蔓靈花（BITTER），國外著名APT組織，因該組織常用的特種木馬數(shù)據包頭部為“BITTER”而得名，近一兩年持續(xù)針對我國重點行業(yè)單位進行釣魚攻擊，其中攻擊方式較多樣，橫跨PC端到移動端，通常采取的手段為釣魚郵件攻擊，其中郵件中搭載的可能是釣魚網站，也可能是惡意附件。

在疫情爆發(fā)以來，蔓靈花組織從2020年初就開始制作防疫誘餌，攻防雙方的戰(zhàn)斗仍在繼續(xù)。

一次告警，蔓靈花組織漏出了狐貍尾巴

2020年10月的某天深夜，一臺辦公電腦收到了一封合作公司發(fā)來的業(yè)務郵件。

“合同終于發(fā)過來了?！贝罄疃似鹂Х缺p抿了一口，興奮地說。為了這一次合作，大李一個月來都沒怎么好好休息過。

就在大李打開附件后不久，電腦上安裝的奇安信天擎終端安全管理系統(tǒng)彈出了一個窗口。

“中病毒了？不能啊，我也沒干啥啊，難道是？”想到這里，大李不寒而栗，迅速關上電腦并將網線拔掉，撥通了公司網絡安全負責人老K的電話。

“嗯，我知道了?！崩螷甚至來不及洗把臉，往公司飛奔而去。盯著天擎管理后臺的告警記錄，老K心里咒罵著，稍有平復，撥通了4009-727-120。窗外，夜已深了。

“喂，您好！這里是奇安信應急響應中心……”

恰在此時，南亞地區(qū)APT組織蔓靈花的總部也“熱鬧非凡”。

“拿下多少臺終端了？”一個中年男人從里屋走出來說。

“還沒。這輪攻擊剛開始，釣魚郵件發(fā)出去沒多久，估計還需要一段時間?！?/p>

“嗯，注意盯著點，我估摸著魚餌很快就能看到效果。”中年男人看了一眼旁邊的機房， “這一次，絕對能挖到一些我們意想不到的東西。”

“放心吧，這幾年哪次不是手到擒來。來了，C2（命令與控制，Command And Control）服務器后臺有反應了……”

還原作案現(xiàn)場，蓄謀已久的社會工程學攻擊

“嚯！這蔓靈花組織又來了?！笔盏娇蛻羟笾娫捄?，奇安信第一時間啟動了應急響應程序，威脅情報中心隨即針對樣本和攻擊手法展開了溯源分析工作，最終鎖定了蔓靈花APT組織。

自2016年首次披露以來，奇安信威脅情報中心與蔓靈花組織已經較量了多達數(shù)十次。

“從這幾年和蔓靈花交手的經驗來看，我們發(fā)現(xiàn)了他們攻擊手法的幾個特點。”奇安信威脅情報中心負責人汪列軍稱。

第一類是以發(fā)送偽裝成目標單位郵箱登錄界面的釣魚網站為主，通過釣魚網站控制目標用戶的郵箱賬戶，從而竊取敏感信息。

第二類主要是發(fā)送帶毒附件，釋放專用下載器下載其特種木馬。蔓靈花組織會利用自有的C2服務器，遠程控制木馬完成敏感信息竊取任務，并回傳至自有的服務器中。

為了提升目標的中招幾率，蔓靈花組織非常善于偽裝。他們會把誘餌加上一個當前熱點事件的“外殼”，從而吸引目標的注意力。正如本文開頭所說，在今年疫情爆發(fā)后，蔓靈花組織就多次利用疫情熱點話題，向攻擊目標發(fā)送釣魚郵件，直到現(xiàn)在依然沒有停止。

后來，業(yè)界習慣把這種利用人性好奇或者其他弱點的攻擊方式，叫做社會工程學攻擊。這和某些新型毒品偽裝成跳跳糖、郵票、奶茶等形象，從而誘騙不知情人士染上毒癮的原理，非常相似。

收集證據鏈，威脅情報的進擊

“第一次面對APT攻擊的時候，真的很難?！蓖袅熊娦χf，“你的對手完全是陌生的，你不知道他使用的攻擊手法、惡意樣本、基礎設施資源的情況，甚至你不能判斷這個行為是否合法。”

這就像一名拳擊手站在擂臺上面對一個完全陌生的對手，你不知道對方的力量到底多大、速度多快，也不知道對方習慣使用上勾拳還是下勾拳。

一切都得從0開始。

時間拉回到蔓靈花組織首次被披露的2016年，威脅情報方興未艾，這為高級威脅檢測提供了一種全新的思路。

“每一個APT組織都有自己的招牌，也可以稱之為儀式感。比如蔓靈花組織使用的特種木馬，它的數(shù)據包頭部就有‘BITTER’字樣?！?/p>

看過武俠劇的朋友也都知道，很多高手都有自己的儀式，比如《神探狄仁杰》中的殺手蝮蛇會在殺人后留下一方繡有蝮蛇的手帕。

威脅情報分析師就是要從海量數(shù)據中，找到這些顯著特征，為攻擊檢測和后續(xù)的溯源分析提供有力證據。

基于這些特征，一條條IOC（全稱為失陷檢測情報，是威脅情報的一種）便被生產出來了。通俗理解，IOC就是攻擊者所使用工具的‘招牌’，包括攻擊者使用的惡意文件簽名、惡意IP地址以及服務器域名等等。

失陷檢測情報就是用來檢測已經失陷（被入侵）終端和服務器的。

舉個例子，當通過IOC與異常流量進行匹配，防火墻發(fā)現(xiàn)公司內網的一臺電腦正在嘗試與蔓靈花組織經常使用的C2域名連接，那么這臺電腦就很可能已經感染蔓靈花組織植入的木馬了，安全人員就可以及時設置，讓防火墻阻斷所有非法連接。就像在古龍的武俠小說里，六扇門的捕頭發(fā)現(xiàn)有人被靈犀一指殺死了，馬上就能想到這很有可能是陸小鳳干的。

時至今日，IOC的應用已經非常廣泛。SANS歷年的威脅情報調研報告都顯示，最受歡迎、應用最多的威脅情報類型始終是IOC；在卡巴斯基發(fā)布的應急響應手冊里，IOC的匹配是觸發(fā)應急響應流程的最主要入口。

但IOC的生產絕非一日之功。就像你了解一個人一樣，必須要常年累月的與其接觸。

經過長時間對蔓靈花組織的追蹤，奇安信威脅情報中心掌握了大量有關蔓靈花組織的IOC，例如蔓靈花組織所使用的鍵盤記錄器、文件上傳、遠程控制等插件的MD5值（通俗理解為文件信息經過加密算法得到的一串十六進制字符，可認為具有唯一性），域名為162.0.229.203的C2服務器等等信息，一旦安全設備檢測到了與IOC匹配的異常信息，則基本可以判定受到了蔓靈花組織的攻擊，并及時阻斷非法通信和刪除病毒文件。

后續(xù)更深入的關聯(lián)分析，就可以交給專業(yè)的威脅情報分析師來處理了。

收網！QOWL反病毒引擎“一錘定音”

為了幫助防守方快速分析攻擊者所使用的攻擊手法，美國研究機構MITRE于2014年推出了ATT&CK框架。通俗理解ATT&CK框架是一個不斷完善的知識庫，能夠將已知攻擊者的攻擊手段、木馬類型、破壞行為等總結成一個列表，用于全面呈現(xiàn)攻擊者的技戰(zhàn)術水平，從而給防御措施提供依據。

聽起來十分有用，只要這個知識庫足夠豐富，遇到攻擊只要往里面套就沒錯了。但汪列軍卻“潑了一盆冷水”。

“理論上是這樣沒錯，但在實際的APT分析過程中，價值不大，因為現(xiàn)有的ATT&CK框架只能讓你了解大致上的攻擊手法和過程，并不能作為判斷攻擊來源的依據。APT分析的核心在于能夠看見的細節(jié)，我稱之為‘元數(shù)據為王’?！?/p>

所謂元數(shù)據可以簡單理解為強特征。舉個例子，說一個人兩米二六你能想到誰？我想所有人都會異口同聲的回答：姚明。因為放眼全世界，大家所熟知的也就只有姚明是兩米二六。所以，兩米二六就是姚明的強特征。但如果你說一個中國籃球隊員長的非常高，這恐怕得在中國籃球隊所有的中鋒里，慢慢挑了。

APT分析也是如此。比如蔓靈花組織，他們所使用的C2服務器就是162.0.229.203，發(fā)現(xiàn)這個域名再結合其他關聯(lián)信息，基本就能判斷出就是蔓靈花組織所發(fā)起的攻擊。

不過，元數(shù)據的獲取并不容易，需要專業(yè)的分析師，利用專業(yè)的工具，對攻擊行為、攻擊樣本開展深度分析。

針對網絡流量的分析和元數(shù)據提取，當時業(yè)界有不少專業(yè)的產品，比如奇安信天眼新一代威脅感知系統(tǒng)、科萊的全流量分析系統(tǒng)等等。但受限于傳統(tǒng)反病毒引擎對可疑文件的解析能力不足，往往難以做到細粒度精確度高的查殺和追蹤。這也是所有安全廠商在防御APT攻擊時所面臨的難點。

“既然現(xiàn)在沒有合適的反病毒引擎，我們干嘛不研發(fā)一款呢？”汪列軍琢磨著。

于是，QOWL反病毒引擎應運而生，這個APT狩獵的獨門絕技，為文件元數(shù)據提取、APT樣本挖掘及檢測，立下了汗馬功勞。

在此次攻擊活動中，蔓靈花組織依舊使用了其常用的攻擊手法，企圖釋放執(zhí)行其常用的下載者進行惡意軟件部署，威脅情報分析師生產的IOC，結合QOWL反病毒引擎的深度檢測分析，蔓靈花組織這次失算了。

這個世界上，每天都有數(shù)以萬計的“IOC”被生產出來。“把它用在最合適的地方，就是APT阻擊戰(zhàn)的戰(zhàn)士。”汪列軍說。

雷鋒網雷鋒網

雷峰網版權文章，未經授權禁止轉載。詳情見轉載須知。