如何利用開源威脅信息分析APT團(tuán)伙

本文作者：又田

2019-02-01 16:40

導(dǎo)語：安全專家是如何一步一步挖出事件背后的APT組織的？

現(xiàn)在的黑客團(tuán)伙越來越會玩了。

不久前，編輯在外網(wǎng)看到一則新聞：連接智利所有銀行ATM基礎(chǔ)設(shè)施的公司Redbanc在12月底遭受了計算機(jī)攻擊，盡管新聞里沒有提到是否帶來損失，但聽起來似乎就很可怕的樣子。

更多人則把目光放在這樣大面積的攻擊，黑客怎么做到的？

事情要從悲催的大衛(wèi)斯基（宅式化名）說起。小哥是Redbanc里面的一名碼農(nóng)，因為想換工作常常瀏覽一些招聘網(wǎng)站。誰知就被暗中盯上，黑客團(tuán)伙挖好了坑，在Linkedin上發(fā)布了計算機(jī)相關(guān)職位等著他上鉤。

小哥還真沒懷疑，看到這個合適職位就聯(lián)系了對方?！皯蚓焙诳蛡兺ㄟ^ Skype 用西班牙語和小哥交流了一番，成功獲取信任后就要求小哥在計算機(jī)上安裝 ApplicationPDF.exe 程序，借口是以 pdf 格式在線生成他們的申請表。

這個程序沒有引起任何殺軟報警，暗戳戳地在Redbanc網(wǎng)絡(luò)內(nèi)的計算機(jī)上安裝并運(yùn)行了起來。潘多拉魔盒已被打開……

事情發(fā)生后，相關(guān)安全研究員經(jīng)過比對分析，最終鎖定這起攻擊事件的幕后黑手是據(jù)稱朝鮮來源的APT組織——Lazarus。

雷鋒網(wǎng)曾在國內(nèi)外APT組織武力排行榜大揭秘一文中對個黑客團(tuán)伙有過介紹，但這不是重點，我們要聊的是安全專家是如何一步步挖出事件背后的APT組織的？

不久前，編輯在威脅情報生態(tài)大會上和360威脅情報中心的安全專家汪列軍聊了聊——如何利用開源威脅信息分析APT活動。

開源信息利用

尋找APT組織的過程就如同刑警破案，需要進(jìn)入犯罪現(xiàn)場搜集信息，這些信息中可能隱藏著嫌疑人作案手法以及作案動機(jī)，甚至能通過線索還原作案過程。

對應(yīng)到尋找APT組織上，面對黑客團(tuán)伙的隱秘行動，該如何鎖定目標(biāo)？

首先就要利用開源信息，主要有四個來源。

如何利用開源威脅信息分析APT團(tuán)伙

一是各大安全廠商以及機(jī)構(gòu)發(fā)布的APT報告，其中有不少安全人員收集整理的報告集。GitHub上最早的APTnotes已經(jīng)停止更新，但有人另開集合維護(hù)。總之，開源的好處是找到你可能漏掉的報告，能夠節(jié)省力氣。

“2018年我們搜集到比較成型的APT相關(guān)報告有478個，平均一天就有1-2個報告。其中被提及的獨立APT組織名53個?！蓖袅熊姼嬖V雷鋒網(wǎng)。

二是社交媒體，可以在上面得到最快的信息，雖然相關(guān)信息的上下文不多。

“我們在推特上關(guān)注了兩千個賬號，都是人工打理?！?/p>

三是數(shù)據(jù)Feed。Feed就是為滿足以某種形式持續(xù)得到自己更新的需求而提供的格式標(biāo)準(zhǔn)的信息出口。就是信源。信息發(fā)布網(wǎng)站將網(wǎng)站全部或者部分信息整合到一個 RSS 文件中，這個文件就被稱之為 feed 。信源中包含的數(shù)據(jù)都是標(biāo)準(zhǔn)的 XML 格式，不但能直接被其他站點調(diào)用，也能在其他的終端和服務(wù)中使用。

Feed流最早被網(wǎng)景通訊公司（Netscape）推送之后，隨著近些年來國內(nèi)內(nèi)容資訊平臺大爆發(fā)，被廣泛用于微信、微博、今日頭條等社交網(wǎng)站和內(nèi)容平臺，而feed廣告更是已經(jīng)成為國內(nèi)社交平臺的一種重要盈利模式。

四是信息平臺，也就是整合過的威脅情報平臺。其中最出名的是Virus Total，里面整合了諸多惡意代碼數(shù)據(jù)，改版后可以搜索樣本，還新增了交互式圖以及分析管理。

如何利用開源威脅信息分析APT團(tuán)伙

汪列軍還提醒到，不要試圖進(jìn)行一站式的數(shù)據(jù)查詢，畢竟各家都有各自的數(shù)據(jù)視野，而且大部分都不相互覆蓋。

其它信息利用

這些開源信息對追蹤APT組織到底能起到什么作用呢？

一方面，這些數(shù)據(jù)是很好的線索輸入。

汪列軍舉例來說，比如某人得到一個新的樣本并發(fā)在了Twitter上。在收集到這個樣本后即使360自己的樣本庫中沒有這個樣本，但可以找到與其相似的樣本研究特征規(guī)則。

另一方面，開源數(shù)據(jù)提供了一部分基礎(chǔ)數(shù)據(jù)，要想進(jìn)一步鎖定目標(biāo)還需要多維度的數(shù)據(jù)補(bǔ)充。

2018年9月外媒曾報道美國政府指控并制裁了一名朝鮮男子 Park Jin Hyok。這名男子是臭名昭著的著名APT團(tuán)伙——Lazarus中的一員。涉嫌2017年全球WannaCry勒索軟件網(wǎng)絡(luò)攻擊和2014年索尼公司的網(wǎng)絡(luò)攻擊。

而確定Park是Lazarus成員的過程收集了很多維度的信息，比如特定服務(wù)器IP的訪問記錄，個人Gmail郵箱的過往記錄，LinkedIn上的記錄以及Twitter賬號記錄等等?？傊?，這份長達(dá)170多頁的起訴書體現(xiàn)了多維度數(shù)據(jù)交叉驗證的威力。

想要獲取更多數(shù)據(jù)則需要其他渠道，比如各大安全廠商的自有數(shù)據(jù)庫，或是通過商業(yè)采購的數(shù)據(jù)及直接的威脅情報。國外的數(shù)據(jù)源主要有VT，國內(nèi)有 IPIP.net。

汪列軍告訴雷鋒網(wǎng)。360今年在采購數(shù)據(jù)的預(yù)算可能會達(dá)到千萬級別。

另一個方式就是通過情報聯(lián)盟，進(jìn)行某些信息交換。當(dāng)然，目前來說，情報聯(lián)盟尚不成熟，還需要持續(xù)推進(jìn)。

總之，能否鎖定最終的黑客團(tuán)伙歸根結(jié)底在于收集的數(shù)據(jù)維度夠不夠多，畢竟，線索千絲萬縷，而真相只有一個。

如何利用開源威脅信息分析APT團(tuán)伙

分析匹配

上述的搜集行為實際可以比作拼圖游戲，過程中的玩家都有自己獨有的一塊數(shù)據(jù)視野，只有盡可能和別人手里的拼圖拼在一起才能看清更多真實場景。而根據(jù)得到的數(shù)據(jù)進(jìn)行具體分析匹配則是安全廠商提供的增值價值。

如果只是將得到的數(shù)據(jù)堆在一起打包送給對被攻擊的企業(yè)，是沒有價值的。他們需要的是更明確的結(jié)論，比如哪些終端連接到了哪些IP，自己的網(wǎng)絡(luò)可能被某個黑客團(tuán)伙滲透，甚至泄露了一部分?jǐn)?shù)據(jù)。這個黑客團(tuán)伙屬于哪個組織，這個組織曾有過什么活動，常用攻擊方式是什么，以及他們需要采取哪些防御措施等。

這就是所謂的“不知攻焉知防”。

具體來說，第一步先要將獲取的線索進(jìn)行粗/細(xì)分類，以及結(jié)構(gòu)化。

比如區(qū)分信息類型是安全新聞、事件揭露還是技術(shù)分析，再進(jìn)一步還會區(qū)分涉及的內(nèi)容是勒索、挖礦、漏洞還是定向攻擊等，如果是定向攻擊會繼續(xù)判斷是網(wǎng)絡(luò)犯罪還是APT團(tuán)伙。

而結(jié)構(gòu)化即從中抽取涉及組織名字、目標(biāo)、TTP等關(guān)鍵元素，便于之后的自動化和人工分析。

第二步是進(jìn)行關(guān)聯(lián)拓展，用到的是鉆石模型。

如何利用開源威脅信息分析APT團(tuán)伙

這個模型做的就是基于已有線索下的關(guān)聯(lián)分析。菱形四角為四個元素，所有實線連接起來的兩個點都能互相關(guān)聯(lián)，只要知道直線兩端某一端的信息，就可能基于一些公開或非公開數(shù)據(jù)推導(dǎo)出更多信息。

汪列軍舉了個栗子，比如攻擊者利用惡意代碼攻擊了某個網(wǎng)絡(luò)基礎(chǔ)設(shè)施的IP，用這個模型進(jìn)行推導(dǎo)就從菱形的左邊到右邊，從他使用的基礎(chǔ)設(shè)施情況就可以了解整個團(tuán)隊的攻擊能力。如果把鉆石模型與Kill Chain結(jié)合起來做關(guān)聯(lián)分析，可以通過已有線索拓展更多信息。

如何利用開源威脅信息分析APT團(tuán)伙

第三步是TTP分析，這里用到的是ATT&CK框架。

在分析各個階段用到了哪些技術(shù)，比如植入階段運(yùn)用了水坑攻擊，都需要這個框架?？梢钥吹綑M軸劃分了11個階段（常見的洛克希德馬丁的Cyber Kill Chain框架劃分了七個階段），并且詳細(xì)拆了每個階段應(yīng)用的具體技術(shù)，體現(xiàn)在各個環(huán)節(jié)上標(biāo)定，標(biāo)定以后可以做歸類分析。

如何利用開源威脅信息分析APT團(tuán)伙