0X01 概念:

APT,又称高级持续性威胁,通常用于区分由国家、政府或情报机构资助或具有相关背景的攻击团伙实施的攻击行动。该类攻击行动的动机往往与地缘政治冲突,军事行动相关,并以长久性的情报刺探、收集和监控为主要意图,其主要攻击的目标除了政府、军队、外交相关部门外,也包括科研、海事、能源、高新技术等领域。

0X02 高级持续性威胁背后的攻击者

1.APT28

Zebrocy 是APT28 专用的攻击工具集,主要目的是用作侦察(收集上传系统信息和截屏)和部署下一阶段的攻击载荷。Zebrocy 包含了.NET、AutoIT、Delphi、C++、PowerShell 和Go 等多种语言开发形态。安全厂商也发现该组织使用新的攻击恶意代码Cannon,其使用邮件协议作为C2的通信方式。

2.APT29

其实施鱼叉攻击是用于投放恶意的LNK文件,其中利用了该组织特有的一种LNK文件格式的利用技术。该组织木马会执行内嵌的PowerShell脚本命令,并从LNK 文件附加的数据中解密释放恶意载荷和诱导的PDF 文档文件

3.Lazarus Group

4.肚脑虫(APT-C-35)

其主要针对巴基斯坦和克什米尔地区的目标人员。该组织使用了两种特定的攻击恶意框架,EHDevel 和 yty,命名取自恶意代码中的 PDB 路径信息。该组织使用的攻击载荷使用了多种语言开发,包括C++、.NET、Python、VBS 和AutoIt

360 威胁情报中心发现了该组织以“克什米尔问题”命名的诱饵漏洞文档,该文档利用了CVE-2017-8570 漏洞,其主要的攻击流程如下图。

此处输入图片的描述

后续又发现该组织利用内嵌有恶意宏代码的 Excel 文档针对中国境内的巴基斯坦重要商务人士实施的攻击6,并向被控主机下发了多种载荷模块文件。

此处输入图片的描述

5.蔓灵花

蔓灵花组织主要使用鱼叉邮件向目标人员投放漏洞利用文档,其中包括针对 Office 的漏洞文档和InPage 文字处理软件的漏洞文档(InPage 是一个专门针对乌尔都语使用者,即巴基斯坦国语设计的文字处理软件)。

该组织主要使用鱼叉钓鱼进行攻击,投递伪装成word图标的自解压文件:

此处输入图片的描述

此处输入图片的描述

运行后,除了会执行恶意文件外,还会打开一个doc文档,用于迷惑用户,让用户以为打开的文件就是一个doc文档。诱饵文档内容极尽诱惑力:

此处输入图片的描述

最终会下发键盘记录、上传文件、远控等插件,完成资料的窃取工作。

6.Group 123(APT37)

Group 123 组织早期的攻击活动主要针对韩国,2017 年后延伸攻击目标至半岛范围,包括日本,越南和中东。其主要针对工业垂直领域,包括化学品、电子、制造、航空航天、汽车和医疗保健实体。360 威胁情报中心也曾发现该组织针对中国境内目标的攻击活动。

该组织在过去实施的攻击活动中主要以情报窃取为意图,并呈现出一些其特有的战术技术特点,包括:
1) 同时拥有对 PC(Windows) 和 Android 终端的攻击武器;
2) 对韩国网站实施入侵并作为攻击载荷分发和控制回传渠道,或者使用云盘,如 Yandex、Dropbox 等作为攻击载荷分发和控制回传渠道;
3) 使用 HWP 漏洞对韩国目标人员实施鱼叉攻击。

0X03 针对中国境内的APT 组织和威胁

1.海莲花(APT-C-00)

在2018 年中的全球高级持续性威胁报告中,我们总结了该组织使用的攻击战术和技术特点,包括使用开源的代码和公开的攻击工具,如Cobalt Strike。

“海莲花”在2018 年的攻击活动中使用了更加多样化的载荷投放形式,并使用多种白利用技术加载其恶意模块。

此处输入图片的描述

还使用一些脚本技术

此处输入图片的描述

最终在内存中调用loader类,加载最终的由CobaltStrike生成的beacon.dll木马:

此处输入图片的描述

该组织在近期活动中主要的攻击过程如下

此处输入图片的描述

2.毒云藤(APT-C-01)

毒云藤(APT-C-01),也被国内其他安全厂商称为穷奇、绿斑。该组织从2007 年开始至今,对中国国防、政府、科技、教育以及海事机构等重点单位和部门进行了长达11 年的网络间谍活动。该组织主要关注军工、中美关系、两岸关系和海洋相关领域。

该组织主要使用鱼叉攻击投放漏洞文档或二进制可执行文件。下面两图为我们截获的该组织鱼叉邮件内容。
毒云藤组织主要使用的恶意木马包括Poison Ivy,ZxShell,XRAT 等,并使用动态域名,云盘,第三方博客作为其控制回传的基础设施

3.蓝宝菇(APT-C-12)

蓝宝菇(APT-C-12)组织的活动最早从2011 年开始并持续至今,对我国政府、军工、科研、金融等重点单位和部门进行了持续的网络间谍活动

该组织主要关注核工业和科研等相关信息。被攻击目标主要集中在中国大陆境内。在2018 年中的高级持续性威胁报告中曾对该组织进行了介绍。蓝宝菇组织也主要使用鱼叉邮件实施攻击,其投放的文件主要是RLO伪装成文档的可执行文件或LNK 格式文件

该组织主要使用动态域名或IDC IP 最为其控制基础设施后续也常使用AWSS3、新浪云等云服务作为其上传和托管窃取的数据。其常使用的恶意程序包括Poison Ivy、Bfnet,以及PowerShell 实现的后门。

蓝宝菇和毒云藤两个组织从攻击来源来源来看,属于同一地域,但使用的TTP(策略技术流程)却存在一些差异。

此处输入图片的描述

4.Darkhotel(APT-C-06)

趋势科技在2018 年7 月公开捕获了又一例VBScript Engine 的在野0day漏洞(CVE-2018-8373)攻击样本。360 威胁情报中心结合内部的威胁情报数据关联到该在野攻击与 Darkhotel 有关,该组织在2018 年多次利用 VBScript Engine 的相关0day 漏洞实施在野攻击活动。

该组织的一大特色是喜欢把木马隐藏在开源的代码中进行伪装,如putty、openssl、zlib等,把少量木马代码隐藏在大量的开源代码中,从而实现躲避检测的目的,因此将被称为“寄生兽”。

如使用msfte.dll和msTracer.dll,来进行持久性攻击,并把下发的shellcode隐藏在图片文件中

此处输入图片的描述

同时通过下发插件的方式,完成相关的任务:

此处输入图片的描述

该组织的具体攻击流程如下图:

此处输入图片的描述

0X04 APT 威胁的现状和挑战

1.进化中的APT 攻防

APT 组织也不再局限于其过去固有的攻击模式和武器,APT 组织不仅需要达到最终的攻击效果,还刻意避免被防御方根据留下的痕迹和特征追溯到其组织身份(false flag)。

(1)常见的APT攻击方式

1.鱼叉攻击

2018年,鱼叉攻击依然是APT攻击的最主要方式,使用鱼叉结合社工类的方式,投递带有恶意文件的附件,诱使被攻击者打开。虽然该方式攻击成本极低,但是效果却出人意料的好。这也进一步体现了被攻击目标的人员的安全意识亟需加强。从曝光的APT活动来看,2018年使用鱼叉攻击的APT活动比例高达95%以上。

2.水坑攻击

水坑攻击也是APT组织常用的攻击手段,2018年,海莲花、socketplayer等组织均使用过该攻击方式。除了插恶意代码外,攻击者还会判断访问该页面的访问者的ip,只有当访问者在攻击目标的ip范围内,才会进行下一步的攻击动作,依次来防止误伤

3.远程可执行漏洞和密码爆破攻击

除了鱼叉和水坑攻击,利用远程可执行漏洞和服务器口令爆破进行攻击,也成为了一种可选的攻击方式。如专业黑客组织针对驱动人生公司的攻击,该黑客组织得手后已对普通网民产生极大威胁。

此处输入图片的描述

(2)APT攻击的技术趋势

1.Fileless攻击(无文件攻击)越来越多

随着各安全厂商对PE文件的检测和防御能力不断的增强,APT攻击者越来越多的开始使用无PE文件落地的攻击方式进行攻击。其主要特点是没有长期驻留在磁盘的文件、核心payload存放在网络或者注册表中,启动后通过系统进程拉取payload执行。该方式大大增加了客户端安全软件基于文件扫描的防御难度。海莲花、污水(MuddyWater)、APT29、FIN7等攻击组织都擅长使用该方式进行攻击。

如海莲花组织事先的通过计划任务执行命令,全程无文件落地:

此处输入图片的描述

2.C&C存放在公开的社交网站上

通信跟数据回传是APT攻击链中非常重要的环节,因此如何使得通信的C&C服务器被防火墙发现成为了攻击者的难题。因此,除了注册迷惑性极强的域名、使用DGA、隐蔽信道等方式外,攻击者把目光集中到了公开的社交网络上,如youtube、github、twitter等上。

如某次针对英国和瑞士的攻击,C&C存放地址:

YouTube:

此处输入图片的描述

Twitter:

此处输入图片的描述

Wordpress博客:

此处输入图片的描述

Google plus:

此处输入图片的描述

3.公开或者开源工具的使用

往往,APT组织都有其自己研发的特定的攻击武器库,但是随着安全厂商对APT组织研究的深入,APT组织开始使用一些公开或者开源的工具来进行攻击,以此来增加溯源以及被发现的难度。

如SYSCON/KONNI,使用开源的babyface木马和无界面的teamview(著名远程控制工具)来进行攻击:

此处输入图片的描述

4.多平台攻击和跨平台攻击

移动互联网的成熟,使得人们已经很少在工作之余使用电脑,因此使用移动端来进行攻击,也越来越被APT攻击组织使用。此外Mac OS的流行,也是的APT攻击者也开始对MacOS平台进行攻击。如“人面马”(APT34)、蔓灵花、Group123、双尾蝎(APT-C-23)、黄金鼠(APT-C-27)等组织都擅长使用多平台攻击。此外黄金鼠(APT-C-27)还使用了在APK中打包了PE文件,运行后释放到移动端外置存储设备中的图片目录下,从而实现跨平台的攻击:

此处输入图片的描述

此处输入图片的描述

2.多样化的攻击投放方式

(1)文档投放的形式多样化

在过去的APT 威胁或者网络攻击活动中,利用邮件投递恶意的文档类载荷是非常常见的一种攻击方式,例如鱼叉邮件攻击或BEC 攻击,垃圾邮件攻击等。而通常投放的文档大多为Office 文档类型,如doc、docx,xls,xlsx 等。

针对特定地区、特定语言或者特定行业的目标人员,攻击者可能会投放一些其他的文档类型载荷,例如针对韩国人员投放HWP 文档针对巴基斯坦地区投放InPage 文档,或者针对工程建筑行业人员投放恶意的
AutoCAD
文档等等。

攻击者也可能使用一些其他扩展名的文档类型并同样可以被Office 应用打开,如.iqy,虽然其在APT 威胁中不是很常见,但已经应用在一些更广泛的垃圾邮件攻击活动中。

(2)利用文件格式的限制

APT 攻击者通常会利用一些文件格式和显示上的特性用于迷惑受害用户或安全分析人员。这里以LNK 文件为例。LNK 文件显示的目标执行路径仅260 个字节,多余的字符将被截断

而在跟踪蓝宝菇的攻击活动中,该组织投放的LNK 文件在目标路径字符串前面填充了大量的空字符,所以直接查看无法明确其执行的内容,需要解析LNK 文件结构获取,APT29 也常用这种方式执行PowerShell 脚本

(3)利用新的系统文件格式特性

2018 年6 月,国外安全研究人员公开了利用Windows 10 下才被引入的新文件类型“.SettingContent-ms”执行任意命令的攻击技巧,并公开了POC。而该新型攻击方式被公开后就立刻被黑客和APT组织纳入攻击武器库用于针对性攻击,并衍生出各种利用方式:诱导执行、利用Office 文档执行、利用PDF 文档执行。

(4)利用旧的技术实现攻击

一些被认为陈旧而古老的文档特性可以被实现并用于攻击,360 威胁情报中心在2018 年就针对利用Excel 4.0 宏传播商业远控木马的在野攻击样本进行了分析。该技术最早是于2018 年10 月6 日由国外安全厂商Outflank的安全研究人员首次公开,并展示了使用Excel 4.0 宏执行ShellCode 的利用
代码。Excel 4.0 宏是一个很古老的宏技术,微软在后续使用VBA 替换了该特性,但从利用效果和隐蔽性上依然能够达到不错的效果

3.0day 漏洞和在野利用

0day 漏洞的在野利用,一般是指攻击活动被捕获时,发现其利用了某些0day 漏洞(攻击活动与攻击样本分析本身也是0day 漏洞发现的重要方法之一)。而在所有有能力挖掘和利用0day 漏洞的组织中,APT 组织首当其冲。

0day 漏洞在野利用的频频现身,事实上是在倒逼安全企业必须打破传统的攻防理念,实现安全能力的大幅提升与技术体系的全面升级。这主要表现在两个方面:

(1)安全企业必须在漏洞挖掘和攻防能力建设上进行持续的投入

从某种程度上来说,0day 漏洞的独立发现能力,已经成为APT 研究的必备技能,也是衡量安全厂商在APT 方面攻防水平的重要指标之一。

(2)大数据和威胁情报能力将成为新型IT 基础设施安全体系建设的关键

因为从理论上说,0day 漏洞利用是不可防御的;既然防不住,就应该更多的从快速发现、快速响应来着手建设新的安全体系,而大数据和威胁情报能力正是这种体系的核心和关键。

0X05 APT 威胁到归属挑战

APT 威胁活动的归属分析一直是APT 威胁分析中最为重要的一个环节,目前,绝大多数安全机构在做APT 活动的归属分析时,主要的判断依据包括以下几点:

1) APT 组织使用的恶意代码特征的相似度,如包含特有的元数据,互斥量,加密算法,签名等等。
2) APT 组织历史使用控制基础设施的重叠,本质即pDNS 和whois 数据的重叠。
3) APT 组织使用的攻击TTP
4) 结合攻击留下的线索中的地域和语言特征,或攻击针对的目标和意图,推测其攻击归属的APT 组织
5) 公开情报中涉及的归属判断依据

但APT 攻击者会尝试规避和隐藏攻击活动中留下的与其角色相关的线索,或者通过false flag(假旗行动)和模仿其他组织的特征来迷惑分析人员。针对韩国平昌奥运会的攻击组织Hades 就是一个最好的说明。

0X06 APT 威胁的演变趋势

从2018 年的APT 威胁态势来看,我们推测APT 威胁活动的演变趋势可能包括如下几个方面:

1) APT 组织可能发展出更加明确的组织化特点,例如小组化,各个攻击小组可能针对特定行业实施攻击并达到特定的攻击目的,但其整体可能共享部分攻击代码或资源。

2) APT 组织在初期的攻击尝试和获得初步控制权阶段可能更倾向于使用开源或公开的攻击工具或系统工具,只有对高价值目标或为维持长久性的控制时,才会使用其自身特有的成熟的攻击代码。

3) APT 组织针对的目标行业可能进一步延伸到一些传统行业或者和国家关键信息基础建设相关的行业和机构。随着这些行业逐渐的互联化和智能化,其安全防御上的弱点将会被越来越多的利用,供应链攻击也会越来越频繁。

4) APT 组织会进一步加强0day漏洞能力的储备,并且可能覆盖多个平台,包括PC,服务器,移动终端,路由器,甚至工控设备等。

0X07 参考链接

https://s.tencent.com/research/report/623.html
http://zt.360.cn/1101061855.php?dtid=1101062514&did=210827151