論高級威脅的本質和攻擊力量化研究

作者：nEINEI、vxjump
原文鏈接：http://www.vxjump.net/files/aptr/aptr.txt

前言

APT（Advanced Persistent Threat）是當下網絡安全防御面臨最大的高級威脅之一。目前最被認可是多層立體的防護解決方案，繼而人們又提出共享威脅情報等方式[1]。這些方法倡導集中現有資源互聯互通，增加攻擊者成本的方式來整體對抗高級威脅。總之，這些是從應對問題的層面提出的防御方法。

本文將從挖掘APT本質的角度出發，歸納推理出一系列關于高級威脅的特性并以此做為安全研究，防御體系設計的指導原則。同時對攻擊能力進行量化研究，形成有序數據，這將對預測APT的發生，了解防御能力的有效性方面給出扎實的實踐基礎。例如，從技術角度看火焰病毒Flame和造成烏克蘭大面積斷電的BlackEnergy哪一個攻擊性更強？如何證明給客戶看防御總是有效果的？攻擊者在未來可能出現的技術走向等等難以明晰但迫切需要解決的問題。

0x01關于一些表象問題

天荊地棘行路難-問題的起點

首先，必須明確APT問題是人為定義的價值判斷而不是事實判斷。

捕獲到攻擊者利用的0Day漏洞算是APT嗎？抓到特種木馬算是APT嗎？通過威脅情報“感知并跟蹤”到敏感事件算不算是APT？諸如此類的混亂不清的根源就是價值判斷缺失。這里的價值判斷是說這個事物是否具有我們要求的某個客體的價值。APT的問題如果不拿到特定的語境中去討論，其結果只能是陷入“到處都是APT”的混亂當中［2］。這里的特定語境就是人為認定的價值判斷條件組合起來的語境。缺失，就是卻少對這些條件的設定及約束，僅從簡單事實開始,以此來推斷事件可歸類到APT當中的結論。

有能力的安全廠商可以自己去定義哪些情況下是APT事件，它已經越過了簡單事實判斷的階段。這一點好轉是從2014年開始的[3]。一些嚴肅的安全廠商在不能完全確信是APT的情況下開始使用Threat Actor或是Target Attack來代替。因為作為一次被發現的攻擊行動，ThreatActor是個適合的稱謂，這避免了關于能不能算得上是高級威脅的似是而非的判斷，但本質是什么的問題就又像踢皮球一樣回到了我們的面前。

很多這方面的技術人員覺得什么是APT根本是個不需要討論的問題，因為大家理解我們網絡空間所發生的APT指的是什么樣的事情。

但實際上，關于這個問題，我們從來都沒有得到一個嚴肅的缺少爭議的概念上的認同[4]，進而也得不到一個認清本質的機會。

為了使我們的問題清晰且可被描述我遵循以下原則的設想：

安全廠商的分析與研究工作都是極其嚴謹認真的
安全廠商發布的APT信息都是真實可靠的
我所研究的APT數據都來源于安全廠商認可的APT信息

此時，你已經知道我所說的的APT是指什么樣的安全事件了。

但在談論到APT時，大眾和技術人員仍然存在一種模糊的認識，似乎高級的漏洞利用技巧，強大的系統底層編程技術，領先的攻擊思路運用，并被掌握在某些“神秘色彩”的組織手中的應用算得上是APT。如果有能力追蹤并公布出這樣的APT組織，那就是高人一籌的了。而對APT的防御則認為就是一種綜合的體系對抗。這其實是過于樂觀的估計了這一問題，無助于認清本質。其實不需要去解釋什么是Advanced ，什么是Persistent，Threat，這就如同拿“字典”去查成語一樣白費功夫。事實上，APT早已不是它所定義時的初始含義[5]。但我們必須要將此問題徹底透徹的解決，否則就不可能認識到我們所面臨的真正問題。

橫看成嶺側成峰-你所談到的APT都是表象

在解決真正的本質問題前，我們有必要回顧一下業界的解決方案。

關于FireEye-高級威脅問題

在防御APT的問題當中，FireEye是一個貢獻很大，值得尊敬的企業。他們發現了很多APT攻擊事件，他們強調0Day漏洞的捕獲能力在APT產品防御中的重要性。這一思想引領了眾多安全企業的產品開發思路，基于虛擬機的自動化行為分析系統隨即成為行業的熱點。在2013到2015年全球出現40個ITW 0Day[6]攻擊事件，FireEye發現了其中的25個ITW 0Day，遙遙領先其它巨頭安全廠商。雖然25個0Day并不等于25個APT事件，但其影響遠不是25個APT事件所能概括的。例如在2013年2月，作為最早發現CVE-2013-0640/0641的FireEye并沒有確定及談到與此漏洞有關的任何APT相關事件，但在其后2個月左右被發現該漏洞可能被MiniDuke APT組織所改進利用，同年4月份在中國臺灣省地區也同樣發現了利用CVE-2013-0640的APT樣本。當非常多的ITW 0Day出現后，很自然的讓人們相信解決0Day漏洞才是APT問題的第一要素。

緊接著windows8.1sp3發布，而后win10的安全特性持續改進，ITW 0Day的利用也出現減少的趨勢。（對攻擊者來說這需要一個適應窗口期去解決類似繞過MemGC，CFG，ACG,EPM等安全機制的問題，所以在2014，2015年風向轉為攻擊相對安全性較弱的AdobeReader/flash/office而不是去對抗IE11,Edge。）但實際上，被挖掘出來的新增APT事件卻持續增多[7]。所以，0Day漏洞和APT問題并無直接強關聯性，這是第一個層面。第二個層面0Day利用是和攻擊者策略存在一定的關系。不可否認利用熱點政治事件成為APT攻擊中的一個策略[8]，可以利用這樣的事件做進一步釣魚攻擊。顯然對攻擊者來講，何時使用0Day是策略問題，而非其唯一手段。因此0Day漏洞在APT問題中受限于2個層面，系統安全性層面，策略層面，前者越來越難于攻破[9]，后者具有一定的不確定性，所以0Day漏洞的使用只是APT問題的突出表象之一，不具備用來定性APT問題的基礎。當然，FireEye也意識到這個情況，從他收購Mandiant（2014年）,iSHIGHT Partners（2016）時就開始更新了它的防御觀念了。

安全巨頭-高級威脅的挖掘工作

另外的解決方案中以卡巴斯基，賽門鐵克，McAfee，TrendMicro為代表的安全廠商發現了大量的APT事件[10]。這代表了以積累深厚安全檢測經驗為主要能力的廠商如何挖掘APT事件的技術方向。以卡巴斯基為例，強大引擎保證可以挖掘潛在高價值樣本，合理的病毒命名體系保證了樣本關聯的一致性[11]，使得其對樣本關聯挖掘，線索追蹤方面具有得天獨厚的優勢。簡單說，一條高質量的啟發式特征可以掃描出潛在關聯性樣本。當利用啟發式規則命名一個病毒樣本后，更新這條規則后分布在全球的產品將立即告訴你還有哪些地區存在類似的感染情況。例如ProjectSauron APT(發現于2016)[12] ，我編寫出針對導入表加節信息的啟發式規則，對感染x86平臺樣本提取一個啟發式規則(2009年的樣本)，同樣也可以檢測出x64平臺下的ProjectSauron(2012年的樣本)[13]。卡巴斯基使用反病毒模擬器技術檢測該APT樣本具有同樣的效果，病毒名字是：HEUR:Trojan.Multi.Remsec.gen 。

傳統廠商的優勢是可以集中一流的研究人員去挖掘豐富的有效威脅資源，這是在近幾年window ITW 0Day漏洞減少的情況下仍然保持一定速率曝光APT組織的原因之一。但偶然性和滯后性的問題也難以克服。震網Stuxnet被發現不是因為AV/IDS/IPS/FW等設備報警，而是在客戶機器上的不斷的BSOD引起了VBA32研究員的注意，至此才引發多個廠商的接力分析。同時，樣本信息的缺失也將導致錯過重要的APT事件，例如我分析Duqu遇到的問題[14]。目前，事后的分析能力和實時的報警能力是傳統廠商最倚重的基礎，即樣本是APT事件的主要的推動力。2013年以前,絕大多數廠商奉行獨特的高水平樣本是APT的主要性質，目前開始接受低技術水平的樣本也能體現出APT，例如Patchwork APT(發現2016) [15]。因此惡意樣本所體現出的技術性是APT所浮現出來的外在表象之一，但不是本質屬性。對我們來講，不能認為高度定制化的惡意程序代表了APT。但挖掘這類利用工具及其相關性是挖掘APT問題的一個重要方面，即關于惡意樣本具有高級威脅導向性的研究。

新興安全-CrowdStrike的思路

以CrowdStrike為代表的一類新興安全公司,體現了貫徹Kill Chain的防御思路,但技術方面并不是它的主要特點。從一開始CrowdStrike就對地緣政治問題，經濟活動，熱點事件給予足夠的關心。在命名EMISSARY PANDA APT(發現于2013)[16]時，技術圈開始還是略帶嘲諷的態度看待，同Mandiant的APT1報告中詳盡的技術細節相比，CrowdStrike的報告突出的是事件以及自身情報系統的作用。這一點在其之后的2014/2015年度安全報告中有了更具體的體現，也就說漏洞，樣本都是處于從屬地位的，事件背后的含義才是定性APT的關鍵因素。0Day或是N-day,高質量或是低質量的樣本都不重要，發現這樣的事件才是重要的，一切防御都圍繞在這一個框架下進行。

這似乎比前2種情況有了更深一步的思考。但顯然，對任何一個組織來說，事件的確認上是存在很大的差異的。受攻擊者信息是否搜集完整，逆向分析程度是否足夠深入，關聯性是否可信，直接證據，間接證據是否充足，事件所持立場因素都會影響最后的結論判斷。例如Gauss APT(發現于2012)[17]的發現，重要在于對Stuxnet,Duqu,Flame對持續跟蹤，經過關聯研究發現了Gauss APT，如果沒有前面的研究，即便漏洞，樣本都放在分析人員面前也未必可以完全確認是否屬于高級威脅，而Gauss被發現前隱藏的很好，沒有產生“任何事件”。因此，事件是活躍APT的表象之一，未活躍的是我們看不見的但仍然存在威脅。

總體上講，這就是目前階段針對APT防御的三種主要思考方式，另外還有從流量異常角度，云端虛擬機分析，大數據分析角度，情報分析角度，態勢感知等角度的思考方法。但就目前的防御措施來看，以上的這些情況歸納起來就是對APT存在的各種表象問題進行識別的方法。

0x02 真正問題的內涵

為有源頭活水來 - APT本質是什么

很多人會說“即便這些都是表象，但也代表了APT問題的事實，也是有意義的”。這樣的判斷并不完全錯誤，但如果忽略影響表象的內在動因的分析，將犯就事論事的錯誤。讓我們先設想一個熟悉的攻擊場景，攻擊者要完成下面7個步驟，

收集目標企業核心人員信息
開發一個Office/Adobe Reader 0Day漏洞利用文檔
發生一封偽造內部郵件
拿到執行權限橫向滲透
注冊表中隱藏完成持久化感染
連接遠端C&C
文件竊取完畢

APT組織考慮到目標人物的安全意識很強，因此針對2，5，6點開發了最新的技術來繞過所有的已知的安全防護措施，整個任務實施時間約半年時間。這是你聽到的最多的關于APT的故事，原型也是一個真實的APT案例[18]。

下面我們把APT組織從描述中抹去。替換為分布在互聯網上擅長不同領域的程序開發人員，僅通過論壇交流技術，相互間并不十分熟識。他們共同認識的X某人組合了這人開發的技術要素,完成了上面7個步驟,成功的入侵了該企業核心人員的計算機。那么請問，這是否認屬于APT呢？似乎有些不容易回答。

我們再把文中提到的核心人員替換為實習人員。此時，我們已經很難肯定這和APT有什么關系了。雖然這一事件包括了一系列的外在表象，0Day漏洞，定制化樣本，攻擊事件的產生。但無具體目的的一群人攻擊了毫無關系的一個人，把這樣的事情和APT聯系起來總是牽強。但是，這樣的事情在網絡空間里面層出不窮，顯然失去了組織方與攻擊的目標后再去談論APT問題是缺乏理解的表現。把這樣的設想當作例子雖然不夠嚴謹，但實際情況是，我們總能看到這樣缺少攻擊目的不完整的話題被討論來討論去。混亂的原因就是表象的爭論并不能代表其理解了本質進而做出合理的判斷。

再看本質問題 - APT是怎樣存在的

下面徹底來審視一下我們的問題。高級威脅的本質是什么，換句話說代表高級威脅的APT它的本質是什么。不妨將APT本質想象成一個黑盒子，它外在的表象是0Day漏洞，定制化樣本，上游投毒，感染固件，網絡攻擊事件，信息竊取，斷電攻擊...等等層出不窮的事件表象。

＋－－－－－＋－－－\                             { 0Day 漏洞 }
｜                  ｜－－－－－－－－> 表象 { 定制化樣本 }
｜ APT本質｜－－－－－－－－>          { 層出不窮的事件 }
｜                  ｜          ...                              { ... }
＋－－－－－－－－－/

顯然,這個本質里面要能演化出如此多的表象需要包括：｛人，組織，目標，決策，操作步驟，方法，瀏覽器研究/內核安全/郵件安全/移動安全/IoT研究，網絡研究/固件/安全設備逆向，具體代碼編寫，模塊測試，...｝

且需要有強有力的組織的去調度協調這一系列步驟流程。

但歸納總結起來就只有兩點：
1. 人，組織，目的，決策，操作步驟，方法，抽象起來就是攻擊者意向的存在。
2. 后面這些都是具體資源的合集，抽象起來就是攻擊素材的存在。

只要攻擊者意向存在，即便是潭死水也可以不斷地創造出不同的表象來進攻網絡空間。同時攻擊素材越多攻擊能力就會越強大，例如由Shadow Broker曝光的Equation APT組織用到的攻擊模塊數量，質量上遠高于其它系列的APT組織[19]。其攻擊能力明顯處于金字塔尖上。

讓我們再進一步思考，是否有必要強調APT攻擊意向及APT素材的特殊性？其實這是區別于非APT攻擊的一個最重要性質。沒有APT攻擊者意向就是缺乏明確的目的，沒有攻擊素材的特殊性(充足的“網絡軍火庫彈藥”)就不能達成APT的目的，二者缺一不可。再擴展一下，普通攻擊其實也包括攻擊意向和攻擊素材。但這里的“個人的攻擊意向”要遠遠弱于APT攻擊意向，APT攻擊意向是由強大的組織來決定的，且不以個人意志為轉移，這是APT攻擊具有長期性的一個體現。另外普通攻擊素材也是良莠不齊，取決于攻擊者群體及個人的知識技能儲備情況。

至此，我們已經可以明確APT和普通攻擊并無本質區別，都是由攻擊意向和攻擊素材決定的，APT是普通攻擊的加強演化版本。所以就防御思想而言，并不存在一個我們苦苦追求，卻仍然沒有被發現的超一流APT檢測方案存在。我們豐富現有的資源，偵測更多的APT表象是最踏實的做法。

從對抗角度看，這種攻擊者的APT意向是我們當前無法主動消除的，也就是說對方什么時候出拳不由我們決定，因此，防御的滯后性是先天決定的，它不是技術層面可以解決的，但APT意向可以被引導弱化或是加強。有人喜歡討論殺毒軟件特征碼技術具有滯后性，因此認為動態行為分析，或者引入人工智能是解決APT的最佳方案，這也是看不到這個層面的問題所導致的片面認識。但應當指出，開發強大的防御體系具有威懾效果，它會使APT攻擊者在決策時陷入困難并可能選擇防御較弱的目標作為優先被攻擊對象。

另外APT素材具有相當復雜的多樣性，這是由防御者能力來激發的。被攻擊目標的難易程度，攻擊策略的選擇都將導致APT素材的不斷變化。需要仔細研究的案例就是BlackEnergy APT(2015被發現)[21],這起APT事件的幕后操縱者Sandworm團隊技術能力出眾[22]，但整個攻擊過程沒有使用一個0Day漏洞（面對如此復雜的電力系統攻擊場景，僅使用帶宏的xls文檔就撕開來一個進攻的口子。相比較Stuxnet v1.2攜帶6個漏洞5個0Day[23]的氣勢洶洶，勢在必得而言，Sandworm Team這次攻擊顯得如此的閑庭信步，夠用且不浪費，如此精準的控制細思極恐）可以肯定，前期準備的素材一定是非常多的。APT素材只會越來越多，也會繼續出現在我們常規觀念不易察覺的地方，不同類型廠商之間的協作分析越來越有必要。

現在，我們可以明晰APT這一高級威脅方面的術語所包含的真正進一步含義，即攻擊組織在APT素材的協助下由意向轉變為目的意圖的過程就是APT事件，這個事件的發生過程是具有持續性的。

定量研究APT高級威脅

前面我們從定性的角度討論的APT的本質，為了便于更細致的討論，我將從定量的角度分析APT本質和攻擊意向，攻擊素材的關系。

攻擊意向記作集合E E = {e | 元素e具有攻擊意向屬性} －－－－ 2.1

攻擊素材記作集合M M = {m| 元素m具有攻擊素材屬性 } －－－－2.2

E和M一起確定了APT系統,記作A， A = ，A代表了APT的本質的組成集合

E = {e | e1 , e2 , e3 .... en} // e1~ n 代表了不同目標的攻擊意向，針對電力的／能源的／金融的／政府的／制造政治事件...

M = {m | m1 , m2 , m3 ... mn} // m1 ~ n 代表了不同的攻擊素材，針對瀏覽器／系統內核／移動／IoT研究／固件／代碼逆向／代碼開發 ....

APT所產生的表象記作集合

P = {p | 元素p是具有某種APT表象的屬性} －－－－2.5

激活函數記作集合 F = {f | 元素f是具有觸發具體APT事件的動力因素屬性} －－－－2.6 例如，f1 ＝政治事件，f2 ＝經貿活動，f3 ＝軍事行動， f4 ＝外交變化，f5 ＝長期潛伏，f6 ＝緊急行動,f7 = 經濟利益 ...

同樣，表象p和攻擊意向e，攻擊素材m在激活函數的f的作用下有如關系 p = f(e，m) －－－－2.7 1)在激活函數促進下攻擊素材m可以轉換產生為m‘，m’是m的擴展應用，m' ∈ M, 記作 m ＝> m' －－－－2.4 2)在激活函數的促進下攻擊意向e可以轉換產生為e‘，e’是e的增強或是減弱，e' ∈ E, 記作 e ＝> e' －－－－2.3

因此，表象P是APT本質集合的一個活動投影 A => a' －－－－2.8 // A的活動產生a' a' ∈ P －－－－2.9 // a'屬于表象P集合

對比Stuxnet震網事件，2006年伊朗宣布恢復納坦滋試驗廠鈾濃縮活動這一事件，對攻擊者而言，起到了激活函數F的作用,進而由攻擊意向e轉化為e'(e'是e的加強，決定使用網絡武器攻擊的意圖)和攻擊素材m(ORNL部門開始著手研究破壞離心機項目)的組合下由激活函數F產生了表象p 即｛離心機被破壞，使用了5個0Day漏洞，攻擊工控設備的樣本...｝。

在分析出APT本質后，我們可以看到，最終影響表象P的因素是：

激活函數F
攻擊意向e
攻擊素材m三方面的作用

激活函數F這一動力因素具有兩個方面影響，一方面影響內部因素e,m，使其轉化為e‘,m’（加強或減弱攻擊意向，增加攻擊素材），一方面激活f（e‘，m’）產生外部表象p。從防御角度看，激活函數這一因素最復雜，因為我們無法簡單根據一個政策，事件，經濟活動，外交變化，所持立場等角度判斷出F是否對本質A產生確切的影響。這需要對F激活函數有具體的深入研究才能得出相應的一些推斷。不妨簡化一下這個問題，假設e，m是可以被得知且明確認定情況下，F產生了一個激活函數，例如 f ＝外交變化，那么攻擊者此時最想做的是什呢？站在攻擊者對立場可以設想一下，具體哪些電力系統，航空系統，政府部門是否會受到攻擊，潛伏的APT是否會因此被激活？可否做到提前預警？需要采取哪些措施？等等問題都是值得我們深入思考的事情。

從理論上講，攻擊意向E不可能被消除，但我們可以利用激活函數F產生一些偽造的動力因素f’，使得e ＝> e' ;e'是弱化的e，使得其它激活函數不能激發f(e‘，m)，這樣可以暫時避免或減少目標系統遭受APT攻擊的可能性。當下，尚未對激活函數有具體的研究結論時，這樣的操作有相當大的難度，但在理論上存在這樣的可能。

這里需要說明一下，為什么是攻擊意向，而不是意圖或是意志呢？因為意圖或意志是明確的具有不可轉變的含義。意向的不斷增強會轉化為明確的意圖或持續的堅強的意志。意向的減弱會轉變為新的意圖。換句話說，攻擊意圖或是意志是意向的最終表象，是我們進行APT事件分析、樣本分析后，所最終肯定的那部分內容。但最本質的部分是攻擊者的意向的存在，在攻擊素材的配合下，所轉化為確定的攻擊意圖和得手后所呈現的最后結果。

同樣,攻擊素材M也不可能被消除，M只會變的越來越多。M演化的速度與整體網絡環境及目標系統的防御難度成正比關系。即網絡環境越復雜，目標系統入侵難度越大，那么攻擊素材M就會越多。顯然，攻擊者的強大優勢體現在攻擊素材的存量遠遠高于防御者掌握的表象即 M >>> P .也就是安全研究者提出的“上帝視角攻擊”，可以對比看一下方程式／CIA被曝光的攻擊包就是這個含義［24］。對此，我們可以偽造一些終端主機／服務器,并暴漏一些安全問題，誘使攻擊者選擇已有的攻擊素材M,消減攻擊者對目標系統更新攻擊素材M的速度。

綜上，從整體上來看各國之間網絡戰的條件已然形成[25]。因此，APT集合會不斷產生表象P，我們未來面對的APT攻擊只會越來越具有復雜指向性，不只是單純的技術高級而是攻擊者與被攻擊者，目的與意圖這些約束關系之間的組成變化。所以就防御而言，梳理各類事件信息形成激活函數模版并在特定場景下進行APT推測具有很深刻的理論意義，我們絕對不會真正知道未來情況如何變化，這堪比預測地震一樣困難，確定激活函數是為了弄清其意義，評估接下來發生的可能性。同時對攻擊素材方面要擴大認知層面，盡可能多的搜集和整理可實戰的新的攻擊思路和方法，對防守方來說囊括的攻擊素材越多，未來檢測出的表象P就會越多，效果就會越好，威懾能力也越強。客戶對威脅情報的質量要求遠遠高于數量要求，廠商簡單的積累過往的APT攻擊素材對高一階的APT攻擊起不到任何威懾的作用。

0x03 有效方法的提出

紙上得來終覺淺－提出問題

從2010開始至今，APT問題層出不窮，不斷刷新安全研究人員對其理解程度的認知。APT具有天然復雜性是其一，但根本原因在于缺少梳理歸納APT事件合理方法。我們只看到發現APT事件－>曝光－>更新產品數據->繼續曝光->繼續更新... 這樣的循環模式。雖然在不斷的實踐中積累了寶貴經驗。但這樣的經驗顯然不能使我們自信的面對未來的威脅，因為這樣的經驗不能準確的，系統的刻畫及表達出未來威脅的可能信息，對未來發生的情況我們所知甚少，驚嘆甚多。2010年Stuxnet出現我們驚嘆，2012年Flame出現我們驚嘆，2015Equation出現我們還是驚嘆。

在上一節的關于本質討論中我們已經知道，目前我們能夠干預激活函數的可能性很小，攻擊意向也不可能消除，只剩下對攻擊素材的研究了。換句話說能不能在激活函數F,攻擊意志E一定的條件下，通過對表象信息的研究獲得深入的知識，刻畫當前，預測未來的可能威脅呢？也就是我們要尋找出歸納APT事件的方法，讓APT事件變得有序，可在一定程度上可以被把握，被評估，被預測。

Stuxnet是APT事件中最佳的分析對象,它包含了最少爭議的事實，明確的激活函數，明確的攻擊意向，明確的攻擊素材。為此我們需要仔細研究Stuxnt的方方面面，但在汗牛充棟的資料當中尋找我們需要的細節，沒有其它的捷徑可走，不斷的調試和逆向分析是最可靠的知識來源，我選擇從此入手，尋找我們能準確的刻畫威脅信息的方法。

Stuxnet逆向分析

分析Stuxnet是非常困難的事情，在那幾年當中，即便把所有精力投入，我也沒有能力把Stuxnet完全的分析完畢，受知識領域限制尤其工業工控部分，另外對攻擊者操作過程中信息的丟失，以及對某些深入問題的研究程度都將影響最終的分析結果。但這仍然是極其有意義的事情，沒有這些繁瑣的逆向調試過程就不能真正的深刻認識到問題的復雜，它時刻提醒你，擺在眼前的可不是什么小角色，它是網絡武器不要放過任何細節。下面把我自己之前的一些分析放在附錄中供大家參考（注：這不是完整的技術分析報告,僅是分析時的技術點記錄）。

《附錄一：主要感染模塊~WTR4132.tmp的逆向分析》
《附錄二：主要感染模塊~WTR4132.tmp攻擊載荷部分的逆向分析》
《附錄三：通過lnk漏洞加載的～WTR4141.tmp的逆向分析》
《附錄四：內核rootkit-MRXNet.sys的逆向分析》
《附錄五：關于內核提權漏洞CVE-2010-2743的分析與利用》
《附錄六：關于Windows Shell遠程代碼執行漏洞CVE-2010-2568的分析與利用》
《附錄七：關于打印機遠程任意代碼執行漏洞CVE-2010-2729的分析與利用》
《附錄八：關于Windows 計劃任務導致內核提權漏洞CVE-2010-3338的分析與利用》
《附錄九：ITW 0Day：LNK遠程代碼執行漏洞（CVE-2017-8464）的簡要分析》
《附錄十：Symantec賽門鐵殼通報的Stuxnet相關信息摘要》
附錄的技術詳情見：http://vxjump.net/files/a_page/7/aptr.htm
未完待續...

整體分析下來可以得知，Stuxnet稱得上是精巧且以極其復雜而著稱，攻擊者能夠一蹴而就的完成攻擊，顯然是經過長久以來的默契配合才能有如此效果的。但在分析中我也發現了一些問題，首先精心策劃數年，價值上百萬美元的攻擊武器先是被一個名不見經傳的白俄羅斯安全公司VBA32發現（行業里面的人會對VBA32的啟發式技術有很大的好感，但行業外知名度不高），又被Symantec幾個不太懂工控PLC的聰明的加州程序員發現了新問題并模擬出了結果，最后由Ralph等3個人組成的研究團隊的德國小公司揭示出了攻擊目的[26]。

這看上去有點不可思議？其實一點都不，研究Stuxnet的樣本可以看到，代碼雖然精巧，但所使用的技術絕大部分并沒有超越常規的技術理解范圍，只要持續的投入分析，絕大部分信息是可以被破解出來的。Stuxnet也要躲避殺毒軟件的，如果發現存在殺軟的機器則退出監控。攻擊過程中漏洞使用量非常大，這一點令人印像深刻，5個windows漏洞+1針對SIMATIC WinCC 漏洞[27]，其中4個windows 0Day漏洞中涉及到的打印機漏洞和lnk漏洞在前些年的hackin9雜志以及銀行盜竊病毒zlob(也就是后來被確認用2個0Day漏洞的fanny,Equation組織中的另一款工具)中都有使用出現。利用2個被盜用的合法的數字簽名是讓人吃驚的，它否定了我們之前的安全假設，Duqu攻擊者目的被破解后，人們因數字證書所建立的信任關系開始動搖了。

最為困難的事情是對攻擊者的意圖的破解,但研究人員最終還是通過這些樣本揭示公眾對Stuxnet的疑問。通過模擬分析來判斷攻擊者的意圖是針對特定的西門子的S7-315／417型PLC設備，繼而靠變頻器的設備ID分析出了針對315型號代碼意圖是修改變頻器的工作頻率，通過不間斷的高低頻的變換使得離心機的頻率超出正常的范圍，在多輪循環之后最終將軸承磨損殆盡，造成過早的機器損害。至此，從樣本分析到最終攻擊者意圖的顯現都讓人驚訝不已，因為直到3年后發現Stuxnet0.5時，研究員人員才確定為什么當初針對417型的攻擊代碼是缺失不全的，以及為什么Stuxnet0.5中包含完整的417型攻擊代碼而后被舍棄。所謂的有組織，國家力量的背后支持，持續性的，高級攻擊技術其每一項在震網的案例中都被體現的淋漓盡致。

構建高級威脅評估模型

坦率的講，雖然我分析過很多的APT組織，但多數都是技術普通的攻擊團體，真正稱得上高級威脅并不是太多，而從技術角度來看，高級威脅應該具有下面的特點，

使用0Day攻擊，這一點幾乎是必須的條件
支持各種網絡協議上的多個隱蔽通信通道
不同尋常的持久化技術，借助于操作系統的某些不被人知的技術
惡意程序模塊只能存在于內存中而不會觸及磁盤，造成取證困難
高難度復雜技術的實現，其技術門檻的高度僅限于該組織獨有
未被發現感染媒介，也就是最初的感染向量到目前為止也不清楚
已經破壞了多個國家/地區的多個政府組織
在被發現前已經隱藏潛伏多年，而造成的損失以無從評估

當通盤分析和考量了Stuxnet的進攻方式后，就可以直觀自然地認識到漏洞,攻擊技術,使用方式都只是影響高級威脅到關鍵要素，而要把握住這樣的攻擊能力，唯有對攻擊目標的整體衡量才會對高級威脅認識方面的困惑慢慢變得減少。漏洞是攻擊者采用的手段之一，它只是預備漏洞存儲庫中的一例，技術的復雜與否只因目標而定，同樣體系下產生的Stuxnet和Duqu顯然不同，攻擊能力高低不等，但卻同樣是高級威脅。因此我采用最小閉環原則來進行評估，即形成一次攻擊所要求的最小數據集合，攻擊量化的數據取自攻擊者實施當前攻擊中成功所需的模塊代碼數量。因為對于網絡攻擊技術而言，技術人員很可能拿不到第一時間的入侵數據，現實中的第一步感染操作是如何進行的可能便無從得知，我們只能取得當前可以被認為是第一個步驟的數據進行量化評估。在此之后下載及后續能力的更新則不完全算是初始攻擊能力的體現。

所以，針對Stuxnet的量化文件包括～WTR4141.tmp，～WTR4132.tmp，Copy of Shortcut to.lnk 3個文件，因為它們能夠構成一個最小的攻擊組合。其他產生的衍生文件則不是攻擊能力評估的對象，下面給出攻擊能力量化的一些原則。

攻擊體現在對攻擊產生重要影響的技術與代碼總量之間比例的考慮，相當于使用一個0Day漏洞產生價值趨向于編寫1296k（即a=3；s=1；m=1；p=1；x=5；的情況下）的代碼含量的程序。這個比例是兼顧考察Stuxnet與其他攻擊案例的差異不至于過大，同時也為了區分使用0Day的案例與其他沒有使用0Day的案例的協調關系。

對于需要交互才能完成的利用給予降低攻擊能力的評價，例如直接發送偽造為word，pdf文檔的exe文件等方式，這樣方式作為高級威脅雖然也會出現在個別組織的攻擊事件當中，但對于高級威脅的攻擊能力的評估上要予以降低分數的考量。

綜合了各方面的因素與實際的反復測量，下面給出一種評估模型的檢測公式：

攻擊能力AT = (a + s + m + p) ^ (k) * (1 + x)^ 2 + c －－－－－－－－ 3.1
c = 代碼量衡量值，
如果a >= 3,時， c = 最小閉合的文件大小 / 1024，
如果a = 2時， c = 最小閉合文件大小 / 1024 * 6
如果a = 1時， c = 最小閉合文件大小 / 1024 * 8

其中，k是攻擊力系數，k = {k| k 屬于2,3,4}
2 = 正常安全認知理解范圍(通常我們所見的APT與一般性攻擊都屬于這個范圍) ；
3 = 超出安全認知范圍(典型的如，Stuxnet，Flame級別的攻擊案例); 4 = 完全不可想象的攻擊方式(目前還未遇見這樣的案例)

a是攻擊自動化情況， a = {a | a 屬于，1 = 多步驟交互，2 = 少交互，3 = 無交互 } ，多步驟交互是指攻擊者需要操縱多個步驟，引導目標來運行惡意代碼的情況。

少交互是指類似運行宏病毒這樣的方式，至少需要目標操作一個確認步驟后才能運行惡意代碼。無交互是指利用漏洞，web入侵這樣的攻擊方式，不需要目標參與操作確認，直接即可在目標中運行任意代碼的情況。

s是傳播方式的種類， s = {s| s 屬于，1，2，3...}，通常惡意代碼傳播多數是魚叉式釣魚攻擊，水坑攻擊，社工方式等，在震網中包含兩種傳播方式，u盤傳播和網絡共享傳播，也有像DarkHole那樣利用wifi網絡下的精準傳播，這里需要考量的是攻擊組織使用了幾種傳播方式來制造最初的感染向量。

m是攻擊方法，m = {m|m 屬于1，2，3...} ，就具體攻擊方法而言分類十分繁雜，但過于細致的攻擊方法會導致評估結果在不同APT組織之間造成很大差異，故給出一些經驗上的考核點，供大家參考；大家也可以根據自己的經驗來擴展這里的內容，以下皆是針對攻擊者使用的技術而言，

一類： 1，代碼注入；2，使用來rootkit／bioskit；3，使用了未知編程語言；4，橫移滲透；5，模塊完全ASM編寫；6 利用隱寫方式
二類： 1，特種木馬；2，感染特定人群(例如，regin針對研究數學/密碼學的人群)；3，針對特定文件/設備的利用( 例如，針對韓國Hangul Word Processor HWP文檔)；4，特定目標感染；5，精準傳播
三類： 1，范圍極廣的間諜功能(例如感染藍牙設備)；2，安裝隱蔽的未知功能（例如gauss安裝自定義Palida Narrow字體）；3，僵尸網絡；4，加密網絡or支持多協議
四類： 1，惡意破壞(例如重寫磁盤文件)；2，攻擊安全軟件（例如Duqu2攻擊卡巴斯基）；3，改寫開源軟件；4，反取證技術
五類： 1，高強度破解難度；2，高難度&復雜技術實現（例如，全程ROP編寫，No shellcode實現, 內核執行全內存隱藏運行）
六類： 1，武器集合(即該攻擊組織具有多款特定目標武器)；2，漏洞利用工具包(Lightsout exploit kit ,Nuclear EK)；3，使用邏輯類漏洞利用
七類： 1，特殊持久化隱藏；2，被發現已有三年以上隱藏時間；3，usb特性利用；4，偽造特性（故意將自身包含的與某些知名的APT樣本相似的代碼片段或行為）

p是攻擊目標平臺數量，p = {p|p屬于 1，2，3...} 通常是指windows／linux／android／mac，在震網中包括了windows，wincc 2個平臺。

x是包括漏洞利用，盜用簽名，硬件攻擊等能對安全事件產生重大影響技術的使用數量，其中的詳細分類如下；

完全屬于APT組織的獨有的破解高難度目標的利用技術 ---------- 8級
完全屬于APT組織的獨有漏洞,硬件級別漏洞 ------------------ 6級
完全屬于APT組織的獨有漏洞,軟件產品漏洞 ------------------ 5級
對非個人操作系統的利用及攻擊技術 ------------------------- 5級
完全屬于APT組織的獨有漏洞,web產品漏洞 ------------------- 4級
APT組織與其它組織機構共享漏洞 --------------------------- 4級
盜用數字簽名 --------------------------------------------- 4級
利用方法曝光但尚未修補的漏洞 ---------------------------- 3級
未曾曝光的攻擊手法---------------------------------------- 3級
尚未可知的入侵手段---------------------------------------- 3級
N day的使用 --------------------------------------------- 2級
web方式入侵----------------------------------------------- 2級
SQL注入利用 ---------------------------------------------- 1級
DDOS 攻擊 ------------------------------------------------ 1級
無任何漏洞及其他利用方式---------------------------------- 0級

c是閉環中的代碼總量，以K為單位進行計算，(WTR4141.tmp = 25,720 byte + ～WTR4132.tmp = 517,632byte + Copy of Shortcut to.lnk =4,171 byte）／1024 = 534K

K = 3 (超出安全認知范圍)
a = 3 (無交互)
s = 2 (u盤+網絡共享)
m = 4 (代碼注入+rootkit+高難度&復雜技術實現+特定目標感染)
p = 2 (攻擊2種平臺,WINDOWS + wincc)
x = 30 (攻擊組織獨享,及1day，
其中CVE-2010-2743 = 5,
CVE-2010-2568 = 4,
CVE-2010-2729 = 4,
CVE-2010-3338 = 5,
CVE-2010-2772 = 6,
CVE-2008-4250 = 2,
盜用數字簽名Realtek = 4;

C = (4171+25720+517632)/1024 = 534;

攻擊能力AT = (a + s + m + p)^(k) * (1 + x)^ 2 + c
AT = (3+2+4+2) ^(3) * (1+30)^2 + 534
= 11 ^ 3 * 31 ^ 2 + 534
= 1279091+534
= 1279625

我們規定Stuxnet的攻擊力是1000T，為了計算及表達方便，可以將得到數值*1000，設定1T攻擊力單位 = 1279625,
==> 1279625 * 1000/1279625 = 1000T

注意，該攻擊能力描述的是攻擊者入侵能力，而不是持續造成的打擊或者是造成損失的能力計算，它只是表明攻擊者具有攻破防御體系所具有的技能水平,受攻擊目標的影響，攻擊者會采取的策略也會不同，所以最終的能力體現并不能完全等同于最終事件所造成的影響，二者不是完全等價值的。

該模型建立的目的是以Stuxnet的攻擊能力為基準，準確地描述出其它高級威脅組織相對Stuxnet的能力水平。為了區分一般攻擊同高級威脅差別，以及高級威脅同另外高級威脅之間的差別能夠有很好的區分度，模型做了適當的調整，相對地降低了Stuxnet同這些威脅之間的差別。

0x04解決細節問題

不畏浮云遮望眼 -為什么需要量化APT

目前，眾多高級威脅的出現已經成為了一種常態，但顯然如果繼續以目前的態度對待下去，人們會慢慢減少對這類威脅的敏感性，而不能區分出什么樣的高級威脅是應該得到重點關注的，而其它的所謂高級威脅是需要被退去神秘面紗的。Stuxnet的攻擊能力評估使得我們有了進一步擴展問題的起點，我們可以依照這一方式將這個方法擴展到對所有已經被認可的高級威脅研究中來，這樣會十分清晰的看到我們所處環境及威脅變化的趨勢狀況。

對于量化的過程我們遵從以下一些原則，主要是因為調查取證過程中的信息缺失，以及單純的針對第一階段攻擊能力的量化會導致少量案例的數據偏小不能真實反映攻擊者能力情況，因此做以下技術上的調整：

m是攻擊方法，包括后續攻擊者下載的樣本所具有的能力，后續攻擊樣本本身不計算到c閉環中的代碼總量中，但其使用的特殊技術會被累計到參數m當中。
有些攻擊行動發生在服務端或是利用web入侵方式，這將導致進行量化評估的時候沒有相關數據作為依據，故這樣情況下將會按照經驗值給出相關數據。
有一些組織的攻擊行為是長期反復發生的，一次的樣本取證不能很好的衡量這一類APT的整體能力，故在評估這類問題時，統一采用截止目前為止該攻擊組織最體現攻擊力的行為做為基礎的數據。例如,長期利用誘騙技巧(擴展名反轉)來運行RAT，或者更多使用1Day漏洞，極少使用0Day漏洞的攻擊組織，那么我們選取0Day為主要使用情況來說明該組織的攻擊能力，這也體現了該組織攻擊能力的逐漸提升過程。
我雖然認同同行安全公司所撰報告的初始目的與態度都是嚴肅認真的，但對于有些報告的結論及是否算是高級威脅的結論我并不完全認同，但為了不被遺漏，如有大家廣為討論的案例我這里也加入考量當中。
很多被稱做APT攻擊行動的事件，其實都是可以關聯到某些著名的黑客組織當中，例如OperationDog(CVE-2013-3893),Operation Ephemeral Hydra(CVE-2013-3918),SnowMan(CVE-2014-0322) 三者同源,因此不再單獨評估這樣一次行動所產生的攻擊能力，而是針對該組織的攻擊能力評估。
對于缺失原始攻擊數據，或者是缺少惡意樣本母體文件的情況，我僅能夠根據報告描述的技術內容給出可能復雜程度的估值。
對于包含多起高級威脅攻擊事件的組織評估，原則上需要取所有事件中的最小閉合樣本的平均值來進行估算，但實際上由于相關共享信息的缺失，我這里只能取單例事件的最小閉合樣本進行評估，但就目前的模型而言，對結果的影響可以忽略，近似的認為就是最后的均值結果。
評估本身并不是完全依據樣本的技術細節，而是從整體上來看達到什么操作目的來定義，例如m參數中，高難度/復雜技術實現，即可以是無文件的全內存運行，也可以是磁盤扇區級別的隱藏。但不再繼續深究技術實現的細節或評定哪一種水平更高，這樣會因為牽扯細節過多而導致攻擊能力近似的APT組織出現較大差異。
有一些也被稱做定向攻擊或是高級威脅，例如針對銀行，金融系統的攻擊，由于缺少確認攻擊者的推斷依據，如果按照前面我們提到的關于高級威脅的描述顯然這些事件不能被歸類到你我所知的APT當中，故這些事件除非已經完全的被明確認定，攻擊組織具有明晰攻擊意向，否則不被加入到統計當中。歸因困難是我們要面對的常態問題。
這里的評估更強調的是代碼攻擊能力，但其實還包括大量先進的社會工程學技術的應用，但如果兼顧二者則顯然不夠明晰我們觀念當中對攻擊能力的體現，因此這里關于社工技巧方面技術的考量是沒有被加入的。

受個人資源的限制，這里僅列出了我能夠搜集并且可以獲得相關樣本信息的APT組織或者是攻擊行動所使用的樣本，而對于那些完全得不到任何信息的攻擊組織則沒有收錄，這不是個完整的不遺漏的評估列表，但我仍然會盡我最大的可能去搜集整理，評估，更新。

APT組織名稱	時間	攻擊能力
2010
Aurora	2010/2/10	2.314T
Stuxnet	2010/9/30	1000T
Night Dragon	2011/2/10	0.635T
RSA Hacked	2011/8/4	1.909T
Lurid Downloader	2011/9/22	0.623T
1.php group	2011/12/12	0.351T
Duqu	2011/9/22	104.184T
Nitro	2011/10/31	2.586T
HeartBeat	2012/1/3	1.886T
Luckycat	2012/3/29	0.556T
Ixeshe-APT12	2012/3/25	2.006T
Flame	2012/5/25	930.899T
Gauss	2012/8/9	63.311T
Taidoor	2012/8/18	1.931T
Elderwood	2012/9/6	7.554T
Georbot	2012/9/29	4.159T
Shamoon	2012/11/1	1.762T
RedOctober	2013/1/18	1.757T
APT1	2013/2/19	1.110T
MiniDuke	2013/2/12	4.045T
Safe	2013/3/17	0.667T
Troy	2013/3/20	3.107T
Winnit	2013/4/11	4.123T
Deep panda	2013/6/30	0.609T
NetTraveler	2013/6/4	0.737T
Hiddenlynx	2013/9/17	25.341T
DeputyDog	2013/9/21	3.502T
Icefog	2014/1/14	0.864T
Masked	2014/2/11	38.628T
Saffron Rose	2014/5/13	0.623T
DragonFly	2014/7/4	0.576T
Energetic-bear	2014/7/31	5.818T
Sandworm	2014/10/14	3.569T
Pawn storm	2014/10/22	6.819T
Apt28	2014/10/28	27.977T
Darkhole	2014/11/10	13.761T
Regin	2014/11/24	53.274T
Turla	2014/8/7	83.116T
Desert Falcons	2015/2/17	0.541T
Animal farm	2015/3/6	10.192T
hellsing	2015/4/15	0.243T
Naikon	2015/5/14	0.673T
Oceanlotus	2015/5/29	3.242T
Cozyduke	2015/4/21	5.411T
Duqu2	2015/6/9	101.663T
Wild-Neutron	2015/7/8	15.625T
Potao express	2015/7/30	3.222T
Blue-termite	2015/8/20	0.982T
Lotus Blossom	2015/12/18	2.191T
DustySky	2016/1/7	2.004T
Scarlet Mimic(apt2)	2016/1/24	1.110T
Blackenergy	2016/1/28	7.325T
Transparent Tribe	2016/3/1	0.779T
Lazarus	2016/3/13	11.625T
Platinum	2016/4/12	620.299T
Patchwork	2016/7/7	3.794T
Sphinx	2016/7/21	0.487T
ProjectSauron	2016/8/7	770.281T
Whitebear	2017/8/30	8.462T
BlackOasis	2017/10/6	2.868T
Gaza Cybergang	2017/10/30	0.765T
Sowbug	2017/11/7	0.617T
Apt34	2017/12/7	0.788T
Gravityrat	2018/1/27	0.137T
Dark caracal	2018/1/18	1.786T
Apt37	2018/2/20	3.331T
Slingshot	2018/3/9	24.756T
OlympicDestroyer	2018/3/8	0.345T
LuckyMouse	2018/6/13	1.816T
Vpnfilter	2018/5/23	9.224T

具體詳細信息請查看《附錄十一：APT高級威脅組織攻擊力量化列表》

推測出一些結論

攻擊力排前10名的高級威脅是：

Stuxnet = 1000T；
Flame = 930.899T
ProjectSauron = 770.281T
Platinum = 620.299T
Duqu = 104.184T
Turla = 83.116T
Gauss = 63.311T
Regin = 53.274T
Masked = 38.628T
APT28 = 27.977T
Hiddenlynx = 25.341T

攻擊力排后10名的高級威脅是:

Sowbug = 0.617T
DeepPanda = 0.609T
DragonFly = 0.576
Luckycat = 0.556T
Desert Falcons = 0.541T
Sphinx = 0.487T
1.php group = 0.351T
OlympicDestroyer = 0.345T
Hellsing = 0.243T
Gravityrat = 0.137T

獲得到相關數據后，我們可以做出如下的一些關于未知情況的有意義推斷：

絕大多數常規的APT介于0.35T～4T之間，而高于9T以上則是威脅極高的精英黑客組織的作品。
關于APT3(Operation Clandestine Wolf)，APT5(Leouncia)APT12(也被稱做Etumbot,IXESHE)，APT10(又名CVNX、Stone Panda、MenuPass和POTASSIUM), APT16,APT18(Wekby),APT19(Codoso Team) ,APT29(來自俄羅斯),APT30,APT33(來自伊朗), 可知以上APT組織的攻擊能力應該介于DragonFly APT ～ DeputyDog(APT17) 之間[28]，因為根據攻擊代碼分析及相互組織之間的關聯進行推斷，攻擊能力范圍在 0.609T～ 3.502T。
Platinum攻擊力高達620.299T，但攻擊范圍僅限于東南亞，顯得很不可思議，是否仍然存在Platinum的變種在其它地區，而這僅僅是因為我們還沒發現呢？
使用0Day漏洞攻擊的組織，其攻擊力多數在1.8T以上，而大多數可稱作定向攻擊的水平介于0.1T～1.5T之間。5T~15T的攻擊力是實力出眾的攻擊組織，15T~100T是具有強力國家背景支持的網絡攻擊力量。100T以上的攻擊能力則是具有國家戰略意圖或是網絡戰范疇下需要考量的一股軍事攻擊力量。
依據量化能力的評估可知，大多數的一般性的攻擊事件（廣告欺詐，DDOS攻擊，僵尸網絡，垃圾郵件目標的惡意軟件，游戲盜號，盜取信息）的攻擊力也都在0.1T～2T之間。所以這部分的所謂高級持續性威脅APT是不能說明其技術上的特殊性及其獨到之處的，但同樣也不能否認其具有國家力量支持的特點。
就每一次的攻擊性行動而言，很難說清其具有持續性的意圖，所以當我們談論很多APT時也將這些行動加入其中，有些行動顯然具有持續性的關注，滲透入侵達成必要目的，例如使用社工技巧配合0Day漏洞來達到精準的攻擊投放，但有些所謂的APT演員的行動則不是這樣的情況，更多是散網式的嘗試性的攻擊形式（Advanced Tentative Threat ，ATT），很難說明這樣的攻擊意向有多大，成功的幾率有多高，但這樣的行動每天都在發生，且非常高的頻率，這也可稱為高級嘗試性威脅ATT。
從攻擊力的前30名代表組織來看，美國擁有絕對的頂尖實力處于第一梯隊，以Turla，APT28為代表的俄羅斯處于一流水平的第二梯隊。值得注意的是朝鮮APT組織處于中等偏上的技術水平，這一點反倒并不印證經濟實力等同于網絡攻擊能力。
對以上數據計算平均值s' = 57.47532857 ，計算標準差σ = sqrt(Σ(s-s')^2/n) = 196.0908065 ，所以對應變異系數 σ/s' = 3.4117，該變異系數的值非常高，說明APT組織之間的攻擊能力差異非常之大。對于網絡空間安全而言這是顯而易見的，各國攻擊組織能力差異巨大，經驗上看，排名前20%的APT組織是很難防御的，我們希望能夠監控后80%的攻擊組織是否能維持在一個相對較低的攻擊力水平區間，為了衡量這一情況我們引入一個威脅指數 x = 后80%的攻擊組織的平均攻擊力/9T =3.149894737/9 = 0.34998; 根據以上分析得知，5T以上已經具有非常強的攻擊能力，故計算一個臨界警報值0.556；所以當威脅指數x >> 0.556時，說明整個網絡空間產生的APT攻擊事件對安全防御而言處于危險的告警狀態，接近~1時，則說明絕大多數APT組織的攻擊能力已經大幅度提升，網絡對抗進入到新的階段。

目前APT中的高級的含義，更多是用來區別是否具有國家背景的攻擊組織，而不是從技術角度的高級來認定的，所以很難想象，APT中的高級這個詞竟是被安全公司自己弄丟了本原的含義。從最初的Stuxnet，Flame，Duqu，APT中的“高級”從來沒有被懷疑過，但后續的帶有些賺取眼球的各種分析報告中，無限制的使用，慢慢地讓這個共識失去了最初應該被定義的含義。當然，就APT本身來說也是用來區分網絡戰的含義，它告訴相關人員這不是網絡戰而是一次APT攻擊。但終歸，安全行業不應該犧牲我們研究的準確性來機會主義地促進推廣業務，這會降低行業的技術要求水準。

對高級威脅防御的困惑是，以往針對惡意程序的處理方式都是以時間換空間的，即某一時間點單點受害，獲取其相關信息提取樣本，通過不斷更新在以后的時間當中來保護多點大眾。但APT不給你機會，單點受害就功虧一潰。故防御的二十四字方針是：引入終端，順藤摸瓜，分析入口，關聯進程，沙箱防護，危險還原。

而我們強調攻擊者具有攻擊力的體現，更重要的一個原因是檢驗我們的防御產品，能否做到針對9T以下的完整的防護，而對高于20T以上的攻擊力能否做到預警？

沉舟側畔千帆過 - 最后的問題

從事信息安全工作已經有很多年時間，但APT的定義是最為模糊的一個，它的不夠清晰，不利于我們展開防御。我一直思考研究高級威脅本質是否是一個真問題。目前我確信，至少有3個方面會使我們在安全認識上取得進展：

從最初，我們只關心能否檢測目標樣本，到開始關心攻擊者背后的意圖。從高級威脅概念的被提出，再到給高級威脅的攻擊能力一個清晰的表述上，進而給攻擊能力畫出一個基本的大致界限范圍是我想做的事情。我雖不知未來是否會有超出1000T的攻擊力，因為... 但若有，我也可以有勇氣去直視這一事實。
防御者如何確保具體防御能力有效是存在困惑的，要讓檢測能力，威脅情報，亦或是可感知等具體的概念落地，必須有實效的測量手段來檢驗。改造原有攻擊樣本或是構造新的攻擊能力在2T～30T之間的攻擊組合，來驗證防御體系是否真正有效果，這種方式是最直接的，攻擊能力的量化可以起到對防御的檢驗作用，相比對威脅事件的可感知而言讓防御能力變的看得見，是更為重要的事情。
對攻擊意向的研究將會深刻的影響防御體系設計的最終方向，它將開啟一個全新的安全視角，解決什么樣的因素導致什么企業遭受潛在的多大攻擊力的預測問題，進而動態的進行防御能力的調整。而防御能力更像是場舞臺的腳本劇，它是被精心設計出的針對性的“保衛戰”。

0x06 APT十問

下面這些是研究這個問題過程中產生的一些想法以及看到相關人員對這方面問題的疑問，故一并記下，取其中10個問題回應，僅供大家參考。

1-
Q: 從APT攻擊的表象歸納出本質的理論如何保證其正確性？

A：我認為以表面現象及感受到的事件的數據結果來建立理論是錯誤的，至少是不能因此推導出本因的。正確的情況是，設定的理論決定你能看到什么表象及什么樣的APT問題，APT事件都可以歸納在理論結果當中，本文嘗試建立一個認識高級威脅本質的實踐的理論框架。當一例攻擊事件產生后，它在表象能力上產生的結果就是最后呈現給我們的影響。這個影響與攻擊事件相關的直觀就是經驗性的認定。一個關于APT經驗性的直觀認定在被規定后的對象就是我們所說的APT事件。而我們經驗性的直觀認定被包含在實踐框架所預設的結果當中。

2-
Q：如果APT問題是價值判斷問題，那么價值的標準如何確定？

A：確切的說APT問題是基于價值的綜合判斷，是主觀上對APT素材的認定及攻擊者背后意向的肯定。在這一推理過程中，APT素材是相對容易區分的，包括特殊編寫的工具或是成熟的流行工具的再次利用。攻擊意向的判斷基于兩點，1）時間上的延續性 2）被攻擊者的范圍的設定。時間上的延續性是說是否可以肯定攻擊者在之前的時間范圍內曾發起過攻擊。被攻擊者的范圍的設定是指攻擊者僅僅限于某種類型的目標（能源，石油，銀行...) 而不是限于整體互聯網或局部互聯網內無明確目標的攻擊。

3-
Q：基于Kill Chain的威脅劃分是否有道理，基于這一理論來做APT防御是否可行？

A：Kill Chainc劃分了一個攻擊者所走的路徑，是絕大多數的攻擊路徑。但沒有人能保證攻擊者只走這個路徑。劃分步驟是分解問題，具體落實工作還要到檢測的實體上來，而不是哪一步驟下設置一個檢測點。

4-
Q： APT和普通攻擊的區別是什么？

A： APT和普通攻擊沒有本質區別。從網絡安全產生之初到目前大規模網絡安全事件突起，APT一直都存在，只是我們沒有加以區分。從Stuxnet起人們開始區分這一攻擊方式，到目前能慢慢的接受白象一類也屬于APT攻擊。至此，我們已經能心平氣和的去思考這一常見的網絡攻擊現象。APT是攻擊類事件里面的明星，除此外無任何區別。但我們還是可以劃分出一個邊界來梳理APT情況，以攻擊能力+統計目標來考慮，

重攻擊+重目的 = Stuxnet，Duqu.. ； >30T 以上的攻擊能力
輕攻擊+重目的 = BlackEnergy，Shamoon；5T～10T之間的攻擊能力
輕攻擊+輕目的 = Patchwork，海蓮花，非常多APT都是這一類型,準確說是網絡間諜行動，介于0.1T ～ 4T之間的攻擊能力
重攻擊+輕目的 = 花費很大的資本但卻實現很小的目的這很不現實的。

就此還可以繼續劃分為，武力打擊類，間諜刺探類，信息盜取類，而最初我們僅認為是重攻擊+重目的+武力打擊 => APT （Stuxnet）到目前接受輕攻擊+輕目的+間諜刺探類～= APT (Patchwork ... ) 這就是這個APT這個詞混亂的原因，輕攻擊+輕目的+間諜刺探類 = target attack 更適合。當我們通過對概念加以精確規定后，我們就可以減輕概念帶來的混淆，也使得其他任何想要檢查對比這一概念的人易于判斷我們是否真正明確澄清了該概念的含義。

5-
Q： APT研究和防御的發展以后會有哪些階段？

A：現階段，只有APT表象對于研究者來說才是真實的被給予的體驗，研究者從來沒有也不會超越其體驗之外的APT攻擊事件。確切地說，若APT可被研究，其一切皆是表象。下一個階段將是對攻擊者意向猜解，進而對意向產生的動因進行把握，引導以及轉化攻擊表象的手段。

6-
Q：采用歸納的方式來總結APT的規律，如何保證這是正確的？

A：對于確定性問題，歸納方式是最好的解決方法，但對于APT這樣的問題，不能用明確的概念及定義來描述的問題，歸納本身是不具有絕對說服力的。我們的出發點是演繹方式，我們是在假設激活函數F,攻擊意向E一定的條件下,進行歸納總結的。我研究目標具有多個變量，如果不確定其中之一，是沒有辦法同時討論這兩個變量的。

7-
Q:如何識別更多的APT表象？

A:APT表象問題是外部的，防御系統內部需要有相關的屬性去響應這些外部的表象，換句話說如果系統內部不具有相當多的關于每一例APT案例的屬性分析，那么很難去識別更多的APT問題。APT表象也分為2大類：1）重復性的利用；2）創新出來的新表象。對于1）可以使用過往經驗來解決，對于2）則需要綜合分析判斷，以此來增加防御系統的新知識。

8-
Q：當我們談論APT時更多的是指哪些令人關注的地方？

A：我們談論APT時更多的是概念直觀當中自己所能夠接受理解的高級威脅，但實際的情況是從經驗直觀中所觀察到的情況，這里存在著非常大的概念邊界的模糊差異。我們關注的是這次的APT是不是超越以往的經驗中的案例，并以此來更新自己關于高級威脅的認知。

9-
Q: 如果APT的決定因素僅在于攻擊者意向和攻擊素材，那如何構造出千變萬化的不同形態的攻擊能力與攻擊組織？

A：構成APT的意向，素材不同，APT表象就會不同，同一因素的構成方式或比例不同，APT表象就不同。刺激APT的因素不同，APT表象也會不同。即便刺激因素相同，但如果刺激的強度不同，APT的表象同樣會不同，攻擊組織的技術水平參差不齊，即便攻擊素材與意向相同最終也很難呈現一樣的表象。

10-
Q：對APT的深入研究，最終是否可以取得防御的全面的勝利？

A：不存在任何完美的成就，一切都在創造之中。我們看不到終點，而只看到走向終點的道路。光輝的頂點尚未到達，細致入微的改進還在繼續. - 歌德

0x07 附錄

詳細信息見：http://www.vxjump.net/files/a_page/7/aptr.htm

《附錄一：主要感染模塊~WTR4132.tmp的逆向分析》

《附錄二：主要感染模塊~WTR4132.tmp攻擊載荷部分的逆向分析》

《附錄三：通過lnk漏洞加載的～WTR4141.tmp的逆向分析》

《附錄四：內核rootkit-MRXNet.sys的逆向分析》

《附錄五：關于內核提權漏洞CVE-2010-2743的分析與利用》

《附錄六：關于Windows Shell遠程代碼執行漏洞CVE-2010-2568的分析與利用》

《附錄七：關于打印機遠程任意代碼執行漏洞CVE-2010-2729的分析與利用》

《附錄八：關于Windows 計劃任務導致內核提權漏洞CVE-2010-3338的分析與利用》

《附錄九：ITW 0Day：LNK遠程代碼執行漏洞（CVE-2017-8464）的簡要分析》

《附錄十：Symantec賽門鐵殼通報的Stuxnet相關信息摘要》

《附錄十一：APT高級威脅組織攻擊力量化列表》

//--依據文中提出的高級威脅評估模型進行的相關分析報告

2018-06-13
《LuckyMouse-APT27:攻擊行動評估》
2018-06-13
《VPNFilter:攻擊行動評估》
2018-03-09
《Slingshot APT:攻擊行動評估》
2018-03-08
《OlympicDestroyer:攻擊行動評估》
2018-02-20
《APT37:攻擊行動評估》
2018-01-27
《GravityRAT APT:攻擊行動評估》
2018-01-18
《Dark Caracal APT:攻擊行動評估》
2017-12-07
《Oilrig-APT34:攻擊行動評估》
2017-11-07
《Sowbug APT:攻擊行動評估》
2017-10-30
《Gaza Cybergang APT:攻擊行動評估》
2017-10-06
《BlackOasis APT:攻擊行動評估》
2017-08-30
《WhiteBear APT:攻擊行動評估》
2016-08-07
《ProjectSauron APT:攻擊行動評估》
2016-07-21
《Sphinx APT:攻擊行動評估》
2016-07-07
《PatchWork APT:攻擊行動評估》
2016-04-12
《Platinum APT:攻擊行動評估》
2016-03-13
《Lazarus APT:攻擊行動評估》
2016-03-01
《Transparent Tribe:攻擊行動評估》
2016-01-28
《Black Energy:攻擊行動評估》
2016-01-24
《Scarlet Mimi:攻擊行動評估》
2016-01-07
《DustySky APT:攻擊行動評估》
2015-12-18
《Lotus Blossom:攻擊行動評估》
2015-08-20
《Blue-termite:攻擊行動評估》
2015-07-30 《Potao Express:攻擊行動評估》
2015-07-08
《Wild-Neutron:攻擊行動評估》
2015-06-09
《Duqu2 APT:攻擊行動評估》
2015-05-29
《Oceanlotus-APT32:攻擊行動評估》
2015-05-14
《Naikon APT:攻擊行動評估》
2015-04-21
《CozyDuke APT:攻擊行動評估》
2015-04-15
《Hellsing APT:攻擊行動評估》
2015-03-06
《Animal Farm:攻擊行動評估》
2015-02-17
《Desert Falcons:攻擊行動評估》
2014-12-08
《Turla APT:攻擊行動評估》
2014-11-10
《Regin APT:攻擊行動評估》
2014-11-10
《Darkhole APT:攻擊行動評估》
2014-10-28
《APT28:攻擊行動評估》
2014-10-22
《Pawn Storm:攻擊行動評估》
2014-10-14
《Sandworm Team:攻擊行動評估》
2014-07-04
《Dragonfly:攻擊行動評估》 2014-02-11
《Saffron Rose:攻擊行動評估》
2014-02-11
《Masked APT:攻擊行動評估》
2014-01-14
《Icefog APT:攻擊行動評估》
2013-09-17
《DeputyDog-APT17:攻擊行動評估》
2013-09-17
《Hidden Lynx:APT 攻擊行動評估》
2013-06-30
《Deep Panda:攻擊行動評估》
2013-06-04
《NetTraveler APT:攻擊行動評估》
2013-04-11
《Winnit:攻擊行動評估》
2013-03-20
《Dark Seoul(Operation Troy):攻擊行動評估》
2013-03-17
《Safe APT:攻擊行動評估》
2013-02-19
《APT1:攻擊行動評估》
2013-02-012
《MiniDuke APT:攻擊行動評估》
2013-01-18
《Red October APT:攻擊行動評估》
2012-11-01
《Shamoon APT:攻擊行動評估》
2012-09-29
《Georbot APT:攻擊行動評估》
2012-09-06
《Elderwood APT:攻擊行動評估》
2012-08-18
《Taidoor APT:攻擊行動評估》
2012-08-09
《Gauss:高斯攻擊行動評估》
2012-05-25
《Flame:超級火焰病毒攻擊行動評估》
2012-03-29
《Luckycat APT:攻擊行動評估》
2012-03-22
《IXESHE-APT12:攻擊行動評估》
2012-01-03
《HeartBeat APT:攻擊行動評估》
2011-12-12
《1.php APT group:攻擊行動評估》
2011-10-31
《Nitro APT:攻擊行動評估》
2011-09-22
《Lurid Downloader APT:攻擊行動評估》
2011-09-01
《Duqu:毒區攻擊行動評估》
2011-08-04
《RSA Hacked:攻擊行動評估》
2011-02-10
《Night Dragon:夜龍攻擊行動評估》
2010-09-30
《Stuxnet:震網攻擊行動評估》
2010-02-10
《Aurora:極光攻擊行動評估》

0x08 后記

記得2011年去參加ISF安全會議，武漢大學彭老師談到的APT的相關問題令我印象深刻，之后對此類問題尤其關注，在AVG的工作期間也重點研究高級威脅方面的技術問題，后來在McAfee IPS研究小組則主要以漏洞利用及防御和惡意代碼研究為主要的內容，雖非直接參與這方面的具體工作，但對于高級威脅的相關事件一直都保持著相當的興趣和關注，沒想到這一晃已經有6，7年的時間了。在13，14年關于APT的話題占據了全球各大安全會議的熱門榜單，那個時候我是不敢去討論這個問題，一怕思考的不夠成熟且這個問題非常難談，二是怕有跟風蹭熱點之嫌。

隨著大數據，以及AI應用于安全領域技術的興起，APT終于不再是個熱點話題，我也可以不再惶恐地討論這一問題。遂在15年時，下決心完成這方面的研究工作。16年的春節期間完成了最初的評估模型，也寫下了初稿，中間斷斷續續地補些遺漏的地方。現在，也把相關的這個事情做完了，但關于高級威脅的問題恐怕沒有完結的時間表，只希望借此處拋磚引玉，如果恰好這里談到的問題對您工作有點幫助那將是我的最大愿望，如果完全不認同，那估且當作是個無聊冗長的故事讀讀，但如果您有完整而系統的這方面想法愿意分享，那我將不勝感激，歡迎您能發郵件給我，neineit_AT_gmail.com :)

行文至此，雖輾轉反側，幾經考量，但仍然難免掛一漏萬唯恐貽笑大方。因此，若有錯誤及不當之處還敬請大家諒解與批評指正。

參考引用

[1].https://www.ibm.com/common/ssi/cgi-bin/ssialias?subtype=BK&inafotype=PM&htmlfid=WGM12357USEN&attachment=WGM12357USEN.PDF

https://www-01.ibm.com/common/ssi/cgi-bin/ssialias?htmlfid=WGB03050USEN&

https://media.kaspersky.com/en/business-security/enterprise/TMD_Product_Whitepaper_Customer_0418_EN_GLB.pdf

https://www.symantec.com/zh/cn/products-solutions/families/advantages.jsp?fid=adv-threat-prot

[2].http://www.freebuf.com/articles/system/105892.html

[3].https://securingtomorrow.mcafee.com/mcafee-labs/threat-actors-use-encrypted-office-binary-format-evade-detection/

https://www.fireeye.com/content/dam/fireeye-www/products/pdfs/pf/web/rpt-delta-testing.pdf

https://www.fireeye.com/current-threats/anatomy-of-a-cyber-attack.html

[4].不同安全廠商，工業界，學術界都有各自對高級威脅的理解：

https://www.symantec.com/zh/cn/solutions/cloud-security/defend-against-threats

https://www.secureworks.com/blog/advanced-persistent-threats-apt-a

http://tominfosec.blogspot.com/2010/02/understanding-apt.html

https://www.academia.edu/6309905/Advanced_Persistent_Threat_-_APT

https://www.damballa.com/knowledge/advanced-persistent-threats.php

http://www.usenix.org/event/lisa09/tech/slides/daly.pdf

[5].這個概念被擴大化來看，盡管我不認同被擴展后的含義，但我認可人們口中表達APT時所說的含義只有這個詞最能體現。當然，一些廠商更傾向于這樣的概念擴大化，因為這樣就可以把各種安全產品都打包到APT這個概念里面延長客戶對其的產品的好感與產品生命周期

[6].https://www.fireeye.com/current-threats/recent-zero-day-attacks.html

[7].2015年之后發現的APT事件持續增多：

https://www.bluecoat.com/security-blog/2015-01-20/reversing-inception-apt-malware

https://securelist.com/blog/research/68732/the-great-bank-robbery-the-carbanak-apt/

https://securelist.com/blog/research/68817/the-desert-falcons-targeted-attacks/

http://securelist.com/blog/research/69114/animals-in-the-apt-farm/

https://www.fireeye.com/blog/threat-research/2015/04/apt_30_and_the_mecha.html

http://securelist.com/analysis/publications/69567/the-chronicles-of-the-hellsing-apt-the-empire-strikes-back/

https://www.fireeye.com/blog/threat-research/2015/04/probable_apt28_useo.html

http://securelist.com/blog/69731/the-cozyduke-apt

https://securelist.com/analysis/publications/69953/the-naikon-apt/

https://securelist.com/blog/research/70029/the-naikon-apt-and-the-msnmm-campaigns/

http://www.antiy.net/p/analysis-on-apt-to-be-attack-that-focusing-on-chinas-government-agency/

https://www.fireeye.com/blog/threat-research/2015/06/operation-clandestine-wolf-adobe-flash-zero-day.html

http://blog.dragonthreatlabs.com/2015/07/dtl-06282015-01-apt-on-taiwan-insight.html

http://researchcenter.paloaltonetworks.com/2015/07/apt-group-ups-targets-us-government-with-hacking-team-flash-exploit/

http://www.volexity.com/blog/?p=158

https://www.fireeye.com/blog/threat-research/2015/07/demonstrating_hustle.html

https://www.f-secure.com/weblog/archives/00002822.html

http://go.cybereason.com/rs/996-YZT-709/images/Cybereason-Labs-Analysis-Webmail-Sever-APT.pdf

https://securelist.com/blog/research/72081/satellite-turla-apt-command-and-control-in-the-sky/

[8].https://tools.cisco.com/security/center/viewAlert.x?alertId=39835

https://www.theguardian.com/technology/2014/oct/29/russian-hacker-group-cyber-attacks-apt28

[9].Pwn2Own2015開始獨角獸項目IE11+EMET為攻擊目標，至此Vupen宣布退出，Pwn2Own2017開始引入攻擊VMWARE比賽項目。

https://www.thezdi.com/blog/2017/1/18/pwn2own-returns-for-2017-to-celebrate-10-years-of-exploits

https://threatpost.com/pwn2own-paying-150000-grand-prize-for-microsoft-emet-bypass/104015/

http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Pwn2Own-s-New-Exploit-Unicorn-Prize-Additional-Background-for/ba-p/6357753#.Uu--uvn-OSo

[10].https://securelist.com/blog/research/73440/blackenergy-apt-attacks-in-ukraine-employ-spearphishing-with-word-documents/

https://securelist.com/blog/software/74503/freezer-paper-around-free-meat/

https://securelist.com/analysis/publications/74828/cve-2015-2545-overview-of-current-threats/

http://www.symantec.com/connect/blogs/iran-based-attackers-use-back-door-threats-spy-middle-eastern-targets

https://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/waterbug-attack-group.pdf

http://www.symantec.com/connect/blogs/suckfly-revealing-secret-life-your-code-signing-certificates

http://blog.trendmicro.com/trendlabs-security-intelligence/an-in-depth-look-at-how-pawn-storms-java-zero-day-was-used/

http://newsroom.trendmicro.com/blog/operation-iron-tiger-attackers-shift-east-asia-united-states

http://www.trendmicro.tw/vinfo/us/security/news/cyber-attacks/rocket-kitten-continues-attacks-on-middle-east-targets

[11].卡巴斯基的引擎能力包括，高準確性的檢測算法（二段偏移＋校驗值），文件解包模塊，靜態脫殼模塊，obj庫的算法掃描能力＋虛擬機的動態啟發式檢測。相比其它而言，卡巴斯基的病毒命名體系具有相當的準確性及科學性。采用平臺＋家族＋類型＋變種

https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/07190156/The-ProjectSauron-APT_Technical_Analysis_KL.pdf

[13].測試樣本的md5:2A8785BF45F4F03C10CD929BB0685C2D &　4728A97E720C564F6E76D0E22C76BAE5

[14].我在2011年7月就應Virus-lab的國外同事的請求分析過Duqu的一個spy模塊，但當時并不清楚這是什么，2011年10月卡巴斯基公布來Duqu這一信息之后我才發現其中之一的樣本我分析過，因為分析時并沒有母體word文檔包含的內核字體漏洞CVE-2011-3402樣本，我當時并不清楚這單獨的需要輸入參數才能運行的spy模塊代表怎樣的威脅等級。

[15].https://www.cymmetria.com/wp-content/uploads/2016/07/Unveiling-Patchwork.pdf

http://blog.trendmicro.com/trendlabs-security-intelligence/untangling-the-patchwork-cyberespionage-group/

https://researchcenter.paloaltonetworks.com/2018/03/unit42-patchwork-continues-deliver-badnews-indian-subcontinent/

https://www.volexity.com/blog/2018/06/07/patchwork-apt-group-targets-us-think-tanks/

[16.]http://www.slideshare.net/daniel_bilar/crowd-strike-globalthreatreport2013

https://www.secureworks.com/research/threat-group-3390-targets-organizations-for-cyberespionage

[17.]Gauss:https://securelist.com/analysis/publications/36620/gauss-abnormal-distribution/downloads/vlpdfs/kaspersky-lab-gauss.pdf

[18.]http://www.rsa.com/node.aspx?id=3872

[19.]http://www.antiy.com/response/EQUATION_DRUG/EQUATION_DRUG.html

[20.]很多人喜歡討論殺毒軟件特征碼技術落后具有滯后性，以此認為動態行為分析是解決APT的方案，其實不知動態行為一樣可以被隱藏，被繞過監控，一勞永逸的規則與解決方案。

[21.]《烏克蘭電力系統遭受攻擊事件綜合分析報告》

http://www.antiy.com/response/A_Comprehensive_Analysis_Report_on_Ukraine_Power_Grid_Outage/A_Comprehensive_Analysis_Report_on_Ukraine_Power_Grid_Outage.html