Fork me on GitHub

全球高级持续性威胁(APT)2018年中报告研读心得

在读了这篇文章之后,我对APT攻击又有了进一步的认识。

研究APT的作用 研究APT的攻击的作用不言而喻,近年来全球的APT攻击处在一个较为活跃的状态,安全厂商和研究人员需要持续 观察APT组织的动向,防患于未然。

APT组织的攻击目的 首先,由于APT的特殊性,对攻击目标进行长期的信息收集和刺探并在合适的时机发动攻击需要巨大的人力物力资 源,因此很少有个人黑客发动攻击的例子,APT组织通常是由政府和国家的情报机构等资助的,而其针对的目标也 并非盗取个人账号等小型目标,攻击的对象必然是政府军队,军事情报,高新技术等高价值目标。在这些攻击目的 中,很多情况下APT组织是为了获取一些重要情报或者是破坏目标的正常运作,因此,在分析一次APT攻击的时候 可以适当根据当前国情或外交状况来分析可能的攻击来源。

APT组攻击战术特点 由于网络军火的民用化,无论是谁,只要是稍花心思就能较为容易的获取已经公开的攻击手段,而且例如 Metasploit等攻击框架的兴起也使得实施一次攻击的成本降低,2017年NSA武器库也能在GitHub上轻松下载,即 使是一个高中生也可以直接利用这些攻击脚本来进行对仍存在安全隐患的设备发起攻击,APT组织也是如此,在网 络上可以很轻松的找到APT组织针对的目标的0day漏洞信息,如一台服务器上部署了一个较为陈旧的apache版 本,且存在重大漏洞,黑客无需自行编写漏洞利用脚本便可发起攻击,这无疑对一些重要目标设备的维护带来了一 定的挑战,攻击过程中也经常设计企业或重要部门机构在构建安全防护体系中最容易出现漏洞的一环–人,因此才 有了很多通过一些常用的社工手段、渔叉攻击,水坑攻击等一些APT攻击过程中的常用手段,而这些攻击流程十分 隐蔽,攻击者自然也不愿意在这些攻击流程中暴漏自己的身份,因此攻击者在攻击手法上有一定的迷惑性,因此我 认为在做样本分析时,得有一定的判断能力例如一次APT攻击中使用的c2服务器在之前的某次攻击中用过,而且也 有确定的组织,但是这次的攻击过程中c2服务器并没有起到实际的作用,因而可以推测这个应该是APT组织使用的 障眼法,因此我们在做APT攻击行为研究的时候应该深入的挖掘攻击者的思路,还原攻击流程,而不是停留在表 面。

  • 方程式一类的顶尖APT组织掌握最先进的漏洞攻击技术 方程式一类顶尖的APT组织掌握了最先进的漏洞攻击技术,这包括了其对几乎所有互联网相关设施、设备、软件、应用漏洞的全覆盖,而其它APT组织依然钟情于使用客户端软件的漏洞进行钓鱼攻击。
  • 针对Office的漏洞攻击依然是大部分APT攻击的焦点 从使用频率上来看,Office漏洞依然是大部分APT组织最常使用的漏洞,且依然是非常有效的APT攻击入口。
  • 移动端APT攻击逐渐成为新的焦点 移动设备的普及程度和市场占有率的大幅度提升,所以APT组织也开始将针对其目标对象的攻击范围延伸至移动设 备领域。在过去针对移动设备攻击的APT活动中,以针对iOS系统的三叉戟漏洞和针对Android系统的Hacking Team泄露的浏览器攻击利用尤为出众,并揭示了移动定向攻击中也同样具备过去网络攻击中展现的技术高级性特 点,也揭示了网络军火商制作和贩卖针对移动平台的网络武器的事实。

针对APT攻击的分析思路切入点 现在的APT攻击都有很好的伪装性,在前期的信息收集阶段和后期的渗透、攻击阶段采用的所有技术手段都是匿名 的,所以在分析攻击来源的时候难度很大,我发现现在一些安全厂家的分析方式是做关联,我之前看过一种理论, 当样本数量达到一定规模的时候,通过一些交集来划分出一个特定的群体难度并不大,比如,一个学校中,给出以 下几个标签:男生,喜欢玩英雄联盟,打篮球好,白羊座等,其实简单的几个标签就能把原来数量很大的元数据划 分为很小的目标区域,如果再一些很少的标签,那么目标群体又能以指数级的缩减从而进一步方便确定对象。这一 思想也广泛的运用到了APT攻击的分析过程当中,有的厂家在分析的时候会比对攻击手法中的一些环节的特征来确 定攻击的来源,如某一组织的攻击样本的hash,其设定c2服务器的习惯,域名的设定方式,漏洞的利用手段,样 本中一些特定行为,攻击的主要目标或地区等,一些安全厂家可能会采用机器学习的方式用代码来对这些元信息进 行关联,得到一个相对完整的攻击图谱,对于普通的安全研究者(比如我们)来说,只能通过手动的信息收集来进 行关联,主要考察信息搜集能力与信息的拓展和联想能力,关联成功后便能较为容易的确定攻击来源,以便于日后 加紧攻击意向的跟踪步进或者是为安全戒备做好指导。

您的支持是我最大的动力🍉