第五屆看雪安全開發(fā)者峰會 | 如何發(fā)現(xiàn)并阻斷APT攻擊?深信服藍軍與海蓮花“交手”成功案例分享

  • 人閱讀
  • 2021-10-23 22:08:01

  • 來源:中關(guān)村網(wǎng)

  • 相關(guān)關(guān)鍵詞

想象一下,有一個團伙,一直在監(jiān)視你,你在明他在暗,他長期潛伏,收集關(guān)鍵情報,只為找準機會,對你發(fā)起“襲擊”……害怕嗎?在網(wǎng)絡(luò)世界里,這種事情在默默上演,受害者可能是個人、可能是組織、可能是企業(yè),而后果可能是“致命”的……怎么辦?你只能一籌莫展?當然不是!

10月23日,在第五屆看雪安全開發(fā)者峰會(2021 SDC)中,深信服藍軍高級威脅攻防研究員閆忠進行了主題為《多維度視角下APT挖掘?qū)嵺`》的分享,以追蹤海蓮花APT組織攻擊活動的實戰(zhàn)經(jīng)驗為例,詳細分析了反向追蹤APT組織的實戰(zhàn)思路。

第五屆看雪安全開發(fā)者峰會

2021 SDC現(xiàn)場:深信服藍軍高級威脅攻防研究員閆忠

  惡意文件的挖掘是反向追蹤APT攻擊者的關(guān)鍵

閆忠在分享時提到,APT 整個攻擊鏈中,存留時間最長的數(shù)字類型證據(jù)是惡意文件,惡意文件在整個網(wǎng)絡(luò)安全領(lǐng)域里存留時間最長,且因外因變化而改變的概率小,不易被篡改。因此,在反向追蹤APT攻擊者的過程中,惡意文件的挖掘是關(guān)鍵。

在惡意文件的挖掘中,可以充分利用 PE 文件元數(shù)據(jù)來追蹤APT攻擊者的更多樣本,然后再對APT攻擊者的樣本進行研究擴展,從而遞歸找到APT攻擊者更多的惡意文件與 IOC 情報。閆忠提到,可以從文件名、imphash 值、Rich header 哈希值、數(shù)字證書、模糊哈希(SSDEEP、TLSH、VHASH)等多個維度,挖掘到更多所屬攻擊者的惡意文件。

  實戰(zhàn)!一步步反向追蹤并成功阻斷海蓮花APT攻擊

第五屆看雪安全開發(fā)者峰會

據(jù)深信服發(fā)布的《2020年網(wǎng)絡(luò)安全態(tài)勢洞察報告》,2020年,海蓮花主要對東南亞地區(qū)相關(guān)國家以及本國海內(nèi)外異見人士進行攻擊與信息監(jiān)聽,十分活躍,因此其也成為深信服藍軍高級威脅攻防研究團隊監(jiān)控的主要目標之一。

通過對海蓮花在文件側(cè)與網(wǎng)絡(luò)側(cè)進行多維度挖掘?qū)嵺`,深信服藍軍高級威脅攻防研究團隊挖掘到了海蓮花大量文件側(cè)與網(wǎng)絡(luò)側(cè)的 IOC 情報,從而發(fā)現(xiàn)并阻斷了好幾起海蓮花組織的攻擊事件……

文件側(cè):深信服藍軍高級威脅攻防研究團隊充分利用 PE 文件元數(shù)據(jù)以及樣本獨特的特征來追蹤海蓮花的更多樣本,并在更高維度采用了代碼同源性分析來挖掘更多樣本。

網(wǎng)絡(luò)側(cè):因為從定制化的攻擊樣本中,無法挖掘到海蓮花組織的更多情報,深信服藍軍高級威脅攻防研究團隊為了突破這個限制,將以網(wǎng)絡(luò)資產(chǎn)為核心的挖掘作為新的拓展方向。

捕獲海蓮花網(wǎng)絡(luò)資產(chǎn)方式1:異常數(shù)據(jù)分析

第五屆看雪安全開發(fā)者峰會

通過深信服藍軍高級威脅攻防研究團隊的持續(xù)觀察,對大量控制命令服務(wù)器網(wǎng)絡(luò)交互數(shù)據(jù) Server 字段的查看,“Apache/2.4.34 (Red Hat) OpenSSL/1.0.2k-fips”引起了研究人員的注意,因為這組數(shù)據(jù)的標題為“Welcome to nginx!”,依據(jù)這個異常數(shù)據(jù),深信服藍軍高級威脅攻防研究團隊挖掘到一批網(wǎng)絡(luò)資產(chǎn),確定了其中屬于海蓮花組織的網(wǎng)絡(luò)資產(chǎn)。

捕獲海蓮花網(wǎng)絡(luò)資產(chǎn)方式2:多個特征結(jié)合關(guān)聯(lián)

第五屆看雪安全開發(fā)者峰會

除了上述提到的方法,依據(jù) SSL 證書的強關(guān)聯(lián)特性,深信服藍軍高級威脅攻防研究團隊發(fā)現(xiàn)海蓮花組織的 C&C 服務(wù)器往往采用自簽名證書,通過“篩查自簽名證書的網(wǎng)絡(luò)資產(chǎn),限定選擇返回的數(shù)據(jù)長度 501 字節(jié),且服務(wù)端組件為‘nginx 1.8.0’”的方式,深信服藍軍高級威脅攻防研究團隊又發(fā)現(xiàn)了其中屬于海蓮花組織的網(wǎng)絡(luò)資產(chǎn)。

  捕獲海蓮花網(wǎng)絡(luò)資產(chǎn)方式3:利用掌握的運營特征指紋擴大戰(zhàn)果

第五屆看雪安全開發(fā)者峰會

此外,深信服藍軍高級威脅攻防研究團隊結(jié)合從文件側(cè)挖掘到的惡意攻擊文件,提取到屬于海蓮花的網(wǎng)絡(luò)資產(chǎn),發(fā)現(xiàn)國內(nèi)失陷主機,這些IP資產(chǎn)成為了海蓮花攻擊的跳板,深信服藍軍高級威脅攻防研究團隊利用掌握的運營特征指紋,再次關(guān)聯(lián)到其他國內(nèi)失陷主機,從而擴大了戰(zhàn)果。依據(jù)這些特征,針對海蓮花組織,深信服藍軍高級威脅攻防研究團隊在幾個月的時間里,最終挖掘到了海蓮花大量文件側(cè)與網(wǎng)絡(luò)側(cè)的 IOC 情報。

一直以來,以情報搜集、破壞、或經(jīng)濟利益為目的APT攻擊,是深信服藍軍高級威脅攻防研究團隊重點關(guān)注的領(lǐng)域,因為APT組織的每一次動作,都將可能給個人、企業(yè)、社會機構(gòu)甚至是國家安全帶來嚴重影響。通過攻擊和防御雙方的視角,從多維度分析和解決網(wǎng)絡(luò)安全問題,未來,深信服將不斷提高專業(yè)技術(shù)造詣,深度洞察網(wǎng)絡(luò)安全威脅,持續(xù)為網(wǎng)絡(luò)安全賦能。

(免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )