蔓靈花（BITTER），國外著名APT組織，因該組織常用的特種木馬數(shù)據(jù)包頭部為“BITTER”而得名，近一兩年持續(xù)針對我國重點行業(yè)單位進(jìn)行釣魚攻擊，其中攻擊方式較多樣，橫跨PC端到移動端，通常采取的手段為釣魚郵件攻擊，其中郵件中搭載的可能是釣魚網(wǎng)站，也可能是惡意附件。

在疫情爆發(fā)以來，蔓靈花組織從2020年初就開始制作防疫誘餌，攻防雙方的戰(zhàn)斗仍在繼續(xù)。

一次告警，蔓靈花組織漏出了狐貍尾巴

2020年10月的某天深夜，一臺辦公電腦收到了一封合作公司發(fā)來的業(yè)務(wù)郵件。

“合同終于發(fā)過來了?！贝罄疃似鹂Х缺p抿了一口，興奮地說。為了這一次合作，大李一個月來都沒怎么好好休息過。

就在大李打開附件后不久，電腦上安裝的奇安信天擎終端安全管理系統(tǒng)彈出了一個窗口。

“中病毒了？不能啊，我也沒干啥啊，難道是？”想到這里，大李不寒而栗，迅速關(guān)上電腦并將網(wǎng)線拔掉，撥通了公司網(wǎng)絡(luò)安全負(fù)責(zé)人老K的電話。

“嗯，我知道了。”老K甚至來不及洗把臉，往公司飛奔而去。盯著天擎管理后臺的告警記錄，老K心里咒罵著，稍有平復(fù)，撥通了4009-727-120。窗外，夜已深了。

“喂，您好！這里是奇安信應(yīng)急響應(yīng)中心……”

恰在此時，南亞地區(qū)APT組織蔓靈花的總部也“熱鬧非凡”。

“拿下多少臺終端了？”一個中年男人從里屋走出來說。

“還沒。這輪攻擊剛開始，釣魚郵件發(fā)出去沒多久，估計還需要一段時間?！?/p>

“嗯，注意盯著點，我估摸著魚餌很快就能看到效果?！敝心昴腥丝戳艘谎叟赃叺臋C(jī)房， “這一次，絕對能挖到一些我們意想不到的東西。”

“放心吧，這幾年哪次不是手到擒來。來了，C2（命令與控制，Command And Control）服務(wù)器后臺有反應(yīng)了……”

還原作案現(xiàn)場，蓄謀已久的社會工程學(xué)攻擊

“嚯！這蔓靈花組織又來了?！笔盏娇蛻羟笾娫捄螅姘残诺谝粫r間啟動了應(yīng)急響應(yīng)程序，威脅情報中心隨即針對樣本和攻擊手法展開了溯源分析工作，最終鎖定了蔓靈花APT組織。

自2016年首次披露以來，奇安信威脅情報中心與蔓靈花組織已經(jīng)較量了多達(dá)數(shù)十次。

“從這幾年和蔓靈花交手的經(jīng)驗來看，我們發(fā)現(xiàn)了他們攻擊手法的幾個特點?！逼姘残磐{情報中心負(fù)責(zé)人汪列軍稱。

第一類是以發(fā)送偽裝成目標(biāo)單位郵箱登錄界面的釣魚網(wǎng)站為主，通過釣魚網(wǎng)站控制目標(biāo)用戶的郵箱賬戶，從而竊取敏感信息。

第二類主要是發(fā)送帶毒附件，釋放專用下載器下載其特種木馬。蔓靈花組織會利用自有的C2服務(wù)器，遠(yuǎn)程控制木馬完成敏感信息竊取任務(wù)，并回傳至自有的服務(wù)器中。

為了提升目標(biāo)的中招幾率，蔓靈花組織非常善于偽裝。他們會把誘餌加上一個當(dāng)前熱點事件的“外殼”，從而吸引目標(biāo)的注意力。正如本文開頭所說，在今年疫情爆發(fā)后，蔓靈花組織就多次利用疫情熱點話題，向攻擊目標(biāo)發(fā)送釣魚郵件，直到現(xiàn)在依然沒有停止。

后來，業(yè)界習(xí)慣把這種利用人性好奇或者其他弱點的攻擊方式，叫做社會工程學(xué)攻擊。這和某些新型毒品偽裝成跳跳糖、郵票、奶茶等形象，從而誘騙不知情人士染上毒癮的原理，非常相似。

收集證據(jù)鏈，威脅情報的進(jìn)擊

“第一次面對APT攻擊的時候，真的很難。”汪列軍笑著說，“你的對手完全是陌生的，你不知道他使用的攻擊手法、惡意樣本、基礎(chǔ)設(shè)施資源的情況，甚至你不能判斷這個行為是否合法?！?/p>

這就像一名拳擊手站在擂臺上面對一個完全陌生的對手，你不知道對方的力量到底多大、速度多快，也不知道對方習(xí)慣使用上勾拳還是下勾拳。

一切都得從0開始。

時間拉回到蔓靈花組織首次被披露的2016年，威脅情報方興未艾，這為高級威脅檢測提供了一種全新的思路。

“每一個APT組織都有自己的招牌，也可以稱之為儀式感。比如蔓靈花組織使用的特種木馬，它的數(shù)據(jù)包頭部就有‘BITTER’字樣?！?/p>

看過武俠劇的朋友也都知道，很多高手都有自己的儀式，比如《神探狄仁杰》中的殺手蝮蛇會在殺人后留下一方繡有蝮蛇的手帕。

威脅情報分析師就是要從海量數(shù)據(jù)中，找到這些顯著特征，為攻擊檢測和后續(xù)的溯源分析提供有力證據(jù)。

基于這些特征，一條條IOC（全稱為失陷檢測情報，是威脅情報的一種）便被生產(chǎn)出來了。通俗理解，IOC就是攻擊者所使用工具的‘招牌’，包括攻擊者使用的惡意文件簽名、惡意IP地址以及服務(wù)器域名等等。

失陷檢測情報就是用來檢測已經(jīng)失陷（被入侵）終端和服務(wù)器的。

舉個例子，當(dāng)通過IOC與異常流量進(jìn)行匹配，防火墻發(fā)現(xiàn)公司內(nèi)網(wǎng)的一臺電腦正在嘗試與蔓靈花組織經(jīng)常使用的C2域名連接，那么這臺電腦就很可能已經(jīng)感染蔓靈花組織植入的木馬了，安全人員就可以及時設(shè)置，讓防火墻阻斷所有非法連接。就像在古龍的武俠小說里，六扇門的捕頭發(fā)現(xiàn)有人被靈犀一指殺死了，馬上就能想到這很有可能是陸小鳳干的。

時至今日，IOC的應(yīng)用已經(jīng)非常廣泛。SANS歷年的威脅情報調(diào)研報告都顯示，最受歡迎、應(yīng)用最多的威脅情報類型始終是IOC；在卡巴斯基發(fā)布的應(yīng)急響應(yīng)手冊里，IOC的匹配是觸發(fā)應(yīng)急響應(yīng)流程的最主要入口。

但I(xiàn)OC的生產(chǎn)絕非一日之功。就像你了解一個人一樣，必須要常年累月的與其接觸。

經(jīng)過長時間對蔓靈花組織的追蹤，奇安信威脅情報中心掌握了大量有關(guān)蔓靈花組織的IOC，例如蔓靈花組織所使用的鍵盤記錄器、文件上傳、遠(yuǎn)程控制等插件的MD5值（通俗理解為文件信息經(jīng)過加密算法得到的一串十六進(jìn)制字符，可認(rèn)為具有唯一性），域名為162.0.229.203的C2服務(wù)器等等信息，一旦安全設(shè)備檢測到了與IOC匹配的異常信息，則基本可以判定受到了蔓靈花組織的攻擊，并及時阻斷非法通信和刪除病毒文件。

后續(xù)更深入的關(guān)聯(lián)分析，就可以交給專業(yè)的威脅情報分析師來處理了。

收網(wǎng)！QOWL反病毒引擎“一錘定音”

為了幫助防守方快速分析攻擊者所使用的攻擊手法，美國研究機(jī)構(gòu)MITRE于2014年推出了ATT&CK框架。通俗理解ATT&CK框架是一個不斷完善的知識庫，能夠?qū)⒁阎粽叩墓羰侄巍⒛抉R類型、破壞行為等總結(jié)成一個列表，用于全面呈現(xiàn)攻擊者的技戰(zhàn)術(shù)水平，從而給防御措施提供依據(jù)。

聽起來十分有用，只要這個知識庫足夠豐富，遇到攻擊只要往里面套就沒錯了。但汪列軍卻“潑了一盆冷水”。

“理論上是這樣沒錯，但在實際的APT分析過程中，價值不大，因為現(xiàn)有的ATT&CK框架只能讓你了解大致上的攻擊手法和過程，并不能作為判斷攻擊來源的依據(jù)。APT分析的核心在于能夠看見的細(xì)節(jié)，我稱之為‘元數(shù)據(jù)為王’。”

所謂元數(shù)據(jù)可以簡單理解為強(qiáng)特征。舉個例子，說一個人兩米二六你能想到誰？我想所有人都會異口同聲的回答：姚明。因為放眼全世界，大家所熟知的也就只有姚明是兩米二六。所以，兩米二六就是姚明的強(qiáng)特征。但如果你說一個中國籃球隊員長的非常高，這恐怕得在中國籃球隊所有的中鋒里，慢慢挑了。

APT分析也是如此。比如蔓靈花組織，他們所使用的C2服務(wù)器就是162.0.229.203，發(fā)現(xiàn)這個域名再結(jié)合其他關(guān)聯(lián)信息，基本就能判斷出就是蔓靈花組織所發(fā)起的攻擊。

不過，元數(shù)據(jù)的獲取并不容易，需要專業(yè)的分析師，利用專業(yè)的工具，對攻擊行為、攻擊樣本開展深度分析。

針對網(wǎng)絡(luò)流量的分析和元數(shù)據(jù)提取，當(dāng)時業(yè)界有不少專業(yè)的產(chǎn)品，比如奇安信天眼新一代威脅感知系統(tǒng)、科萊的全流量分析系統(tǒng)等等。但受限于傳統(tǒng)反病毒引擎對可疑文件的解析能力不足，往往難以做到細(xì)粒度精確度高的查殺和追蹤。這也是所有安全廠商在防御APT攻擊時所面臨的難點。

“既然現(xiàn)在沒有合適的反病毒引擎，我們干嘛不研發(fā)一款呢？”汪列軍琢磨著。

于是，QOWL反病毒引擎應(yīng)運而生，這個APT狩獵的獨門絕技，為文件元數(shù)據(jù)提取、APT樣本挖掘及檢測，立下了汗馬功勞。

在此次攻擊活動中，蔓靈花組織依舊使用了其常用的攻擊手法，企圖釋放執(zhí)行其常用的下載者進(jìn)行惡意軟件部署，威脅情報分析師生產(chǎn)的IOC，結(jié)合QOWL反病毒引擎的深度檢測分析，蔓靈花組織這次失算了。

這個世界上，每天都有數(shù)以萬計的“IOC”被生產(chǎn)出來?！鞍阉迷谧詈线m的地方，就是APT阻擊戰(zhàn)的戰(zhàn)士。”汪列軍說。

雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。