快捷搜索:  网络  CVE  渗透  后门  扫描  木马  黑客  as

环球高级持续性威胁(APT)2018年中讲演

序言

APT,又称高级持续性威胁,通经常使用于区别由国家、当局或情报机构资助或具有相干违景的攻击团伙实施的攻击步履。该类攻击步履的念头往往与地缘政治冲突,军事步履相干,并以长久性的情报密查、网络以及监控为首要意图,其首要攻击的目标除了当局、戎行、外交相干部门外,也包括科研、海事、能源、高新手艺等领域。

近年来,结合国内外各个安全研究机构、安全厂商对APT类威胁活动的持续跟踪以及阐发的效果,可以看到攻击团伙使用的攻击战术、手艺以及过程已经达到无比成熟的阶段,即便部分攻击团伙的手艺能力不高,但也能通过行使地下的或开源的脚本类或自动化攻击框架快速形成完整的攻击武器。攻击团伙不但使用针对小我私人PC、服务器以及目标内部收集的攻击向量手艺,并且笼盖了挪移设备以及家用路由器,其攻击目标也延伸至金融、工业控制、医疗、酒店领域。

本讲演是360威胁情报中心结合地下的威胁情报以及内部情报数据,针对2018年上半年高级威胁事故相干的阐发以及总结,并对近半年的APT攻击活动所呈现的态势进行阐发。

首要观点

近期的APT攻击活动呈现出显然的地缘政治特征,当前首要活跃的APT攻击活动可以划分为以下几块:中东区域、东欧以及中亚、亚太区域、美国以及欧洲。

近半年来,针对境内的APT攻击活动异常活跃,从360威胁情报中心的监测来看,最少存在8个不同来源的APT构造在上半年都有不同程度的,针对境内机构实施了攻击活动,这可能也与近年来中国在亚太区域的国际形式有关。

APT攻击构造更多的引入一些地下或开源的工具以及攻击框架,并用于实际的攻击活动中,而再也不单纯依靠自身开发的收集攻击武器。其在初始攻击阶段更多使用一些轻量级的攻击手艺,只有针对明确的高价值目标才会触发后续阶段载荷的植入。这说明攻击者对后续攻击载荷的投放愈加谨慎,以免过早的暴露其总体的攻击链路。

APT构造在攻击步履中刻意引入的false flag,故意避免以及过去的攻击步履产生重合,增大了威胁阐发中对违景研判的难度。例如在攻击韩国平昌奥运会的事故中,多家安全厂商对其攻击来源的回属做出了不同的阐发以及推断。

针对挪移设备、路由器的攻击手艺给收集间谍活动带来了更多的攻击向量,例如赛门铁克表露的Inception Framework构造[2]行使UPnProxy手艺[3]攻击路由器用于构建藏匿的归传控制收集。

摘要

近半年来,环球APT攻击活动呈现出较高的活跃程度。360威胁情报中心在近半年中监测到的APT相干地下讲演(从2017.12月至2018.6月)也多达227篇。本次研究首要以2017年底至2018年上半年,环球各研究机构地下表露的APT讲演或研究成果为基础,对当前的APT攻击形式进行综合阐发。

2018年上半年,APT攻击活动呈现出显然的地缘政治特征,当前首要活跃的APT攻击活动可以划分为以下几块:中东区域、东欧以及中亚、亚太区域、美国以及欧洲。

2018年上半年,最少存在8个不同来源的APT构造针对境内实施APT攻击步履。它们分别是:海莲花、摩诃草、蔓灵花、Darkhotel、APT-C-0一、蓝宝菇,和另外两个已被360威胁情报中心监测到,但还没有被任何构造机构表露的APT构造。

APT威胁的攻防手艺匹敌持续升级。其中,0day漏洞行使能力日益抬举;结合开源工具以及自动化攻击框架提高攻击效劳;不断加强对自身攻击伎俩特点的掩盖以及迷惑性;更多的放开对挪移设备以及路由器攻击等,成为2018年上半年环球APT攻击的重要特点。

第一章 地缘政治违后的攻击团伙

近半年来,环球APT攻击活动呈现出较高的活跃程度。360威胁情报中心在近半年中监测到的APT相干地下讲演(从2017年12月至2018年6月)也多达227篇。本次研究首要以2017年底至2018年上半年,环球各研究机构地下表露的APT讲演或研究成果为基础,对当前的APT攻击形式进行综合阐发。

近半年来,APT攻击活动呈现出显然的地域特征,这也与国家违景黑客团伙间的围绕以地缘政治身分以及间谍情报活动为首要意图的念头有关。当前首要活跃的APT攻击团伙其攻击活动的地域范围可以大体分为四块:中东区域,东欧以及中亚,亚太区域,美国以及欧洲。

1、 中东区域

中东区域常以骚乱的政治事势,复杂的宗教违景,以及丰富的能源资源为主,其地域下的收集间谍攻击活动尤其频仍,大多围绕以地缘冲突的国家当局以及机构为首要目标,也以包括工业,能源行业,和持不同见政者。

2018年上半年,被环球各个研究机构表露的中东区域最为活跃的APT构造中,有多个构造被认为与伊朗有关。这可能与RecordedFuture声称的伊朗行使多个承包商以及大学分层承包策略实施其收集攻击活动的违景有关[5]。

构造名称 攻击目标地域 首要攻击目标
APT34 中东区域 金融、当局、能源、化工、电信
MuddyWater 中东以及中亚,包括土耳其、巴基斯坦、塔吉克斯坦
Chafer 以色列、约旦、阿联酋,沙特阿拉伯以及土耳其 航空、海运、电信相干机构及其软件以及IT公司
OilRig 中东区域,包括伊拉克、以色列等;巴基斯坦以及英国 石油、天然气、电力等能源机构以及工业控制体

表1  部分攻击中东区域的APT构造的首要攻击地域与攻击目标比较

下面首要对APT3四、MuddyWater,和2018年1月,由360威胁情报中心表露的,针对叙利亚区域放开攻击的黄金鼠构造(APT-C-27)进行先容。

(一) APT34

APT34是由FireEye表露的,被认为是来自伊朗的APT构造,其最早攻击活动最少可以追溯到2014年[6]。APT34首要行使鱼叉攻击。该构造过去的鱼叉攻击活动主若是投递带有恶意宏的引诱文档,而其近半年的攻击活动中则更多的使用鱼叉邮件投递漏洞行使RTF文档(CVE-2017-0199以及CVE-2017-11882)。被投递的恶意文档主若是向受害目标主机植入其自制的PowerShell后门程序达到攻击目的,其首要使用的两个PowerShell后门为POWRUNER以及BONDUPDATER。

后门名称 持久性 控制通讯 首要功能
POWRUNER 计划义务 HTTP 文件上传,截屏
BONDUPDATER 计划义务 DGA生成子域名 完成命令控制

表2  APT34构造使用的两个PowerShell后门

(二) MuddyWater

MuddyWater是另一个被认为是来自伊朗的APT构造,其最早攻击活动可以追溯到2017年,并在2018年初提议了多次鱼叉攻击活动。

MuddyWater行使鱼叉邮件投递嵌有恶意宏的文档文件,其执行VBS脚本或行使scriptlet植入PowerShell后门POWERSTATS,其归连的控制链接首要行使被攻击的收集站点。

APT34以及MuddyWater这两个构造的攻击特点对比以下。

攻击举动 详细攻击方式 APT34 MuddyWater
攻击入口 鱼叉攻击
初始植入 文档漏洞
恶意宏文档
载荷执行 脚本执行
PowerShell后门
控制归传 DGA
失陷网站

表3  APT34以及MuddyWater的攻击特点对比

(三) 黄金鼠

2018年1月,360威胁情报中心表露了一个针对叙利亚区域新的APT构造黄金鼠(APT-C-27)[27]。

研究显示,从2014年11月起至今,黄金鼠构造(APT-C-27)对叙利亚区域放开了有构造、有计划、有针对性的长时间不间断攻击。攻击平台从最先的Windows平台逐渐扩大至Android平台。

2015年7月,叙利亚哈马市消息媒体在Facebook上发布了一则新闻,该条新闻称带有“土耳其对叙利亚边界部署反导弹体进行干涉干与,具体信息为http://www.gulfup.com/?MCVlNX”的信息为恶意信息,并申饬人人不要关上信息中链接,该链接为黑客入侵链接。哈马市揭破的这次攻击步履,就是我们在2016年6月发现的针对叙利亚区域的APT攻击。从消息中我们确定了该步履的攻击目标最少包括叙利亚区域,其载荷投递方式最少包括水坑式攻击。

目前已知的,黄金鼠构造的首要攻击活动,以下图所示。

环球高级持续性威胁(APT)2018年中讲演

二、 东欧以及中亚

东欧以及中亚区域的APT攻击活动首要以被认为是俄罗斯违景的APT构造实施,这也与俄罗斯在东欧以及中亚的政治军事冲突以及战略位置有关,包括乌克兰、格鲁吉亚等。结合历史各研究机构对多个被认为是俄罗斯违景的攻击构造的表露情形阐发,这些构造首要的攻击目标不仅针对东欧以及中亚区域,也针对北美以及北约构造等国。

相比于其他区域的多数APT构造,被认为是俄罗斯违景的APT构造通常拥有更高的攻击手艺能力,并完成了其自有的完整的攻击武器。近年来被地下表露的相干APT构造首要活动以下表所示。

构造名称 攻击目标地域 首要攻击目标
APT28 东欧以及中亚,包括乌克兰,格鲁吉亚,土耳其等北美以及欧洲 当局机构,外交部门
APT29 乌克兰,格鲁吉亚,美国,北约等 当局机构,智库,NGO
Turla 东欧 大使馆以及领事馆,国防工业
Energetic Bear 乌克兰,美国,英国等 能源以及工业部门

表4  部分被认为是俄罗斯违景的APT构造2018年上半年首要活动

下面首要针对最为活跃,也最惹人关注的APT28构造进行具体说明。

APT28被认为是隶属于俄罗斯军事情报机构GRU违景的APT构造,其与另一个据称以及俄情报机构有关的APT29常被美国DHS统称为GRIZZLY STEPPE。

APT28是一个高度活跃的APT攻击构造,其拥有如DealersChoice的漏洞行使攻击套件以及Xagent如许针对多平台的攻击木马程序。

该构造在2018年上半年的首要攻击活动以下:

攻击活动时间 攻击活动简介
2018年2月初 针对两个涉外当局机构的攻击活动[10]
2018年3月9日 卡巴斯基总结了APT28在2018年的攻击活动现状以及趋向[11]
2018年3月12日-14日 针对欧洲当局机构的攻击活动[10]
2018年4月24日 安全厂商表露APT28近两年的攻击活动中首要使用Zebrocy作为初始植入的攻击载荷[12]
2018年5月1日 安全厂商发现APT28修改Lojack软件的控制域名完成对目标主机的监控[9]
2018年5月8日 美联社表露APT28构造伪装IS对美国军嫂发送死亡威胁信息[8]
2016年至2018年5月 APT28针对乌克兰家用路由器设备的攻击事故,被命名为VPNFilter[7]

表5  APT28构造在2018年上半年的首要攻击活动

在近期该构造的攻击活动中,其首要行使DDE或宏代码投放初始阶段的攻击载荷Zebrocy,其是使用AutoIt以及Delphi完成的用于初步植入的攻击载荷,可用于信息网络以及将后续阶段载荷(如Xagent)投递到高价值的攻击目标主机。

image.png

在初始攻击阶段,其也最先使用PowerShell脚本完成部分功能,并行使开源的后渗透排泄工具Koadic替换该构造自行研制的木马后门程序[10]。

3、 亚太区域

亚太区域的APT攻击活动首要可以分为围绕朝鲜半岛事势,南亚以及东南亚的地缘政治冲突和针对我国境内的APT攻击活动,而其中以据称是朝鲜来源的APT构造尤其活跃。

被认为是朝鲜违景的APT构造首要以Lazarus Group以及Group 123为主,并且Lazarus Group构造下存在部分子构造,其具有相对于自力的攻击目标以及攻击念头,并且与Lazarus使用的攻击工具以及恶意载荷存在部分交叉。结合地下的表露讲演,我们收拾整理被认为是朝鲜APT构造的层次结构以下。

环球高级持续性威胁(APT)2018年中讲演

APT构造名称 首要攻击目标地域 首要攻击目标领域 构造简述
Lazarus Group 韩国 当局,银行等 朝鲜违景最为活跃的APT构造
Bluenoroff group 欧洲东南亚等 银行机构,SWIFT体系 Lazarus下专程针对银行机构的攻击子构造
Andariel Group 韩国 当局,企业,加密币交易机构等 定向攻击韩国的子构造[13]
COVELLITE 环球范围 民用电力,ICS 与Lazarus有关专程针对工业控制收集的攻击构造[14]
Group 123 韩国日本俄罗斯中国 当局、军事、国防,电子、建造业、航空航天、汽车以及医疗保健实体 以隐秘情报搜集为首要目的,黑客网,最早攻击活动最少可以追溯到2012年[15][16]
Sun Team 韩国 脱北者,记者 首要挪移APT攻击活动

表6  部分被认为是朝鲜违景的APT构造2018年上半年首要活动阐发

下面首要针对最为活跃的Lazarus Group进行进一步的阐发。Lazarus Group被认为是朝鲜人民军121局违景下的APT构造,美国DHS通常将该构造的攻击步履称为“Hidden Cobra”。

该构造最早的攻击活动可以追溯到2007年,其历史攻击步履首要目的是以围绕地缘以及政治身分的收集损坏以及情报窃取,在其后续的攻击活动中也出现了以环球部分金融机构,数字货币交易机构为首要攻击目标的攻击步履,并以资金以及数字货币盗取为目的。

该构造近2017年年来被表露的首要攻击活动情形以下。

攻击活动时间 攻击活动简介
2017年3月-11月 Lazarus在挪移终端设备上的攻击活动
2017年6月 安全厂商发现新的RATANKBA变种,其行使PowerShell替换可执行形态完成
2017年10月-12月 针对伦敦数字货币交易公司的攻击
2017年尾 针对中美洲在线赌场的攻击
2018年2月 针对土耳其金融行业的攻击
2018年3月 安全厂商表露Lazarus一系列攻击步履,并命名为Operation GhostSecret
2018年4月27日 泰国CERT发布朝鲜Hidden Cobra构造的GhostSecret攻击步履预警
2018年4月-5月 针对南美多个银行的攻击,包括墨西哥银行以及智利银行等
2018年5月29日 美国CERT发布了关于HIDDEN COBRA构造RAT工具以及一个SMB蠕虫的预警
2018年6月14日 美国CERT再次发布HIDDEN COBRA使用VBA宏分发新的恶意代码预警

表7  2017年以来Hidden Cobra构造的首要攻击活动

从该构造近期被表露的攻击活动来看,其首要攻击的目标可能更多转移到金融,银行或加密货币机构相干,这可能也与朝鲜实施APT攻击需要大批资金需求有关。

4、 美国以及欧洲

从2015年7月,有名收集军火商Hacking Team内部400GB数据被泄露,包括内部邮件内容,其开发的监控体系RCS及相干源码文档资料。2016年8月,黑客构造“影子经纪人”地下表露并拍卖据称是NSA的收集武器库资料,后被证明;2017年3月,维基解密网站地下表露CIA关于Vault 7项目的相干资料。   

上述泄露事故铺现了美国相干情报机构违景的国家当局黑客构造拥有无比复杂以及进步先辈的攻击手艺。一样,欧洲拥有一些老牌收集军火商,如Hacking Team,FinFinsher等,将其完整的攻击能力以及收集武器提供以及销售给各国当局或情报机构。由于其进步先辈以及复杂的攻击手艺,其相干攻击活动愈加藏匿而难以发现。

卡巴斯基在上半年发现了一个针对中东以及非洲的收集间谍活动,其行使了Windows漏洞以及Mikrotik路由器漏洞实施,被命名为Slingshot[17]。后被美国情报办公室表露其为美军方Special Operations Co妹妹and (SOCOM)下的Joint Special Operations Co妹妹and (JSOC)所为 [18]。

第二章 频仍针对境内的APT攻击

根据360威胁情报中心对2018年上半年的APT攻击活动监测,近半年来,针对境内的APT攻击活动异常活跃。2018年上半年,最少存在8个不同来源的APT构造针对境内实施APT攻击步履。它们分别是:海莲花、摩诃草、蔓灵花、Darkhotel(APT-C-06)、APT-C-0一、蓝宝菇、,和另外两个已被360威胁情报中心监测到,但还没有被任何构造机构表露的APT构造。

1、 海莲花

“海莲花”APT构造是一个长期针对我国当局、科研院所、海事机构、海域建设、航运企业等领域的APT攻击构造,该构造不仅频仍对我国境内实施APT攻击,也针对东南亚周边国家实施攻击,包括柬埔寨,越南等。

360威胁情报中心在2018年上半年发布的“海莲花APT团伙行使CVE-2017-8570漏洞的新样本及关联阐发”的讲演[1]中,表露了该构造近期的鱼叉攻击活动。

总的来说,“海莲花”构造在近半年的攻击活动中基本延续过去的攻击战术手艺特点,其首要使用鱼叉攻击投递引诱漏洞文档或内嵌恶意宏代码的文档。

环球高级持续性威胁(APT)2018年中讲演环球高级持续性威胁(APT)2018年中讲演

我们也发现“海莲花”构造正在测试新的初始植入方式以及攻击行使手艺,并进行武器化,包括:

1)  行使DKMC开源框架的代码加载shellcode

环球高级持续性威胁(APT)2018年中讲演

2)  通过修改CLSID注册表键值完成持久性

环球高级持续性威胁(APT)2018年中讲演3)  完成多种白行使手艺,包括Flash Player、Word、Google Update等

环球高级持续性威胁(APT)2018年中讲演

4)  更多使用Cobalt Strike生成的shellcode以及攻击载荷完成对攻击目标的监控。

环球高级持续性威胁(APT)2018年中讲演

“海莲花”构造采用多阶段的shellcode以及植入脚本,并加以严重的混淆来匹敌检测以及阐发,其还不断发掘新的白行使手艺等来匹敌主机的一些安全防御机制。该构造还大批使用商业或开源的攻击框架,如Cobalt Strike以及DKMC,并作为后续的攻击载荷模块。

我们信赖“海莲花”构造正在踊跃更新以及预备新的攻击行使手艺,并将应用于未来的攻击活动中。

二、 摩诃草

“摩诃草”构造,首要针对中国、巴基斯坦等亚洲区域以及国家进行收集间谍活动。在针对中国区域的攻击中,该构造首要针对当局机构、科研教育领域进行攻击。根据能力型厂商针对APT构造以及讲演的互认共识,该APT构造也是安天所发布的“白象”构造。360威胁情报中心在上半年表露了该构造行使新的脚本类攻击载荷的手艺以及针对境内的多起鱼叉攻击事故的阐发[1]。

该构造首要使用鱼叉邮件投递引诱文档附件。

环球高级持续性威胁(APT)2018年中讲演

环球高级持续性威胁(APT)2018年中讲演

其攻击行使过程以下图所示,首要使用C#开发的控制程序。

环球高级持续性威胁(APT)2018年中讲演

该构造上半年的攻击活动也被国内外安全厂商多次表露。

表露时间 表露厂商 描摹
2018年2月13日 趋向科技 表露Confucius的攻击活动,其与Patchwork攻击活动存在部分重叠。[19]
2018年3月7日 Palo  Alto Networks 行使恶意代码BADNEWS在印度次大陆的收集攻击活动阐发[20]
2018年3月8日 ARBOR NETWORKS Donot Team在南亚的收集攻击活动,并提出其与Patchwork存在一些相似的地方[21]。后续,360威胁情报中心表露了该构造与内部跟踪的APT-C-35(肚脑虫)相干[1]。
2018年5月23日 趋向科技 表露Confucius更多的攻击手艺细节,以及其与Patchwork的更多关联性[22]
2018年6月7日 Volexity Patchwork攻击美国智库[23]

表8  2018年上半年国内外安全厂商对“摩诃草”构造的研究情形

3、 Darkhotel

Darkhotel是一个长期针对企业高管、国防工业、电子工业等重要机构实施收集间谍攻击活动的APT构造。2014年11月,卡巴斯基实验室的安全专家首次发现了Darkhotel APT构造,并声明该构造最少从2010年就已经最先活跃,目标基本锁定在韩国、中国、俄罗斯以及日本。360威胁情报中心也发布讲演“DarkHotelAPT团伙新近活动的样本阐发”[1]地下表露其近期的攻击手艺细节。

该构造行使鱼叉攻击投递引诱文档,行使以下的手艺植入主控DLL模块。主控DLL模块通过完成插件化能够天真加载以及执行具有不同功能的插件DLL模块。

1)     白行使

2)     UAC绕过

3)     图片文件隐写

4)     DLL挟制

5)     内存反射加载

其首要的攻击行使过程以下图。

环球高级持续性威胁(APT)2018年中讲演

4、 蓝宝菇

2018年7月初,360威胁情报中心表露了一个长期对我国当局、军工、科研、金融等重点单位以及部门进行了持续的收集间谍活动的APT构造蓝宝菇(APT-C-12)。

360追日团队拿获的首个蓝宝菇构造专用木马出现在2011年3月左右。从时间段上看,在2011-2012年,核危急步履所使用的首要攻击木马是Poison Ivy;而到了2013-2014年,Poison Ivy虽然仍在继续使用,但被升级到了几个全新的版本;2014年三季度–2015年,核危急步履最先大批进行横向挪移攻击,并从2014年底最先,使用Bfnet后门。

环球高级持续性威胁(APT)2018年中讲演

截止2018年5月,360追日团队已经监测到核危急步履攻击针对的境内目标近30个。其中,教育科研机构占比最高,达59.1%,其次是当局机构,占比为18.2%,国防机构排第三,占9.1%。其他还有奇迹单位、金融机构建造业等占比为4.5%。

环球高级持续性威胁(APT)2018年中讲演

下图为核危急步履鱼叉邮件压缩包中的一个伪装成Word文件的专用木马的图标以及文件名截图。该文件伪装成一份通讯录文件,同时,为了更好的伪装诱饵文档,攻击者使用了RLO控制符。RLO控制符是Unicode控制符的一种,用来显示中东笔墨,中东笔墨的誊写顺序是从右到左的。攻击者通过在文件名中插入RLO控制符,使得字符的显示顺序变成从右至左,从而来隐躲文件的真实扩台甫。

环球高级持续性威胁(APT)2018年中讲演

当受害者点击关上这个伪装成Word文档的专用木马后,木马会在开释攻击代码的同时,开释一个真实的Word文档。下图为该诱饵Word文档关上后的信息内容,其中信息确凿是一份具体的通信录。可见,该构造在文件伪装方面确凿下足了功夫。

环球高级持续性威胁(APT)2018年中讲演

下面是我们截获的另一个使用了RLO伪装的专用木马样本信息及该样本关上后的截图。该文件的文件名格式伪装要领与前述两个样原形同,但详细内容则伪装成了一份智库文件。

环球高级持续性威胁(APT)2018年中讲演

2018年4月,我们拿获到了一次核危急步履的最新攻击活动。某些重要的当局以及企业机构的邮箱用户收到一份发自boaostaff[@]163.com的鱼叉邮件,鱼叉邮件仿冒博鳌亚洲论坛主办方向受害者发送了一封邀请函:

环球高级持续性威胁(APT)2018年中讲演

邮件附件是一个163邮箱的云附件,为RAR压缩包文件。点开云附件,会跳转到对应的云端下载地址将附件下载到内陆,这一过程与早期的攻击活动大致相同。

不同的是,此次新攻击下载得到的附件包含的是一个恶意LNK文件:

环球高级持续性威胁(APT)2018年中讲演

一旦受害者被引诱关上该LNK文件,LNK文件便会通过执行文件中附带的PowerShell恶意脚原先网络上传用户电脑中的敏感文件,并装置持久化后门程序长期监控用户计算机。

第三章 变迁的攻击方式以及手艺

近年来,随着APT威胁攻防双方的手艺博弈,APT攻击所使用的攻击方式以及手艺变得愈加成熟以及系统化,并且也呈现出一些变迁。

我们结合APT攻击活动的性命周期以及战术特点对当前首要的攻击战术手艺特点进行总结,并横向比较首要的APT构造近期经常使用的攻击手艺。

一 、攻击入口

当前APT攻击活动中,初始攻击入口通常以鱼叉攻击以及水坑攻击为主,行使钓鱼邮件或基于即时通信以及交际收集的引诱攻击也频仍出现。

结合社会工程学针对目标人员邮箱的攻击方式往往能够比较容易杀青初步的攻击入口,其缘故起因首要以下:

1)   结合对攻击目标构造或机构的信息网络,能够比较容易获取构造人员的相干邮箱地址信息;

2)   结合社会工程学往往能够迷惑目标人员的安全防范意识,提高攻击的成功率;

3)   邮件一般是企业或机构的目标人员最经常使用的通讯方式,对邮箱的攻击,不仅能够完成初始的攻击植入,达到攻击立足点,并且更易进一步用于网络账户凭证以及内网的横向挪移。

360威胁情报中心联合Coremail在上半年也发布讲演“2017中国企业邮箱安全性研究讲演”[1],对邮箱安全性以及流行的攻击方式进行阐发。

我们结合鱼叉邮件投递载荷的形态进行横向对比。

引诱文档附件 载荷文件压缩包 钓鱼链接 入侵网站链接 Drive-by Download
海莲花
摩诃草
Darkhotel
APT-C-01
Group 123
APT28

表9  部分APT构造鱼叉邮件攻击特点对比

二、 初始植入

APT构造行使鱼叉邮件等方式引诱受害目标点击以及下载引诱文件,其结合社会工程学手艺引诱攻击目标人员触发执行引诱文件。

其中用于引诱目标人员的手艺方式首要有以下几种。

1)   投递伪装的PE文件,文件名行使RLO手艺诈骗;

2)   投递伪装的PE文件,行使超长文件名或空格加添来隐蔽可执行文件后缀;

3)   伪装成Office文档,PDF或别的文档的图标;

4)   将钓鱼链接采用短链接,或伪装以及目标熟识的域名极为相似的域名地址。

引诱文件通常包含用于初始植入的攻击代码,并首要用于下载以及植入第一阶段的木马或后门。我们总结了APT构造经常使用的初始植入载荷形态以及行使的手艺,并进行横向比较。

文档漏洞 DDE 恶意宏 HTA 执行脚本 PowerShell LNK PE捆绑
海莲花
摩诃草
Darkhotel
APT-C-01
Group 123
APT28

表10  部分APT构造初始植入载荷形态以及行使手艺

3、 载荷执行以及持久化

APT构造针对目标的主体攻击载荷植入以及执行首要分成两个阶段,第一阶段植入的攻击载荷首要用于网络信息,包括主机信息,文档资料等。

攻击构造结合网络的信息确定高价值目标,选择性的植入第二阶段载荷执行愈加藏匿以及持久性的监控活动。

我们总结了APT构造常见的攻击载荷完成方式并进行横向对比。

C/C++ .Net PowerShell AutoIt Delphi Cobalt Strike 开源攻击代码
海莲花
摩诃草
Darkhotel
APT-C-01
Group 123
APT28

表11  部分APT构造的攻击载荷完成方式

面对攻击目标主机的一些安全防御机制,和达到愈加藏匿植入以及持久化控制的目的,攻击者会首要行使下列的一些攻击手艺。

白行使 DLL挟制 UAC绕过 图片隐写 PE反射加载 义务计划 CLSID注册表修改
海莲花
摩诃草
Darkhotel
Group 123
APT28

表12  部分APT构造的攻击手艺对比

4、 归传以及命令控制

APT攻击步履的目的除了对目标主机以及内网进行长期的攻击渗透排泄外,还包括对目标收集的持久化控制与监控,和网络目标收集中的情报信息。为了不被轻易追溯,通常会完成愈加藏匿的控制归传收集。在过去,威胁阐发人员会根据控制域名的注册信息将攻击活动进行关联,然而随着域名隐衷维护和一些数据维护政策导致这类方式的结果大打折扣。部分APT构造也会使用动态域名,云服务等作为其惯用的攻击伎俩。

域名注册 动态域名 云存储服务 DGA DNS地道 失陷网站
海莲花
摩诃草
Darkhotel
APT-C-01
Group 123
APT28

表13  部分APT构造C&C服务器完成要领阐发 

第四章 面向新的威胁场景以及趋向

随着近年来APT威胁的攻防手艺匹敌升级,APT构造也在不断演进其攻击的战术思路以及手艺手段,在近年来的APT攻击活动中,也出现了一些新的威胁场景以及趋向,下面总结了一些威胁趋向的观点。

1、 APT构造的0day漏洞行使能力日益抬举

在过去的APT攻击中,漏洞的行使通常伴随着大部分的攻击步履,其中行使文档以及Flash类漏洞结合鱼叉攻击为APT攻击中支流的攻击入口。360威胁情报中心在上半年也总结了“近年来APT构造使用的10大(类)安全漏洞”一文[1]。

特其它,在APT攻击中,0day漏洞的发现以及行使能力通常可以用于评估APT构造的手艺能力。例如,在被泄露的方程式构造相干资料中,就可以看到该构造贮备了大批的针对多平台的0day漏洞行使手艺。

下表给出了2018年上半年,国内外多家安全厂商发现以及表露的与APT相干的0day漏洞行使情形。有趣的是,其中一些0day漏洞在被用于实际攻击之前,就被不测泄露了。

漏洞编号 漏洞类型 0day漏洞 攻击前不测泄露
CVE-2018-0802 Office文档漏洞  
CVE-2018-4990 PDF文档漏洞  
CVE-2018-8120 Windows提权漏洞  
CVE-2018-4878 Flash漏洞  
CVE-2018-8174 阅读器漏洞  
CVE-2018-5002 Flash漏洞

表14  2018上半年APT构造使用的0day漏洞

2018年4月18日,360高级威胁应答团队监控发现到高危0day漏洞。该漏洞影响最新版本的IE阅读器及使用IE内核的应用程序,且已被发现用于有蓄谋有计划的APT攻击。当天,360核心安全奇迹部高级威胁应答团队立即与微软踊跃沟通,将漏洞细节信息提交到微软。微软在4月20日早上确认此漏洞,并于5月8号发布了官方安全补丁,对该0day漏洞进行了修复,将其命名为CVE-2018-8174。

另外,360高级威胁应答团队还首次在田野拿获了CVE-2018-0802 Office 0day被用于执行APT攻击,软件厂商得到了第一时间的通知并确认。

CVE-2018-8174是 Windows VBScript Engine 代码执行漏洞。由于VBScript脚本执行引擎(vbscript.dll)存在代码执行漏洞,攻击者可以将恶意的VBScript嵌入到Office文件或者网站中,一旦用户不小心点击,遥程攻击者可以获取当前用户权限执行脚本中的恶意代码。

时间 进程
2018年4月18日 360核心安全奇迹部高级威胁应答团队发现高危漏洞
2018年4月19日 360核心安全奇迹部高级威胁应答团队将漏洞的具体信息提交至微软
2018年4月20日早晨 微软官方确认漏洞
2018年5月9日凌晨 微软发布新一轮安全更新,修复漏洞,并地下致谢360
2018年5月9日 360核心安全奇迹部高级威胁应答团队发布具体版讲演表露漏洞细节

表15  CVE-2018-8174的发现到修复的历程

此次拿获到的APT攻击相干的诱饵文档为犹太小语种的意第绪语内容,文档通过CVE-2017-0199的OLE autolink漏洞行使方式嵌入恶意网页,所有的漏洞行使代码以及恶意荷载都通过遥程的服务器加载。

环球高级持续性威胁(APT)2018年中讲演

中招用户点击关上诱饵文档后,起首Word进程将走访遥程的IE vbscript  0day(CVE-2018-8174)网页,漏洞触发后将执行Shellcode,然后再提议多个要求从遥程的服务器获取payload数据解密执行。

环球高级持续性威胁(APT)2018年中讲演

Payload在执行的过程中Word进程会在内陆开释3个DLL后门程序,通过Powershell命令以及Rundll32命令分别执行装置后门程序,后门的执行过程使用了地下的UAC绕过手艺,并行使了文件隐写手艺以及内存反射加载的方式来避免流量监测以及完成无文件落地加载。

环球高级持续性威胁(APT)2018年中讲演

行使CVE-2018-8174漏洞进行攻击的首要过程以下图所示:

环球高级持续性威胁(APT)2018年中讲演

二、 开源工具以及自动化攻击框架提高了APT攻击效劳

近年来,随着PowerShell完成的自动化攻击框架以及攻击行使代码越来越成熟,APT构造频仍使用PowerShell作为初始植入以及攻击载荷的完成,并行使混淆手艺匹敌阐发检测。

APT构造更多行使一些开源攻击代码以及工具一定程度降低了攻击完成的成本,并且愈加天真。例如海莲花使用Cobalt Strike生成的Shellcode以及beacon模块,APT28使用开源渗透排泄工具Koadic[10]等。

除此以外,攻击构造最先更多行使“living off the land”手艺来缩小自身研制的攻击载荷投放到目标主机或收集中。

3、 攻击者加强对自身攻击伎俩特点的掩盖以及迷惑性

APT攻击构造愈加注重对自身攻击伎俩特征的掩盖,和使用一些手段来迷惑威胁阐发人员。在2018年攻击韩国平昌冬奥会的攻击事故中,多家安全厂商对其攻击来源给出来不同的猜测以及推断[4]。

下列总结了攻击者经常使用的一些掩盖以及迷惑方式。

1)   在攻击载荷中引入false flag,例如引入其他构造经常使用的说话以及地域特征;

2)   模仿其他构造的攻击载荷完成细节,例如动态获取模块以及函数地址的方式,加密解密函数等;

3)   行使开源攻击代码以及内陆命令,缩小攻击构造自行研制的载荷投放,避免通过载荷的相似性完成违景的研判;

4)   缩小与历史攻击使用的控制基础举措措施信息的重叠,频仍更换控制域名或使用动态域名或云服务等;

4、 挪移设备以及路由器攻击是不可忽视的APT场景

针对高价值目标人员的挪移终端的定向攻击活动在近几年也频仍被表露,该类攻击活动在中东区域尤其活跃,首要用于网络目标人员信息以及监控的目的,例如上半年表露的Dark Caracal[24]以及ZooPark[25]相干攻击步履,攻击者往往通过频仍更新其木马应用程序以达到绕过应用市场监测以及持续性监控目标人员的目的,所以往往该类定向攻击也餍足长期持久性的攻击特点。

而针对路由器的攻击也逐渐成为APT攻击构造新的威胁场景[26],例如Slingshot[17]以及VPNFilter事故[7]。

2018年7月,360烽火实验室在监测黄金鼠构造(APT-C-27)的攻击活动过程中,发现其新版本的挪移端手机攻击样本首次具备了针对PC的RAT引诱跨越攻击[28],开启了挪移端手机跨越攻击的“潘多拉魔盒”。

新版本的挪移端手机攻击样本除了保留原版的挪移端RAT功能之外,还新增挪移存储介质引诱攻击方式,首次完成了从挪移端到PC端的攻击跨越,其攻击细节以下:

第一步:挪移端攻击样本携带针对PC的PE格式RAT攻击文件“hmzvbs”。

第二步:挪移端手机攻击样本运行后,立即把该针对PC的RAT攻击文件“hmzvbs”,开释到指定好的挪移端外置存储设备中的图片目录下进行特殊名称的伪装。这个伪装完成了跨越攻击前的特殊预备,该伪装具有两个特点:攻击文件名称伪装成常见的图片相干目录名;攻击文件的扩台甫为“.PIF”(该扩台甫代表MS-DOS程序的快捷方式,象征着在PC上可直接运行)。

第三步:借助用户会不定期使用PC来阅读挪移端手机里照片的一种习性,当受到挪移端攻击的目标,使用PC阅读挪移端手机里的照片,一旦被引诱触发到伪装后的“图片目录” (该伪装对于普通用户较难识别发现),即运行起该PE RAT攻击文件,从而使PC遭遇RAT攻击。

总  结

360威胁情报中心结合近半年的地下APT情报以及内部威胁情报数据,总结了当前首要活跃的APT构造现状以及使用的攻击战术手艺特点。我们认为攻击者正在不断演化其攻击伎俩以及攻击工具,以更有用的达到攻击的目的以及结果,并加强对自身活动的隐躲。在这类匹敌升级的趋向下,纯粹基于恶意载荷的相似程度来评判其攻击来源已经变得不是那样可靠,结合更多维度的威胁情报数据,评估攻击者的真实攻击意图以及念头,和对攻击TTP的阐发能够更好的提高违景研判的准确程度。

我们也总结了部分经常使用的攻击方式以及手艺手段,并对APT威胁的趋向提出了一些观点以及看法,指望能对当前业内针对高级威胁防御策略以及威胁发现有所帮助。

附录 参考链接

1.    https://ti.360.net/blog/

2.    https://www.symantec.com/blogs/threat-intelligence/inception-framework-hiding-behind-proxies

3.     https://www.akamai.com/us/en/multimedia/documents/white-paper/upnproxy-blackhat-proxies-via-nat-injections-white-paper.pdf

4. https://blog.talosintelligence.com/2018/02/who-wasnt-responsible-for-olympic.html

5.    https://www.recordedfuture.com/iran-hacker-hierarchy/

6.    https://www.fireeye.com/blog/threat-research/2017/12/targeted-attack-in-middle-east-by-apt34.html

7.    https://blog.talosintelligence.com/2018/05/VPNFilter.html

8.    https://apnews.com/4d174e45ef5843a0ba82e804f080988f

9.    https://asert.arbornetworks.com/lojack-becomes-a-double-agent/

10.   https://researchcenter.paloaltonetworks.com/2018/06/unit42-sofacy-groups-parallel-attacks/

11. https://securelist.com/masha-and-these-bears/84311/

12.   https://www.welivesecurity.com/2018/04/24/sednit-update-analysis-zebrocy/

13.   https://www.bleepingcomputer.com/news/security/activex-zero-day-discovered-in-recent-north-korean-hacks/

14. https://www.dragos.com/blog/20180531Covellite.html

15.   https://www.fireeye.com/blog/threat-research/2018/02/apt37-overlooked-north-korean-actor.html

16. https://blog.talosintelligence.com/2018/01/korea-in-crosshairs.html

17. https://securelist.com/apt-slingshot/84312/

18.   https://www.cyberscoop.com/kaspersky-slingshot-isis-operation-socom-five-eyes/

19.   https://blog.trendmicro.com/trendlabs-security-intelligence/deciphering-confucius-cyberespionage-operations/

20. https://researchcenter.paloaltonetworks.com/2018/03/unit42-patchwork-continues-deliver-badnews-indian-subcontinent/

21.   https://asert.arbornetworks.com/donot-team-leverages-new-modular-malware-framework-south-asia/

22.https://blog.trendmicro.com/trendlabs-security-intelligence/confucius-update-new-tools-and-techniques-further-connections-with-patchwork/

23. https://www.volexity.com/blog/2018/06/07/patchwork-apt-group-targets-us-think-tanks/

24.   https://info.lookout.com/rs/051-ESQ-475/images/Lookout_Dark-Caracal_srr_20180118_us_v.1.0.pdf

25.https://securelist.com/whos-who-in-the-zoo/85394/

26.       https://www.bleepingcomputer.com/news/security/cyber-espionage-groups-are-increasingly-leveraging-routers-in-their-attacks/

27.   https://ti.360.net/blog/articles/analysis-of-apt-c-27/

28. http://zt.360.cn/1101061855.php?dtid=1101061451&did=210702435

29. http://zt.360.cn/1101061855.php?dtid=1101062370&did=210645168

*:360 天眼实验室(360威胁情报中心、360 追日团队、360高级威胁应答团队)等,

您可能还会对下面的文章感兴趣: