蔓靈花（BITTER），國(guó)外著名APT組織，因該組織常用的特種木馬數(shù)據(jù)包頭部為“BITTER”而得名，近一兩年持續(xù)針對(duì)我國(guó)重點(diǎn)行業(yè)單位進(jìn)行釣魚攻擊，其中攻擊方式較多樣，橫跨PC端到移動(dòng)端，通常采取的手段為釣魚郵件攻擊，其中郵件中搭載的可能是釣魚網(wǎng)站，也可能是惡意附件。

在疫情爆發(fā)以來(lái)，蔓靈花組織從2020年初就開(kāi)始制作防疫誘餌，攻防雙方的戰(zhàn)斗仍在繼續(xù)。

一次告警，蔓靈花組織漏出了狐貍尾巴

2020年10月的某天深夜，一臺(tái)辦公電腦收到了一封合作公司發(fā)來(lái)的業(yè)務(wù)郵件。

“合同終于發(fā)過(guò)來(lái)了。”大李端起咖啡杯輕抿了一口，興奮地說(shuō)。為了這一次合作，大李一個(gè)月來(lái)都沒(méi)怎么好好休息過(guò)。

就在大李打開(kāi)附件后不久，電腦上安裝的奇安信天擎終端安全管理系統(tǒng)彈出了一個(gè)窗口。

“中病毒了？不能啊，我也沒(méi)干啥啊，難道是？”想到這里，大李不寒而栗，迅速關(guān)上電腦并將網(wǎng)線拔掉，撥通了公司網(wǎng)絡(luò)安全負(fù)責(zé)人老K的電話。

“嗯，我知道了?！崩螷甚至來(lái)不及洗把臉，往公司飛奔而去。盯著天擎管理后臺(tái)的告警記錄，老K心里咒罵著，稍有平復(fù)，撥通了4009-727-120。窗外，夜已深了。

“喂，您好！這里是奇安信應(yīng)急響應(yīng)中心……”

恰在此時(shí)，南亞地區(qū)APT組織蔓靈花的總部也“熱鬧非凡”。

“拿下多少臺(tái)終端了？”一個(gè)中年男人從里屋走出來(lái)說(shuō)。

“還沒(méi)。這輪攻擊剛開(kāi)始，釣魚郵件發(fā)出去沒(méi)多久，估計(jì)還需要一段時(shí)間?！?/p>

“嗯，注意盯著點(diǎn)，我估摸著魚餌很快就能看到效果。”中年男人看了一眼旁邊的機(jī)房， “這一次，絕對(duì)能挖到一些我們意想不到的東西?！?/p>

“放心吧，這幾年哪次不是手到擒來(lái)。來(lái)了，C2（命令與控制，Command And Control）服務(wù)器后臺(tái)有反應(yīng)了……”

還原作案現(xiàn)場(chǎng)，蓄謀已久的社會(huì)工程學(xué)攻擊

“嚯！這蔓靈花組織又來(lái)了。”收到客戶求助電話后，奇安信第一時(shí)間啟動(dòng)了應(yīng)急響應(yīng)程序，威脅情報(bào)中心隨即針對(duì)樣本和攻擊手法展開(kāi)了溯源分析工作，最終鎖定了蔓靈花APT組織。

自2016年首次披露以來(lái)，奇安信威脅情報(bào)中心與蔓靈花組織已經(jīng)較量了多達(dá)數(shù)十次。

“從這幾年和蔓靈花交手的經(jīng)驗(yàn)來(lái)看，我們發(fā)現(xiàn)了他們攻擊手法的幾個(gè)特點(diǎn)?！逼姘残磐{情報(bào)中心負(fù)責(zé)人汪列軍稱。

第一類是以發(fā)送偽裝成目標(biāo)單位郵箱登錄界面的釣魚網(wǎng)站為主，通過(guò)釣魚網(wǎng)站控制目標(biāo)用戶的郵箱賬戶，從而竊取敏感信息。

第二類主要是發(fā)送帶毒附件，釋放專用下載器下載其特種木馬。蔓靈花組織會(huì)利用自有的C2服務(wù)器，遠(yuǎn)程控制木馬完成敏感信息竊取任務(wù)，并回傳至自有的服務(wù)器中。

為了提升目標(biāo)的中招幾率，蔓靈花組織非常善于偽裝。他們會(huì)把誘餌加上一個(gè)當(dāng)前熱點(diǎn)事件的“外殼”，從而吸引目標(biāo)的注意力。正如本文開(kāi)頭所說(shuō)，在今年疫情爆發(fā)后，蔓靈花組織就多次利用疫情熱點(diǎn)話題，向攻擊目標(biāo)發(fā)送釣魚郵件，直到現(xiàn)在依然沒(méi)有停止。

后來(lái)，業(yè)界習(xí)慣把這種利用人性好奇或者其他弱點(diǎn)的攻擊方式，叫做社會(huì)工程學(xué)攻擊。這和某些新型毒品偽裝成跳跳糖、郵票、奶茶等形象，從而誘騙不知情人士染上毒癮的原理，非常相似。

收集證據(jù)鏈，威脅情報(bào)的進(jìn)擊

“第一次面對(duì)APT攻擊的時(shí)候，真的很難?！蓖袅熊娦χf(shuō)，“你的對(duì)手完全是陌生的，你不知道他使用的攻擊手法、惡意樣本、基礎(chǔ)設(shè)施資源的情況，甚至你不能判斷這個(gè)行為是否合法?！?/p>

這就像一名拳擊手站在擂臺(tái)上面對(duì)一個(gè)完全陌生的對(duì)手，你不知道對(duì)方的力量到底多大、速度多快，也不知道對(duì)方習(xí)慣使用上勾拳還是下勾拳。

一切都得從0開(kāi)始。

時(shí)間拉回到蔓靈花組織首次被披露的2016年，威脅情報(bào)方興未艾，這為高級(jí)威脅檢測(cè)提供了一種全新的思路。

“每一個(gè)APT組織都有自己的招牌，也可以稱之為儀式感。比如蔓靈花組織使用的特種木馬，它的數(shù)據(jù)包頭部就有‘BITTER’字樣?！?/p>

看過(guò)武俠劇的朋友也都知道，很多高手都有自己的儀式，比如《神探狄仁杰》中的殺手蝮蛇會(huì)在殺人后留下一方繡有蝮蛇的手帕。

威脅情報(bào)分析師就是要從海量數(shù)據(jù)中，找到這些顯著特征，為攻擊檢測(cè)和后續(xù)的溯源分析提供有力證據(jù)。

基于這些特征，一條條IOC（全稱為失陷檢測(cè)情報(bào)，是威脅情報(bào)的一種）便被生產(chǎn)出來(lái)了。通俗理解，IOC就是攻擊者所使用工具的‘招牌’，包括攻擊者使用的惡意文件簽名、惡意IP地址以及服務(wù)器域名等等。

失陷檢測(cè)情報(bào)就是用來(lái)檢測(cè)已經(jīng)失陷（被入侵）終端和服務(wù)器的。

舉個(gè)例子，當(dāng)通過(guò)IOC與異常流量進(jìn)行匹配，防火墻發(fā)現(xiàn)公司內(nèi)網(wǎng)的一臺(tái)電腦正在嘗試與蔓靈花組織經(jīng)常使用的C2域名連接，那么這臺(tái)電腦就很可能已經(jīng)感染蔓靈花組織植入的木馬了，安全人員就可以及時(shí)設(shè)置，讓防火墻阻斷所有非法連接。就像在古龍的武俠小說(shuō)里，六扇門的捕頭發(fā)現(xiàn)有人被靈犀一指殺死了，馬上就能想到這很有可能是陸小鳳干的。

時(shí)至今日，IOC的應(yīng)用已經(jīng)非常廣泛。SANS歷年的威脅情報(bào)調(diào)研報(bào)告都顯示，最受歡迎、應(yīng)用最多的威脅情報(bào)類型始終是IOC；在卡巴斯基發(fā)布的應(yīng)急響應(yīng)手冊(cè)里，IOC的匹配是觸發(fā)應(yīng)急響應(yīng)流程的最主要入口。

但I(xiàn)OC的生產(chǎn)絕非一日之功。就像你了解一個(gè)人一樣，必須要常年累月的與其接觸。

經(jīng)過(guò)長(zhǎng)時(shí)間對(duì)蔓靈花組織的追蹤，奇安信威脅情報(bào)中心掌握了大量有關(guān)蔓靈花組織的IOC，例如蔓靈花組織所使用的鍵盤記錄器、文件上傳、遠(yuǎn)程控制等插件的MD5值（通俗理解為文件信息經(jīng)過(guò)加密算法得到的一串十六進(jìn)制字符，可認(rèn)為具有唯一性），域名為162.0.229.203的C2服務(wù)器等等信息，一旦安全設(shè)備檢測(cè)到了與IOC匹配的異常信息，則基本可以判定受到了蔓靈花組織的攻擊，并及時(shí)阻斷非法通信和刪除病毒文件。

后續(xù)更深入的關(guān)聯(lián)分析，就可以交給專業(yè)的威脅情報(bào)分析師來(lái)處理了。

收網(wǎng)！QOWL反病毒引擎“一錘定音”

為了幫助防守方快速分析攻擊者所使用的攻擊手法，美國(guó)研究機(jī)構(gòu)MITRE于2014年推出了ATT&CK框架。通俗理解ATT&CK框架是一個(gè)不斷完善的知識(shí)庫(kù)，能夠?qū)⒁阎粽叩墓羰侄?、木馬類型、破壞行為等總結(jié)成一個(gè)列表，用于全面呈現(xiàn)攻擊者的技戰(zhàn)術(shù)水平，從而給防御措施提供依據(jù)。

聽(tīng)起來(lái)十分有用，只要這個(gè)知識(shí)庫(kù)足夠豐富，遇到攻擊只要往里面套就沒(méi)錯(cuò)了。但汪列軍卻“潑了一盆冷水”。

“理論上是這樣沒(méi)錯(cuò)，但在實(shí)際的APT分析過(guò)程中，價(jià)值不大，因?yàn)楝F(xiàn)有的ATT&CK框架只能讓你了解大致上的攻擊手法和過(guò)程，并不能作為判斷攻擊來(lái)源的依據(jù)。APT分析的核心在于能夠看見(jiàn)的細(xì)節(jié)，我稱之為‘元數(shù)據(jù)為王’。”

所謂元數(shù)據(jù)可以簡(jiǎn)單理解為強(qiáng)特征。舉個(gè)例子，說(shuō)一個(gè)人兩米二六你能想到誰(shuí)？我想所有人都會(huì)異口同聲的回答：姚明。因?yàn)榉叛廴澜?，大家所熟知的也就只有姚明是兩米二六。所以，兩米二六就是姚明的?qiáng)特征。但如果你說(shuō)一個(gè)中國(guó)籃球隊(duì)員長(zhǎng)的非常高，這恐怕得在中國(guó)籃球隊(duì)所有的中鋒里，慢慢挑了。

APT分析也是如此。比如蔓靈花組織，他們所使用的C2服務(wù)器就是162.0.229.203，發(fā)現(xiàn)這個(gè)域名再結(jié)合其他關(guān)聯(lián)信息，基本就能判斷出就是蔓靈花組織所發(fā)起的攻擊。

不過(guò)，元數(shù)據(jù)的獲取并不容易，需要專業(yè)的分析師，利用專業(yè)的工具，對(duì)攻擊行為、攻擊樣本開(kāi)展深度分析。

針對(duì)網(wǎng)絡(luò)流量的分析和元數(shù)據(jù)提取，當(dāng)時(shí)業(yè)界有不少專業(yè)的產(chǎn)品，比如奇安信天眼新一代威脅感知系統(tǒng)、科萊的全流量分析系統(tǒng)等等。但受限于傳統(tǒng)反病毒引擎對(duì)可疑文件的解析能力不足，往往難以做到細(xì)粒度精確度高的查殺和追蹤。這也是所有安全廠商在防御APT攻擊時(shí)所面臨的難點(diǎn)。

“既然現(xiàn)在沒(méi)有合適的反病毒引擎，我們干嘛不研發(fā)一款呢？”汪列軍琢磨著。

于是，QOWL反病毒引擎應(yīng)運(yùn)而生，這個(gè)APT狩獵的獨(dú)門絕技，為文件元數(shù)據(jù)提取、APT樣本挖掘及檢測(cè)，立下了汗馬功勞。

在此次攻擊活動(dòng)中，蔓靈花組織依舊使用了其常用的攻擊手法，企圖釋放執(zhí)行其常用的下載者進(jìn)行惡意軟件部署，威脅情報(bào)分析師生產(chǎn)的IOC，結(jié)合QOWL反病毒引擎的深度檢測(cè)分析，蔓靈花組織這次失算了。

這個(gè)世界上，每天都有數(shù)以萬(wàn)計(jì)的“IOC”被生產(chǎn)出來(lái)。“把它用在最合適的地方，就是APT阻擊戰(zhàn)的戰(zhàn)士?！蓖袅熊娬f(shuō)。

雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。