截至 2015 年 11 月底,360 威脅情報中心監測到的針對中國境內科研教育、政府機構等組織機構發動 APT 攻擊的境內外黑客組織累計 29 個,其中 15 個 APT 組織曾經被國外安全廠商披露過,另外 14 個為 360 獨立發現并監測到的 APT 組織。
本報告后續內容主要就 360 首先發現并監控到的 APT 組織進行研究分析,其中相關事例主要從 APT-C-00、APT-C-01、APT-C-02、APT-C-05、APT-C-06 和 APT-C-12 這六個典型組織中選取。
圖 1 洛克希德?馬丁公司的“殺傷鏈”模型【1】
為了便于讀者理解,我們主要基于洛克希德?馬丁公司的“殺傷鏈”模型,進一步從 APT組織發起攻擊的成本、 攻擊手法的更新發展和如何適應中國本土環境這三個方面展開研究分析。
首先我們從 APT 組織發動攻擊行動所需成本進行研究,在攻擊成本中我們主要對 APT的載體投遞手段:郵件(魚叉攻擊)和網站(水坑攻擊) ,APT 攻擊中的突防利用手段:已知漏洞和 0day 漏洞,這兩個方面展開研究分析。套用“殺傷鏈”模型,魚叉攻擊、水坑攻擊,已知漏洞、0day 漏洞分別歸屬于載荷投遞(Delivery)和突防利用(Exploitation)這兩個環節,這兩個環節也是完全決定一次攻擊行動成功與否的關鍵。
進一步我們會就 APT 組織的攻擊手法進行分析, 在 “The Pyramid of Pain”【2】 中提出了 TTPs(Tactics, Techniques and Procedures,戰術、技術與步驟) ,在本報告中可以將攻擊手法理解為 TTPs,這也是在研究 APT 組織中金字塔頂尖最難發現的部分。就針對中國攻擊的 APT 組織,我們從武器構建到橫向移動,對 APT 生命周期的每個環節進行剖析。
最后我們會就 APT 組織如何適應中國本土環境展開分析,主要從熟悉目標所屬行業領域、掌握目標作業環境、符合目標習慣偏好這三個方面進行詳細介紹,其中將逐一列舉針對中國的目標群體進行“量身定制”的諸多手法。
我們主要研究針對國內攻擊的APT組織在近一年的活躍情況, 相關時間范圍主要從2014年12月1日至2015年11月30日。
另外報告中某些觀點或結論, 需要結合一些非時間范圍內的歷史數據, 進行對比論證或介紹。例如:第四章中“三、APT 攻擊中的突防利用——漏洞”章節中在介紹 Nday 漏洞,會以 CVE-2012-0158 作為典型案例。
中國是 APT( Advanced Persistent Threats, 高級持續性威脅)攻擊的受害國, 國內多個省、市受到不同程度的影響,其中北京、廣東是重災區,行業上教育科研、政府機構是 APT攻擊的重點關注領域。
截至 2015 年 11 月底, 360 威脅情報中心監測到的針對中國境內科研教育、政府機構等組織單位發動 APT 攻擊的境內外黑客組織累計 29 個,其中 15 個 APT 組織曾經被國外安全廠商披露過,另外 14 個為 360 威脅情報中心首先發現并監測到的 APT 組織,其中包括我們在 2015 年 5 月末發布的海蓮花( OceanLotus) APT 組織【3】。
監測結果顯示,在這 29 個 APT 組織中,針對中國境內目標的攻擊最早可以追溯到 2007年,而最近三個月( 2015 年 9 月以后)內仍然處于活躍狀態的 APT 組織至少有 9 個。統計顯示,僅僅在過去的 12 個月中,這些 APT 組織發動的攻擊行動,至少影響了中國境內超過萬臺電腦,攻擊范圍遍布國內 31 個省級行政區。
另外 2013 年曝光的斯諾登事件,同年 Norman 公布的 HangOver 組織,卡巴斯基在 2014年揭露的 Darkhotel 組織和 2015 曝光的方程式組織( Equation Group) 等,這些國外安全廠商和機構發現的 APT 組織,都直接證明了中國是 APT 攻擊中的主要受害國。
本報告中主要就 360 威脅情報中心首先發現并監測到的 APT 組織展開介紹,進一步相關數據統計和相關攻擊手法, 主要就相關 APT 組織在 2015 年活躍情況進行分析。
以下是 360 威脅情報中心監控到的針對中國攻擊的部分 APT 組織列表,其中 OceanLotus( APT-C-00)、 APT-C-05、 APT-C-06、 APT-C-12 是 360 截獲的 APT 組織及行動。
表1 針對中國攻擊的部分 APT 組織列表
圖2 國內用戶受影響情況(2014年12月-2015年11月)
國內受影響量排名前五的省市是:北京、廣東、浙江、江蘇、福建。除北京以外, 受影響用戶主要分布在沿海相關省市。 受影響量排名最后的五個省市是:西藏、青海、寧夏、新疆、貴州。
注:本報告中用戶數量主要指我們監控到的計算機終端的數量。
從上圖可見,近一年這些我們已知的 APT 組織就攻擊了中國境內上萬臺電腦,平均每月超過千臺電腦受影響。但隨著國外安全廠商的曝光, 360 監測到的整體感染量呈現下降趨勢,原因可能是部分 APT 組織攻擊行動暫停、延遲或終止, 也可能因為手段更加隱秘躲過了 360 的監測。但其他未曝光組織的攻擊勢態并未收斂,且在最近三個月( 2015 年 9 月以后)有小幅上升趨勢。
從近一年的統計來看,針對科研教育機構發起的攻擊次數最多,占到了所有 APT 攻擊總量的 37.4%;其次是政府機構,占 27.8%;能源企業排第三,占 9.1%。其他被攻擊的重要領域還包括軍事系統、工業系統、商業系統、航天系統和交通系統等。
疑似瞄準安全行業
APT-C-00 組織將木馬構造偽裝為 Acunetix Web Vulnerability Scanner ( WVS)7 的破解版。WVS 是一款主流的 WEB 漏洞掃描軟件,相關使用人群主要為網絡安全從業人員或相關研究人員。攻擊組織在選擇偽裝正常程序的時候選擇了 WVS 這款安全軟件,也能反映出該組織針對的目標對該軟件熟悉或感興趣,進一步我們推測針對的目標很有可能是網絡安全從業人員、研究人員或者其他黑客組織。
從針對卡巴基斯的 duqu2.0【4】,可以看出針對安全廠商 APT 組織可能會從被動隱匿逐步過渡到主動出擊。
APT 組織主要目的是竊取目標機器內的情報數據, 一旦攻擊獲得成功,首先會收集目標機器相關基本信息,進一步會大量竊取目標機器上的敏感數據,如果橫向移動達到效果,則是竊取目標網絡其他機器的敏感數據。本節首先介紹基本信息的收集,之后主要就 APT 組織長期竊取敏感數據展開介紹。
(一) 收集基本信息
這里主要是指目標機器一旦被成功植入了相應惡意代碼,一般惡意代碼會自動或者等待C&C 指令,將被感染機器的相關基本信息回傳,相關信息主要包括以下信息:
圖3 竊取的主機基本信息示例( APT-C-05 組織)
攻擊者主要依靠相關基本信息來進行初步篩選, 包括識別目標機器的真偽(即是否為虛擬機或蜜罐),進一步可以判斷目標的重要程度。
另外這里的初步探測并收集目標的基本信息,主要在相應機器被首次攻陷后,而不取決于具體攻擊環節,比如在初始攻擊和進一步橫向移動都會存在相關探測行為。
(二) 竊取敏感數據
APT 組織從中國科研、政府機構等領域竊取了大量敏感數據,對國家安全已造成嚴重的危害。其中 APT-C-05 組織是一個針對中國攻擊的境外 APT 組織,也是我們至今捕獲到針對中國攻擊持續時間最長的一個組織,該組織主要針對中國政府、軍事、科技和教育等重點單位和部門,相關攻擊行動最早可以追溯到 2007,至今還非常活躍。也就是從 2007 年開始APT-C-05 組織進行了持續 8 年的網絡間諜活動。
相關 APT 組織竊取的具體數據內容有很大差異,但均涉及中國科研、政府等領域的敏感數據,其中竊取的敏感數據中以具備文件實體形態的文檔數據為主, 進一步會包括帳號密碼、截圖等,另外針對移動設備的情況在下面會具體介紹。
表2 主要竊取的文件擴展名
上表是竊取的文件類型和具體針對的文件擴展名,不同組織探測竊取的方式不同,如APT-C-05 組織只關注移動存儲設備某一個時間段內的文檔文件,且相關文件名必須包含指定的關鍵字。 而 APT-C-12 組織,則沒有太多限制條件,在指定盤符下的所有文檔文件都會關注,回傳之后再進一步甄別。
APT 組織關注的敏感文檔,除了主流的微軟 Office 文檔, 更關注中國本土的 WPS Office相關文檔,其中 APT-C-05 和 APT-C-12 組織都會關注以“ .wps”擴展名的文檔, 這也是由于WPS Office 辦公軟件的用戶一般分布在國內政府機構或事業單位。
APT 組織長時間潛伏竊取了大量敏感數據是我們可以看到的危害,另外從 APT 組織對目標所屬行業領域的熟悉、對目標作業環境的掌握,以及符合目標習慣偏好,這些適應中國本土化“量身定制”的攻擊行動完全做到有的放矢,則讓我們更是不寒而栗。相關內容我們在“第六章 APT 攻擊為中國本土‘量身定制’”章節會進一步詳細介紹。
針對移動通信設備
在 APT 攻擊中,除了針對傳統 PC 平臺,針對移動平臺的攻擊也越來越多。 如智能手機等移動通信設備,天生有傳統 PC 不具備的資源,如通話記錄、短信信息、地理位置信息等。
表3 Android RAT 竊取相關信息列表( APT-C-01 行動)
上表內手機基本信息進一步包括: 如 imsi,imei,電話號碼,可用內存,屏幕長寬,網卡 mac 地址, SD 卡容量等信息。
一、APT 攻擊的主要入侵方式
圖4 APT 攻擊組織的主要入侵方式
一次 APT 攻擊就像軍事上針對特定目標的定點打擊或間諜滲透, 其中很關鍵的步驟就是入侵過程, 其中分為所謂的載荷投遞與突防利用 。 從上圖內容看, 魚叉式釣魚郵件攻擊和水坑式攻擊屬于載荷投遞的過程, 而漏洞利用就是突防利用的過程。
(一) 載荷投遞的成本
從上圖最頂端是魚叉郵件攻擊,是 APT 攻擊中使用最為頻繁的投遞載體,攻擊者無論是發動一次精良的魚叉郵件攻擊,還是普通的刺探郵件,成本是上圖這四項中最低的。攻擊者只需知道目標郵箱地址即可發動一次攻擊,當然攜帶的攻擊程序有可能是 PE 二進制可執行程序,也可能是漏洞文檔,也可能是一個被作為水坑攻擊的網站 URL。而針對中國的攻擊中大多數都是直接攜帶 PE 二進制可執行程序,這不僅與 APT 組織發動攻擊的成本有關系,而且與被攻擊目標本身的強弱有直接關系。一次 APT 攻擊的成功與否主要取決于 APT 組織針對目標的意圖( Intent)和達到相關意圖的能力( Capability),而不取決于目標本身的強與弱,目標本身的強弱只是決定了 APT 組織采用的攻擊方式。
針對中國的魚叉郵件攻擊主要是攜帶 PE 二進制可執行程序,這一現象也從側面反應出中國相關目標領域的安全防御措施、以及人員的安全意識比較欠缺。
上圖的第二層是水坑式攻擊,發動水坑攻擊較魚叉攻擊,其成本主要高在需要一個目標用戶經常關注的網站的權限。水坑攻擊中的網站我們也可以理解為一個載體,上面可以放置PE 二進制木馬(即需要用戶交互下載安裝執行),也可以放置漏洞文件(即不需要用戶交互直接下載安裝執行)。
(二) 突防利用的成本
上圖最底端的兩層:已知漏洞和 0day 漏洞,漏洞在 APT 組織中是最為耗費成本的,尤其是 0day 漏洞。只有當具備高價值的目標且已知漏洞攻擊在目標環境無效,攻擊者才會啟用 0day 漏洞。而在針對中國的攻擊中,我們更多看到的是 APT 組織選擇如 1day 或 Nday 的已知漏洞,但這并不代表 APT 組織不具備持有 0day 漏洞的能力。在 APT-C-00 和 APT-C-05組織的攻擊中,我們都捕獲到了 0day 漏洞,在 APT-C-05 組織發動的 0day 漏洞攻擊中,只是對特定幾個目標發動了攻擊,且啟用時間很短。
(三) 小結
從對我們已捕獲到的 APT 組織中的, 載荷投遞與突防利用的成本分析,我們可以得出以下幾點結論:
本章繼續會就 APT 攻擊中的主要載荷投遞:郵件和網站,以及 APT 攻擊中的突防利用:漏洞,進一步展開詳細分析。
(一) 魚叉攻擊和水坑攻擊依然是 APT 組織最青睞的入侵方式
魚叉式釣魚郵件攻擊和水坑攻擊都是 APT 攻擊中常用的攻擊手法,主要在 APT 的初始攻擊環節。
上左圖是, 基于第三方資源 APTnotes【5】的數據進行相關統計,可以看出大于一半的 APT攻擊中都采用了魚叉式攻擊。上右圖是針對國內的 APT 攻擊,可以看出針對國內的 APT 攻擊更佳傾向采用魚叉攻擊。另外除了主流的魚叉和水坑攻擊以外,我們還捕獲到基于即時通訊工具、 手機短信和網絡劫持等初始攻擊方式。
魚叉攻擊
圖5 針對科研機構的魚叉郵件( APT-C-05 組織)
APT 組織主要以郵件作為投遞載體,郵件的標題、正文和附件都可能攜帶惡意代碼。在用戶提供的原始郵件中,我們分析得出目前主要的方式是附件是漏洞文檔、附件是二進制可執行程序和正文中包含指向惡意網站的超鏈接這三種,進一步前兩種更為主流。
上圖是攜帶二進制可執行程序, 可執行程序多為“ .exe”和“ .scr”擴展名。 一般這類可執行程序均進行壓縮,以壓縮包形態發送。從我們發現的事件中存在極少數采用壓縮包加密后發送的情況,這種一般通過正文或其他方式將壓縮包密碼提供給目標用戶。
水坑攻擊
表4 APT-C-00 中兩種水坑攻擊
A 方式和 B 方式前提都是需要獲得目標所關注網站的權限,主要區別是 A 方式中惡意代碼直接放置在被入侵的目標網站服務器上,而 B 方式是篡改替換了網站中的超鏈接,指向到攻擊者所控制的第三方網站,也就是惡意代碼沒有放置在被入侵的目標網站上,而是放置在攻擊者所擁有的網站服務器上。
(二) 高成本的載荷投遞: 物理接觸
APT-C-01 組織采用了一種新的攻擊方式,通過物理接觸的方式,在目標網絡環境中部署硬件設備, 通過中間人的方式劫持用戶的網絡流量。攻擊者是通過劫持替換用戶系統中主流軟件( 主要包括 QQ、搜狗輸入法等) 中的更新程序和微軟系統更新程序,達到植入惡意程序的目的。
攻擊者會判斷當更新的目標程序文件擴展名為 exe 可執行文件時,劫持設備會替換正常的更新程序為木馬。其中大多數情況是替換的惡意程序為獨立程序并未捆綁相應正常更新程序, 但在針對某幾種更新程序時,是采用了捆綁的方式,在植入惡意程序的同時也保證了更新程序能正常執行。
圖6 利用硬件設備劫持流程示意圖( APT-C-01 組織)
一般正常程序在更新和執行的過程中并不會有任何提示,更新過程一般不需要用戶操作。另外我們還發現大量正常程序在更新的過程中,并不進行更新程序的簽名校驗、文件校驗等檢查,下載后便會直接執行。
通過中間人劫持的方式來進行攻擊,在著名的火焰病毒中也利用劫持微軟更新來進行傳播【6】,但火焰的高明之處除了劫持微軟更新,還采用 MD5 碰撞構造虛假簽名。
(三) 利用社工對載荷投遞的精心偽裝
自身偽裝
攻擊者除了對魚叉郵件的正文、標題等文字內容精心構造以外,其余大量偽裝構造主要針對附件文件,尤其是二進制可執行程序。
主要從文件名、文件擴展名和文件圖標等方面進行偽裝,具體參看下表所示:
表5 自身偽裝相關具體內容
圖7 RLO 偽裝擴展名( APT-C-05 組織)
圖8 超長文件名和文件夾圖標( APT-C-12 組織)
圖9 超長文件名和 excel 圖標( APT-C-05 組織)
圖10 偽裝 360 軟件版本信息和偽裝微軟系統文件版本信息( APT-C-05 組織)
快捷方式(.lnk)攻擊
利用快捷方式( .lnk)攻擊是除利用漏洞以外使用最多的一種攻擊方式,具體如下:
圖11 快捷方式攻擊樣本截圖( APT-C-02 組織)
圖12 壓縮包解壓后相關文件截圖( APT-C-02 組織)
從相關攻擊事件中來看,這種攻擊方式主要還是以郵件為攻擊前導,附件是壓縮包文件(如上圖,解壓后的文件)。當用戶點擊相關快捷方式圖標( 文檔或文件夾的),會執行“ cmd.exe /c system.ini”,其中 system.ini 是可執行木馬。這類攻擊手法非常具有迷惑性,一般用戶很難區分壓縮包內是否存在惡意可執行程序。
捆綁合法應用程序
APT 組織除了基于 RAT 本身進行自身偽裝以外,還會將 RAT 植入到合法應用程序中,攻擊者會針對不同的目標群體選擇不同的合法應用程序。
表6 捆綁合法應用程序的部分列表
漏洞種類很多,產生漏洞的環節也多。除了針對系統應用程序的漏洞,人員管理也存在漏洞隱患等。攻擊者使用漏洞的主要目的是可以在目標系統進行未授權操作,如:讀寫用戶敏感數據、安裝惡意程序等。
APT 攻擊中利用漏洞主要目的是能達到未授權安裝執行,即本章節主要關注遠程代碼執行漏洞,如攻擊者利用 CVE-2012-0158 漏洞構造一個 RTF 文件格式以“ .doc”擴展名的漏洞文檔,目標用戶當執行該漏洞文檔后則有可能被植入 PE 惡意程序。另外比如我們在“ 網絡劫持:利用硬件設備”章節提到的正常應用進行常態更新時不進行簽名或文件校驗這種問題,我們在本章節不會展開介紹。
另外利用漏洞的目的就是躲避殺毒軟件檢測,如 APT-C-00 組織中利用國內某視頻應用0day 漏洞, 利用該溢出漏洞, 惡意代碼能直接在白進程中執行,所以殺毒軟件不會攔截。
(一) APT 組織具備持有 0day 漏洞的能力
表7 CVE-2014-6352 0day 漏洞( APT-C-05 組織)
CVE-2014-4114 漏洞是 iSIGHT 公司【9】在 2014 年 10 月 14 日發布相關報告,報告其中提到一個 0day 漏洞( CVE-2014-4114)用于俄羅斯相關主要針對北約、歐盟、電信和能源相關領域的網絡間諜活動。微軟也是在 10 月 14 日發布相關安全公告。
而 CVE-2014-6352 是可以認為繞過 CVE-2014-4114 補丁的漏洞,微軟之前的修補方案首先在生成 Inf 和 exe 文件后添加 MakeFileUnsafe 調用,來設置文件 Zone 信息,這樣隨后在漏洞執行 inf 安裝時,會有一個安全提示。而 CVE-2014-6352 漏洞樣本拋棄了使用 inf 來安裝exe,轉而直接執行 exe。因為 Windows XP 以上系統可執行文件的右鍵菜單第二項是以管理員權限執行,這樣導致如果用戶關閉了 uac 會導致沒有任何安全提醒。所以微軟CVE-2014-6352 的補丁是在調用右鍵菜單添加一個安全提示彈窗。
(二) APT 組織更傾向使用 1day 和 Nday
攻擊組織一般都掌握著或多或少的 0day 漏洞,不過考慮到成本問題,他們更傾向使用1day 和 Nday 漏洞展開攻擊。
CVE-2015-0097
圖13 CVE-2015-0097 漏洞執行流程( APT-C-05 組織)
CVE-2015-0097微軟在2015年3月發布補丁,在2015年7月下旬互聯網公開第一個 POC【10】,我們在 8 月初捕獲到 APT-C-05 組織開始使用該漏洞。 漏洞本身是微軟 Office 的一個邏輯漏洞,不需要傳統的漏洞利用流程( 如堆噴,構建 ROP 鏈)。
一個微軟Office文件如果包含有效的html代碼,微軟Office會調用MSScriptControl.ScriptControl.1 控件在本地域去打開 html,導致 html 中的腳本也是在本地域執行,這樣就可以讀寫本地文件,腳本利用 ADODB.Recordset 在本機啟動目錄寫入了一個HTA 文件。導致機器在下次重啟時將執行 HTA 中代碼, HTA 腳本功能負責下載惡意程序到本機執行。
另外比較典型的案例就是, 2013 年 CVE-2013-3906 0day 攻擊【11】出現不久, APT-C-05 組織在 2013 年 11 月中旬也開始使用該漏洞,但使用頻率較低。
CVE-2012-0158
CVE-2012-0158是被 APT組織利用次數最多的一個漏洞,在本報告所分析的 APT組織中,APT-C-00、 APT-C-05、 APT-C-12 組織均使用過該漏洞。實際上,在目前我們對境外 APT 的監測中發現,還有很多其他的 APT 組織也曾經利用過該漏洞。
CVE-2012-0158 是一個影響多個微軟 Office 版本的安全漏洞,利用這個漏洞,遠程攻擊者可以通過誘使用戶打開一個經過特殊構造的.rtf 文件,在用戶系統上執行任意指令,由于漏洞本身的特性利用非常穩定,被廣泛用于執行基于郵件附件的針對性攻擊。此漏洞被公布于 2012 年 4 月,稱為“ Microsoft Visual Basic Windows Common Controls (MSCOMCTL.OCX)遠程代碼執行漏洞”。顯然,改漏洞是一個發動魚叉郵件攻擊的有利武器。攻擊者可以將惡意構造的 Word 后綴的 RTF 文件做為電子郵件的附件發送給攻擊目標,一旦被攻擊者的電腦系統存在這個漏洞,并且打開了附件,那么惡意代碼就可以被釋放并執行,而且很難被發現。
本章就針對中國攻擊的 APT 組織,我們從武器構建到橫向移動,對 APT 生命周期的每個環節進行剖析,詳細介紹攻擊手法不斷演進的過程。
在攻擊目標的選擇上, 不同組織和不同攻擊行動所關注的目標是具備一定共性,但也存在一定差異性,比如我們發現針對中國的 APT 攻擊中,幾乎所有的攻擊行動都會針對政府、科研機構,但到針對具體某單位或個人則有較大差異。
對目標從了解到掌握
發動一起攻擊行動,大部分時間會消耗在偵查跟蹤(即情報收集環節),為了能達到攻擊目的,攻擊者必須盡可能全面的收集到目標的相關情報信息,從而逐步對目標從了解到掌握。
最后 APT 組織會從未知渠道(泄漏庫、傳統地下產業鏈等) 得到目標相關信息。
另外在 APT 攻擊生命周期中,每個環節對目標的認識都是不一樣的,在初始攻擊成功后展開橫向移動,即需要對新的目標的研究分析,在掌握足夠多的情報信息后才能判斷是否展開攻擊,以及如何發動攻擊。
針對供應鏈的攻擊
在偵查跟蹤過程中,攻擊者會對目標的防御措施有一個初步的評估,該評估結果決定了初始攻擊中該采用何種攻擊方法。如果目標本身的防御措施較為完備或者在對目標直接的初始攻擊中未達到預期效果,則攻擊者會采用間接的攻擊方式。
在 APT-C-00 早期攻擊行動中,攻擊者首先攻擊了國內某軟件公司,該公司核心產品主要的客戶是政府機構和企事業單位。攻擊者在攻陷了該公司后,對相關產品安裝和升級程序中植入了后門程序,該公司相關客戶通過網站或者其他途徑下載相關安裝包則會被感染。在我們回溯分析后確定攻擊者真正目標并非某軟件公司,而是國內某政府機構。 這也是典型的針對目標供應鏈的攻擊, 這種攻擊方式在其他 APT 攻擊中也出現過,比如 2014 年公開 Havex木馬【12】,也被稱作蜻蜓( Dragonfly)和活力熊( Energetic Bear)。相關攻擊通過攻擊與目標有密切業務聯系的第三方企業或機構,來進行迂回攻擊。 Havex 木馬的相關攻擊就是通過攻擊工業控制系統( Industrial Control Systems)相關供應商的網站,進一步替換相關軟件安裝包來進行 Havex 木馬的傳播。
RAT( Remote Access Trojan,遠程訪問木馬)的文件格式、文件形態、功能形態、惡意代碼寄宿位置等變化都是比較大的。
其中,文件格式整體趨勢是從 PE 到非 PE 轉變,文件形態也由實體文件逐步轉化為無實體文件。單以常見的 PE 格式而言, RAT 的開發者逐漸將興趣轉移至非 VC 編譯環境,開始越來越多的使用 Delphi、 GCC、 NSIS、 AutoIt 等小眾編譯器或腳本解釋器,從而進一步提升檢測和對抗成本。
從功能形態而言,從早期的單個文件聚合多種功能逐漸演變為功能單一的主、子模塊間互相調用的模式,甚至開始引入“云控”的概念,針對目標環境差異,有針對性的下發特定功能模塊達成不同的目的。
而惡意代碼最終寄宿的位置也從常見的系統目錄逐漸進入到更加難以追蹤的 MBR、 VBR、磁盤固件、 EFI、 BIOS 乃至于移動存儲設備中的隱藏分區中。以方程式 RAT 為例, RAT 開發者使用竊取來的磁盤固件格式文檔,將惡意代碼寫入到磁盤固件中,導致除了磁盤生產商外,沒有任何安全廠商可以實現檢測及惡意代碼提取。
利用公開 RAT 呈現下降趨勢
目前使用公開的 RAT 呈現下降趨勢,公開的 RAT 主要以 Poison Ivy、 ZxShell 和 Gh0st 為主,但基于公開的 RAT,基本都會進行修改添加一些其他輔助功能(如竊取 Outlook、指定文檔擴展名等)。
更傾向自主開發或委托定制
2015 年主流是未知 RAT,其中有明顯組織自行開發的,如 APT-C-05 相關母體結構和加密算法的相似性,其主要功能是竊取指定擴展名文檔并加密分片回傳。 另外就是商業化的問題, 如依托 Cobalt Strike 平臺生成的惡意代碼,另外 APT-C-00 組織使用的 RAT 類型眾多,而且是非公開類型,懷疑不是自行開發,或許是向第三方委托定制開發。
除了已知商業和公開源碼的后門程序以外, 在 APT-C-00、 APT-C-06、 APT-C-12 等組織,針對 win32 平臺的未知 RAT 還有 Fake Tools、 Plutonium、 NL2、 Encryptor、 Cloudrunner 等。這些 RAT 之間差異都較大,單從代碼結構我們很難將這些歸屬為同一組織所使用,其中這些類型大部分都是在同一時期內投入使用,也就是有可能相關 APT 組織在開發這些后門程序有多個團隊或個人獨立開發維護,另外就是從互聯網地下產業鏈購買第三方的,或委托第三方定制開發的。
周期性精確打擊
在常態攻擊中 APT 組織更傾向在工作日(即星期一至星期五)發動攻擊,其中水坑攻擊更傾向在星期一和星期二發動攻擊。另外部分集中攻擊會選擇在一些特殊的時間節點,如某行業會議召開之際,或某單位發布緊急通知等,另外就是一些中國的大型節日,如國慶、春節等展開攻擊。
以 APT-C-00 為例, 由于中國政府和研究機構的工作人員往往有在星期一、二登錄辦公系統查詢重大內部新聞和通知的習慣,所以在一周的前兩天發動水坑攻擊,效果相對更好。另外 APT-C-00 組織發動水坑攻擊持續周期比較短,一般為 3-5 天,而且在這期間也不是一直將惡意代碼放置在被攻陷網站上,在一天內也有選擇時間段進行攻擊。在完成攻擊后,APT-C-00 組織會將篡改的內容刪除或恢復。
圖14 水坑攻擊一周分布( APT-C-00 組織)
魚叉郵件在一周 7 天中,工作日,即星期一至星期五截獲的魚叉攻擊數量較多,而周末截獲的魚叉攻擊數量則往往不及工作日的 1/5, 相關具體攻擊時間是符合中國東八區時區。
圖15 魚叉攻擊一周分布( APT-C-00 組織)
低成本的載荷投遞
在大部分的 APT 攻擊中載荷投遞部分,都涉及到了魚叉郵件與水坑網站兩種形式, 針對中國境內的定向攻擊, 這兩種方式的成本非常低, 在第四章已經做了詳盡的描述, 這里不再贅述。
不過值得關注的是, 載荷投遞也存在其他類似于網絡劫持甚至物理接觸等方式, 由于成本較高, 所以在我們所發現的 APT 攻擊中, 數量較少,不過一旦發生,其背后所隱匿攻擊組織的整體能力也相對較強。
針對Mac OS X操作系統
APT 組織較早就開始關注 Mac OS X 操作系統,比如早期的 Luckycat【13】、Icefog【14】等 APT組織都有針對 Mac OS X 的攻擊。在 APT-C-00 組織浮出水面之前,我們尚未發現有針對 MacOS X 的 APT 攻擊。
我們將 APT-C-00 這類針對 Mac OS X 的木馬命名為 OceanLotus MAC 木馬。下表是 MAC木馬是基本功能:
表8 MAC 木馬功能列表( APT-C-00 組織)
另外 MAC 木馬也具有較強對抗能力,具體包括以下幾個方面:
針對 Android 操作系統
在 APT 攻擊中,除了針對傳統 PC 平臺,針對移動平臺的攻擊也越來越多。如智能手機等移動通信設備,天生有傳統 PC 不具備的資源,如通話記錄、短信信息、地理位置信息等。
將惡意 APK木馬植入 Android系統的方式有很多,其中比較典型就是通過 PC感染 Android手機,我們捕獲到的一起 APT 攻擊中,攻擊者在攻陷了 PC 機器后,進一步會收集感染機 adb信息,并利用 QQ 等軟件的 adb 工具將名為 androidservice.apk 的 Android 木馬文件安裝到被感染機器連接的手機終端中。
竊取的信息主要包括: 錄音、拍照、電話錄音、錄像、通話記錄、通訊錄、短信、 SD卡中文件、手機基本信息、地理位置信息,進一步手機基本信息包括如 imsi, imei,電話號碼,可用內存,屏幕長寬,網卡 mac 地址, SD 卡容量等信息。
另外在 2015 年的 Hacking Team【15】 "軍火庫"泄漏事件中,我們也看到針對中國的一些網絡攻擊,其中就利用 Android 漏洞進行的相關攻擊。
在持續化攻擊對抗中, APT 組織比較難解決的問題之一是開機啟動。因為一旦木馬通過修改注冊表、服務、計劃任務等方式實現自啟動,往往也觸發殺毒軟件的主動防御功能,會給用戶以警覺,并且木馬會很容易進入殺毒軟件的視野。
修改快捷方式
在 APT-C-12 中,釋放的 RAT 首先會修改開始菜單的程序里面的所有快捷方式,指向rundll32,加載起來后門 dll, 同時實現快捷方式的正常功能,所以很難發現異常。
圖16 實現相關功能的惡意批處理腳本部分截圖( APT-C-12 組織)
利用 DLL 劫持
在 Windows操作系統中,可執行文件 EXE在執行過程中,往往需要加載動態鏈接庫 DLL,加載優先順序是:當前目錄、系統目錄、環境變量。在 WindowsXP 操作系統中,并沒有對系統 DLL 加以特殊限制,使得木馬可以在當前可執行 EXE 目錄中偽裝系統 DLL,在可執行文件 EXE 執行過程中,正因加載順序機制,會優先加載當前目錄下同名偽裝的 DLL。(在Windows7 等后期操作系統中,加載系統 DLL 時默認從系統目錄加載,默認情況下無法使用該漏洞)
在 APT-C-01 攻擊中, 攻擊者先偽造一個系統同名的 DLL,提供同樣的輸出表,每個輸出函數轉向真正的系統 DLL。程序調用系統 DLL 時會先調用當前目錄下偽造的 DLL,完成相關功能后,再跳到系統 DLL 同名函數里執行。木馬作者將用于劫持的 DLL 釋放到事先預知的開機會啟動的第三方程序目錄中,實現開機啟動木馬的目的。
表9 第三方程序目錄示例( APT-C-01 組織)
當用戶下次開機或重啟時進入系統時,第三方軟件會自動啟動,但是由于 DLL 劫持漏洞的存在,也就自動加載了木馬。操作系統在執行 EXE 之前,先會初始化 DLL 環境, DLLMain函數會在 EXE 程序 Main 函數執行之前優先被執行。木馬作者正是利用了這點,把惡意代碼編寫到 DLLMain 中,這樣做就能在很大概率上保證木馬比殺毒軟件的 EXE 進程優先執行。而在開機啟動的瞬間,殺毒軟件有可能還沒有完成初始化過程,主動防御和自我保護功能往往還沒有生效。木馬正是利用這短暫的時機,釋放并啟動下一步所需要的另一個驅動級木馬。
無自啟動
卡巴斯基發布的 Duqu2.0 報告中,我們可以看到 Duqu2.0 只存活在內存當中,為了達到其持久性攻擊者選擇長時間運行的服務器。從 Duqu2.0 這個實例,我們不僅僅看到了從單一機器突破到感染整個網絡的過程,另外也體會到攻擊者的自信。
我們發現的如 APT-C-00、 APT-C-05、 APT-C-12 等 APT 組織中,所使用的部分 RAT 也是沒有自啟動功能的,這些 RAT 并非單一的功能模塊,而是完整獨立的后門程序。沒有自啟動,被感染機器在重啟之后,惡意代碼則無法在自動執行,那是這些 APT 組織如同 Duqu2.0 放棄了持久性?還是另有其他途徑可以重新感染?目前我們推測大概有以下幾種可能性:
通信控制(C&C,Command and Control), 也就是攻擊者與 RAT 之間的通信。幾乎所有的 APT 攻擊行動都會有此環節,一般目的是更新惡意代碼本身或配置文件;接受相關控制指令;以及回傳竊取的數據信息等。
傾向動態域名
APT 組織在選擇 C&C 域名的時候,更傾向采用動態域名,且從我們捕獲到針對國內的APT 攻擊行動來看,均采用境外動態域名服務商,其中主要的服務商有: ChangeIP、 DynDNS、No-IP、 Afraid( FreeDNS)、 dnsExit 等
對于攻擊者而言采用動態域名的主要好處是,相關注冊信息不對外公開(即無 whois信息),安全研究人員很難關聯回溯。如果想知道某個動態域名的具體注冊信息,則需要該域名持有者權限才可以在相應動態域名服務商進行查詢。
利用云盤存儲竊取的數據信息
針對國內的 APT 攻擊中, APT-C-02 是采用了 Dropbox, APT-C-05 組織是借助國內某網盤進行竊取數據的回傳。
APT-C-05 網盤版木馬會每隔一小時將竊取的最新數據打包加密后進行回傳, C&C 地址是網盤地址,通過網盤官方提供的 API 進行文件上傳。
利用第三方博客中轉
通過博客或社交網絡( SNS)進行 C&C 指令下發,在 APT 攻擊中不算是一個新手段了,但主要出現在境外的一些攻擊行動中,主要借助 Facebook、 Twitter 等社交網絡。
在國內利用社交網絡進行 C&C 通信的攻擊還是較少。在針對國內的 APT 攻擊中,我們監控到 APT-C-05組織在 2015年 8月開始依托第三方博客作為中轉平臺,進行惡意代碼傳播,這里主要是依托國內第三方某知名博客,攻擊者首先會注冊博客帳號,發表的每篇博客文章會包含 shellcode 形態的惡意代碼, shellcode 是以博文形式存放。
另外在 10 月左右我們發現 APT-C-05 組織已經放棄使用這種方法,轉而使用攻擊者自己所屬的服務器進行惡意代碼的中轉傳輸。
我們在 APT-C-00 組織和 APT-C-12 組織中都發現了橫向移動相關跡象,攻擊者會從受感染機器中選擇部分機器進行橫向移動,一個典型案例就是 APT-C-12 組織中一臺被感染機器被先后植入了數十種不同功能,用于橫向移動的腳本程序或可執行程序
一般首先是偵察和識別網絡拓撲,獲取域計算機信息,獲取當前計算機相關主機信息,另外包括網卡信息、路由信息等;查看遠程計算機服務及狀態。獲取指定 IP 的共享信息,獲取共享目錄。掃描內網機器遠程端口。
另外是進一步的竊取數據資料,主要補充 RAT 原本沒有的功能,相關數據主要偏向文檔數據、帳號密碼和本機環境信息。比如 APT-C-12 組織目的是竊取用戶 Outlook 密碼、桌面截圖等,另外獲取本地安裝軟件信息、磁盤信息等,而 APT-C-00 組織主要是竊取指定敏感文檔數據。
“就地取材”:利用系統本身功能
APT 組織采用“就地取材”的方式利用 Windows 系統自帶命令對受感染目標機器的內部網絡環境進行偵查,下表是 APT-C-12 組織在實際攻擊中使用的部分命令,相關命令多以VBS 和 BAT 腳本交替執行。
表10 相關命令列表( APT-C-12 組織)
下表是 APT-C-00 組織在實際攻擊中使用的部分命令。
表11 相關命令列表( APT-C-00 組織)
步驟 1: 參數“-nop”不加載默認的 PowerShell 配置文件,“-w hidden”沒有窗口,“-c”執行命令從URL: 'http://XXXXXX:8080/images/XXXXXX',下載并且隱藏執行。
另外值得注意的是下載的文件就是 APT-C-00組織的 Encryptor木馬衍生 PowerShell腳本,這個 PowerShell 腳本通過我們分析得出該腳本是由 Cobalt Strike【16】自動化測試攻擊平臺生成的。攻擊者只需通過 Cobalt Strike 平臺簡單配置 C&C 地址即可生成。該 PowerShell 腳本后續會釋放出 Beacon RAT。
步驟 2: 查看網絡信息、 查看內網主機 10.3.XX.XXX 的 NetBIOS 名稱、 查看當前主機啟動的服務、 查看網絡連接狀況、 查看域中的管理員帳戶列表、 查看本機的用戶帳戶。
第三方工具
在該環節, APT 組織除了采用目標系統自帶命令以外,更傾向與借助大量第三方工具來進行拓展攻擊。 第三方工具的優勢在于相關功能不僅可以滿足攻擊需求,而且由于相關工具本身作為正常用途,所以不會被安全軟件所檢測。 以下是我們發現的 APT 攻擊中常用的第三方工具。
表12 部分第三方工具列表( APT-C-00\APT-C-12 等組織)
誘餌信息內容
精心構造郵件和誘餌文檔內容,尤其誘餌文檔疑似二次利用(一些未公開文檔資料作為誘餌)。內容絕大多數為中文簡體,如果涉及具體單位會發送英文信息。
另外部分誘餌信息時效性極強,如某行業技術有重大突破,在消息剛在業內公開, 相關誘餌信息則就已構造完成。為了規避對術語或行業用語的不熟悉或暴露攻擊者相關信息,某些誘餌信息直接從國內主流新聞網站復制相關新聞報告內容放到誘餌文檔中。
另外從誘餌信息來判斷,攻擊者不僅僅關注目標所屬行業,也會關注目標愛好、生活等等。 我們對部分特殊誘餌文件的文件名進行了相關調查分析,均為真實存在的內容,絕非杜撰。
表13 部分誘餌文檔文件名列表
竊取敏感數據
竊取的敏感數據中主要以文檔為主,APT 組織更關注 WPS Office 相關文檔,其中 APT-C-05和 APT-C-12 組織都會關注以 “ .wps”擴展名的文檔,進一步 APT-C-12 還會關注擴展名為 “ .et”、“ .dps” 的另外兩種 WPS Office 文檔,這兩種文檔相當于微軟 Office 的 Excel 表格文檔和PowerPoint 幻燈片文檔, WPS Office 辦公軟件的用戶一般分布在國內政府機構或事業單位。
另外針對特定行業或單位,會關注特定內容的文檔,而不是所有的文檔都關注。主要從文件名和文件擴展名兩個方面來區分。如:只關注擴展名為“ .doc”的文檔,且文件名中包含“測試”字樣的文檔。
通信控制
使用云盤存儲竊取的數據信息,針對國內的云盤。攻擊者通過使用國內某網盤官方提供的 API 進行文件上傳。另外就是借助第三方博客進行惡意代碼傳播,這里主要是依托國內第三方某知名博客,攻擊者首先會注冊博客帳號,發表的每篇博客文章中會包含 shellcode 惡意代碼, 相關惡意代碼是以博文形式存放。
域名注冊偏好
在本章“一、 APT 生命周期的剖析:從武器構建到橫向移動”中,我們介紹了攻擊者在選擇 C&C 域名的時候,更傾向采用動態域名,均采用境外動態域名服務商。但在注冊具體子域名的時候,更傾向采用具備中國元素的關鍵字,具體如下表所示:
表14 部分注冊名稱列表
劫持主流應用
主要針對目標環境中主流應用程序進行劫持。一般正常程序在更新和執行的過程中并不會有任何提示, 更新過程一般不需要用戶操作。另外我們還發現大量正常程序在更新的過程中,并不進行更新程序的簽名校驗、文件校驗等檢查,下載后便會直接執行。關于網絡劫持攻擊其他技術細節,在本報告“第四章 防御薄弱導致低成本入侵頻頻得手”中的“高成本的載荷投遞:物理接觸”章節中進行了詳細描述,請參看具體章節。
表15 部分被劫持軟件
壓縮包
在魚叉式釣魚郵件攻擊、水坑式攻擊、基于即時通訊工具攻擊等方式中,惡意代碼一般都首先會進行壓縮,以壓縮包形態進行傳輸。在針對國內的 APT 攻擊中,我們發現大多數壓縮包格式為 RAR,其余主要是 ZIP 格式(具體參看下圖)。在國內壓縮包軟件中 WinRAR還是占據主流。
圖17 壓縮包使用比例
隱匿對抗
APT 攻擊中的 RAT 采用了大量對抗手法,其中針對國內的安全軟件主要包括:360 衛士、360 殺毒、 瑞星殺毒、 金山毒霸、金山衛士、 QQ 軟件管家、東方微點等。
在對抗的過程中如果發現殺毒軟件,惡意代碼會選擇放棄執行后續的功能代碼,或者會選擇繞過殺毒軟件的檢測。其中在 APT-C-00 的攻擊中利用了一個 0day 溢出漏洞來躲避殺毒軟件的檢測, APT-C-06 的 RAT 在針對 360 安全軟件的時候,通過添加靜態路由的方式,疑似屏蔽 360 云查殺檢測。如下表內具體操作:
#!bash
route add 220.x.x.x mask 255.255.255.0 192.168.1.254 && route add 220.x.x.x mask 255.255.255.0 192.168.1.254
另外大多數 RAT 會偽裝 360、 QQ 等國內主流應用路徑或版本信息。
定時攻擊
APT 組織在對目標進行大量研究分析后,制定了具體發動攻擊行動的時間安排,主要從目標用戶作息時間、行業相關重大會議和國內大型節日等時間,另外水坑攻擊更加嚴謹,在完成攻擊后會將篡改的內容刪除或恢復。具體內容我們在“第五章攻擊手法的不斷演進與蛻變”中進行了詳細介紹。
郵件服務商
初始攻擊環節,發送魚叉郵件是該環節最后的步驟, 我們發現相關組織主要傾向使用網易、新浪等國內第三方郵箱,其中以網易郵箱為主, 進一步包括: 163、 126 和 yeah 郵箱。注冊的用戶名與針對的目標和偽裝的發件人身份是有較強對應關系,如 APT-C-05 組織發動的攻擊行動中, 以某會議舉辦方名義給相應行業專家發送攻擊郵件時,郵箱注冊的用戶名采用相關會議官方網站主域名;另外偽裝某政府人員,采用的用戶名是相應人員姓名的拼音全拼,如果用戶名被注冊(如: zhangsan)則會在全拼后追加部分數字內容(如: zhangsan123)。
(一) 緊密圍繞政治、 經濟、 科技、 軍工等熱點領域及事件
APT 組織將會持續以經濟、政治、科技等熱點相關的行業或機構為攻擊目標,如十三五規劃、一帶一路、軍工制造等相關領域。 中華人民共和國國民經濟和社會發展第十三個五年規劃綱要,簡稱“十三五”規劃( 2016-2020 年),主要闡明國家戰略意圖,明確政府工作重點,引導市場主體行為,是 2016-2020 年中國經濟社會發展的宏偉藍圖。國家的發展規劃和戰略意圖一直以來都是 APT 組織關注的重點領域, 穩步推進“一帶一路”建設合作是中國“十三五”規劃的重要內容, 在 11 月、 12 月期間我們已經捕獲到針對相關目標的攻擊行動,相關攻擊行動主要以“一帶一路”、“ 21 世紀海上絲綢之路”等誘餌信息攻擊相關領域的目標群體。
(二) 由商業競爭產生的 APT 攻擊將不斷增加
APT 組織多數具備國家背景,以探測目標國家戰略意圖為主。但我們發現某些無國家背景,主要以牟利為目的的境內外黑客組織開始利用 APT 攻擊手法的攻擊逐漸出現。在 2015年 4 月份,我們捕獲到一個針對中國外貿行業的境外黑客組織,該組織利用 APT 初始攻擊中常用的魚叉式郵件發起攻擊,攜帶附件有 PE 二進制木馬、漏洞文檔等,而且攻擊者在發送郵件之后還通過多次回復的形式與目標用戶進行交互,通過持續跟蹤分析我們初步判定該黑客組織主要是以欺詐貨款為目的。
我們推測未來由商業競爭產生的以 APT 攻擊手法,針對商業領域的攻擊將會頻繁出現。
(三) 針對非 Windows 的攻擊頻率持續增高
在 2015 年針對中國的 APT 攻擊中,我們可以看到針對 Android、 Mac OS X 等非 Windows系統的攻擊逐漸出現。 Windows 不在是 APT 攻擊的主戰場,相關攻擊會從只針對 Windows操作系統逐步過渡到針對如 Linux、 Android、 Mac OS X 和工業控制系統相關攻擊出現的頻率和次數將會持續增高。另外攻擊的目標不再局限于敏感數據竊取,而如同震網( Stuxnet)蠕蟲以破壞系統導致癱瘓為目的的 APT 攻擊將不斷浮出水面。
(一) APT 攻擊越來越難被“看見”
在 2015 年 RAT 的發展趨勢中,我們提到 RAT 文件格式整體趨勢是從 PE 到非 PE 轉變,文件形態也由實體文件逐步轉化為無實體文件。從功能形態而言,從早期的單個文件聚合多種功能逐漸演變為功能單一的主、子模塊間互相調用的模式。而惡意代碼最終寄宿的位置也從常見的系統目錄逐漸進入到更加難以追蹤的 MBR、 VBR、磁盤固件、 EFI、 BIOS 乃至于移動存儲設備中的隱藏分區中。其中方程式組織( Equation Group)將惡意代碼寫入到磁盤固件中,導致除了磁盤生產商外,沒有任何安全廠商可以實現檢測及惡意代碼提取。
除了 RAT 以外,如:初始攻擊方式逐步發展為周期性攻擊、事后恢復; C&C 域名大量采用動態域名,非動態域名采用域名 WHOIS 信息保護,進一步依托可信網站、 SNS、第三方云盤等傳輸指令、文件等這些手法都讓防御設備和安全分析人員很難定位追蹤。
(二) 對安全廠商從被動隱匿到主動出擊
在 APT 攻擊行動中從初始攻擊到橫向移動,各個環節都存在大量對抗手法,其目的是保證攻擊成功且不留痕跡。在具體的攻擊中遇到防御措施,攻擊者一般會選擇放棄、等待、繞過或主動突破等方法,而這些基本都是針對具體目標環境中部署的防御措施。
然而 2015 年我們發現的 APT-C-00 組織將木馬構造偽裝為 Acunetix Web VulnerabilityScanner( WVS) 7 的破解版,進一步我們推測針對的目標很有可能是網絡安全從業人員、研究人員或者其他黑客組織。 另外針對卡巴基斯攻擊的 duqu2.0 曝光, 以及卡巴斯基在對 2016年安全趨勢的預測報告【17】中也提出“針對安全廠商的攻擊”,從各方面都可以看出 APT 組織針對安全行業將會從被動隱匿過渡到主動出擊。
(一) 更多針對中國的 APT 攻擊將曝光
360 在 2015 年 5 月末發布了海蓮花( OceanLotus) APT 組織,這也是中國安全廠商首次曝光針對中國攻擊的境外 APT 攻擊組織。 中國在反 APT 的相關研究還是起步階段,針對我國的 APT 攻擊更是鮮為人知, 而隨著中央網絡安全和信息化領導小組的成立,以及習近平主席在中美互聯網論壇強調“ 中國倡導建設和平、安全、開放、合作的網絡空間”, 我們相信針對中國的 APT 攻擊將越來越多的被曝光。
(二) 反 APT 領域的防守協作持續增強
隨著 APT、網絡間諜等越來越引起政府、企業的關注和重視,國外的威脅情報共享迅速發展,期間形成如 IOC( Indicators of Compromise,威脅指標)、 STIX( Structured ThreatInformation Expression)等標準。
在國內政府機構、目標行業和安全廠商三者如何協作,在國際上我們如何與境外機構廠商建立良好的溝通和合作方式則是重點。 在對抗 APT 等新威脅, 360 一直堅持開放、 合作的態度, 愿意與中國及國際安全廠商在威脅情報共享以及 APT 監測與響應方面形成協作。 2015年末, 360 威脅情報中心(https://ti.360.com)正式發布, 也是在威脅情報共享方面做出的實質性動作。
本研究報告中涉及到了 4 個 APT 組織或攻擊行動, 除了 APT-C-00 部分內容已經解密,其他相關組織的攻擊行為和手法也會逐步在 2016 年通過特定報告的方式進行解密。
除此之外, 我們還掌握了其他數十個 APT 組織, 由于涉及到較多的敏感信息, 會在后期逐步進行解密。
APT-C-00 組織是我們 2015 年 5 月發布的針對中國攻擊的某著名境外 APT 組織,該組織主要針對中國政府、科研院所和海事機構等重要領域發起攻擊。基于海量情報數據和研究分析,我們還原了 APT-C-00 組織的完整攻擊行動,相關攻擊行動最早可以追溯到 2011 年,期間不僅針對中國,同時還針對其他國家發起攻擊。該組織大量使用水坑式攻擊和魚叉式釣魚郵件攻擊,攻擊不限于 Windows 系統,還針對其他非 Windows 操作系統,相關攻擊至今還非常活躍。
APT-C-05 組織是只針對中國攻擊的境外 APT 組織,主要對中國政府、軍事、科技和教育等重點單位和部門進行了持續 8 年的網絡間諜活動,相關攻擊行動最早可以追溯到 2007年。期間我們先后捕獲到了 13 種不同的后門程序,涉及樣本數量上百個。該組織在初始攻擊環節主要采用魚叉式釣魚郵件攻擊,進一步使用了大量已知漏洞和 0day 漏洞發起攻擊,這些木馬的感染者遍布國內 31 個省級行政區。
APT-C-06 組織是境外 APT 組織,其主要目標除了中國,還有其他國家。該組織主要針對政府領域進行攻擊,且非常專注于某特定領域,相關攻擊行動最早可以追溯到 2007 年。該組織利用的惡意代碼非常復雜,相關功能模塊達到數十種,涉及惡意代碼數量超過 200個。另外該組織發動初始攻擊的方式并非傳統的魚叉式和水坑式攻擊等常見手法,而是另一種特殊的攻擊方法。
APT-C-12 組織是境外 APT 組織,主要對中國軍事、政府、工業等領域發起攻擊。相關攻擊行動最早可以追溯到 2011 年,我們捕獲到的惡意代碼數量超過 600 個。相關攻擊行動至今還非常活躍,我們監控到近期該組織進行了大量橫向移動攻擊, 相關橫向移動惡意代碼從功能區分至少有 6 種。該組織針對的具體目標分布在中國數十個省級行政區,其中北京、上海、海南是重災區。
天眼實驗室( SkyEye Labs)正式成立于 2014 年 1 月,是 360 公司旗下專門利用大數據技術研究未知威脅的技術團隊。該實驗室依托 360 公司多年來積累的海量多維度安全大數據和數據挖掘技術,實現對全網未知威脅的發現、溯源、監測和預警,及時準確地為客戶提供安全檢測和防護設備所需要的威脅情報。
360 Helios Team 是 360 天眼實驗室旗下專門從事高級威脅研究的團隊,從事 APT 攻擊發現與追蹤、互聯網安全事件應急響應、黑客產業鏈挖掘和研究等工作。團隊成立于 2014 年12 月,在短短的一年時間內整合 360 公司海量安全數據,實現了威脅情報快速關聯溯源,首次發現并追蹤數十個 APT 組織及黑客產業鏈,擴大了黑客產業研究視野,填補了國內 APT研究的空白,并為大量企業和政府機構提供安全威脅評估及解決方案輸出。