威脅情報(bào)分析之牛刀小試
—“BITTER”事件的分析總結(jié)
近日��,F(xiàn)orcepoint公司披露了一起針對(duì)巴基斯坦政府部門的APT攻擊事件��。墨俠團(tuán)隊(duì)通過對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的關(guān)聯(lián)信息分析����,得到了BITTER與APT 28組織很可能師出同門的結(jié)論。本文將對(duì)此次攻擊進(jìn)行分析總結(jié)���。
本報(bào)告中將詳細(xì)給出對(duì)本事件的分析步驟��,僅作為交流作用�,不存在任何指導(dǎo)意義。
1. 對(duì)事件定性
APT攻擊和普通的無差異木馬傳播在某種角度上有技術(shù)重合部分����,比如傳播方式都可以使用郵件的魚叉式攻擊,回傳數(shù)據(jù)都可能用到CC域名等�。在對(duì)BITTER組織進(jìn)行分析時(shí),我們通過以下幾點(diǎn)將本次活動(dòng)定義為APT攻擊��。
1.1 目標(biāo)專一性
APT攻擊和木馬傳播行為的不同就是對(duì)目標(biāo)的選擇���,APT攻擊的目的是為了竊取目標(biāo)的機(jī)密情報(bào),所以目標(biāo)都體現(xiàn)出相對(duì)的專一性���,通常只是特定的行業(yè)���,甚至行業(yè)內(nèi)幾家相關(guān)公司或部委。而普通的傳馬行為通常在選擇目標(biāo)上是無差異的����,目標(biāo)旨在獲得更多的“肉雞”供攻擊者完成其它用途,比如DDOS��。
本次攻擊的發(fā)動(dòng)者“BITTER”在選擇目標(biāo)上就體現(xiàn)出了較強(qiáng)的專一性�,據(jù)我們掌握的信息體現(xiàn)出,本次事件的被害者基本都集中在巴基斯坦的政府官員這一范圍內(nèi)。從目標(biāo)的選擇上看����,符合APT攻擊的特性,但對(duì)于傳馬行為則這個(gè)范圍相對(duì)狹小�����。
之前由友商披露的“海蓮花”組織曾被質(zhì)疑不是一起APT攻擊����,質(zhì)疑者的觀點(diǎn)之一就是,目標(biāo)沒有專一性�。報(bào)告原文指出“現(xiàn)已捕獲OceanLotus特種木馬樣本100余個(gè),感染者遍布國內(nèi)29個(gè)省級(jí)行政區(qū)和境外的36個(gè)國家�。其中,92.3%的感染者在中國�。北京、天津是國內(nèi)感染者多的兩個(gè)地區(qū)”如此龐大的目標(biāo)范圍�����,需要來維護(hù)這次攻擊的成本是無法想象的����,而且攻擊者的動(dòng)機(jī)難以預(yù)料��。所以目標(biāo)的專一性是對(duì)一次攻擊定性的重要依據(jù)之一���。
1.2 工具專業(yè)性
APT攻擊之所以被稱為是“高級(jí)持續(xù)性威脅”,是因?yàn)椤案呒?jí)”主要體現(xiàn)在大費(fèi)周章的收集目標(biāo)的信息����,精心構(gòu)造的攻擊payload。從近年披露出的APT攻擊事件來看���,攻擊者使用的工具也在飛速的進(jìn)化���,不光針對(duì)Windows��,可用于Linux���,Mac甚至移動(dòng)端的攻擊工具相繼出現(xiàn)��。因?yàn)楣裟繕?biāo)的基數(shù)有限�����,所以攻擊者必須保證攻擊payload的高效性���,所以APT攻擊中使用的工具也以功能復(fù)雜�,免殺手段高端而體現(xiàn)“高級(jí)”���。
“BITTER”組織使用了包含針對(duì)Windows PC和安卓移動(dòng)端的攻擊工具�����,并且在對(duì)樣本的分析過程中發(fā)現(xiàn)這批樣本設(shè)計(jì)的很精致�����,功能豐富��,并且使用了了大量的加密和混淆分析的手段���,保證樣本的存活。攻擊者所使用的釣魚郵件也是為目標(biāo)專門定制的�����,體現(xiàn)出在前期的信息收集上����,攻擊者也花費(fèi)了相當(dāng)?shù)男乃肌?/span>
普通傳馬行為的釣魚郵件則沒有準(zhǔn)確的針對(duì)性�����,可能包括實(shí)時(shí)新聞�,夸張言論�,甚至不可描述內(nèi)容。由于目標(biāo)面向所有可能被入侵的主機(jī)���,目標(biāo)基數(shù)較大��,對(duì)種馬成功率的考慮則有所欠缺����,所以對(duì)木馬結(jié)構(gòu)的設(shè)計(jì)相對(duì)不夠嚴(yán)謹(jǐn)��。
1.3 攻擊持續(xù)性
APT攻擊意在長期潛伏在目標(biāo)內(nèi)部���,源源不斷的獲取攻擊者感興趣的情報(bào),所以一次攻擊的時(shí)間往往長達(dá)幾年����,為了維持權(quán)限,攻擊者還可能具有后門的更新手段�����。
而普通的傳馬行為的目的就是獲得更多的“肉雞”加入到攻擊者的僵尸網(wǎng)絡(luò)中,一波攻擊過去再來一波�����,往往不會(huì)出現(xiàn)對(duì)攻擊目標(biāo)長期監(jiān)控的現(xiàn)象�。
在本次事件當(dāng)中“BITTER”組織使用的樣本較早出現(xiàn)在2013年11月,根據(jù)PassiveDNS技術(shù)所分析到的攻擊時(shí)間軸也基本符合這一時(shí)間點(diǎn)�����,說明該組織對(duì)目標(biāo)的監(jiān)控可能長達(dá)三年之久�。
綜合以上幾點(diǎn),可將本次由“BITTER”組織發(fā)起的攻擊定性為一起APT攻擊���,進(jìn)而有了深入分析的價(jià)值���。
2. Whois信息利用
Whois是用來查詢域名的IP以及所有者等信息的傳輸協(xié)議,在威脅情報(bào)的分析過程當(dāng)中����,我們通常注意的是注冊(cè)者的姓名,注冊(cè)郵箱�����。利用這些信息與之前積累下的威脅情報(bào)資源關(guān)聯(lián),嘗試找出與以往攻擊事件是否發(fā)生資源交叉利用的情況����,為攻擊溯源提供強(qiáng)有力證據(jù)。
在實(shí)際的分析過程當(dāng)中����,自然不會(huì)如上說的那么理想化。隨著反威脅情報(bào)的發(fā)展�����,攻擊者在部署這些網(wǎng)絡(luò)基礎(chǔ)設(shè)施時(shí)也格外的注意隱藏自己的信息��,在這個(gè)過程當(dāng)中就需要分析人員從這些虛假信息中找出可能被我們利用的信息���。
2.1 免費(fèi)動(dòng)態(tài)域名
網(wǎng)絡(luò)上有許多免費(fèi)域名服務(wù)商����,攻擊者只需要在其頂級(jí)域名下注冊(cè)一個(gè)二級(jí)域名�,就可以獲得一個(gè)免費(fèi)的網(wǎng)絡(luò)空間來部署CC服務(wù)器���。這也是攻擊者常見的利用手段�。
在本次對(duì)BITTER的分析中發(fā)現(xiàn),其使用了大量的這種域名來隱藏自己的信息�����。如果查詢這種域名的whois信息的話���,分析者通常得到是對(duì)應(yīng)的頂級(jí)域名���,也就是域名提供商的相關(guān)信息。
2.2 虛假信息
通過對(duì)整個(gè)事件的分析統(tǒng)計(jì)���,BITTER組織的域名注冊(cè)郵箱統(tǒng)一使用Gmail格式的郵箱���。在威脅情報(bào)庫內(nèi),未發(fā)現(xiàn)這些郵箱有重復(fù)利用的情況�。
APT攻擊通常都伴有政治,軍事或者商業(yè)背景�����,在攻擊者部署網(wǎng)絡(luò)基礎(chǔ)設(shè)施時(shí)都會(huì)刻意隱藏有關(guān)自身的任何信息���,防止安全廠商或者目標(biāo)感知到威脅后對(duì)攻擊進(jìn)行溯源���。
雖然通過whois信息我們通常無法辨別真?zhèn)?,可以全部造假使得分析人員得到的可用情報(bào)相對(duì)有限�����,但這些信息就毫無價(jià)值了嗎��?暫不考慮whois信息的真實(shí)性�,我們可以通過一些信息體現(xiàn)出的特征來作為溯源關(guān)聯(lián)的一些線索或者依據(jù),比如在這次攻擊中�,BITTER組織使用的域名基本都為“單詞”+“數(shù)字”的固定格式,如果在以后發(fā)現(xiàn)的威脅中發(fā)現(xiàn)有此類特征����,至少可以給分析人員提供一個(gè)分析方向來尋找兩者之間更多的共性。這一點(diǎn)的可用性在之前的分析實(shí)例中被證明過�����,比如墨俠團(tuán)隊(duì)在對(duì)threatconnect公司披露的“熊貓”系列與某組織進(jìn)行關(guān)聯(lián)時(shí)發(fā)現(xiàn)�����,兩者注冊(cè)者信息部分習(xí)慣以“復(fù)仇者聯(lián)盟”中的角色和中國姓名格式命名�,域名服務(wù)商均是godaddy.com等。其中任何一條單獨(dú)拿出來都可以說是巧合���,但多個(gè)“巧合”組合起來就可以理解為“吻合”����,再通過樣本����,目標(biāo)一致性,PDNS等證據(jù)就可以將兩個(gè)組織關(guān)聯(lián)起來��。
所以�����,即使whois信息雖然在大多數(shù)情況下都是虛假的��,分析人員依然可以通過這些信息得到攻擊者的行為特征來作為溯源線索甚至輔助證據(jù)����。
3. PassiveDNS信息利用
近年來,隨著威脅情報(bào)一起火起來的一個(gè)詞就是“PassiveDNS”, 被動(dòng)DNS初于2004年由Florian Weimer發(fā)明�,旨在對(duì)抗惡意軟件。根據(jù)其定義�,遞歸域名服務(wù)器會(huì)響應(yīng)其接收到的來自其它域名服務(wù)器的請(qǐng)求信息,然后對(duì)響應(yīng)信息進(jìn)行記錄并將日志數(shù)據(jù)復(fù)制到中央數(shù)據(jù)庫當(dāng)中���。
在整個(gè)威脅情報(bào)分析的過程當(dāng)中����,前期的威脅感知和后期的攻擊溯源PassiveDNS都發(fā)揮著舉足輕重的作用�����。在DNS服務(wù)器上部署被動(dòng)DNS“傳感器”��,定期對(duì)上傳數(shù)據(jù)進(jìn)行審核����,如果發(fā)現(xiàn)異常記錄即可進(jìn)行深入分析,辨別請(qǐng)求目標(biāo)是否為惡意鏈接��。攻擊溯源時(shí)����,我們可以查詢到某一域名曾經(jīng)解析過的IP地址����。即使這一域名已經(jīng)從域名服務(wù)器中移除了����,也可以查詢到相關(guān)的信息��。這些信息對(duì)分析人員用來確定攻擊持續(xù)時(shí)間�,網(wǎng)絡(luò)資源是否交叉利用等起著關(guān)鍵作用。
3.1 確定攻擊時(shí)間
PassiveDNS的每一條解析記錄都具有時(shí)間戳��,這個(gè)時(shí)間戳可以了解到域名的出現(xiàn)時(shí)間和歷次的解析行為�。通過這兩個(gè)信息再配合樣本的編譯時(shí)間大致可以確定一個(gè)攻擊行為可能的時(shí)間軸。再通過審計(jì)這段時(shí)間內(nèi)的日志���,評(píng)估造成的影響和損失���。
在分析BITTER組織時(shí),我們發(fā)現(xiàn)樣本的編譯時(shí)間早出現(xiàn)在2013年��,集中出現(xiàn)在2015年7月至2016年9月期間�,再通過CC域名的PassiveDNS記錄可以確定此次攻擊大概從2015年初開始。
3.2 網(wǎng)絡(luò)資源交叉使用
此部分信息作為事件關(guān)聯(lián)的有利的證據(jù)�,一直以來都是威脅情報(bào)分析中重要的分析步驟��。PassiveDNS提供的解析記錄不僅可以提供域名的解析動(dòng)作�����,也可以提供此IP上解析過哪些域名�,如果兩個(gè)事件中涉及的CC域名都在同一時(shí)間段解析到同一IP上�,那么這三者之間必然有一定的聯(lián)系,(當(dāng)然還要判斷此IP的歸屬類型�����,后文會(huì)提到)�����。
在對(duì)BITTER所使用的CC域名進(jìn)行分析時(shí)����,經(jīng)過篩選分析人員注意到一個(gè)域名“info2t.com”。PassiveDNS記錄如下
時(shí)間 | IP | 歸屬地 |
2016-10-25 | 130.211.96.168 | 美國 |
2014-09-07 | 31.41.218.176 | 烏克蘭 |
可以看到此域名于2016-10-25解析到IP 130.211.96.168上�,在對(duì)通對(duì)IP:130.211.96.168的分析我們得到了進(jìn)一步的信息。有大量的惡意鏈接指向此IP�,部分結(jié)果如下:
其中被標(biāo)記出來的鏈接,形似仿冒合法網(wǎng)站的域名��,此類域名經(jīng)常被用來實(shí)施水坑攻擊。分析人員對(duì)這些域名進(jìn)行逐一排查發(fā)現(xiàn)域名worldmilitarynews.org的PassiveDNS記錄如下�。
時(shí)間 | IP | 歸屬地 |
2016-09-26 | 130.211.96.168 | 美國 |
2015-09-29 | 109.71.51.58 | 烏克蘭 |
2015-04-07 | 198.105.122.184 | 美國 |
2015-03-13 | 5.56.133.69 | 英國 |
可以看到該域名于2016-09-26同樣解析到IP 130.211.96.168上,通過對(duì)比兩個(gè)域名的PDNS記錄不難發(fā)現(xiàn)兩個(gè)域名幾乎在同一時(shí)間解析到同一IP上����,至此只可以假設(shè)這兩個(gè)域名具有某種聯(lián)系,因?yàn)榻酉聛磉€要確定此IP的有效性�����,還不能排除這個(gè)IP是不是安全廠商在檢測(cè)到惡意域名之后進(jìn)行接管�����,將它們解析到自己的IP上�����。
3.3 可用的PassiveDNS信息
攻擊者通常不會(huì)在網(wǎng)絡(luò)上架設(shè)獨(dú)立的服務(wù)器用來控制后門�,而更偏向于租賃云主機(jī)來保護(hù)自己的信息����。所以我們?cè)卺槍?duì)某事件的分析過程中經(jīng)常會(huì)發(fā)現(xiàn)一個(gè)IP上解析了大量的域名。造成這種情況通常有兩個(gè)原因����,一是在不同時(shí)間段由不同用戶解析上來并且被PDNS傳感器記錄到��,二是上文提到的被安全廠商接管��。
無論哪種情況都不能單獨(dú)作為攻擊溯源的證據(jù)進(jìn)行事件關(guān)聯(lián)����,比如第一種�����,可能五年前的一次攻擊事件中的CC域名解析過某個(gè)IP�����,五年后的新事件中又出現(xiàn)解析在此IP的域名���,這可能就是攻擊者以“栽贓”為目的的情報(bào)混淆��,因?yàn)楹芸赡茉谖迥昵暗墓舯慌吨蠊粽呔蜅売昧诉@些資源�,而后來被其它攻擊者使用����。如果沒考慮到這一層����,很可能分析人員就會(huì)被誤導(dǎo)�����,從而得出“XXX組織時(shí)隔五年卷土重來”的結(jié)論�。第二種情況就很明顯了,分析時(shí)會(huì)發(fā)現(xiàn)這個(gè)IP上有多個(gè)惡意域名用于不同的攻擊事件中��,并且IP歸屬不是供應(yīng)商的業(yè)務(wù)IP�����。
在本次事件中��,墨俠團(tuán)隊(duì)對(duì)IP 130.211.96.168進(jìn)行了上述兩點(diǎn)的調(diào)查分析����。第一點(diǎn)通過兩個(gè)域名的PDNS記錄可以看到兩個(gè)域名解析到此IP的時(shí)間基本重合�。第二點(diǎn)對(duì)于IP的歸屬,分析人員得到如下信息
可以看到IP的歸屬方為谷歌云計(jì)算���,此IP的Hostname后綴顯示為bc.googleusercontent.com�����,這說明這臺(tái)服務(wù)器是谷歌云計(jì)算的業(yè)務(wù)主機(jī)�。因?yàn)閎c.googleusercontent.com后綴均屬于谷歌云計(jì)算GCP主機(jī),說明此主機(jī)是業(yè)務(wù)主機(jī)�,供他人租用的。
4. 總結(jié)
經(jīng)過在墨俠團(tuán)隊(duì)的威脅情報(bào)庫中查詢���,域名“worldmilitarynews.org”曾經(jīng)是著名的APT組織APT 28在某次事件中使用的域名����。關(guān)于“APT 28”�,早是由卡巴斯基披露了其針對(duì)烏克蘭,東歐等國的攻擊事件�,從而出現(xiàn)在公眾的眼前。并且后續(xù)有多家安全廠商證明該組織屬于俄羅斯��,并且背后很可能是莫斯科政府���。
因?yàn)榫W(wǎng)絡(luò)資源的交叉利用��,所以可以得到結(jié)論��,本次事件的主角“BITTER”組織���,很可能是受俄羅斯政府資助的一個(gè)實(shí)施APT攻擊的團(tuán)隊(duì)�����。
