亚洲综合国产在不卡在线亚洲,福利一区二区精品精品,亚洲电影在线观看不卡,午夜福利国产在线观看1

  • <dfn id="wywqd"></dfn>

  • 歡迎來(lái)到興華永恒!加入收藏設(shè)為首頁(yè)
    您當(dāng)前所在位置:首頁(yè) > 技術(shù)專欄 > 專業(yè)發(fā)布
    技術(shù)專欄

    威脅情報(bào)分析之牛刀小試

                                                                                                             —“BITTER”事件的分析總結(jié)



    近日,F(xiàn)orcepoint公司披露了一起針對(duì)巴基斯坦政府部門(mén)的APT攻擊事件。墨俠團(tuán)隊(duì)通過(guò)對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的關(guān)聯(lián)信息分析,得到了BITTER與APT 28組織很可能師出同門(mén)的結(jié)論。本文將對(duì)此次攻擊進(jìn)行分析總結(jié)。

    本報(bào)告中將詳細(xì)給出對(duì)本事件的分析步驟,僅作為交流作用,不存在任何指導(dǎo)意義。

    1.  對(duì)事件定性

    APT攻擊和普通的無(wú)差異木馬傳播在某種角度上有技術(shù)重合部分,比如傳播方式都可以使用郵件的魚(yú)叉式攻擊,回傳數(shù)據(jù)都可能用到CC域名等。在對(duì)BITTER組織進(jìn)行分析時(shí),我們通過(guò)以下幾點(diǎn)將本次活動(dòng)定義為APT攻擊。

    1.1    目標(biāo)專一性

    APT攻擊和木馬傳播行為的不同就是對(duì)目標(biāo)的選擇,APT攻擊的目的是為了竊取目標(biāo)的機(jī)密情報(bào),所以目標(biāo)都體現(xiàn)出相對(duì)的專一性,通常只是特定的行業(yè),甚至行業(yè)內(nèi)幾家相關(guān)公司或部委。而普通的傳馬行為通常在選擇目標(biāo)上是無(wú)差異的,目標(biāo)旨在獲得更多的“肉雞”供攻擊者完成其它用途,比如DDOS。

    本次攻擊的發(fā)動(dòng)者“BITTER”在選擇目標(biāo)上就體現(xiàn)出了較強(qiáng)的專一性,據(jù)我們掌握的信息體現(xiàn)出,本次事件的被害者基本都集中在巴基斯坦的政府官員這一范圍內(nèi)。從目標(biāo)的選擇上看,符合APT攻擊的特性,但對(duì)于傳馬行為則這個(gè)范圍相對(duì)狹小。

    之前由友商披露的“海蓮花”組織曾被質(zhì)疑不是一起APT攻擊,質(zhì)疑者的觀點(diǎn)之一就是,目標(biāo)沒(méi)有專一性。報(bào)告原文指出“現(xiàn)已捕獲OceanLotus特種木馬樣本100余個(gè),感染者遍布國(guó)內(nèi)29個(gè)省級(jí)行政區(qū)和境外的36個(gè)國(guó)家。其中,92.3%的感染者在中國(guó)。北京、天津是國(guó)內(nèi)感染者多的兩個(gè)地區(qū)”如此龐大的目標(biāo)范圍,需要來(lái)維護(hù)這次攻擊的成本是無(wú)法想象的,而且攻擊者的動(dòng)機(jī)難以預(yù)料。所以目標(biāo)的專一性是對(duì)一次攻擊定性的重要依據(jù)之一。

    1.2    工具專業(yè)性

    APT攻擊之所以被稱為是“高級(jí)持續(xù)性威脅”,是因?yàn)椤案呒?jí)”主要體現(xiàn)在大費(fèi)周章的收集目標(biāo)的信息,精心構(gòu)造的攻擊payload。從近年披露出的APT攻擊事件來(lái)看,攻擊者使用的工具也在飛速的進(jìn)化,不光針對(duì)Windows,可用于Linux,Mac甚至移動(dòng)端的攻擊工具相繼出現(xiàn)。因?yàn)楣裟繕?biāo)的基數(shù)有限,所以攻擊者必須保證攻擊payload的高效性,所以APT攻擊中使用的工具也以功能復(fù)雜,免殺手段高端而體現(xiàn)“高級(jí)”。

    “BITTER”組織使用了包含針對(duì)Windows PC和安卓移動(dòng)端的攻擊工具,并且在對(duì)樣本的分析過(guò)程中發(fā)現(xiàn)這批樣本設(shè)計(jì)的很精致,功能豐富,并且使用了了大量的加密和混淆分析的手段,保證樣本的存活。攻擊者所使用的釣魚(yú)郵件也是為目標(biāo)專門(mén)定制的,體現(xiàn)出在前期的信息收集上,攻擊者也花費(fèi)了相當(dāng)?shù)男乃肌?/span>

    普通傳馬行為的釣魚(yú)郵件則沒(méi)有準(zhǔn)確的針對(duì)性,可能包括實(shí)時(shí)新聞,夸張言論,甚至不可描述內(nèi)容。由于目標(biāo)面向所有可能被入侵的主機(jī),目標(biāo)基數(shù)較大,對(duì)種馬成功率的考慮則有所欠缺,所以對(duì)木馬結(jié)構(gòu)的設(shè)計(jì)相對(duì)不夠嚴(yán)謹(jǐn)。

    1.3    攻擊持續(xù)性

    APT攻擊意在長(zhǎng)期潛伏在目標(biāo)內(nèi)部,源源不斷的獲取攻擊者感興趣的情報(bào),所以一次攻擊的時(shí)間往往長(zhǎng)達(dá)幾年,為了維持權(quán)限,攻擊者還可能具有后門(mén)的更新手段。

    而普通的傳馬行為的目的就是獲得更多的“肉雞”加入到攻擊者的僵尸網(wǎng)絡(luò)中,一波攻擊過(guò)去再來(lái)一波,往往不會(huì)出現(xiàn)對(duì)攻擊目標(biāo)長(zhǎng)期監(jiān)控的現(xiàn)象。

    在本次事件當(dāng)中“BITTER”組織使用的樣本較早出現(xiàn)在2013年11月,根據(jù)PassiveDNS技術(shù)所分析到的攻擊時(shí)間軸也基本符合這一時(shí)間點(diǎn),說(shuō)明該組織對(duì)目標(biāo)的監(jiān)控可能長(zhǎng)達(dá)三年之久。

    綜合以上幾點(diǎn),可將本次由“BITTER”組織發(fā)起的攻擊定性為一起APT攻擊,進(jìn)而有了深入分析的價(jià)值。

    2.  Whois信息利用

    Whois是用來(lái)查詢域名的IP以及所有者等信息的傳輸協(xié)議,在威脅情報(bào)的分析過(guò)程當(dāng)中,我們通常注意的是注冊(cè)者的姓名,注冊(cè)郵箱。利用這些信息與之前積累下的威脅情報(bào)資源關(guān)聯(lián),嘗試找出與以往攻擊事件是否發(fā)生資源交叉利用的情況,為攻擊溯源提供強(qiáng)有力證據(jù)。

    在實(shí)際的分析過(guò)程當(dāng)中,自然不會(huì)如上說(shuō)的那么理想化。隨著反威脅情報(bào)的發(fā)展,攻擊者在部署這些網(wǎng)絡(luò)基礎(chǔ)設(shè)施時(shí)也格外的注意隱藏自己的信息,在這個(gè)過(guò)程當(dāng)中就需要分析人員從這些虛假信息中找出可能被我們利用的信息。

    2.1 免費(fèi)動(dòng)態(tài)域名

    網(wǎng)絡(luò)上有許多免費(fèi)域名服務(wù)商,攻擊者只需要在其頂級(jí)域名下注冊(cè)一個(gè)二級(jí)域名,就可以獲得一個(gè)免費(fèi)的網(wǎng)絡(luò)空間來(lái)部署CC服務(wù)器。這也是攻擊者常見(jiàn)的利用手段。

    在本次對(duì)BITTER的分析中發(fā)現(xiàn),其使用了大量的這種域名來(lái)隱藏自己的信息。如果查詢這種域名的whois信息的話,分析者通常得到是對(duì)應(yīng)的頂級(jí)域名,也就是域名提供商的相關(guān)信息。

    2.2    虛假信息

    通過(guò)對(duì)整個(gè)事件的分析統(tǒng)計(jì),BITTER組織的域名注冊(cè)郵箱統(tǒng)一使用Gmail格式的郵箱。在威脅情報(bào)庫(kù)內(nèi),未發(fā)現(xiàn)這些郵箱有重復(fù)利用的情況。

    1.png                                             

    APT攻擊通常都伴有政治,軍事或者商業(yè)背景,在攻擊者部署網(wǎng)絡(luò)基礎(chǔ)設(shè)施時(shí)都會(huì)刻意隱藏有關(guān)自身的任何信息,防止安全廠商或者目標(biāo)感知到威脅后對(duì)攻擊進(jìn)行溯源。

    雖然通過(guò)whois信息我們通常無(wú)法辨別真?zhèn)危梢匀吭旒偈沟梅治鋈藛T得到的可用情報(bào)相對(duì)有限,但這些信息就毫無(wú)價(jià)值了嗎?暫不考慮whois信息的真實(shí)性,我們可以通過(guò)一些信息體現(xiàn)出的特征來(lái)作為溯源關(guān)聯(lián)的一些線索或者依據(jù),比如在這次攻擊中,BITTER組織使用的域名基本都為“單詞”+“數(shù)字”的固定格式,如果在以后發(fā)現(xiàn)的威脅中發(fā)現(xiàn)有此類(lèi)特征,至少可以給分析人員提供一個(gè)分析方向來(lái)尋找兩者之間更多的共性。這一點(diǎn)的可用性在之前的分析實(shí)例中被證明過(guò),比如墨俠團(tuán)隊(duì)在對(duì)threatconnect公司披露的“熊貓”系列與某組織進(jìn)行關(guān)聯(lián)時(shí)發(fā)現(xiàn),兩者注冊(cè)者信息部分習(xí)慣以“復(fù)仇者聯(lián)盟”中的角色和中國(guó)姓名格式命名,域名服務(wù)商均是godaddy.com等。其中任何一條單獨(dú)拿出來(lái)都可以說(shuō)是巧合,但多個(gè)“巧合”組合起來(lái)就可以理解為“吻合”,再通過(guò)樣本,目標(biāo)一致性,PDNS等證據(jù)就可以將兩個(gè)組織關(guān)聯(lián)起來(lái)。

    所以,即使whois信息雖然在大多數(shù)情況下都是虛假的,分析人員依然可以通過(guò)這些信息得到攻擊者的行為特征來(lái)作為溯源線索甚至輔助證據(jù)。

    3.  PassiveDNS信息利用

    近年來(lái),隨著威脅情報(bào)一起火起來(lái)的一個(gè)詞就是“PassiveDNS”, 被動(dòng)DNS初于2004年由Florian Weimer發(fā)明,旨在對(duì)抗惡意軟件。根據(jù)其定義,遞歸域名服務(wù)器會(huì)響應(yīng)其接收到的來(lái)自其它域名服務(wù)器的請(qǐng)求信息,然后對(duì)響應(yīng)信息進(jìn)行記錄并將日志數(shù)據(jù)復(fù)制到中央數(shù)據(jù)庫(kù)當(dāng)中。

    在整個(gè)威脅情報(bào)分析的過(guò)程當(dāng)中,前期的威脅感知和后期的攻擊溯源PassiveDNS都發(fā)揮著舉足輕重的作用。在DNS服務(wù)器上部署被動(dòng)DNS“傳感器”,定期對(duì)上傳數(shù)據(jù)進(jìn)行審核,如果發(fā)現(xiàn)異常記錄即可進(jìn)行深入分析,辨別請(qǐng)求目標(biāo)是否為惡意鏈接。攻擊溯源時(shí),我們可以查詢到某一域名曾經(jīng)解析過(guò)的IP地址。即使這一域名已經(jīng)從域名服務(wù)器中移除了,也可以查詢到相關(guān)的信息。這些信息對(duì)分析人員用來(lái)確定攻擊持續(xù)時(shí)間,網(wǎng)絡(luò)資源是否交叉利用等起著關(guān)鍵作用。

    3.1 確定攻擊時(shí)間

    PassiveDNS的每一條解析記錄都具有時(shí)間戳,這個(gè)時(shí)間戳可以了解到域名的出現(xiàn)時(shí)間和歷次的解析行為。通過(guò)這兩個(gè)信息再配合樣本的編譯時(shí)間大致可以確定一個(gè)攻擊行為可能的時(shí)間軸。再通過(guò)審計(jì)這段時(shí)間內(nèi)的日志,評(píng)估造成的影響和損失。

    在分析BITTER組織時(shí),我們發(fā)現(xiàn)樣本的編譯時(shí)間早出現(xiàn)在2013年,集中出現(xiàn)在2015年7月至2016年9月期間,再通過(guò)CC域名的PassiveDNS記錄可以確定此次攻擊大概從2015年初開(kāi)始。

    3.2    網(wǎng)絡(luò)資源交叉使用

    此部分信息作為事件關(guān)聯(lián)的有利的證據(jù),一直以來(lái)都是威脅情報(bào)分析中重要的分析步驟。PassiveDNS提供的解析記錄不僅可以提供域名的解析動(dòng)作,也可以提供此IP上解析過(guò)哪些域名,如果兩個(gè)事件中涉及的CC域名都在同一時(shí)間段解析到同一IP上,那么這三者之間必然有一定的聯(lián)系,(當(dāng)然還要判斷此IP的歸屬類(lèi)型,后文會(huì)提到)。

    在對(duì)BITTER所使用的CC域名進(jìn)行分析時(shí),經(jīng)過(guò)篩選分析人員注意到一個(gè)域名“info2t.com”。PassiveDNS記錄如下

    時(shí)間

    IP

    歸屬地

    2016-10-25

    130.211.96.168

    美國(guó)

    2014-09-07

    31.41.218.176

    烏克蘭

    可以看到此域名于2016-10-25解析到IP 130.211.96.168上,在對(duì)通對(duì)IP:130.211.96.168的分析我們得到了進(jìn)一步的信息。有大量的惡意鏈接指向此IP,部分結(jié)果如下:

    2.png


    其中被標(biāo)記出來(lái)的鏈接,形似仿冒合法網(wǎng)站的域名,此類(lèi)域名經(jīng)常被用來(lái)實(shí)施水坑攻擊。分析人員對(duì)這些域名進(jìn)行逐一排查發(fā)現(xiàn)域名worldmilitarynews.org的PassiveDNS記錄如下。

    時(shí)間

    IP

    歸屬地

    2016-09-26

    130.211.96.168

    美國(guó)

    2015-09-29

    109.71.51.58

    烏克蘭

    2015-04-07

    198.105.122.184

    美國(guó)

    2015-03-13

    5.56.133.69

    英國(guó)

    可以看到該域名于2016-09-26同樣解析到IP 130.211.96.168上,通過(guò)對(duì)比兩個(gè)域名的PDNS記錄不難發(fā)現(xiàn)兩個(gè)域名幾乎在同一時(shí)間解析到同一IP上,至此只可以假設(shè)這兩個(gè)域名具有某種聯(lián)系,因?yàn)榻酉聛?lái)還要確定此IP的有效性,還不能排除這個(gè)IP是不是安全廠商在檢測(cè)到惡意域名之后進(jìn)行接管,將它們解析到自己的IP上。

    3.3 可用的PassiveDNS信息

    攻擊者通常不會(huì)在網(wǎng)絡(luò)上架設(shè)獨(dú)立的服務(wù)器用來(lái)控制后門(mén),而更偏向于租賃云主機(jī)來(lái)保護(hù)自己的信息。所以我們?cè)卺槍?duì)某事件的分析過(guò)程中經(jīng)常會(huì)發(fā)現(xiàn)一個(gè)IP上解析了大量的域名。造成這種情況通常有兩個(gè)原因,一是在不同時(shí)間段由不同用戶解析上來(lái)并且被PDNS傳感器記錄到,二是上文提到的被安全廠商接管。

    無(wú)論哪種情況都不能單獨(dú)作為攻擊溯源的證據(jù)進(jìn)行事件關(guān)聯(lián),比如第一種,可能五年前的一次攻擊事件中的CC域名解析過(guò)某個(gè)IP,五年后的新事件中又出現(xiàn)解析在此IP的域名,這可能就是攻擊者以“栽贓”為目的的情報(bào)混淆,因?yàn)楹芸赡茉谖迥昵暗墓舯慌吨蠊粽呔蜅売昧诉@些資源,而后來(lái)被其它攻擊者使用。如果沒(méi)考慮到這一層,很可能分析人員就會(huì)被誤導(dǎo),從而得出“XXX組織時(shí)隔五年卷土重來(lái)”的結(jié)論。第二種情況就很明顯了,分析時(shí)會(huì)發(fā)現(xiàn)這個(gè)IP上有多個(gè)惡意域名用于不同的攻擊事件中,并且IP歸屬不是供應(yīng)商的業(yè)務(wù)IP。

    在本次事件中,墨俠團(tuán)隊(duì)對(duì)IP 130.211.96.168進(jìn)行了上述兩點(diǎn)的調(diào)查分析。第一點(diǎn)通過(guò)兩個(gè)域名的PDNS記錄可以看到兩個(gè)域名解析到此IP的時(shí)間基本重合。第二點(diǎn)對(duì)于IP的歸屬,分析人員得到如下信息

    3.png

    可以看到IP的歸屬方為谷歌云計(jì)算,此IP的Hostname后綴顯示為bc.googleusercontent.com,這說(shuō)明這臺(tái)服務(wù)器是谷歌云計(jì)算的業(yè)務(wù)主機(jī)。因?yàn)閎c.googleusercontent.com后綴均屬于谷歌云計(jì)算GCP主機(jī),說(shuō)明此主機(jī)是業(yè)務(wù)主機(jī),供他人租用的。

    4.  總結(jié)

    經(jīng)過(guò)在墨俠團(tuán)隊(duì)的威脅情報(bào)庫(kù)中查詢,域名“worldmilitarynews.org”曾經(jīng)是著名的APT組織APT 28在某次事件中使用的域名。關(guān)于“APT 28”,早是由卡巴斯基披露了其針對(duì)烏克蘭,東歐等國(guó)的攻擊事件,從而出現(xiàn)在公眾的眼前。并且后續(xù)有多家安全廠商證明該組織屬于俄羅斯,并且背后很可能是莫斯科政府。

    因?yàn)榫W(wǎng)絡(luò)資源的交叉利用,所以可以得到結(jié)論,本次事件的主角“BITTER”組織,很可能是受俄羅斯政府資助的一個(gè)實(shí)施APT攻擊的團(tuán)隊(duì)。


    在線咨詢 周一至周五
    09:00-18:00