0
蔓灵花(BITTER),国外著名APT组织,因该组织常用的特种木马数据包头部为“BITTER”而得名,近一两年持续针对我国重点行业单位进行钓鱼攻击,其中攻击方式较多样,横跨PC端到移动端,通常采取的手段为钓鱼邮件攻击,其中邮件中搭载的可能是钓鱼网站,也可能是恶意附件。
在疫情爆发以来,蔓灵花组织从2020年初就开始制作防疫诱饵,攻防双方的战斗仍在继续。
2020年10月的某天深夜,一台办公电脑收到了一封合作公司发来的业务邮件。
“合同终于发过来了。”大李端起咖啡杯轻抿了一口,兴奋地说。为了这一次合作,大李一个月来都没怎么好好休息过。
就在大李打开附件后不久,电脑上安装的奇安信天擎终端安全管理系统弹出了一个窗口。
“中病毒了?不能啊,我也没干啥啊,难道是?”想到这里,大李不寒而栗,迅速关上电脑并将网线拔掉,拨通了公司网络安全负责人老K的电话。
“嗯,我知道了。”老K甚至来不及洗把脸,往公司飞奔而去。盯着天擎管理后台的告警记录,老K心里咒骂着,稍有平复,拨通了4009-727-120。窗外,夜已深了。
“喂,您好!这里是奇安信应急响应中心……”
恰在此时,南亚地区APT组织蔓灵花的总部也“热闹非凡”。
“拿下多少台终端了?”一个中年男人从里屋走出来说。
“还没。这轮攻击刚开始,钓鱼邮件发出去没多久,估计还需要一段时间。”
“嗯,注意盯着点,我估摸着鱼饵很快就能看到效果。”中年男人看了一眼旁边的机房, “这一次,绝对能挖到一些我们意想不到的东西。”
“放心吧,这几年哪次不是手到擒来。来了,C2(命令与控制,Command And Control)服务器后台有反应了……”
“嚯!这蔓灵花组织又来了。”收到客户求助电话后,奇安信第一时间启动了应急响应程序,威胁情报中心随即针对样本和攻击手法展开了溯源分析工作,最终锁定了蔓灵花APT组织。
自2016年首次披露以来,奇安信威胁情报中心与蔓灵花组织已经较量了多达数十次。
“从这几年和蔓灵花交手的经验来看,我们发现了他们攻击手法的几个特点。”奇安信威胁情报中心负责人汪列军称。
第一类是以发送伪装成目标单位邮箱登录界面的钓鱼网站为主,通过钓鱼网站控制目标用户的邮箱账户,从而窃取敏感信息。
第二类主要是发送带毒附件,释放专用下载器下载其特种木马。蔓灵花组织会利用自有的C2服务器,远程控制木马完成敏感信息窃取任务,并回传至自有的服务器中。
为了提升目标的中招几率,蔓灵花组织非常善于伪装。他们会把诱饵加上一个当前热点事件的“外壳”,从而吸引目标的注意力。正如本文开头所说,在今年疫情爆发后,蔓灵花组织就多次利用疫情热点话题,向攻击目标发送钓鱼邮件,直到现在依然没有停止。
后来,业界习惯把这种利用人性好奇或者其他弱点的攻击方式,叫做社会工程学攻击。这和某些新型毒品伪装成跳跳糖、邮票、奶茶等形象,从而诱骗不知情人士染上毒瘾的原理,非常相似。
“第一次面对APT攻击的时候,真的很难。”汪列军笑着说,“你的对手完全是陌生的,你不知道他使用的攻击手法、恶意样本、基础设施资源的情况,甚至你不能判断这个行为是否合法。”
这就像一名拳击手站在擂台上面对一个完全陌生的对手,你不知道对方的力量到底多大、速度多快,也不知道对方习惯使用上勾拳还是下勾拳。
一切都得从0开始。
时间拉回到蔓灵花组织首次被披露的2016年,威胁情报方兴未艾,这为高级威胁检测提供了一种全新的思路。
“每一个APT组织都有自己的招牌,也可以称之为仪式感。比如蔓灵花组织使用的特种木马,它的数据包头部就有‘BITTER’字样。”
看过武侠剧的朋友也都知道,很多高手都有自己的仪式,比如《神探狄仁杰》中的杀手蝮蛇会在杀人后留下一方绣有蝮蛇的手帕。
威胁情报分析师就是要从海量数据中,找到这些显著特征,为攻击检测和后续的溯源分析提供有力证据。
基于这些特征,一条条IOC(全称为失陷检测情报,是威胁情报的一种)便被生产出来了。通俗理解,IOC就是攻击者所使用工具的‘招牌’,包括攻击者使用的恶意文件签名、恶意IP地址以及服务器域名等等。
失陷检测情报就是用来检测已经失陷(被入侵)终端和服务器的。
举个例子,当通过IOC与异常流量进行匹配,防火墙发现公司内网的一台电脑正在尝试与蔓灵花组织经常使用的C2域名连接,那么这台电脑就很可能已经感染蔓灵花组织植入的木马了,安全人员就可以及时设置,让防火墙阻断所有非法连接。就像在古龙的武侠小说里,六扇门的捕头发现有人被灵犀一指杀死了,马上就能想到这很有可能是陆小凤干的。
时至今日,IOC的应用已经非常广泛。SANS历年的威胁情报调研报告都显示,最受欢迎、应用最多的威胁情报类型始终是IOC;在卡巴斯基发布的应急响应手册里,IOC的匹配是触发应急响应流程的最主要入口。
但IOC的生产绝非一日之功。就像你了解一个人一样,必须要常年累月的与其接触。
经过长时间对蔓灵花组织的追踪,奇安信威胁情报中心掌握了大量有关蔓灵花组织的IOC,例如蔓灵花组织所使用的键盘记录器、文件上传、远程控制等插件的MD5值(通俗理解为文件信息经过加密算法得到的一串十六进制字符,可认为具有唯一性),域名为162.0.229.203的C2服务器等等信息,一旦安全设备检测到了与IOC匹配的异常信息,则基本可以判定受到了蔓灵花组织的攻击,并及时阻断非法通信和删除病毒文件。
后续更深入的关联分析,就可以交给专业的威胁情报分析师来处理了。
为了帮助防守方快速分析攻击者所使用的攻击手法,美国研究机构MITRE于2014年推出了ATT&CK框架。通俗理解ATT&CK框架是一个不断完善的知识库,能够将已知攻击者的攻击手段、木马类型、破坏行为等总结成一个列表,用于全面呈现攻击者的技战术水平,从而给防御措施提供依据。
听起来十分有用,只要这个知识库足够丰富,遇到攻击只要往里面套就没错了。但汪列军却“泼了一盆冷水”。
“理论上是这样没错,但在实际的APT分析过程中,价值不大,因为现有的ATT&CK框架只能让你了解大致上的攻击手法和过程,并不能作为判断攻击来源的依据。APT分析的核心在于能够看见的细节,我称之为‘元数据为王’。”
所谓元数据可以简单理解为强特征。举个例子,说一个人两米二六你能想到谁?我想所有人都会异口同声的回答:姚明。因为放眼全世界,大家所熟知的也就只有姚明是两米二六。所以,两米二六就是姚明的强特征。但如果你说一个中国篮球队员长的非常高,这恐怕得在中国篮球队所有的中锋里,慢慢挑了。
APT分析也是如此。比如蔓灵花组织,他们所使用的C2服务器就是162.0.229.203,发现这个域名再结合其他关联信息,基本就能判断出就是蔓灵花组织所发起的攻击。
不过,元数据的获取并不容易,需要专业的分析师,利用专业的工具,对攻击行为、攻击样本开展深度分析。
针对网络流量的分析和元数据提取,当时业界有不少专业的产品,比如奇安信天眼新一代威胁感知系统、科莱的全流量分析系统等等。但受限于传统反病毒引擎对可疑文件的解析能力不足,往往难以做到细粒度精确度高的查杀和追踪。这也是所有安全厂商在防御APT攻击时所面临的难点。
“既然现在没有合适的反病毒引擎,我们干嘛不研发一款呢?”汪列军琢磨着。
于是,QOWL反病毒引擎应运而生,这个APT狩猎的独门绝技,为文件元数据提取、APT样本挖掘及检测,立下了汗马功劳。
在此次攻击活动中,蔓灵花组织依旧使用了其常用的攻击手法,企图释放执行其常用的下载者进行恶意软件部署,威胁情报分析师生产的IOC,结合QOWL反病毒引擎的深度检测分析,蔓灵花组织这次失算了。
这个世界上,每天都有数以万计的“IOC”被生产出来。“把它用在最合适的地方,就是APT阻击战的战士。”汪列军说。
雷锋网雷锋网
雷峰网版权文章,未经授权禁止转载。详情见转载须知。
