威脅情報(bào)分析之牛刀小試
—“BITTER”事件的分析總結(jié)
近日�,F(xiàn)orcepoint公司披露了一起針對(duì)巴基斯坦政府部門(mén)的APT攻擊事件。墨俠團(tuán)隊(duì)通過(guò)對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的關(guān)聯(lián)信息分析����,得到了BITTER與APT 28組織很可能師出同門(mén)的結(jié)論。本文將對(duì)此次攻擊進(jìn)行分析總結(jié)����。
本報(bào)告中將詳細(xì)給出對(duì)本事件的分析步驟,僅作為交流作用�,不存在任何指導(dǎo)意義。
1. 對(duì)事件定性
APT攻擊和普通的無(wú)差異木馬傳播在某種角度上有技術(shù)重合部分�����,比如傳播方式都可以使用郵件的魚(yú)叉式攻擊����,回傳數(shù)據(jù)都可能用到CC域名等。在對(duì)BITTER組織進(jìn)行分析時(shí)��,我們通過(guò)以下幾點(diǎn)將本次活動(dòng)定義為APT攻擊���。
1.1 目標(biāo)專一性
APT攻擊和木馬傳播行為的不同就是對(duì)目標(biāo)的選擇�,APT攻擊的目的是為了竊取目標(biāo)的機(jī)密情報(bào)����,所以目標(biāo)都體現(xiàn)出相對(duì)的專一性����,通常只是特定的行業(yè)���,甚至行業(yè)內(nèi)幾家相關(guān)公司或部委���。而普通的傳馬行為通常在選擇目標(biāo)上是無(wú)差異的,目標(biāo)旨在獲得更多的“肉雞”供攻擊者完成其它用途�,比如DDOS。
本次攻擊的發(fā)動(dòng)者“BITTER”在選擇目標(biāo)上就體現(xiàn)出了較強(qiáng)的專一性���,據(jù)我們掌握的信息體現(xiàn)出�����,本次事件的被害者基本都集中在巴基斯坦的政府官員這一范圍內(nèi)�。從目標(biāo)的選擇上看�����,符合APT攻擊的特性,但對(duì)于傳馬行為則這個(gè)范圍相對(duì)狹小�����。
之前由友商披露的“海蓮花”組織曾被質(zhì)疑不是一起APT攻擊��,質(zhì)疑者的觀點(diǎn)之一就是�����,目標(biāo)沒(méi)有專一性�����。報(bào)告原文指出“現(xiàn)已捕獲OceanLotus特種木馬樣本100余個(gè)����,感染者遍布國(guó)內(nèi)29個(gè)省級(jí)行政區(qū)和境外的36個(gè)國(guó)家���。其中����,92.3%的感染者在中國(guó)���。北京��、天津是國(guó)內(nèi)感染者多的兩個(gè)地區(qū)”如此龐大的目標(biāo)范圍�����,需要來(lái)維護(hù)這次攻擊的成本是無(wú)法想象的��,而且攻擊者的動(dòng)機(jī)難以預(yù)料�。所以目標(biāo)的專一性是對(duì)一次攻擊定性的重要依據(jù)之一。
1.2 工具專業(yè)性
APT攻擊之所以被稱為是“高級(jí)持續(xù)性威脅”�,是因?yàn)椤案呒?jí)”主要體現(xiàn)在大費(fèi)周章的收集目標(biāo)的信息,精心構(gòu)造的攻擊payload�。從近年披露出的APT攻擊事件來(lái)看,攻擊者使用的工具也在飛速的進(jìn)化�,不光針對(duì)Windows,可用于Linux��,Mac甚至移動(dòng)端的攻擊工具相繼出現(xiàn)�。因?yàn)楣裟繕?biāo)的基數(shù)有限,所以攻擊者必須保證攻擊payload的高效性�����,所以APT攻擊中使用的工具也以功能復(fù)雜�,免殺手段高端而體現(xiàn)“高級(jí)”。
“BITTER”組織使用了包含針對(duì)Windows PC和安卓移動(dòng)端的攻擊工具,并且在對(duì)樣本的分析過(guò)程中發(fā)現(xiàn)這批樣本設(shè)計(jì)的很精致����,功能豐富,并且使用了了大量的加密和混淆分析的手段���,保證樣本的存活�����。攻擊者所使用的釣魚(yú)郵件也是為目標(biāo)專門(mén)定制的,體現(xiàn)出在前期的信息收集上�����,攻擊者也花費(fèi)了相當(dāng)?shù)男乃肌?/span>
普通傳馬行為的釣魚(yú)郵件則沒(méi)有準(zhǔn)確的針對(duì)性����,可能包括實(shí)時(shí)新聞,夸張言論���,甚至不可描述內(nèi)容�����。由于目標(biāo)面向所有可能被入侵的主機(jī)��,目標(biāo)基數(shù)較大�����,對(duì)種馬成功率的考慮則有所欠缺����,所以對(duì)木馬結(jié)構(gòu)的設(shè)計(jì)相對(duì)不夠嚴(yán)謹(jǐn)。
1.3 攻擊持續(xù)性
APT攻擊意在長(zhǎng)期潛伏在目標(biāo)內(nèi)部���,源源不斷的獲取攻擊者感興趣的情報(bào)�,所以一次攻擊的時(shí)間往往長(zhǎng)達(dá)幾年�����,為了維持權(quán)限����,攻擊者還可能具有后門(mén)的更新手段。
而普通的傳馬行為的目的就是獲得更多的“肉雞”加入到攻擊者的僵尸網(wǎng)絡(luò)中���,一波攻擊過(guò)去再來(lái)一波���,往往不會(huì)出現(xiàn)對(duì)攻擊目標(biāo)長(zhǎng)期監(jiān)控的現(xiàn)象�����。
在本次事件當(dāng)中“BITTER”組織使用的樣本較早出現(xiàn)在2013年11月����,根據(jù)PassiveDNS技術(shù)所分析到的攻擊時(shí)間軸也基本符合這一時(shí)間點(diǎn)�,說(shuō)明該組織對(duì)目標(biāo)的監(jiān)控可能長(zhǎng)達(dá)三年之久。
綜合以上幾點(diǎn)�����,可將本次由“BITTER”組織發(fā)起的攻擊定性為一起APT攻擊���,進(jìn)而有了深入分析的價(jià)值。
2. Whois信息利用
Whois是用來(lái)查詢域名的IP以及所有者等信息的傳輸協(xié)議����,在威脅情報(bào)的分析過(guò)程當(dāng)中,我們通常注意的是注冊(cè)者的姓名�����,注冊(cè)郵箱。利用這些信息與之前積累下的威脅情報(bào)資源關(guān)聯(lián)�����,嘗試找出與以往攻擊事件是否發(fā)生資源交叉利用的情況���,為攻擊溯源提供強(qiáng)有力證據(jù)�。
在實(shí)際的分析過(guò)程當(dāng)中���,自然不會(huì)如上說(shuō)的那么理想化��。隨著反威脅情報(bào)的發(fā)展�,攻擊者在部署這些網(wǎng)絡(luò)基礎(chǔ)設(shè)施時(shí)也格外的注意隱藏自己的信息��,在這個(gè)過(guò)程當(dāng)中就需要分析人員從這些虛假信息中找出可能被我們利用的信息�。
2.1 免費(fèi)動(dòng)態(tài)域名
網(wǎng)絡(luò)上有許多免費(fèi)域名服務(wù)商,攻擊者只需要在其頂級(jí)域名下注冊(cè)一個(gè)二級(jí)域名��,就可以獲得一個(gè)免費(fèi)的網(wǎng)絡(luò)空間來(lái)部署CC服務(wù)器�����。這也是攻擊者常見(jiàn)的利用手段�����。
在本次對(duì)BITTER的分析中發(fā)現(xiàn),其使用了大量的這種域名來(lái)隱藏自己的信息����。如果查詢這種域名的whois信息的話,分析者通常得到是對(duì)應(yīng)的頂級(jí)域名��,也就是域名提供商的相關(guān)信息�。
2.2 虛假信息
通過(guò)對(duì)整個(gè)事件的分析統(tǒng)計(jì),BITTER組織的域名注冊(cè)郵箱統(tǒng)一使用Gmail格式的郵箱�。在威脅情報(bào)庫(kù)內(nèi),未發(fā)現(xiàn)這些郵箱有重復(fù)利用的情況��。
APT攻擊通常都伴有政治�,軍事或者商業(yè)背景,在攻擊者部署網(wǎng)絡(luò)基礎(chǔ)設(shè)施時(shí)都會(huì)刻意隱藏有關(guān)自身的任何信息����,防止安全廠商或者目標(biāo)感知到威脅后對(duì)攻擊進(jìn)行溯源����。
雖然通過(guò)whois信息我們通常無(wú)法辨別真?zhèn)危梢匀吭旒偈沟梅治鋈藛T得到的可用情報(bào)相對(duì)有限����,但這些信息就毫無(wú)價(jià)值了嗎����?暫不考慮whois信息的真實(shí)性�����,我們可以通過(guò)一些信息體現(xiàn)出的特征來(lái)作為溯源關(guān)聯(lián)的一些線索或者依據(jù)�,比如在這次攻擊中,BITTER組織使用的域名基本都為“單詞”+“數(shù)字”的固定格式����,如果在以后發(fā)現(xiàn)的威脅中發(fā)現(xiàn)有此類(lèi)特征,至少可以給分析人員提供一個(gè)分析方向來(lái)尋找兩者之間更多的共性��。這一點(diǎn)的可用性在之前的分析實(shí)例中被證明過(guò)�,比如墨俠團(tuán)隊(duì)在對(duì)threatconnect公司披露的“熊貓”系列與某組織進(jìn)行關(guān)聯(lián)時(shí)發(fā)現(xiàn),兩者注冊(cè)者信息部分習(xí)慣以“復(fù)仇者聯(lián)盟”中的角色和中國(guó)姓名格式命名����,域名服務(wù)商均是godaddy.com等。其中任何一條單獨(dú)拿出來(lái)都可以說(shuō)是巧合�����,但多個(gè)“巧合”組合起來(lái)就可以理解為“吻合”,再通過(guò)樣本����,目標(biāo)一致性,PDNS等證據(jù)就可以將兩個(gè)組織關(guān)聯(lián)起來(lái)��。
所以�,即使whois信息雖然在大多數(shù)情況下都是虛假的,分析人員依然可以通過(guò)這些信息得到攻擊者的行為特征來(lái)作為溯源線索甚至輔助證據(jù)����。
3. PassiveDNS信息利用
近年來(lái),隨著威脅情報(bào)一起火起來(lái)的一個(gè)詞就是“PassiveDNS”�����, 被動(dòng)DNS初于2004年由Florian Weimer發(fā)明���,旨在對(duì)抗惡意軟件����。根據(jù)其定義��,遞歸域名服務(wù)器會(huì)響應(yīng)其接收到的來(lái)自其它域名服務(wù)器的請(qǐng)求信息�����,然后對(duì)響應(yīng)信息進(jìn)行記錄并將日志數(shù)據(jù)復(fù)制到中央數(shù)據(jù)庫(kù)當(dāng)中�����。
在整個(gè)威脅情報(bào)分析的過(guò)程當(dāng)中����,前期的威脅感知和后期的攻擊溯源PassiveDNS都發(fā)揮著舉足輕重的作用。在DNS服務(wù)器上部署被動(dòng)DNS“傳感器”�,定期對(duì)上傳數(shù)據(jù)進(jìn)行審核,如果發(fā)現(xiàn)異常記錄即可進(jìn)行深入分析���,辨別請(qǐng)求目標(biāo)是否為惡意鏈接��。攻擊溯源時(shí)����,我們可以查詢到某一域名曾經(jīng)解析過(guò)的IP地址�����。即使這一域名已經(jīng)從域名服務(wù)器中移除了,也可以查詢到相關(guān)的信息���。這些信息對(duì)分析人員用來(lái)確定攻擊持續(xù)時(shí)間�,網(wǎng)絡(luò)資源是否交叉利用等起著關(guān)鍵作用�。
3.1 確定攻擊時(shí)間
PassiveDNS的每一條解析記錄都具有時(shí)間戳,這個(gè)時(shí)間戳可以了解到域名的出現(xiàn)時(shí)間和歷次的解析行為��。通過(guò)這兩個(gè)信息再配合樣本的編譯時(shí)間大致可以確定一個(gè)攻擊行為可能的時(shí)間軸�����。再通過(guò)審計(jì)這段時(shí)間內(nèi)的日志��,評(píng)估造成的影響和損失�。
在分析BITTER組織時(shí),我們發(fā)現(xiàn)樣本的編譯時(shí)間早出現(xiàn)在2013年���,集中出現(xiàn)在2015年7月至2016年9月期間����,再通過(guò)CC域名的PassiveDNS記錄可以確定此次攻擊大概從2015年初開(kāi)始�。
3.2 網(wǎng)絡(luò)資源交叉使用
此部分信息作為事件關(guān)聯(lián)的有利的證據(jù),一直以來(lái)都是威脅情報(bào)分析中重要的分析步驟����。PassiveDNS提供的解析記錄不僅可以提供域名的解析動(dòng)作��,也可以提供此IP上解析過(guò)哪些域名,如果兩個(gè)事件中涉及的CC域名都在同一時(shí)間段解析到同一IP上�,那么這三者之間必然有一定的聯(lián)系,(當(dāng)然還要判斷此IP的歸屬類(lèi)型�,后文會(huì)提到)。
在對(duì)BITTER所使用的CC域名進(jìn)行分析時(shí)�,經(jīng)過(guò)篩選分析人員注意到一個(gè)域名“info2t.com”。PassiveDNS記錄如下
時(shí)間 | IP | 歸屬地 |
2016-10-25 | 130.211.96.168 | 美國(guó) |
2014-09-07 | 31.41.218.176 | 烏克蘭 |
可以看到此域名于2016-10-25解析到IP 130.211.96.168上�����,在對(duì)通對(duì)IP:130.211.96.168的分析我們得到了進(jìn)一步的信息���。有大量的惡意鏈接指向此IP��,部分結(jié)果如下:
其中被標(biāo)記出來(lái)的鏈接��,形似仿冒合法網(wǎng)站的域名��,此類(lèi)域名經(jīng)常被用來(lái)實(shí)施水坑攻擊����。分析人員對(duì)這些域名進(jìn)行逐一排查發(fā)現(xiàn)域名worldmilitarynews.org的PassiveDNS記錄如下。
時(shí)間 | IP | 歸屬地 |
2016-09-26 | 130.211.96.168 | 美國(guó) |
2015-09-29 | 109.71.51.58 | 烏克蘭 |
2015-04-07 | 198.105.122.184 | 美國(guó) |
2015-03-13 | 5.56.133.69 | 英國(guó) |
可以看到該域名于2016-09-26同樣解析到IP 130.211.96.168上�,通過(guò)對(duì)比兩個(gè)域名的PDNS記錄不難發(fā)現(xiàn)兩個(gè)域名幾乎在同一時(shí)間解析到同一IP上,至此只可以假設(shè)這兩個(gè)域名具有某種聯(lián)系����,因?yàn)榻酉聛?lái)還要確定此IP的有效性,還不能排除這個(gè)IP是不是安全廠商在檢測(cè)到惡意域名之后進(jìn)行接管�,將它們解析到自己的IP上。
3.3 可用的PassiveDNS信息
攻擊者通常不會(huì)在網(wǎng)絡(luò)上架設(shè)獨(dú)立的服務(wù)器用來(lái)控制后門(mén)����,而更偏向于租賃云主機(jī)來(lái)保護(hù)自己的信息。所以我們?cè)卺槍?duì)某事件的分析過(guò)程中經(jīng)常會(huì)發(fā)現(xiàn)一個(gè)IP上解析了大量的域名���。造成這種情況通常有兩個(gè)原因����,一是在不同時(shí)間段由不同用戶解析上來(lái)并且被PDNS傳感器記錄到�����,二是上文提到的被安全廠商接管����。
無(wú)論哪種情況都不能單獨(dú)作為攻擊溯源的證據(jù)進(jìn)行事件關(guān)聯(lián)���,比如第一種,可能五年前的一次攻擊事件中的CC域名解析過(guò)某個(gè)IP�,五年后的新事件中又出現(xiàn)解析在此IP的域名,這可能就是攻擊者以“栽贓”為目的的情報(bào)混淆��,因?yàn)楹芸赡茉谖迥昵暗墓舯慌吨蠊粽呔蜅売昧诉@些資源�����,而后來(lái)被其它攻擊者使用�。如果沒(méi)考慮到這一層����,很可能分析人員就會(huì)被誤導(dǎo),從而得出“XXX組織時(shí)隔五年卷土重來(lái)”的結(jié)論�����。第二種情況就很明顯了���,分析時(shí)會(huì)發(fā)現(xiàn)這個(gè)IP上有多個(gè)惡意域名用于不同的攻擊事件中�����,并且IP歸屬不是供應(yīng)商的業(yè)務(wù)IP����。
在本次事件中,墨俠團(tuán)隊(duì)對(duì)IP 130.211.96.168進(jìn)行了上述兩點(diǎn)的調(diào)查分析����。第一點(diǎn)通過(guò)兩個(gè)域名的PDNS記錄可以看到兩個(gè)域名解析到此IP的時(shí)間基本重合。第二點(diǎn)對(duì)于IP的歸屬�,分析人員得到如下信息
可以看到IP的歸屬方為谷歌云計(jì)算,此IP的Hostname后綴顯示為bc.googleusercontent.com��,這說(shuō)明這臺(tái)服務(wù)器是谷歌云計(jì)算的業(yè)務(wù)主機(jī)���。因?yàn)閎c.googleusercontent.com后綴均屬于谷歌云計(jì)算GCP主機(jī)���,說(shuō)明此主機(jī)是業(yè)務(wù)主機(jī),供他人租用的���。
4. 總結(jié)
經(jīng)過(guò)在墨俠團(tuán)隊(duì)的威脅情報(bào)庫(kù)中查詢����,域名“worldmilitarynews.org”曾經(jīng)是著名的APT組織APT 28在某次事件中使用的域名�����。關(guān)于“APT 28”,早是由卡巴斯基披露了其針對(duì)烏克蘭����,東歐等國(guó)的攻擊事件,從而出現(xiàn)在公眾的眼前�����。并且后續(xù)有多家安全廠商證明該組織屬于俄羅斯�����,并且背后很可能是莫斯科政府����。
因?yàn)榫W(wǎng)絡(luò)資源的交叉利用��,所以可以得到結(jié)論�,本次事件的主角“BITTER”組織,很可能是受俄羅斯政府資助的一個(gè)實(shí)施APT攻擊的團(tuán)隊(duì)����。
