“潑了一盆冷水”。
“理論上是這樣沒錯,但在實際的APT分析過程中,價值不大,因為現有的ATT&CK框架只能讓你了解大致上的攻擊手法和過程,并不能作為判斷攻擊來源的依據。APT分析的核心在于能夠看見的細節,我稱之為‘元數據為王’。”
所謂元數據可以簡單理解為強特征。舉個例子,說一個人兩米二六你能想到誰?我想所有人都會異口同聲的回答:姚明。因為放眼全世界,大家所熟知的也就只有姚明是兩米二六。所以,兩米二六就是姚明的強特征。但如果你說一個中國籃球隊員長的非常高,這恐怕得在中國籃球隊所有的中鋒里,慢慢挑了。
APT分析也是如此。比如蔓靈花組織,他們所使用的C2服務器就是162.0.229.203,發現這個域名再結合其他關聯信息,基本就能判斷出就是蔓靈花組織所發起的攻擊。
不過,元數據的獲取并不容易,需要專業的分析師,利用專業的工具,對攻擊行為、攻擊樣本開展深度分析。
針對網絡流量的分析和元數據提取,當時業界有不少專業的產品,比如奇安信天眼新一代威脅感知系統、科萊的全流量分析系統等等。但受限于傳統反病毒引擎對可疑文件的解析能力不足,往往難以做到細粒度精確度高的查殺和追蹤。這也是所有安全廠商在防御APT攻擊時所面臨的難點。
“既然現在沒有合適的反病毒引擎,我們干嘛不研發一款呢?”汪列軍琢磨著。
于是,QOWL反病毒引擎應運而生,這個APT狩獵的獨門絕技,為文件元數據提取、APT樣本挖掘及檢測,立下了汗馬功勞。
在此次攻擊活動中,蔓靈花組織依舊使用了其常用的攻擊手法,企圖釋放執行其常用的下載者進行惡意軟件部署,威脅情報分析師生產的IOC,結合QOWL反病毒引擎的深度檢測分析,蔓靈花組織這次失算了。
這個世界上,每天都有數以萬計的“IOC”被生產出來。“把它用在最合適的地方,就是APT阻擊戰的戰士。”汪列軍說。
雷鋒網雷鋒網
雷峰網版權文章,未經授權禁止轉載。詳情見轉載須知。
