如何利用開源威脅信息分析APT團伙

現在的黑客團伙越來越會玩了。

不久前，編輯在外網看到一則新聞：連接智利所有銀行ATM基礎設施的公司Redbanc在12月底遭受了計算機攻擊，儘管新聞里沒有提到是否帶來損失，但聽起來似乎就很可怕的樣子。

更多人則把目光放在這樣大面積的攻擊，黑客怎麼做到的？

事情要從悲催的大衛斯基（宅式化名）說起。小哥是Redbanc裡面的一名碼農，因為想換工作常常瀏覽一些招聘網站。誰知就被暗中盯上，黑客團伙挖好了坑，在Linkedin上發布了計算機相關職位等著他上鉤。

小哥還真沒懷疑，看到這個合適職位就聯繫了對方。「戲精」黑客們通過 Skype 用西班牙語和小哥交流了一番，成功獲取信任後就要求小哥在計算機上安裝 ApplicationPDF.exe 程序，借口是以 pdf 格式在線生成他們的申請表。

這個程序沒有引起任何殺軟報警，暗戳戳地在Redbanc網路內的計算機上安裝並運行了起來。潘多拉魔盒已被打開……

事情發生後，相關安全研究員經過比對分析，最終鎖定這起攻擊事件的幕後黑手是據稱朝鮮來源的APT組織——Lazarus。

雷鋒網曾在國內外APT組織武力排行榜大揭秘一文中對個黑客團伙有過介紹，但這不是重點，我們要聊的是安全專家是如何一步步挖出事件背後的APT組織的？

不久前，編輯在威脅情報生態大會上和360威脅情報中心的安全專家汪列軍聊了聊——如何利用開源威脅信息分析APT活動。

尋找APT組織的過程就如同刑警破案，需要進入犯罪現場搜集信息，這些信息中可能隱藏著嫌疑人作案手法以及作案動機，甚至能通過線索還原作案過程。

對應到尋找APT組織上，面對黑客團伙的隱秘行動，該如何鎖定目標？

首先就要利用開源信息，主要有四個來源。

一是各大安全廠商以及機構發布的APT報告，其中有不少安全人員收集整理的報告集。GitHub上最早的APTnotes已經停止更新，但有人另開集合維護。總之，開源的好處是找到你可能漏掉的報告，能夠節省力氣。

「2018年我們搜集到比較成型的APT相關報告有478個，平均一天就有1-2個報告。其中被提及的獨立APT組織名53個。」汪列軍告訴雷鋒網。

二是社交媒體，可以在上面得到最快的信息，雖然相關信息的上下文不多。

「我們在推特上關注了兩千個賬號，都是人工打理。」

三是數據Feed。Feed就是為滿足以某種形式持續得到自己更新的需求而提供的格式標準的信息出口。就是信源。信息發布網站將網站全部或者部分信息整合到一個 RSS 文件中，這個文件就被稱之為 feed 。信源中包含的數據都是標準的 XML 格式，不但能直接被其他站點調用，也能在其他的終端和服務中使用。

Feed流最早被網景通訊公司（Netscape）推送之後，隨著近些年來國內內容資訊平台大爆發，被廣泛用於微信、微博、今日頭條等社交網站和內容平台，而feed廣告更是已經成為國內社交平台的一種重要盈利模式。

四是信息平台，也就是整合過的威脅情報平台。其中最出名的是Virus Total，裡面整合了諸多惡意代碼數據，改版後可以搜索樣本，還新增了互動式圖以及分析管理。

汪列軍還提醒到，不要試圖進行一站式的數據查詢，畢竟各家都有各自的數據視野，而且大部分都不相互覆蓋。

其它信息利用

這些開源信息對追蹤APT組織到底能起到什麼作用呢？

一方面，這些數據是很好的線索輸入。

汪列軍舉例來說，比如某人得到一個新的樣本並發在了Twitter上。在收集到這個樣本後即使360自己的樣本庫中沒有這個樣本，但可以找到與其相似的樣本研究特徵規則。

另一方面，開源數據提供了一部分基礎數據，要想進一步鎖定目標還需要多維度的數據補充。

2018年9月外媒曾報道美國政府指控並制裁了一名朝鮮男子 Park Jin Hyok。這名男子是臭名昭著的著名APT團伙——Lazarus中的一員。涉嫌2017年全球WannaCry勒索軟體網路攻擊和2014年索尼公司的網路攻擊。

而確定Park是Lazarus成員的過程收集了很多維度的信息，比如特定伺服器IP的訪問記錄，個人Gmail郵箱的過往記錄，LinkedIn上的記錄以及Twitter賬號記錄等等。總之，這份長達170多頁的起訴書體現了多維度數據交叉驗證的威力。

想要獲取更多數據則需要其他渠道，比如各大安全廠商的自有資料庫，或是通過商業採購的數據及直接的威脅情報。國外的數據源主要有VT，國內有 IPIP.net。

汪列軍告訴雷鋒網。360今年在採購數據的預算可能會達到千萬級別。

另一個方式就是通過情報聯盟，進行某些信息交換。當然，目前來說，情報聯盟尚不成熟，還需要持續推進。

總之，能否鎖定最終的黑客團伙歸根結底在於收集的數據維度夠不夠多，畢竟，線索千絲萬縷，而真相只有一個。

上述的搜集行為實際可以比作拼圖遊戲，過程中的玩家都有自己獨有的一塊數據視野，只有儘可能和別人手裡的拼圖拼在一起才能看清更多真實場景。而根據得到的數據進行具體分析匹配則是安全廠商提供的增值價值。

如果只是將得到的數據堆在一起打包送給對被攻擊的企業，是沒有價值的。他們需要的是更明確的結論，比如哪些終端連接到了哪些IP，自己的網路可能被某個黑客團伙滲透，甚至泄露了一部分數據。這個黑客團伙屬於哪個組織，這個組織曾有過什麼活動，常用攻擊方式是什麼，以及他們需要採取哪些防禦措施等。

這就是所謂的「不知攻焉知防」。

具體來說，第一步先要將獲取的線索進行粗/細分類，以及結構化。

比如區分信息類型是安全新聞、事件揭露還是技術分析，再進一步還會區分涉及的內容是勒索、挖礦、漏洞還是定向攻擊等，如果是定向攻擊會繼續判斷是網路犯罪還是APT團伙。

而結構化即從中抽取涉及組織名字、目標、TTP等關鍵元素，便於之後的自動化和人工分析。

第二步是進行關聯拓展，用到的是鑽石模型。

這個模型做的就是基於已有線索下的關聯分析。菱形四角為四個元素，所有實線連接起來的兩個點都能互相關聯，只要知道直線兩端某一端的信息，就可能基於一些公開或非公開數據推導出更多信息。

汪列軍舉了個栗子，比如攻擊者利用惡意代碼攻擊了某個網路基礎設施的IP，用這個模型進行推導就從菱形的左邊到右邊，從他使用的基礎設施情況就可以了解整個團隊的攻擊能力。如果把鑽石模型與Kill Chain結合起來做關聯分析，可以通過已有線索拓展更多信息。

第三步是TTP分析，這裡用到的是ATT&CK框架。

在分析各個階段用到了哪些技術，比如植入階段運用了水坑攻擊，都需要這個框架。可以看到橫軸劃分了11個階段（常見的洛克希德馬丁的Cyber Kill Chain框架劃分了七個階段），並且詳細拆了每個階段應用的具體技術，體現在各個環節上標定，標定以後可以做歸類分析。

最後一步就是背景研判。也就是基於上述信息做一個匹配，將APT組織列表與之對應，鎖定目標。

整個過程簡單說就是，基於線索搜集多維度數據，再利用線索進行關聯。

這一系列複雜操作真的這麼順利嗎？當然不。

現在的APT組織愈發狡猾，一方面自己會隱藏很好，另一方面還會「借刀殺人」，就是在對目標發動攻擊時候使用了其他APT組織的工具、技術或者微代碼，甚至重用了其他組織的網路基礎設施IP，等於耍了個障眼法。

汪列軍告訴雷鋒網，他們也曾犯過這樣的錯誤，不久前在推特上發布的一個報告就被指出匹配錯了APT組織。

但他笑了笑，「錯了就是錯了，承認也沒什麼。」

******分割線******

看完了整套分析是不是覺得相關報告來之不易？（還不重新閱讀下雷鋒網之前發出的報告！）

APT高持續性威脅這個專業名詞源於2010年Google退華一事中的「極光攻擊」這起安全事件，各國安全專家對這類攻擊持續熱議後總結而得。在此之後APT攻擊與防護戰拉開帷幕，這一斗就是10年。顯然，這是場打不完的硬仗。

2018年全球APT攻擊數不勝數，而2019年只多不少。面對愈發隱蔽的攻擊者，安全人員也不斷重鑄聖劍。賽博世界的攻防之戰永遠不會停歇。

最後，祝大家新年快樂，2019也要加油鴨。

附上「碼農界」對聯。

圖片來源：編輯神秘的朋友圈

相關文章：

5家新APT組織被披露，2019是「後起之秀」的天下？

國內外 APT 組織武力排行榜大揭秘

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！