作者高伟峰,单位:中国移动雄安产业研究院智慧城市平台部实验室简介近年来,高级可持续威胁(APT)明显增多,多国受到波及除了APT组织的攻击,网络战也愈演愈烈,对企业安全和国家安全构成重大威胁。APT溯源与反溯源技术在防御APT攻击中起着举足轻重的作用。攻击发生后,溯源是应急响应流程中的核心环节。能否准确追踪攻击行为,直接决定了应急响应的安全加固措施是否有效。知己知彼方能百战百胜,因此本文将对APT攻击的特点、溯源及反溯源技术进行全面的解读。1什么是APT攻击?高级持续威胁(APT)是指一种隐藏的、持久的主机入侵过程,通常是出于商业或政治动机,经某些人精心策划,进而针对特定组织或国家进行攻击。这种攻击的主要特点是可以持续监控目标无人机,并从目标无人机中获取数据。1.1APT攻击与传统攻击的区别组织性:APT攻击通常是组织发起的攻击,可能具有军事或政治目的,会与国家有关联,背后往往有强大的资金支持;而传统的攻击通常是由个人黑客发起的,没有严格的组织。目标针对性:APT组织不会盲目攻击,通常会选择有针对性的攻击目标,往往具有较高的军事、政治和经济价值。传统攻击通常采用“泛洪”式的无差别攻击方式。攻击手法:APT攻击样本变种多、更新频繁,利用零日漏洞投递样本,传统基于特征匹配的防御技术难以有效检测攻击;而传统攻击多采用流量泛洪或已知漏洞进行攻击。隐蔽性:APT攻击使用加密隧道进行通信,隐蔽性强,基于流量检测的防御难以发挥作用;传统攻击不使用加密隧道窃取敏感信息。持续时间:APT攻击往往会持续数年。但传统攻击的持续时间较短,漏洞利用成功后不会在目标机留下后门程序。下图展示了APT攻击常用的战术:1.2APT攻击步骤情报收集:攻击者利用鱼叉式钓鱼攻击、谷歌搜索引擎、扫描工具、社会工程学等手段寻找目标机器信息,包括域名、子域名、IP地址、已知漏洞等。资源利用:攻击者将购买和租赁可用的基础设施。这包括物理或云服务器、域名和第三方网络服务、僵尸网络等。初始接入:攻击者利用0-day漏洞和N-day漏洞对软件供应链进行攻击,达到利用目标机器漏洞的目的。C2通信:将样本下发至目标机,使C2服务器与目标机建立通信加密隧道。横向移动:攻击者利用C2服务器横向渗透内网主机,最终控制内网主机。同时为目标机留下后门程序,方便持续攻击。资产发现:使用扫描工具扫描内网主机的指纹信息,如ip、开放端口、未修复的已知漏洞等。数据泄露:攻击者会对目标机器的敏感信息进行压缩加密,然后通过加密隧道进行窃取。下图展示了横向移动的过程。V代表C2服务器,红线左边代表公网,红线右边代表内网。内网的四台主机中只有192.73.1.19可以与公网通信,其他三台主机都是与公网隔离的,但是C2服务器通过开放的方式成功控制了内网的四台主机内网路由。2什么是APT攻击溯源?通过攻击溯源,我们可以确定源IP或媒体IP以及对应的攻击路径,从而制定更有针对性的防护或对策,实现主动防御。安防行业常见的溯源方式是基于防火墙和流量检测技术。但这种溯源方式误报率高,单点安全告警无法联动,无法还原完整的攻击链。而APT攻击溯源可以解决上述问题。APT攻击溯源主要分析以下三个问题:Why:黑客为什么可以攻击,黑客使用了哪些攻击方式和黑客工具。谁:确定攻击者的身份、个人信息和网络指纹。Where:发现安全事件的痕迹,找出攻击者的历史痕迹。3如何溯源APT攻击?APT溯源的过程类似于警方破案的过程。溯源需要证据,不能靠猜测。常见的溯源技术如下:3.1APT组织画像3.2通过IOC(特征值)攻击溯源0天、N天漏洞、Web漏洞、主机漏洞、容器漏洞等;交通异常;样本(病毒、蠕虫、特洛伊木马等)等);攻击ip地址,受害者ip地址;高危港口;恶意进程及其调用链;主机日志;DNS解析历史;.其原理是先将实时流量引入沙箱,然后监控沙箱的文件系统、进程、注册中心、网络行为,判断流量是否包含恶意代码。与传统的特征匹配技术相比,沙箱方案对未知恶意代码的检测能力更强,但难点在于模拟的客户端类型是否全面。如果没有合适的运行环境,流量中的恶意代码将无法在检测环境中被触发,从而导致误报。3.4异常行为攻击溯源原理是对网络中的正常行为模式进行建模。核心技术包括元数据提取、正常行为建模和异常检测算法。该方案还能够检测未知攻击。3.5全流审计攻击溯源原理是对链路中的流量进行深度协议分析和应用还原,识别是否包含攻击行为。当检测到可疑攻击时,在全流量存储的情况下,对相关流量进行回溯分析,例如还原包含的http访问、下载的文件、及时的通信信息等,帮助确认攻击的完整过程。该方案具有强大的事后追溯和实时检测能力,是将安防人员的分析能力与计算机强大的存储、计算能力相结合的解决方案。3.6样本溯源样本的静态特征包括语言、pdb、字符串等。pdb文件主要存放VS调试程序所需要的基本信息,主要包括源文件名、变量名、函数名、FPO(帧指针),对应的行号等。通过对样本的聚类和同源分析,以及ip、domain、url、md5等的关联,可以溯源。3.7溯源案例分析WannaCry勒索病毒攻击是针对全球发起的网络攻击由WannaCry蠕虫于2017年5月发起。该攻击加密数据并要求以比特币加密货币支付赎金。通过样本溯源和流量分析,可以准确定位WannaCry勒索病毒攻击。分析方法如下:对比WannaCry1.0和WannaCry2.0的样本信息,可以确定样本属于同一个攻击组织。如果在内网主机的445端口建立了大量连接,说明WannaCry蠕虫正在横向移动,证明内网已经被WannaCry蠕虫感染。4如何实现APT攻击的反溯源?“道高一尺,魔高一尺。”既然有溯源技术,就必须有反溯源技术。对于APT组织来说,通信通道的隐蔽性直接决定了他们能否继续攻击。如果隐蔽性不足,则需要不断开发样本,增加攻击成本。下面介绍一种通过端口映射隐藏攻击IP的方法。通过隧道将C2服务器连接端口映射到其他公网地址,从而隐藏C2服务器的真实IP。隧道最好使用https,可以加强通信的隐蔽性。通过CS软件控制内网目标机,下图显示目标机已经被控制。通过网络连接查看目标机上的攻击ip,发现C2服务器的ip已经被隐藏,目标机显示的目标ip为伪造的公网ip。5如何防御APT攻击?目前安全行业流行的APT防御思路有:利用机器学习和大数据分析技术发现APT行为。典型的公司是FireEye;模型训练需要海量样本数据,而很多公司并没有海量样本数据来训练模型。数据加密和数据泄漏防护(DLP)用于防止敏感数据泄漏。典型的公司是赛门铁克;这种方式的优点是可以最大程度的保证数据的安全,操作简单。缺点是敏感数据分类分级标准不统一,导致防泄露策略不明确。利用身份认证和用户权限管理技术,严格控制对内网核心数据和服务的访问,典型的公司是RSA。这种方式的优点是可以减少样本横向移动的可能性,缺点是网络的微隔离可能会影响业务访问的速度。应用白名单和域白名单用于控制网络访问的域和用户通过白名单安装的应用。这种方法对于防御样本在目标机器上的执行非常有效。这种方法的优点是可以有效防止样本执行,缺点是可能导致正常程序无法运行。
