近日,反病毒引擎和解决方案厂商安天发布了一篇名为《白象的舞步——来自南亚次大陆的网络攻击》的报告,披露了两组针对我国多领域的高频度APT攻击事件。尽管安天尚未最终确定这两个攻击波的内在关联,但可以确定的是其具有相似的目的和同样的国家背景,安天将其两组攻击统称为——“白象行动”。
2012年~2013年,安天陆续捕获了来自白象组织的多次载荷投放,此后依托关联信息同源分析,找到了数百个样本,这些样本多数投放的目标是巴基斯坦,少数则针对中国的高等院校和其他机构。2013年7月,安全厂商Norman所发布的报告,将这一攻击称为HangOver。在2014年的中国互联网安全大会上,安天在题为《APT事件样本集的度量》的公开报告中,对这个事件做了首次全面披露。2014年8月,安天完成了报告《白象的舞步——HangOver攻击事件回顾及部分样本分析》,并将这一攻击组织中文命名为 “白象”。
为区分两个不同的攻击波,安天将2012~2013年高度活跃的这组攻击,在本报告中称之为“白象一代”。
白象一代攻击
“白象一代”投放了至少近千个不同HASH的PE样本,使用了超过500个C&C域名地址;其开发人员较多,开发团队技能混杂,样本使用了VC、VB、.net、Autoit等多种环境开发编译;同时其未使用复杂的加密算法,也未发现使用0day漏洞和1day的漏洞,而更多的是采用被部分中国安全研究者称为“乱扔EXE”的简易社会工程学——鱼叉式网络钓鱼攻击。PE免杀处理是该攻击组织所使用的主要技巧,这也是使这组攻击中的PE载荷数量很大的原因之一。
白象二代攻击
2015年年底,安天又发现一组来自“西南方向”的攻击进一步活跃,通过持续跟踪发现本次行动的攻击主要目标依然为中国和巴基斯坦,通过安天监控预警体系分析发现,中国的受攻击者主要为教育、军事、科研等领域。
第二攻击波的行动摆脱了“白象一代”杂乱无章的攻击手法,整体攻击行动显得更加“正规化”和“流程化”。第二攻击波普遍使用了具有极高社工构造技巧的鱼叉式钓鱼邮件进行定向投放,至少使用了CVE-2014-4114和CVE-2015-1641等三个漏洞;其在传播层上不再单纯采用附件而转为下载链接、部分漏洞利用采取了反检测技术对抗;其相关载荷的HASH数量则明显减少,其中使用了通过Autoit脚本语言和疑似由商业攻击平台MSF生成的ShellCode;同时其初步具备了更为清晰的远程控制的指令体系。安天将这组攻击称为“白象二代”。
对比白象一代攻击与白象二代攻击
安天表示,目前尚无证据表明“白象一代”和“白象二代”组织间存在人员交叉。从整体上来看,“白象二代”相比“白象一代”的技术手段更为高级,其攻击行动在整体性和技术能力上的提升,可能带来攻击成功率上的提升。而其采用的更加暴力和野蛮的投放方式,使其攻击次数和影响范围远远比“白象一代”更大。
“白象二代”的技术手法相比“白象一代”有质的提升,其更符合某些研究者对于APT攻击的“技术定义”, 但安天始终要指出,APT的“A(高级)”是相对的,是否称为APT攻击,主要是分析攻击的发起方与其动机和意志,而所谓技术水平则不是定性的主要因素。同时,无论是“白象一代”轻量级的攻击,还是“白象二代”显得更为高明的攻击,对于中国庞大的信息体系,特别是针对高等院校等民用机构,构成了严重的威胁。
安天将“白象一代”和“白象二代”的部分要素通过表格的形式进行了对比,可以看出相关国家背景攻击能力的发展:
大国网络空间防御能力最终会由攻击者和窥视者检验
在过去数年间,中国的信息系统和用户遭遇了来自多方的网络入侵的持续考验,这些攻击使用各种高级的(也包括看起来并不足够高级的)攻击技巧,以获取机要信息、科研成果和其他秘密为对象。攻击组织在关键基础设施和关键信息系统中长期持久化,以窃密和获取更多行动主动权为目的,其危害潜在之大、影响领域之深,绝非网站篡改涂鸦或传统DDoS所能比拟。这些攻击也随实施方的战略意图、能力和关注点的不同,表现出不同的方法和特点。尽管中国用户更多焦虑于那些上帝视角的攻击,但从针对“白象”的分析可以看到,来自地缘利益竞合国家与地区的网络攻击,同样是中国信息化的重大风险和挑战。
而且这些攻击往往虽然显得有些粗糙,但却更为频繁和直接,挥之不去。
对于类似白象这样的攻击组织,因缺少人脉和电磁能力作为掩护,其更多依赖类似电子邮件这样的互联网入口。从一个全景的防御视图来看,这本来是一个可以收紧的入口,但对于基础感知、检测、防御能力不足的社会肌体来说,这种具有定向性的远程攻击是高度有效的,而且会淹没在大量其他的非定向的安全事件中。
大国防御力,由设计所引导、以产业为基础、与投入相辅相成,但最终其真实水平,要在与攻击者和窥探者的真实对垒中来检验。
APT防御需要信息化基本环节和安全能力的共同完善
从“白象”系列攻击中,我们首先能看到中国在信息化发展上的不足。在“白象二代”组织所投放的目标电子邮箱当中,其中很大比例是免费个人邮箱,在安天之前关于我国邮件安全的内部报告中,就已经指出国内机构用户有近一半的都使用免费个人信箱作为联络邮件这一问题。而国内免费信箱的安全状况已高度不容乐观。在启动信息高速公路建设二十年后,国内依然没有对官方机构和政务人员实现有效的安全电子邮件服务的覆盖,这种企业、机构级信息化基础设施的匮乏,包括互联网服务商缺乏有效的安全投入,导致了可攻击点高度离散,降低了攻击门槛,提升了防御难度。
从“白象”系列攻击中,我们还能看到中国大量基础的信息安全环节和产品能力还不到位,“白象一代”曾被安天定性为轻量级APT攻击,以免杀PE辅以有限的社会工程技巧,进行投放,但却成功入侵了中国的高等学府。“白象二代”组织尽管在手法上有很大提高,但亦未见其具备0day储备,其所使用的三个漏洞,在为“白象组织”使用时,微软已经将其修补,而其中两个并未经过免杀处理。而类似这样的攻击依然能够大行其道,也是当前补丁、系统加固等基础安全环节不到位、产品能力不足的体现。
相关攻击亦说明,传统的以单包检测为核心的流量入侵检测机制,实时检测为诉求的边界安全机制等需要得到有效补充和扩展,重要系统必须建立起在流量还原层面针对载荷投放的有效留存和异步深度检测机制。流量还原与沙箱的组合,将成为重要系统的标配。沙箱不是简单地补充行为分析能力,而是提升攻击者预测防御方能力和手段的成本,而不进行能力改进,简单汉化开源沙箱的做法,等于放弃了沙箱产品的“抗绕过”这一重要安全特性。沙箱绝非简单的合规安全环节,当年部分IDS 简单借鉴模仿开源SNORT就能够有效发现问题的时代已经过去。沙箱也不是简单的扩展反病毒引擎的检测能力,其核心价值在于有效的漏洞触发能力和行为的揭示能力,这需要长期以来的安全积累实现工程能力转化。而其单对象输入,多向量输出的产品特点,意味着这是必须依托网络管理者和厂商支撑团队的有效互动才能有效发挥价值的产品。
同时无论形态是PC、服务器或云,终端都是数据的基本载体,安全的终极战场,网络侧的安全能力必须与终端侧联通,形成纵深防御体系。国产操作系统同样需要安全手段和机制的保驾护航。任何期望御敌于网络边界或物理隔离的想象,任何“一招鲜,吃遍天”的打包票承诺,都只能是自我的心理安慰。
反APT是一种综合的体系较量
反APT攻击,要对抗攻击者在人员、机构、装备、工程体系方面的综合投入,其必然是一场成本较量,今天我们看到的安全低于成本价中标等不正常的市场行为,最终都将伤害大国网络空间安全的整体能力。
反APT攻击,要对抗攻击者坚定、持续的攻击意志,而这同样对于对抗APT的安全分析团队提升了更高的要求,从安全厂商角度,是在感知分析工程体系支撑下的持续对抗;我们必须持续跟踪攻击者的技巧、意图和路径,将这些经验转化为用户侧的防御改善和产品能力更新。安全分析团队既要有曝光对手的勇锐,也要有戍边十载、不为人知的意志与沉稳。
此外,我们觉得遗憾的是, “白象”作为非常活跃的APT攻击行动,在过去数年都仿佛始终在国际大部分主流安全厂商的视野之外。因此,像安天过去的多篇报告一样,本报告也将以中、英双语发布,尽管我们不知道会有多少海外读者,但我们希望告知世界关于中国所遭遇到的网络攻击的真实情况,“中国是网络安全受害者”这一事实必然会战胜某些人所制造的刻板偏见。
作者:杜美洁
来源:51CTO