如何利用開源威脅信息分析APT團(tuán)伙
现在的黑客团伙越来越会玩了。
不久前,编辑在外网看到一则新闻:连接智利所有银行ATM基础设施的公司Redbanc在12月底遭受了计算机攻击,尽管新闻里没有提到是否带来损失,但听起来似乎就很可怕的样子。
更多人则把目光放在这样大面积的攻击,黑客怎么做到的?
事情要从悲催的大卫斯基(宅式化名)说起。小哥是Redbanc里面的一名码农,因为想换工作常常浏览一些招聘网站。谁知就被暗中盯上,黑客团伙挖好了坑,在Linkedin上发布了计算机相关职位等着他上钩。
小哥还真没怀疑,看到这个合适职位就联系了对方。“戏精”黑客们通过Skype 用西班牙语和小哥交流了一番,成功获取信任后就要求小哥在计算机上安装ApplicationPDF.exe 程序,借口是以 pdf 格式在线生成他们的申请表。
这个程序没有引起任何杀软报警,暗戳戳地在Redbanc网络内的计算机上安装并运行了起来。潘多拉魔盒已被打开……
事情发生后,相关安全研究员经过比对分析,最终锁定这起攻击事件的幕后黑手是据称朝鲜来源的APT组织——Lazarus。
曾在国内外APT组织武力排行榜大揭秘一文中对个黑客团伙有过介绍,但这不是重点,我们要聊的是安全专家是如何一步步挖出事件背后的APT组织的?
不久前,编辑在威胁情报生态大会上和360威胁情报中心的安全专家汪列军聊了聊——如何利用开源威胁信息分析APT活动。
开源信息利用
寻找APT组织的过程就如同刑警破案,需要进入犯罪现场搜集信息,这些信息中可能隐藏着嫌疑人作案手法以及作案动机,甚至能通过线索还原作案过程。
对应到寻找APT组织上,面对黑客团伙的隐秘行动,该如何锁定目标?
首先就要利用开源信息,主要有四个来源。
一是各大安全厂商以及机构发布的APT报告,其中有不少安全人员收集整理的报告集。GitHub上最早的APTnotes已经停止更新,但有人另开集合维护。总之,开源的好处是找到你可能漏掉的报告,能够节省力气。
“2018年我们搜集到比较成型的APT相关报告有478个,平均一天就有1-2个报告。其中被提及的独立APT组织名53个。”汪列军告诉。
二是社交媒体,可以在上面得到最快的信息,虽然相关信息的上下文不多。
“我们在推特上关注了两千个账号,都是人工打理。”
三是数据Feed。Feed就是为满足以某种形式持续得到自己更新的需求而提供的格式标准的信息出口。就是信源。信息发布网站将网站全部或者部分信息整合到一个RSS 文件中,这个文件就被称之为 feed 。信源中包含的数据都是标准的 XML 格式,不但能直接被其他站点调用,也能在其他的终端和服务中使用。
Feed流最早被网景通讯公司(Netscape)推送之后,随着近些年来国内内容资讯平台大爆发,被广泛用于微信、微博、今日头条等社交网站和内容平台,而feed广告更是已经成为国内社交平台的一种重要盈利模式。
四是信息平台,也就是整合过的威胁情报平台。其中最出名的是VirusTotal,里面整合了诸多恶意代码数据,改版后可以搜索样本,还新增了交互式图以及分析管理。
汪列军还提醒到,不要试图进行一站式的数据查询,毕竟各家都有各自的数据视野,而且大部分都不相互覆盖。
其它信息利用
这些开源信息对追踪APT组织到底能起到什么作用呢?
一方面,这些数据是很好的线索输入。
汪列军举例来说,比如某人得到一个新的样本并发在了Twitter上。在收集到这个样本后即使360自己的样本库中没有这个样本,但可以找到与其相似的样本研究特征规则。
另一方面,开源数据提供了一部分基础数据,要想进一步锁定目标还需要多维度的数据补充。
2018年9月外媒曾报道美国政府指控并制裁了一名朝鲜男子 Park JinHyok。这名男子是臭名昭著的著名APT团伙——Lazarus中的一员。涉嫌2017年全球WannaCry勒索软件网络攻击和2014年索尼公司的网络攻击。
而确定Park是Lazarus成员的过程收集了很多维度的信息,比如特定服务器IP的访问记录,个人Gmail邮箱的过往记录,LinkedIn上的记录以及Twitter账号记录等等。总之,这份长达170多页的起诉书体现了多维度数据交叉验证的威力。
想要获取更多数据则需要其他渠道,比如各大安全厂商的自有数据库,或是通过商业采购的数据及直接的威胁情报。国外的数据源主要有VT,国内有 IPIP.net。
汪列军告诉。360今年在采购数据的预算可能会达到千万级别。
另一个方式就是通过情报联盟,进行某些信息交换。当然,目前来说,情报联盟尚不成熟,还需要持续推进。
总之,能否锁定最终的黑客团伙归根结底在于收集的数据维度够不够多,毕竟,线索千丝万缕,而真相只有一个。
分析匹配
上述的搜集行为实际可以比作拼图游戏,过程中的玩家都有自己独有的一块数据视野,只有尽可能和别人手里的拼图拼在一起才能看清更多真实场景。而根据得到的数据进行具体分析匹配则是安全厂商提供的增值价值。
如果只是将得到的数据堆在一起打包送给对被攻击的企业,是没有价值的。他们需要的是更明确的结论,比如哪些终端连接到了哪些IP,自己的网络可能被某个黑客团伙渗透,甚至泄露了一部分数据。这个黑客团伙属于哪个组织,这个组织曾有过什么活动,常用攻击方式是什么,以及他们需要采取哪些防御措施等。
这就是所谓的“不知攻焉知防”。
具体来说,第一步先要将获取的线索进行粗/细分类,以及结构化。
比如区分信息类型是安全新闻、事件揭露还是技术分析,再进一步还会区分涉及的内容是勒索、挖矿、漏洞还是定向攻击等,如果是定向攻击会继续判断是网络犯罪还是APT团伙。
而结构化即从中抽取涉及组织名字、目标、TTP等关键元素,便于之后的自动化和人工分析。
第二步是进行关联拓展,用到的是钻石模型。
这个模型做的就是基于已有线索下的关联分析。菱形四角为四个元素,所有实线连接起来的两个点都能互相关联,只要知道直线两端某一端的信息,就可能基于一些公开或非公开数据推导出更多信息。
汪列军举了个栗子,比如攻击者利用恶意代码攻击了某个网络基础设施的IP,用这个模型进行推导就从菱形的左边到右边,从他使用的基础设施情况就可以了解整个团队的攻击能力。如果把钻石模型与KillChain结合起来做关联分析,可以通过已有线索拓展更多信息。
第三步是TTP分析,这里用到的是ATT&CK框架。
在分析各个阶段用到了哪些技术,比如植入阶段运用了水坑攻击,都需要这个框架。可以看到横轴划分了11个阶段(常见的洛克希德马丁的Cyber KillChain框架划分了七个阶段),并且详细拆了每个阶段应用的具体技术,体现在各个环节上标定,标定以后可以做归类分析。
最后一步就是背景研判。也就是基于上述信息做一个匹配,将APT组织列表与之对应,锁定目标。
整个过程简单说就是,基于线索搜集多维度数据,再利用线索进行关联。
这一系列复杂操作真的这么顺利吗?当然不。
现在的APT组织愈发狡猾,一方面自己会隐藏很好,另一方面还会“借刀杀人”,就是在对目标发动攻击时候使用了其他APT组织的工具、技术或者微代码,甚至重用了其他组织的网络基础设施IP,等于耍了个障眼法。
汪列军告诉,他们也曾犯过这样的错误,不久前在推特上发布的一个报告就被指出匹配错了APT组织。
但他笑了笑,“错了就是错了,承认也没什么。”
**分割线****
看完了整套分析是不是觉得相关报告来之不易?(还不重新阅读下之前发出的报告!)
APT高持续性威胁这个专业名词源于2010年Google退华一事中的“极光攻击”这起安全事件,各国安全专家对这类攻击持续热议后总结而得。在此之后APT攻击与防护战拉开帷幕,这一斗就是10年。显然,这是场打不完的硬仗。
2018年全球APT攻击数不胜数,而2019年只多不少。面对愈发隐蔽的攻击者,安全人员也不断重铸圣剑。赛博世界的攻防之战永远不会停歇。
最后,祝大家新年快乐,2019也要加油鸭。
附上“码农界”对联。
图片来源:编辑神秘的朋友圈
相关文章:
5家新APT组织被披露,2019是“后起之秀”的天下?
国内外 APT 组织武力排行榜大揭秘
推薦系統(tǒng)
雨林木風(fēng) winxp下載 純凈版 永久激活 winxp ghost系統(tǒng) sp3 系統(tǒng)下載
系統(tǒng)大?。?/em>0MB系統(tǒng)類型:WinXP雨林木風(fēng)在系統(tǒng)方面技術(shù)積累雄厚深耕多年,打造了國內(nèi)重裝系統(tǒng)行業(yè)知名品牌,雨林木風(fēng)WindowsXP其系統(tǒng)口碑得到許多人認(rèn)可,積累了廣大的用戶群體,是一款穩(wěn)定流暢的系統(tǒng),雨林木風(fēng) winxp下載 純凈版 永久激活 winxp ghost系統(tǒng) sp3 系統(tǒng)下載,有需要的朋友速度下載吧。
系統(tǒng)等級:進(jìn)入下載 >蘿卜家園win7純凈版 ghost系統(tǒng)下載 x64 聯(lián)想電腦專用
系統(tǒng)大?。?/em>0MB系統(tǒng)類型:Win7蘿卜家園win7純凈版是款非常純凈的win7系統(tǒng),此版本優(yōu)化更新了大量的驅(qū)動,幫助用戶們進(jìn)行舒適的使用,更加的適合家庭辦公的使用,方便用戶,有需要的用戶們快來下載安裝吧。
系統(tǒng)等級:進(jìn)入下載 >雨林木風(fēng)xp系統(tǒng) xp系統(tǒng)純凈版 winXP ghost xp sp3 純凈版系統(tǒng)下載
系統(tǒng)大?。?/em>1.01GB系統(tǒng)類型:WinXP雨林木風(fēng)xp系統(tǒng) xp系統(tǒng)純凈版 winXP ghost xp sp3 純凈版系統(tǒng)下載,雨林木風(fēng)WinXP系統(tǒng)技術(shù)積累雄厚深耕多年,采用了新的系統(tǒng)功能和硬件驅(qū)動,可以更好的發(fā)揮系統(tǒng)的性能,優(yōu)化了系統(tǒng)、驅(qū)動對硬件的加速,加固了系統(tǒng)安全策略,運(yùn)行環(huán)境安全可靠穩(wěn)定。
系統(tǒng)等級:進(jìn)入下載 >蘿卜家園win10企業(yè)版 免激活密鑰 激活工具 V2023 X64位系統(tǒng)下載
系統(tǒng)大小:0MB系統(tǒng)類型:Win10蘿卜家園在系統(tǒng)方面技術(shù)積累雄厚深耕多年,打造了國內(nèi)重裝系統(tǒng)行業(yè)的蘿卜家園品牌,(win10企業(yè)版,win10 ghost,win10鏡像),蘿卜家園win10企業(yè)版 免激活密鑰 激活工具 ghost鏡像 X64位系統(tǒng)下載,其系統(tǒng)口碑得到許多人認(rèn)可,積累了廣大的用戶群體,蘿卜家園win10純凈版是一款穩(wěn)定流暢的系統(tǒng),一直以來都以用戶為中心,是由蘿卜家園win10團(tuán)隊(duì)推出的蘿卜家園
系統(tǒng)等級:進(jìn)入下載 >蘿卜家園windows10游戲版 win10游戲?qū)I(yè)版 V2023 X64位系統(tǒng)下載
系統(tǒng)大小:0MB系統(tǒng)類型:Win10蘿卜家園windows10游戲版 win10游戲?qū)I(yè)版 ghost X64位 系統(tǒng)下載,蘿卜家園在系統(tǒng)方面技術(shù)積累雄厚深耕多年,打造了國內(nèi)重裝系統(tǒng)行業(yè)的蘿卜家園品牌,其系統(tǒng)口碑得到許多人認(rèn)可,積累了廣大的用戶群體,蘿卜家園win10純凈版是一款穩(wěn)定流暢的系統(tǒng),一直以來都以用戶為中心,是由蘿卜家園win10團(tuán)隊(duì)推出的蘿卜家園win10國內(nèi)鏡像版,基于國內(nèi)用戶的習(xí)慣,做
系統(tǒng)等級:進(jìn)入下載 >windows11下載 蘿卜家園win11專業(yè)版 X64位 V2023官網(wǎng)下載
系統(tǒng)大小:0MB系統(tǒng)類型:Win11蘿卜家園在系統(tǒng)方面技術(shù)積累雄厚深耕多年,windows11下載 蘿卜家園win11專業(yè)版 X64位 官網(wǎng)正式版可以更好的發(fā)揮系統(tǒng)的性能,優(yōu)化了系統(tǒng)、驅(qū)動對硬件的加速,使得軟件在WINDOWS11系統(tǒng)中運(yùn)行得更加流暢,加固了系統(tǒng)安全策略,WINDOWS11系統(tǒng)在家用辦公上跑分表現(xiàn)都是非常優(yōu)秀,完美的兼容各種硬件和軟件,運(yùn)行環(huán)境安全可靠穩(wěn)定。
系統(tǒng)等級:進(jìn)入下載 >
相關(guān)文章
- 如何解決銳龍2200g死機(jī)藍(lán)屏
- Win8.1本地搜索為什么無法使用
- Win8.1無線網(wǎng)絡(luò)不穩(wěn)定/掉線怎么辦
- 電腦機(jī)箱漏電怎么消除?電腦機(jī)箱漏電是哪里的問題?
- 電腦開不了機(jī)怎么辦?電腦無法開機(jī)怎么解決?
- 硬盤雙擊無法打開的問題該怎么辦
- 風(fēng)行下載速度慢甚至是為0怎么辦?風(fēng)行播放器下載問題及解決方法匯總
- 蘋果回應(yīng)新的iOS惡意軟件YiSpector:已在iOS8.4中解決該問題
- 沒有路由器怎么連無線 160wifi 解決沒有路由器連接無線問題
- 維棠FLV下載視頻失敗問題匯總及解決方法
- Word2016 出現(xiàn)“此功能看似已中斷 并需要修復(fù)”問題解決方案(圖文)
- Cisco管理的35個常見問題及解答
- NanoStudio怎么用?NanoStudio使用方法及常見問題
- IE瀏覽器登錄網(wǎng)上銀行時出現(xiàn)崩潰問題的解決辦法
熱門系統(tǒng)
推薦軟件
推薦應(yīng)用
推薦游戲
熱門文章
常用系統(tǒng)
- 1win11最新娛樂版下載 技術(shù)員聯(lián)盟x64位 ghost系統(tǒng) ISO鏡像 v2023
- 2電腦公司windows7純凈版 ghost x64位 v2022.05 官網(wǎng)鏡像下載
- 3外星人系統(tǒng)Win11穩(wěn)定版系統(tǒng)下載 windows11 64位穩(wěn)定版Ghost V2022
- 4win11一鍵裝機(jī)小白版下載 外星人系統(tǒng) x64位純凈版下載 筆記本專用
- 5蘿卜家園Ghost win10 64位中文版專業(yè)版系統(tǒng)下載 windows10純凈專業(yè)版下載
- 6【國慶特別版】番茄花園Windows11高性能專業(yè)版ghost系統(tǒng) ISO鏡像下載
- 7青蘋果系統(tǒng) GHOST WIN7 SP1 X64 專業(yè)優(yōu)化版 V2024
- 8深度技術(shù)ghost win7純凈版最新下載 大神裝機(jī)版 ISO鏡像下載
- 9雨林木風(fēng)windows11中文版免激活 ghost鏡像 V2022.04下載