还记得韩国灾难片《潘多拉》吗?
韩半岛6.1级地震之后,引发了位于釜山地区的1号原子能发电站爆炸,核电站陷入了危机。大规模强震引发的爆炸导致核电站出现裂缝,放射性物质泄漏事故发生,然而下一轮爆炸的威胁已经袭来……
对于普通群众来说,“核”犹如传说中的潘多拉魔盒,魔盒的相关信息被层层加固,保护的严严实实。但总有些别有用心之人试图对这个神秘又强大的武器了解更多,并为此做出种种努力,比如最近被披露的高级攻击组织蓝宝菇。
虽然名字有点可爱,但这个APT组织很“虎”,先来看一波他们的“战绩”:
2011年3月,与该组织相关的木马首次被发现针对政府相关机构进行攻击。
2011年11月,对某核工业研究机构进行攻击。
2012年1月,对某大型科研机构进行攻击。
2012年3月,对某军事机构进行攻击。
2012年6月,对国内多所顶尖大学进行攻击。
2013年6月,对某中央直属机构进行攻击,同时开始使用新类型的RAT。
2014年8月,该组织使用5种以上的横向移动恶意代码针对重点目标机构进行大量横向移动攻击。
2014年12月,被发现新的RAT,该后门具备窃取指定扩展名文档等重要功能。
2015年9月,针对多个国家的华侨办事机构进行攻击。
2018年4月,针对国内某重要敏感金融机构发动鱼叉邮件攻击。
当然这仅仅是目前已经了解掌握的情况,不代表已经掌握了该组织的全部攻击事件和行为。
向雷锋网宅客频道透露这个大秘密的是360行业安全研究中心主任裴智勇,据说蓝宝菇的攻击目标主要集中在中国大陆境内,主要关注核工业和科研等相关信息,从2011年持续至今对我国政府、军工、科研、金融等重点单位和部门进行了持续的网络间谍活动,可以说非常执着了。
谈起蓝宝菇命名缘由,搭着汗巾,趿着拖鞋的裴智勇哈哈一笑,“我们团队专门有研究过命名的艺术。”
事实上,APT组织的命名并没有统一的规则或规范,但相关机构在命名过程一般会参考三个原则:
谁发现,谁命名;
APT组织攻击方式或C&C服务器的特点;
APT攻击组织可能的政治及地缘背景猜测。
据裴智勇透露,他们在给APT组织命名时除了会参考上述三个原则,也会带上自己的“设计”。
比如根据组织与目标配对原则,将APT组织分为三类:攻击境外目标的境外组织,攻击境内目标的境外组织,以及攻击境内目标的境内组织(第四类此处省略);
又根据现实世界不存在原则多使用虚拟的,传说的,甚至是神话中的事物来命名APT组织,不仅显得炫酷神秘还能体现虚拟空间战争的主题;
另外根据地缘与领域兼顾原则即会考虑攻击者及攻击目标的地缘特征,也会考虑攻击者所攻击的特定领域特征。举个栗子,披露的第一个APT组织“海莲花”,“莲花”就是表现了该组织的地缘及文化特征,同时,“海”则主要表现了该组织以海洋领域为主要攻击目标的活动特征。再比如,APT组织黄金眼,“黄金”代表的就是攻击者以金融机构为目标这一特征。
最终,360对APT组织及其行动的命名大致可分为三个系列:
幻兽系(攻击境外目标的境外组织,使用各种传说中的,或者是虚拟的动物形象来命名,如美人鱼、人面狮等。)
魔株系(攻击境内目标的境外组织,使用各种传说中的,或者是虚拟的植物形象来命名,如海莲花、摩诃草、蔓灵花等。)
超人系(攻击境内目标的境内组织,使用各种虚拟的,具有超能力的人体器官来命名,如黄金眼。)
间谍组织整体情况
在多数人眼中,这些从事网络间谍活动的黑客组织都是武力值满级的SSR,随便动动手指就能搞出个大新闻。当然,各国APT组织的确数不胜数,SSR之间也会有能力大PK,雷锋网特意给各位围观群众写了份武力排行榜,这就点击查收吧。
NO1.美国&俄罗斯
毫无悬念,美国和俄罗斯的APT组织稳坐第一梯队,但这两国APT组织的特点还真不一样,甚至在某些地方截然相反。
首先是美国,美国APT组织用三个词形容就是技术牛,武器多,还低调。目前业界认为是灭霸级别的两个APT组织:方程式和索伦之眼,其后台都被普遍普遍认为是NSA(美国国家安全局,NationalSecurityAgency)。裴智勇感慨道:“引起2017年512WannaVry灾难的永恒之蓝漏洞利用工具,仅仅是影子经纪人泄露的方程式组织武器库中的一件武器而已。但永恒之蓝曾经被用于攻击什么目标,至今全球都没有明确的结论。”这就足见技术牛X的美国组织是多么的低调。如果不是斯诺登同学站出来说话,很多事情我们真的是“不知道”。
与之相反,俄罗斯的APT组织就有很多高调的,大手笔的作为了,而且往往政治目非常明显,攻击注重实效,不出手则已一出手或可改变世界格局。
此处不得不提的就是2014年被发现的APT28组织了,目前普遍认为其身后的大佬是俄罗斯军事情报机构(GRU)。如果你对这个组织不那么熟悉,可以回想下直接改变世界历史走向希拉里邮件门事件,这个牛X组织还曾帮助亲俄分裂分子追踪乌克兰部队,造成炮兵部队损失一半以上武器,是迄今为止,对全球政治、历史发展影响最大的网络攻击组织。
NO2.伊朗&以色列&朝鲜&韩国&一个不可说的国家
第二优胜团队有五位成员:伊朗的APT组织攻击活动频繁,且长期针对以色列和巴基斯坦等国攻击。而被针对的以色列也非常牛气,虽然少有曝出其对某国发动攻击,但他是全世界最大的网络军火商,日常操作就是卖漏洞,卖木马。2016年曝出的苹果IOS三叉戟漏洞事件,就被认为与以色列的网络军火商NSO有关。
另一位意想不到选手是朝鲜,朝鲜APT组织的攻击水平其实也并没有很高,重点在于胆子大,比如2016年发现的被普遍认为来自朝鲜的黑客组织Lazarus,就曾经黑进索尼影视娱乐公司,搞瘫韩国金融机构和媒体公司的DarkSeoul,还从孟加拉央行盗走8100万美元(此事也不排除是有人嫁祸)。总之朝鲜APT组织要么不动,一动就是大手笔,每次攻击都是惊天动地。
有朝鲜的地方怎么可能没有韩国,尽管韩国APT组织的攻击行为不明显,但和朝鲜这对冤家之间互有攻防是常见的。另外韩国有不少顶级人才,在网络战中人才意味着什么?实力。
至于最后一个出道名额,大家可以发动想象力猜一下,编辑就不多作提示了。
APT组织成长记
按理说这些SSR级别的APT组织非常不容易被发现,但任何事物都有成长过程,APT组织也是如此。
一般来说从S级修炼到SSR级有四个阶段:
第一阶段是初学乍练,在这个阶段中APT组织大量使用民间代码,不会隐藏容易暴露,经常进行没有意义的攻击;
第二阶段为广泛撒网,此时APT组织的攻击手段日渐成熟,为寻找目标大面积撒网,并开始使用漏洞攻击。在这两个阶段APT组织较容易被发现。
第三阶段为收缩攻击,此时其攻击隐秘不易发现,能够找到目标精准攻击,并开始使用0day漏洞 且攻击代码对抗性很强;
第四阶段时无形攻击,这个听起来就很厉害阶段可以将攻击过程隐于无形,此时这些APT组织代码武器堆积成库,并掌握大量0day漏洞。目前美国大部分APT组织都发展为第四阶段。
以这次的主角蓝宝菇童鞋举例,从2011-2015年,其处于前两个阶段被发现,2017年以后进入了第三阶段,可以明显看出,蓝宝菇在2017-2018年的攻击行为发现的较少。
具体来说,其初始攻击主要采用鱼叉邮件携带二进制可执行文件这种攻击方法。攻击者仿冒官方邮件向受害者发送鱼叉邮件,诱导受害者点击邮件所携带的恶意附件。攻击者使用的邮件附件多为一个WinRAR压缩包,其中包含伪装成Word文档的SCR文件。而后期下载得到的附件包含的是一个恶意LNK文件:
一旦受害者被诱导打开该LNK文件,LNK文件便会通过执行文件中附带的PowerShell恶意脚本来收集上传用户电脑中的敏感文件,并安装持久化后门程序长期监控用户计算机。
APT组织的防御
面对这些神龙见首不见尾的SSR们,怎样才能发现和还原APT组织活动的历史和全貌呢?裴智勇举例介绍了一种常用的分析方法,并将其形象的比喻为:拎葡萄。
怎么拎?
和传统人员破案是一样的,先锁定受害人,然后整理受害人社会关系,而每一条关系链都连接了其他关系链。
对应APT攻击中,首先当我们确定了某个样本是高级攻击样本后,就可以在历史大数据中去寻找相关的线索,比如,哪些黑、灰样本与这个样本是同源的,这个样本曾经链接过哪些恶意服务器,哪些电脑曾经遭到过这个样本或同源样本的攻击。
之后,根据拓展出来的这些线索,我们又可以拓展出更多的线索。比如,与恶意服务器连接过的其他电脑都有可能是被攻击目标,被感染的电脑上存在的其他不明程序也可能是APT木马。
紧接着,拓线出来的APT同源木马可能还连接过更多的服务器,那么这些服务器也可能是同一APT组织的服务器。同时,活动特征、行为特征上与已知恶意服务器相似的服务器也都可能是同一组织的服务器。
“如此一来,一个样本可以关联出若干线索,若干线索又可以关联出更多的线索,这就像拎葡萄一样,抓住一个头,就拎出一大串。只要有足够规模的安全历史大数据,对这些大数据有足够的快速分析和检索能力,就能够快速还原一个组织的攻击范围与攻击历史。”裴智勇说道。
说到底,依仗还是大数据。这是个好东西,不仅能追踪服务器,还能建立黑客历史基因图库。
APT组织的成员并非一开始就是顶级高手,谁都有混迹黑客技术论坛的小白时期,如果从这一黑客进入论坛第一天开始建立档案,之后的每一步都会留下些信息。
最后,面对这些SSR,我们有防御能力吗?
“理论上来说是不可能全部防御住的,毕竟这些组织有确定的目标,且这一目标价值无限,这些APT组织要做的就是使用各种手段达到目的。”裴智勇告诉雷锋网(公众号:雷锋网)。
对于站在明处的防御方来说,偶发性强、样本稀疏、手段高级、不易发现都造成了APT组织及其行动研究的难度。
“对于我们来说,最有价值的防御策略是:结合大数据技术及高水平安全运维,第一时间发现问题,快速响应减少损失。”裴智勇说道。
。
原创文章,作者:奋斗,如若转载,请注明出处:https://blog.ytso.com/114017.html