現(xiàn)在的黑客團(tuán)伙越來(lái)越會(huì)玩了。

不久前，編輯在外網(wǎng)看到一則新聞：連接智利所有銀行ATM基礎(chǔ)設(shè)施的公司Redbanc在12月底遭受了計(jì)算機(jī)攻擊，盡管新聞里沒(méi)有提到是否帶來(lái)?yè)p失，但聽(tīng)起來(lái)似乎就很可怕的樣子。

更多人則把目光放在這樣大面積的攻擊，黑客怎么做到的？

事情要從悲催的大衛(wèi)斯基（宅式化名）說(shuō)起。小哥是Redbanc里面的一名碼農(nóng)，因?yàn)橄霌Q工作常常瀏覽一些招聘網(wǎng)站。誰(shuí)知就被暗中盯上，黑客團(tuán)伙挖好了坑，在Linkedin上發(fā)布了計(jì)算機(jī)相關(guān)職位等著他上鉤。

小哥還真沒(méi)懷疑，看到這個(gè)合適職位就聯(lián)系了對(duì)方?！皯蚓焙诳蛡兺ㄟ^(guò) Skype 用西班牙語(yǔ)和小哥交流了一番，成功獲取信任后就要求小哥在計(jì)算機(jī)上安裝 ApplicationPDF.exe 程序，借口是以 pdf 格式在線生成他們的申請(qǐng)表。

這個(gè)程序沒(méi)有引起任何殺軟報(bào)警，暗戳戳地在Redbanc網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)上安裝并運(yùn)行了起來(lái)。潘多拉魔盒已被打開(kāi)……

事情發(fā)生后，相關(guān)安全研究員經(jīng)過(guò)比對(duì)分析，最終鎖定這起攻擊事件的幕后黑手是據(jù)稱朝鮮來(lái)源的APT組織——Lazarus。

雷鋒網(wǎng)曾在國(guó)內(nèi)外APT組織武力排行榜大揭秘一文中對(duì)個(gè)黑客團(tuán)伙有過(guò)介紹，但這不是重點(diǎn)，我們要聊的是安全專家是如何一步步挖出事件背后的APT組織的？

不久前，編輯在威脅情報(bào)生態(tài)大會(huì)上和360威脅情報(bào)中心的安全專家汪列軍聊了聊——如何利用開(kāi)源威脅信息分析APT活動(dòng)。

開(kāi)源信息利用

尋找APT組織的過(guò)程就如同刑警破案，需要進(jìn)入犯罪現(xiàn)場(chǎng)搜集信息，這些信息中可能隱藏著嫌疑人作案手法以及作案動(dòng)機(jī)，甚至能通過(guò)線索還原作案過(guò)程。

對(duì)應(yīng)到尋找APT組織上，面對(duì)黑客團(tuán)伙的隱秘行動(dòng)，該如何鎖定目標(biāo)？

首先就要利用開(kāi)源信息，主要有四個(gè)來(lái)源。

一是各大安全廠商以及機(jī)構(gòu)發(fā)布的APT報(bào)告，其中有不少安全人員收集整理的報(bào)告集。GitHub上最早的APTnotes已經(jīng)停止更新，但有人另開(kāi)集合維護(hù)?？傊?，開(kāi)源的好處是找到你可能漏掉的報(bào)告，能夠節(jié)省力氣。

“2018年我們搜集到比較成型的APT相關(guān)報(bào)告有478個(gè)，平均一天就有1-2個(gè)報(bào)告。其中被提及的獨(dú)立APT組織名53個(gè)?！蓖袅熊姼嬖V雷鋒網(wǎng)。

二是社交媒體，可以在上面得到最快的信息，雖然相關(guān)信息的上下文不多。

“我們?cè)谕铺厣详P(guān)注了兩千個(gè)賬號(hào)，都是人工打理?！?/p>

三是數(shù)據(jù)Feed。Feed就是為滿足以某種形式持續(xù)得到自己更新的需求而提供的格式標(biāo)準(zhǔn)的信息出口。就是信源。信息發(fā)布網(wǎng)站將網(wǎng)站全部或者部分信息整合到一個(gè) RSS 文件中，這個(gè)文件就被稱之為 feed 。信源中包含的數(shù)據(jù)都是標(biāo)準(zhǔn)的 XML 格式，不但能直接被其他站點(diǎn)調(diào)用，也能在其他的終端和服務(wù)中使用。

Feed流最早被網(wǎng)景通訊公司（Netscape）推送之后，隨著近些年來(lái)國(guó)內(nèi)內(nèi)容資訊平臺(tái)大爆發(fā)，被廣泛用于微信、微博、今日頭條等社交網(wǎng)站和內(nèi)容平臺(tái)，而feed廣告更是已經(jīng)成為國(guó)內(nèi)社交平臺(tái)的一種重要盈利模式。

四是信息平臺(tái)，也就是整合過(guò)的威脅情報(bào)平臺(tái)。其中最出名的是Virus  Total，里面整合了諸多惡意代碼數(shù)據(jù)，改版后可以搜索樣本，還新增了交互式圖以及分析管理。

汪列軍還提醒到，不要試圖進(jìn)行一站式的數(shù)據(jù)查詢，畢竟各家都有各自的數(shù)據(jù)視野，而且大部分都不相互覆蓋。

其它信息利用

這些開(kāi)源信息對(duì)追蹤APT組織到底能起到什么作用呢？

一方面，這些數(shù)據(jù)是很好的線索輸入。

汪列軍舉例來(lái)說(shuō)，比如某人得到一個(gè)新的樣本并發(fā)在了Twitter上。在收集到這個(gè)樣本后即使360自己的樣本庫(kù)中沒(méi)有這個(gè)樣本，但可以找到與其相似的樣本研究特征規(guī)則。

另一方面，開(kāi)源數(shù)據(jù)提供了一部分基礎(chǔ)數(shù)據(jù)，要想進(jìn)一步鎖定目標(biāo)還需要多維度的數(shù)據(jù)補(bǔ)充。

2018年9月外媒曾報(bào)道美國(guó)政府指控并制裁了一名朝鮮男子 Park Jin Hyok。這名男子是臭名昭著的著名APT團(tuán)伙——Lazarus中的一員。涉嫌2017年全球WannaCry勒索軟件網(wǎng)絡(luò)攻擊和2014年索尼公司的網(wǎng)絡(luò)攻擊。

而確定Park是Lazarus成員的過(guò)程收集了很多維度的信息，比如特定服務(wù)器IP的訪問(wèn)記錄，個(gè)人Gmail郵箱的過(guò)往記錄，LinkedIn上的記錄以及Twitter賬號(hào)記錄等等?？傊?，這份長(zhǎng)達(dá)170多頁(yè)的起訴書(shū)體現(xiàn)了多維度數(shù)據(jù)交叉驗(yàn)證的威力。

想要獲取更多數(shù)據(jù)則需要其他渠道，比如各大安全廠商的自有數(shù)據(jù)庫(kù)，或是通過(guò)商業(yè)采購(gòu)的數(shù)據(jù)及直接的威脅情報(bào)。國(guó)外的數(shù)據(jù)源主要有VT，國(guó)內(nèi)有 IPIP.net。

汪列軍告訴雷鋒網(wǎng)。360今年在采購(gòu)數(shù)據(jù)的預(yù)算可能會(huì)達(dá)到千萬(wàn)級(jí)別。

另一個(gè)方式就是通過(guò)情報(bào)聯(lián)盟，進(jìn)行某些信息交換。當(dāng)然，目前來(lái)說(shuō)，情報(bào)聯(lián)盟尚不成熟，還需要持續(xù)推進(jìn)。

總之，能否鎖定最終的黑客團(tuán)伙歸根結(jié)底在于收集的數(shù)據(jù)維度夠不夠多，畢竟，線索千絲萬(wàn)縷，而真相只有一個(gè)。

分析匹配

上述的搜集行為實(shí)際可以比作拼圖游戲，過(guò)程中的玩家都有自己獨(dú)有的一塊數(shù)據(jù)視野，只有盡可能和別人手里的拼圖拼在一起才能看清更多真實(shí)場(chǎng)景。而根據(jù)得到的數(shù)據(jù)進(jìn)行具體分析匹配則是安全廠商提供的增值價(jià)值。

如果只是將得到的數(shù)據(jù)堆在一起打包送給對(duì)被攻擊的企業(yè)，是沒(méi)有價(jià)值的。他們需要的是更明確的結(jié)論，比如哪些終端連接到了哪些IP，自己的網(wǎng)絡(luò)可能被某個(gè)黑客團(tuán)伙滲透，甚至泄露了一部分?jǐn)?shù)據(jù)。這個(gè)黑客團(tuán)伙屬于哪個(gè)組織，這個(gè)組織曾有過(guò)什么活動(dòng)，常用攻擊方式是什么，以及他們需要采取哪些防御措施等。

這就是所謂的“不知攻焉知防”。

具體來(lái)說(shuō)，第一步先要將獲取的線索進(jìn)行粗/細(xì)分類，以及結(jié)構(gòu)化。

比如區(qū)分信息類型是安全新聞、事件揭露還是技術(shù)分析，再進(jìn)一步還會(huì)區(qū)分涉及的內(nèi)容是勒索、挖礦、漏洞還是定向攻擊等，如果是定向攻擊會(huì)繼續(xù)判斷是網(wǎng)絡(luò)犯罪還是APT團(tuán)伙。

而結(jié)構(gòu)化即從中抽取涉及組織名字、目標(biāo)、TTP等關(guān)鍵元素，便于之后的自動(dòng)化和人工分析。

第二步是進(jìn)行關(guān)聯(lián)拓展，用到的是鉆石模型。

這個(gè)模型做的就是基于已有線索下的關(guān)聯(lián)分析。菱形四角為四個(gè)元素，所有實(shí)線連接起來(lái)的兩個(gè)點(diǎn)都能互相關(guān)聯(lián)，只要知道直線兩端某一端的信息，就可能基于一些公開(kāi)或非公開(kāi)數(shù)據(jù)推導(dǎo)出更多信息。

汪列軍舉了個(gè)栗子，比如攻擊者利用惡意代碼攻擊了某個(gè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的IP，用這個(gè)模型進(jìn)行推導(dǎo)就從菱形的左邊到右邊，從他使用的基礎(chǔ)設(shè)施情況就可以了解整個(gè)團(tuán)隊(duì)的攻擊能力。如果把鉆石模型與Kill  Chain結(jié)合起來(lái)做關(guān)聯(lián)分析，可以通過(guò)已有線索拓展更多信息。

第三步是TTP分析，這里用到的是ATT&CK框架。

在分析各個(gè)階段用到了哪些技術(shù)，比如植入階段運(yùn)用了水坑攻擊，都需要這個(gè)框架?？梢钥吹綑M軸劃分了11個(gè)階段（常見(jiàn)的洛克希德馬丁的Cyber Kill Chain框架劃分了七個(gè)階段），并且詳細(xì)拆了每個(gè)階段應(yīng)用的具體技術(shù)，體現(xiàn)在各個(gè)環(huán)節(jié)上標(biāo)定，標(biāo)定以后可以做歸類分析。

最后一步就是背景研判。也就是基于上述信息做一個(gè)匹配，將APT組織列表與之對(duì)應(yīng)，鎖定目標(biāo)。

整個(gè)過(guò)程簡(jiǎn)單說(shuō)就是，基于線索搜集多維度數(shù)據(jù)，再利用線索進(jìn)行關(guān)聯(lián)。

這一系列復(fù)雜操作真的這么順利嗎？當(dāng)然不。

現(xiàn)在的APT組織愈發(fā)狡猾，一方面自己會(huì)隱藏很好，另一方面還會(huì)“借刀殺人”，就是在對(duì)目標(biāo)發(fā)動(dòng)攻擊時(shí)候使用了其他APT組織的工具、技術(shù)或者微代碼，甚至重用了其他組織的網(wǎng)絡(luò)基礎(chǔ)設(shè)施IP，等于耍了個(gè)障眼法。

汪列軍告訴雷鋒網(wǎng)，他們也曾犯過(guò)這樣的錯(cuò)誤，不久前在推特上發(fā)布的一個(gè)報(bào)告就被指出匹配錯(cuò)了APT組織。

但他笑了笑，“錯(cuò)了就是錯(cuò)了，承認(rèn)也沒(méi)什么?！?/p>

******分割線******

看完了整套分析是不是覺(jué)得相關(guān)報(bào)告來(lái)之不易？（還不重新閱讀下雷鋒網(wǎng)之前發(fā)出的報(bào)告！）

APT高持續(xù)性威脅這個(gè)專業(yè)名詞源于2010年Google退華一事中的“極光攻擊”這起安全事件，各國(guó)安全專家對(duì)這類攻擊持續(xù)熱議后總結(jié)而得。在此之后APT攻擊與防護(hù)戰(zhàn)拉開(kāi)帷幕，這一斗就是10年。顯然，這是場(chǎng)打不完的硬仗。

2018年全球APT攻擊數(shù)不勝數(shù)，而2019年只多不少。面對(duì)愈發(fā)隱蔽的攻擊者，安全人員也不斷重鑄圣劍。賽博世界的攻防之戰(zhàn)永遠(yuǎn)不會(huì)停歇。

最后，祝大家新年快樂(lè)，2019也要加油鴨。

附上“碼農(nóng)界”對(duì)聯(lián)。

圖片來(lái)源：編輯神秘的朋友圈

相關(guān)文章：

5家新APT組織被披露，2019是“后起之秀”的天下？

國(guó)內(nèi)外 APT 組織武力排行榜大揭秘

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。