戰(zhàn)法簡(jiǎn)介     

APT即高級(jí)可持續(xù)威脅攻擊,也稱為定向威脅攻擊，指某組織對(duì)特定對(duì)象展開(kāi)的持續(xù)有效的攻擊活動(dòng)。這種攻擊活動(dòng)具有極強(qiáng)的隱蔽性和針對(duì)性,通常會(huì)運(yùn)用受感染的各種介質(zhì)、供應(yīng)鏈和社會(huì)工程學(xué)等多種手段實(shí)施先進(jìn)、持久且有效的威脅和攻擊。

該戰(zhàn)法是針對(duì)APT攻擊事件的快速發(fā)現(xiàn)、定性分析，及其所屬攻擊組織的研判方法。戰(zhàn)法原理是先基于流量分析的不同技術(shù)角度來(lái)檢測(cè)發(fā)現(xiàn)APT攻擊線索事件，然后利用威脅線索TTPs（技術(shù)、工具、過(guò)程）分析中的攻擊資源同源性分析和惡意代碼同源性分析，快速研判事件所屬的APT攻擊組織。

該技戰(zhàn)法適用于初中級(jí)研判分析人員從各類檢測(cè)產(chǎn)品告警中快速篩選APT威脅攻擊線索，通過(guò)快速的情報(bào)關(guān)聯(lián)分析來(lái)確定威脅事件的性質(zhì)，研判攻擊事件所屬的APT攻擊組織。

     戰(zhàn)法實(shí)施     

本戰(zhàn)法的實(shí)施可以分為檢測(cè)、分析、研判三個(gè)階段來(lái)開(kāi)展，各個(gè)階段均可以借助各類安全產(chǎn)品來(lái)進(jìn)行基本應(yīng)用，例如：檢測(cè)和分析階段可使用抗APT類、NDR類產(chǎn)品，能夠有效幫助檢測(cè)發(fā)現(xiàn)和基礎(chǔ)分析威脅線索；分析和研判階段則可以使用態(tài)勢(shì)感知類、TIP威脅情報(bào)類產(chǎn)品來(lái)進(jìn)行基礎(chǔ)的線索及情報(bào)關(guān)聯(lián)；研判階段還應(yīng)借助基于攻防經(jīng)驗(yàn)和威脅情報(bào)知識(shí)庫(kù)，來(lái)對(duì)威脅事件精確定性。

檢測(cè)階段

利用基于流量分析的各類產(chǎn)品來(lái)進(jìn)行APT威脅事件和線索的檢測(cè)，主要包含以下兩個(gè)方面：

1）典型APT攻擊戰(zhàn)法檢測(cè)

可以使用虛擬化沙箱技術(shù)、AI建模分析技術(shù)針對(duì)流量中魚叉釣魚攻擊、水坑攻擊等典型APT攻擊技戰(zhàn)法進(jìn)行檢測(cè)發(fā)現(xiàn)。

針對(duì)已知APT組織常用惡意代碼家族攻擊，例如郵件投遞、文件欺騙下載、WEB誘導(dǎo)瀏覽、文件欺詐分享等攻擊戰(zhàn)法中投遞的各類文檔、網(wǎng)頁(yè)和流量報(bào)文和網(wǎng)絡(luò)會(huì)話，抗APT產(chǎn)品通過(guò)內(nèi)置強(qiáng)大的病毒庫(kù)、漏洞攻擊庫(kù)、黑客工具庫(kù)進(jìn)行靜態(tài)檢測(cè)，實(shí)時(shí)檢測(cè)各類已知網(wǎng)絡(luò)漏洞攻擊和入侵行為。

針對(duì)未知惡意文件攻擊，抗APT產(chǎn)品將流量還原得到的辦公文檔和可執(zhí)行文件放入虛擬執(zhí)行檢測(cè)引擎的虛擬環(huán)境中執(zhí)行，根據(jù)執(zhí)行中的可疑行為綜合判定各類含漏洞利用代碼的惡意文檔、惡意可執(zhí)行程序及植入攻擊行為。

在虛擬化沙箱中誘導(dǎo)惡意代碼展現(xiàn)并記錄惡意行為后，使用AI建模分析方法可以使用機(jī)器學(xué)習(xí)算法，對(duì)樣本在虛擬執(zhí)行環(huán)境中的各種行為進(jìn)行威脅判定。

2）APT威脅線索檢測(cè)

可以通過(guò)隱蔽信道、異常協(xié)議、異常流量等基于行為分析的、基于模型匹配的威脅線索發(fā)現(xiàn)能力，來(lái)發(fā)現(xiàn)各類APT威脅攻擊在非法控制階段的線索事件。

從歷年來(lái)APT攻擊中所使用的惡意代碼的攻擊原理和特點(diǎn)來(lái)看，特種木馬需要與外聯(lián)的服務(wù)端進(jìn)行實(shí)時(shí)通信，才能達(dá)到竊取敏感信息的目的。那么在通信的過(guò)程中，在網(wǎng)絡(luò)內(nèi)肯定存在外聯(lián)的活躍行為，抗APT系統(tǒng)可通過(guò)強(qiáng)大的木馬通信行為庫(kù)，基于多手段的流量行為分析檢測(cè)技術(shù)，檢測(cè)已植入內(nèi)網(wǎng)的未知威脅，包括：動(dòng)態(tài)域名、協(xié)議異常、心跳檢測(cè)、非常見(jiàn)端口、規(guī)律域名統(tǒng)計(jì)、URL訪問(wèn)統(tǒng)計(jì)、流量異常等通過(guò)多種通信行為的復(fù)合權(quán)值，在網(wǎng)絡(luò)層對(duì)未知APT惡意代碼的網(wǎng)絡(luò)通信行為進(jìn)行實(shí)時(shí)監(jiān)控、預(yù)警、分析。

從近幾年被曝光的APT攻擊組織樣本來(lái)看，其所使用的特種木馬、間諜木馬等惡意代碼，會(huì)使用自定義或者加密的協(xié)議建立隱蔽通信信道，用以繞過(guò)防火墻、IDS等傳統(tǒng)安全設(shè)備的檢測(cè)。針對(duì)網(wǎng)絡(luò)流量中的隱蔽信道進(jìn)行深度分析，通過(guò)分析隱蔽信道通信中的流量特征和行為特征，構(gòu)建相應(yīng)的檢測(cè)模型，能夠把隱蔽傳輸?shù)臄?shù)據(jù)從復(fù)合流量中分離出來(lái)，從而發(fā)現(xiàn)一些未知的攻擊行為。

分析階段

分析階段是需要從檢測(cè)階段發(fā)現(xiàn)的各種威脅攻擊事件/線索中，分析抽取可用于關(guān)聯(lián)分析的元數(shù)據(jù)，然后再通過(guò)基于威脅情報(bào)知識(shí)庫(kù)的同源性分析，將威脅事件/線索與已知APT組織進(jìn)行快速關(guān)聯(lián)比對(duì)。

這類最常用且有效的關(guān)聯(lián)分析方法可以分為以下兩種方法：

1）攻擊資源同源性分析

通過(guò)分析攻擊投遞、非法控制兩個(gè)階段中攻擊者采用的攻擊載具，抽取相應(yīng)的元數(shù)據(jù)，然后通過(guò)搜索引擎或威脅情報(bào)檢測(cè)類產(chǎn)品，與各APT組織戰(zhàn)術(shù)類威脅情報(bào)中的IOC指標(biāo)進(jìn)行快速匹配。

攻擊載具可抽取的元數(shù)據(jù)包括但不限于：攻擊者郵箱、攻擊者郵件發(fā)送源IP、惡意代碼模塊下載地址、惡意代碼家族、惡意代碼文件模塊HASH、PDB路徑、文件簽名、C&C服務(wù)器域名/IP等。通過(guò)這些元數(shù)據(jù)與APT組織情報(bào)進(jìn)行關(guān)聯(lián)，就能夠快速分析出事件高概率所屬的APT組織。

2）惡意代碼同源性分析

由于APT組織會(huì)經(jīng)常變換C2服務(wù)器，使得利用威脅情報(bào)的可能性大大縮小。但對(duì)于長(zhǎng)期存在的APT組織來(lái)說(shuō)，雖然其使用的惡意代碼會(huì)經(jīng)常版本迭代，但很多基礎(chǔ)代碼和關(guān)鍵函數(shù)很少變動(dòng)，經(jīng)常能找到關(guān)鍵的關(guān)聯(lián)特征。

本戰(zhàn)法就可以采用模糊HASH算法、AI算法（聚類算法）等模型匹配的方式，或者采用人工逆向分析的方式，來(lái)比對(duì)惡意代碼樣本的代碼與已知APT組織常用惡意代碼的相似性。

判研階段

基于以上檢測(cè)和分析的結(jié)果，需要威脅分析人員對(duì)已發(fā)現(xiàn)的信息威脅源進(jìn)行研判，對(duì)攻擊技術(shù)、工具、過(guò)程進(jìn)行綜合刻畫，判斷攻擊威脅體現(xiàn)的技術(shù)實(shí)力。然后再綜合攻擊者、受害者、動(dòng)機(jī)、攻擊后果四個(gè)維度進(jìn)行攻擊意圖研判。

通過(guò)以上研判，最終嘗試確定攻擊事件的性質(zhì)：間諜組織、涉政組織、暴恐組織等已知APT組織，或黑/灰產(chǎn)組織等已知其他攻擊組織。如有需要，還要確定進(jìn)一步溯源策略，例如反制C&C服務(wù)器、嘗試線上線下身份挖掘等。

     案例分析     

一則案例是在2019年4月間，APT34組織的武器泄密事件中，東巽科技對(duì)其常用武器做了一個(gè)詳細(xì)的分析。其中DNS隱蔽隧道就是該組織常用的技術(shù)，隱蔽隧道技術(shù)可以躲避常規(guī)流量的檢測(cè)，利用DNS協(xié)議與服務(wù)器通信，傳輸數(shù)據(jù)。

APT34常用武器中使用的DNS隱蔽隧道

APT34是一個(gè)來(lái)自于伊朗的APT組織，自2014年起，持續(xù)對(duì)中東及亞洲等地區(qū)發(fā)起APT攻擊，涉獵行業(yè)主要包含政府、金融、能源、電信等。多年來(lái)，攻擊武器庫(kù)不斷升級(jí)，攻擊手法也不斷推陳出新，并且攻擊行為不會(huì)因?yàn)楸黄毓舛K止。在本戰(zhàn)法實(shí)際運(yùn)用過(guò)程中，通過(guò)攻擊資源同源性（采用相同C&C服務(wù)器）關(guān)聯(lián)到APT組織的案例非常多，這里就不再贅述。

另外一則是分析一個(gè)通過(guò)攻擊載荷代碼同源性來(lái)研判APT攻擊的案例：

海蓮花（OceanLotus、APT32）是一個(gè)具有越南背景的黑客組織。啟明星辰金睛安全研究團(tuán)隊(duì)發(fā)現(xiàn)了一起該組織的魚叉釣魚網(wǎng)絡(luò)攻擊事件。在該事件中，關(guān)鍵確認(rèn)APT攻擊的同源關(guān)系有：

1) 攻擊者所使用的惡意代碼包含一個(gè)VBS腳本，其下載的shellcode的編寫技巧，與以往海蓮花組織所使用的shellcode手法幾乎一致。

2) 本次攻擊事件中最后釋放的遠(yuǎn)控惡意代碼，與在以往披露的海蓮花組織報(bào)告中（詳見(jiàn)《2017網(wǎng)絡(luò)安全態(tài)勢(shì)觀察報(bào)告》），無(wú)論是回傳特征，還是代碼結(jié)構(gòu)都幾乎一致，甚至連偽裝成amazon的host主機(jī)也一致。

由此基本可以確認(rèn)，本次攻擊的確為海蓮花組織發(fā)起，并且該組織仍然在沿用以往的武器。

     戰(zhàn)法點(diǎn)評(píng)     

本戰(zhàn)法優(yōu)點(diǎn)是能夠讓一般分析人員清晰的快速實(shí)現(xiàn)對(duì)已知APT組織攻擊事件的關(guān)聯(lián)確認(rèn)，且大量成熟產(chǎn)品可以有效輔助該戰(zhàn)法的實(shí)現(xiàn)。

本戰(zhàn)法也有一定的局限性，大量APT組織的戰(zhàn)術(shù)類和戰(zhàn)略類威脅情報(bào)并未公開(kāi)曝光，可關(guān)聯(lián)情報(bào)不足也會(huì)導(dǎo)致無(wú)法關(guān)聯(lián)匹配。