2016年中国网络空间安全年报
4. 网络空间中的APT威胁分析
美国FireEye火眼公司曾发布2013年度APT攻击报告(Advanced Threat Report),在每天分析100个安全攻击事件的基础上,对159个与APT相关的恶意软件家族进行整理,在几乎世界上的每个角落都发现过恶意软件的服务器,并且攻击行为愈演愈烈。
下文从安恒APT云端的海量攻击样本中,对APT的攻击特点与事件进行分析,其中木马程序成为了APT攻击常用工具,黑客通常采用恶意木马进行终端信息搜集与回联控制,为了深入说明APT攻击的典型行为,下文从互联网、金融行业、政府行业与教育行业中选取了典型攻击事例进行分析,可了解各行业面临的APT攻击共性与差异点。
4.1. APT攻击特点分析
APT(高级持续性威胁)的特点主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的情报收集,典型的攻击过程与途径如下所示:
图 4-1 典型APT攻击过程
图 4-2 APT攻击典型途径
4.1.1. 攻击样本以木马程序为主
当前APT攻击主要是利用恶意代码作为攻击载体,根据在安恒APT云端统计到的数万次恶意代码的攻击中,利用木马程序进行攻击的方式占比达到66%,明确是以建立C&C回传通道为目标,攻击过程中采用方式结合了邮件社工、已知漏洞利用、0DAY攻击等多种方式。
图 4-3 恶意代码占比
其中木马程序的类型有Backdoor,Trojan,RootKit,Packed,Exploit等类型,分别占比情况如下:
图 4-4 木马程序分类
4.1.2. 木马程序主要恶意行为TOP10
通过沙箱分析技术对恶意代码的行为进行分析,发现恶意木马程序的行为通常以收集计算机信息、从资源段释放文件并运行、创建网络套接字连接、枚举局域网资源,用于收集信息等恶意行为为主,主要包含恶意行为TOP10如下:
图 4-5 典型恶意行为 TOP10
4.2. 各行业均有出现APT针对性攻击事件
安恒通过APT云端对持续一年的对各种恶意代码传播行为监控,发现了大量的具有“针对性的”高级威胁,这些威胁往往都具有明确的目标指向,在发起攻击时采用了复杂的技术手段,甚至会通过各种渠道收集目标方的内部员工信息,结合社会工程学的方式来增强攻击产生的效果,以下为选取的几起典型的攻击事件分析:
4.2.1. 来自北美的“天猫”APT攻击事件分析
根据安恒APT云端在对来自北美的流量监控的过程中,发现一封来自美国的可疑邮件,该邮件的主题是《您收到的优惠券》,发件人名称显示为天猫。但进一步对发件人的邮箱链接分析,发现实际发件人邮箱并非来自阿里巴巴,通过对邮箱服务器所属区域分析,发现服务器位于美国。
图 4-6 “天猫”邮件样例
另外,该邮件还附带了一个附件,附件是压缩包格式,里面包含的样本实际类型为exe。
根据APT沙箱分析报告显示,该exe样本的主要行为有:
图 4-7 EXE样本行为
因此,基本判断为恶意附件,且明确为精心构造的结合邮件社工的黑客攻击行为。进一步分析其详细可疑行为,发现其关键目标为建立加密回传通道、收集用户信息、向外发送盗取数据。
根据安恒APT沙箱报告可自动分析其行为过程图:
图 4-8 “天猫”附件样本动态行为过程
其中关键的恶意行为有释放恶意文件行为,即在打开的过程中还会进一步释放两个其他恶意文件,用于执行后删除文件和拷贝覆盖文件。
进一步对其网络行为分析,发现其建立回传通道的关键服务器两个IP分别指向北美地区的墨西哥和中东的阿联酋。
图 4-9 “天猫“附件样本网络行为与进程行为
黑客通过这两个回连服务器,建立控制通道,向外回传数据,因此初步判断其攻击源和回连服务器都指向了北美地区。
事件总结和应对方案
根据安恒APT云端近半年监控到的数据,发现来自同一区域的攻击多达数万次,其最终攻击目的都是以获取权限和控制为主,攻击具有极强的隐蔽性、针对性和持续性,常规基于杀毒软件、防火墙的安全防护能力不再适用,加强预警意识和提高防范能力,尤其是针对邮件威胁的安全预警和防护体系!
4.2.2. 针对金融行业的APT攻击样本分析
Worm.Win32.OnlinePay是一个利用合法程序来加载自身的蠕虫病毒,攻击过程复杂且具有非常强的感染性,在攻击过程中具有明确的指向性,是以银行、在线支付等金融类平台做为攻击目标,一旦攻击成功会快速向局域网其他主机进行传播和感染,危害极大。
它会在被感染的机器上劫持网络支付行为从而盗取用户财产,它能够通过可移动磁盘和局域网进行传播并且具备感染多种类型文件的功能。
Worm.Win32.OnlinePay具备下列功能:
4.2.3. 针对政府行业的APT攻击样本分析
安恒APT威胁分析设备在某政府用户网络中发现了一个APT攻击样本,这是一个由EncapsulatedPostScript (EPS) filter模块(32bit下模块为EPSIMP32.FLT)中一个User-After-Free漏洞所构造的利用样本。
该样本可在多种环境下触发成功,使攻击成功率大大增强。且该样本中的ROP技巧使用了一种较新的方法,该方法可以绕过EMET等防护软件的检测,攻击具有极强的指向性和隐蔽性,属于典型的针对性的APT攻击。
其漏洞成因及利用分析:
当EPS在处理字典类型(dict)的copy操作时,会将接受拷贝方的键值对条目全部删除,然后再重新分配一个进行数据拷贝(正常情况下在字典拷贝时只对要拷贝的元素进行操作,而不影响其它元素)。
Shellcode的功能主要为释放一个DLL并加载执行。
溢出成功后会释放一个恶意的dll文件。
图 4-10 样本的行为过程
该dll文件在前台打开伪装的原文件名doc,并显示“文件毁损严重无法正常开启”及大量乱码,迷惑用户掩盖入侵痕迹。其实它在后台尝试下载黑客特定的远程后门模块,经过解密和手动内存加载,减少安全软件报警机率及磁盘文件残留。
该后门模块短小精悍,但功能强大。支持IE浏览器注入、HTTP中间人攻击、本地磁盘文件读写操作、键盘记录、屏幕获取、局域网资源操作、网络状态及端口映射、注册表/进程/服务等系统操作、远程shell命令和文件执行、屏幕锁定、重启注销关机、消息框弹窗等黑客指令和模块。
该漏洞及利用样本的威胁程度非常高,可以在多种环境下成功利用,并且其构造的ROP链及shellcode能够绕过多款安全性增强工具的检测。所以需要做好预警和防范工作。
4.2.4. 针对教育行业的黑客攻击事件分析
通过APT产品在对某高校网络流量监控的过程中,发现内网经常莫名出现异常,网络经常性出现短时间瘫痪,官网也时常出现无法访问。该事件引起技术人员的重视,立即安排人员现场进行调查、取证和分析。通过对APT设备日志关联分析,迅速发现内网一台可疑主机192.168.X.X,这个ip会从几个URL地址下载linux的异常流量攻击和控制工具。
图 4-11 可疑外连行为
打开其中一个恶意url:
图 4-12 样本的某外连站点
可以发现大量恶意的程序存在上面,使用IDA打开恶意的json.dll看见大量恶意的指令,可以控制被黑“肉机”发起DDoS攻击,包含应用层和网络层各种DDoS攻击指令。
在浏览器打开该可疑主机 http://192.168.X.X发现是一台网站服务器,基本可以判断是该服务器被入侵,并且已经植入了远程恶意控制程序,已经被控制为“肉机”,会从内部向外发起异常的流量型攻击和资源占用型攻击,在对外部发起攻击的同时也会影响到内网网络设备和防火墙的正常工作。
未完待续