利用威脅情報數據平台拓展APT攻擊線索一例

當我們說起APT攻擊線索的發現，似乎是一個挺神秘的事，安全廠商往往說得雲山霧罩，如果現在你問如何知道某件事情的時侯，得到的回答往往是：」嗯，我們用了機器學習」，行業外的人除了覺得高端以外基本得不到有用的信息。然而，發現高級的定向攻擊是否一定需要高級的分析手段？答案是：未必。今天我們就舉一個簡單的例子，分析對象還是我們的老朋友：海蓮花APT團伙。

線索

2017年5月14日FireEye公司發了一個揭露APT32（海蓮花）團伙新近活動的分析，描述了攻擊過程的細節和一些工具及網路相關的IOC。

這些信息當然已經收錄到360威脅情報中心數據平台里，搜索一下其中一個C&C域名： high.vphelp.net，我們得到如下的輸出頁面：

右下角的可視化分析已經把FireEye報告中涉及的所有IOC都做了關聯展示。在左邊的相關安全報告，也理所當然地提供了FireEye文章的原始鏈接，除此以外我們還發現了另外一個指向到著名沙箱Payload Security上的某個樣本執行沙箱結果信息鏈接，相應的文件SHA256為e56905579c84941dcdb2b2088d68d28108b1350a4e407fb3d5c901f8e16f5ebc。點擊過去看一下細節：

嗯，一個越南語文件名的樣本，這很海蓮花。看一下它的網路行為：

可以看到樣本涉及一組4個的C&C域名：

push.relasign.org

seri.volveri.net

high.vphelp.net

24.datatimes.org

這也是海蓮花相關樣本的風格，一般會在同一天註冊4-5個域名用於C&C通信。我們知道PayloadSecurity上存儲了大量樣本的沙箱行為日誌數據，那麼我們是不是可以在上面找找更多類似的樣本呢？這個值得一試。怎麼做呢？試試最簡單的關鍵字匹配。

拓展

注意到上面那個已知樣本連接C&C IP的進程名了嗎？多年從事惡意代碼分析的經驗告訴我們，這個sigverif.exe進程在惡意代碼的活動中並不常見。所以我們可以用sigverif.exe作為關鍵詞嘗試搜索，不必用PayloadSecurity網站自己的搜索選項，其實Google提供的全文搜索功能更為強大，用」site:」指定目標網站並指定關鍵字」sigverif.exe」，Google給我們的結果只有2頁，下面是第1頁的結果：

這裡輸出的命中列表中最後一項就是我們已知會連接high.vphelp.net C&C域名的海蓮花樣本。由於條目總命中數並不多，所以我們可以逐一檢查每個命中樣本與已知樣本的相似度。查看列表中的第一個樣本，文件SHA256為2bbffbc72a59efaf74028ef52f5b637aada59650d65735773cc9ff3a9edffca5，相應的惡意行為判定如下：

往前翻一下我們線索樣本的行為判定（進程調用關係和字元串），可以確認兩者幾乎是完全相同的，這應該就是另一個相同功能的海蓮花樣本。接下來檢查這個樣本連接的C&C域名和IP：

在這裡我們發現了另外4個從前未知的C&C域名：

news.sitecontents.org

cdn.mediastatics.net

image.lastapi.org

time.synzone.org

域名註冊於2016年8月10日，並做了隱私保護，海蓮花團伙的慣用操作，在各種威脅情報平台上還查不到這些域名的標籤信息。它們都曾解析到IP 81.95.7.12 ，域名與IP與已知的其他海蓮花的攻擊活動沒有關聯，在基礎設施方面隔離比較徹底，這也是近期海蓮花活動的趨勢。根據360威脅情報中心對這幾個域名的監控，國內沒有發現連接的跡象，所以相關的樣本極有可能被用於針對中國以外目標的攻擊。如此，我們就從一個已知的域名出發，通過關聯的樣本，提取其靜態特徵搜索到同類樣本，最終挖掘到以前我們所未知的樣本和C&C基礎設施。

啟示

APT活動事件層面的分析本質上尋找關聯點並利用關聯點基於數據進行拓展的遊戲，下面是360威脅情報中心整理的基於洛馬Cyber Kill Chain模型關聯點：

APT的攻防最終會落到人和數據的對抗，很多時候數據就在那兒，在了解對手TTP類的攻防細節並且對數據敏感度高的分析人員手裡，通過層層剖析就能得到拓展視野獲取更多的威脅情報。 360威脅情報中心基於自己的判定對大量的數據打了標籤，部分標籤是對外輸出的，這些標籤其實就是威脅情報，用戶所要做的就是問對的問題。

IOC

海蓮花團伙新挖掘到的威脅情報

*本文作者：360天眼實驗室，轉載請註明來自 FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！