欢迎来到兴华永恒!加入收藏设为首页
您当前所在位置:首页 > 手艺专栏 > 专业公布
手艺专栏
葡京网上赌场

要挟谍报阐发之牛刀小试

                                                                                                         —“BITTER”变乱的阐发总结



克日,Forcepoint公司表露了一同针对巴基斯坦政府部门的APT进犯变乱。墨侠团队经由过程对网络基础设施的联系关系信息阐发,得到了BITTER与APT 28构造很可能师出同门的结论。本文将对此次进犯停止阐发总结。

本报告中将具体给出对本变乱的阐发步调,仅作为交换感化,不存在任何指导意义。

1.  对变乱定性

APT进犯和一般的无差别木马传布在某种角度上有手艺重合部门,好比传布方法都能够利用邮件的鱼叉式进犯,回传数据都能够用到CC域名等。在对BITTER构造停止阐发时,我们经由过程以下几点将本次活动界说为APT进犯。

1.1    目的专一性

APT进犯和木马传布举动最大的差别就是对目的的挑选,APT进犯的目标是为了夺取目的的秘密谍报,以是目的都表现出相对的专一性,凡是只是特定的行业,以至行业内几家相干公司或部委。而一般的传马举动凡是在挑选目的上是无差别的,目的旨在得到更多的“肉鸡”供攻击者完成其它用处,好比DDOS。

本次进犯的策动者“BITTER”在挑选目的上就表现出了较强的专一性,据我们把握的信息表现出,本次变乱的被害者根本都集合在巴基斯坦的政府官员这一范围内。从目的的挑选上看,契合APT进犯的特性,但关于传马举动则这个范畴相对狭窄。

之前由友商表露的“海莲花”构造曾被质疑不是一同APT进犯,质疑者的概念之一就是,目的没有专一性。陈述原文指出“现已捕捉OceanLotus特种木马样本100余个,传染者遍及海内29个省级行政区和境外的36个国度。此中,92.3%的传染者在国外。北京、天津是海内传染者最多的两个地域”云云宏大的目的范畴,需求来保护此次进犯的本钱是无法设想的,并且攻击者的念头难以预料。以是目的的专一性是对一次进犯定性的主要根据之一。

1.2    东西专业性

APT进犯之所以被称为是“初级持续性要挟”,是由于“初级”次要表现在大费周章的搜集目的的信息,经心机关的进犯payload。从比年表露出的APT进犯变乱来看,攻击者利用的东西也在飞速的退化,不但针对Windows,可用于Linux,Mac以至挪动端的进犯东西接踵呈现。由于进犯目的的基数有限,以是攻击者必需包管进犯payload的高效性,以是APT攻击中利用的东西也以功用庞大,免杀手段高端而表现“初级”。

“BITTER”构造利用了包罗针对Windows PC和安卓挪动端的进犯东西,而且在对样本的阐发历程中发明这批样本设想的很精美,功用丰硕,而且利用了了大量的加密和混合阐发的手腕,包管样本的存活。攻击者所利用的垂钓邮件也是为目的专门定制的,表现出在前期的信息搜集上,攻击者也破费了相称的心机。

一般传马举动的垂钓邮件则没有精确的针对性,能够包罗及时消息,夸大行动,以至不成形貌内容。因为目的面向所有可能被入侵的主机,目的基数较大,对种马成功率的思索则有所完善,以是对木马构造的设想相对不敷松散。

1.3    进犯持续性

APT进犯意在持久埋伏在目的内部,络绎不绝的获得攻击者感兴趣的谍报,以是一次进犯的工夫常常长达几年,为了保持权限,攻击者还能够具有后门的更新手腕。

而一般的传马举动的目标就是得到更多的“肉鸡”参加到攻击者的僵尸网络中,一波进犯已往再来一波,常常不会呈现对进犯目的持久监控的征象。

在本次变乱傍边“BITTER”构造利用的样本最早呈现在2013年11月,按照PassiveDNS手艺所阐发到的进犯工夫轴也根本契合这一时间点,阐明该构造对目的的监控能够长达三年之久。

综合以上几点,可将本次由“BITTER”构造倡议的进犯定性为一同APT进犯,进而有了深化阐发的代价。

2.  Whois信息操纵

Whois是用来查询域名的IP以及所有者等信息的传输和谈,在要挟谍报的阐发历程傍边,我们凡是留意的是注册者的姓名,注册邮箱。操纵这些信息与之前积聚下的要挟谍报资本联系关系,测验考试找出与以往进犯变乱能否发作资本穿插操纵的状况,为进犯溯源供给强有力证据。

在实践的阐发历程傍边,天然不会如上说的那么理想化。跟着反要挟谍报的开展,攻击者在布置这些网络基础设施时也非分特别的留意躲藏本人的信息,在这个历程傍边就需求阐发职员从这些虚伪信息中找出能够被我们操纵的信息。

2.1 免费动态域名

网络上有很多免费域名服务商,攻击者只需求在其顶级域名下注册一个二级域名,就可以获得一个免费的网络空间来布置CC服务器。这也是攻击者最常见的操纵手腕。

在本次对BITTER的阐发中发明,其利用了大量的这类域名来躲藏本人的信息。假如查询这类域名的whois信息的话,阐发者凡是获得是对应的顶级域名,也就是域名提供商的相干信息。

2.2    虚伪信息

经由过程对全部变乱的阐发统计,BITTER构造的域名注册邮箱统一利用Gmail格局的邮箱。在要挟谍报库内,未发明这些邮箱有反复操纵的状况。

1.png                                             

APT进犯凡是都伴随政治,军事大概贸易布景,在攻击者布置网络基础设施时城市决心躲藏有关本身的任何信息,避免安全厂商大概目的感知到要挟后对进犯停止溯源。

固然经由过程whois信息我们凡是无法分辨真伪,能够局部造假使得阐发职员获得的可用谍报相对有限,但这些信息就毫无代价了吗?暂不思索whois信息的真实性,我们能够经由过程一些信息表现出的特性来作为溯源联系关系的一些线索大概根据,好比在此次攻击中,BITTER构造利用的域名根本都为“单词”+“数字”的牢固格局,假如在当前发明的要挟中发现有此类特性,最少能够给阐发职员供给一个阐发方向来寻觅二者之间更多的共性。这一点的可用性在之前的阐发实例中被证实过,好比墨侠团队在对threatconnect公司表露的“熊猫”系列与某构造停止联系关系时发明,二者注册者信息部门风俗以“复仇者同盟”中的脚色和国外姓名格局定名,域名服务商均是godaddy.com等。此中任何一条零丁拿出来都可以说是偶合,但多个“偶合”组合起来就能够了解为“符合”,再经由过程样本,目的一致性,PDNS等证据就能够将两个构造联系关系起来。

以是,即便whois信息固然在大多数情况下都是虚伪的,阐发职员仍然能够经由过程这些信息获得攻击者的举动特性来作为溯源线索以至帮助证据。

3.  PassiveDNS信息操纵

近年来,跟着要挟谍报一起火起来的一个词就是“PassiveDNS”, 被动DNS最后于2004年由Florian Weimer创造,旨在对立歹意软件。按照其界说,递归域名服务器会呼应其领受到的来自其它域名服务器的恳求信息,然后对呼应信息停止记载并将日记数据复制到中央数据库傍边。

在全部要挟谍报阐发的历程傍边,前期的要挟感知和前期的进犯溯源PassiveDNS都阐扬着无足轻重的感化。在DNS服务器上布置被动DNS“传感器”,按期对上传数据停止考核,假如发明非常记载便可停止深化阐发,分辨恳求目的能否为歹意链接。进犯溯源时,我们能够查询到某一域名已经剖析过的IP地址。即便这一域名曾经从域名服务器中移除了,也能够查询到相干的信息。这些信息对阐发职员用来肯定进犯持续时间,网络资源能否穿插操纵等起着枢纽感化。

3.1 肯定进犯工夫

PassiveDNS的每一条剖析记载都具有工夫戳,这个工夫戳能够了解到域名的呈现工夫和历次的剖析举动。经由过程这两个信息再共同样本的编译工夫大抵能够肯定一个攻击行为能够的工夫轴。再经由过程审计这段时间内的日记,评价形成的影响和丧失。

在阐发BITTER构造时,我们发明样本的编译工夫最早呈现在2013年,集合呈现在2015年7月至2016年9月时期,再经由过程CC域名的PassiveDNS记载能够肯定此次进犯大要从2015年头开端。

3.2    网络资源穿插利用

此部门信息作为变乱联系关系的最有益的证据,一直以来都是要挟谍报阐发中主要的阐发步调。PassiveDNS供给的剖析记载不只能够供给域名的剖析行动,也能够供给此IP上剖析过哪些域名,假如两个变乱中触及的CC域名都在统一时间段剖析到统一IP上,那么这三者之间一定有必然的联络,(固然还要判定此IP的归属范例,后文会提到)。

在对BITTER所利用的CC域名停止阐发时,颠末挑选阐发职员注意到一个域名“info2t.com”。PassiveDNS记载以下

工夫

IP

归属地

2016-10-25

130.211.96.168

美国

2014-09-07

31.41.218.176

乌克兰

能够看到此域名于2016-10-25剖析到IP 130.211.96.168上,在对通对IP:130.211.96.168的阐发我们得到了进一步的信息。有大量的歹意链接指向此IP,部门成果以下:

2.png


此中被标识表记标帜出来的链接,形似仿冒正当网站的域名,此类域名常常被用来施行水坑进犯。阐发职员对这些域名停止一一排查发明域名worldmilitarynews.org的PassiveDNS记载以下。

工夫

IP

归属地

2016-09-26

130.211.96.168

美国

2015-09-29

109.71.51.58

乌克兰

2015-04-07

198.105.122.184

美国

2015-03-13

5.56.133.69

英国

能够看到该域名于2016-09-26一样剖析到IP 130.211.96.168上,经由过程比照两个域名的PDNS记载不难发明两个域名险些在同一时间剖析到统一IP上,至此只能够假定这两个域名具有某种联络,由于接下来还要肯定此IP的有效性,还不能解除这个IP是否是安全厂商在检测到歹意域名以后停止接收,将它们剖析到本人的IP上。

3.3 可用的PassiveDNS信息

攻击者凡是不会在网络上架设自力的服务器用来掌握后门,而更倾向于租赁云主机来庇护本人的信息。以是我们在针对某事件的阐发历程中常常会发明一个IP上剖析了大量的域名。形成这种情况凡是有两个缘故原由,一是在差别时间段由差别用户剖析上来而且被PDNS传感器记载到,二是上文提到的被安全厂商接收。

不管哪种状况都不能零丁作为进犯溯源的证据停止变乱联系关系,好比第一种,能够五年前的一次进犯变乱中的CC域名解析过某个IP,五年后的新变乱中又呈现剖析在此IP的域名,这能够就是攻击者以“栽赃”为目标的谍报混合,由于很可能在五年前的进犯被表露以后攻击者就弃用了这些资本,然后来被其它攻击者利用。假如没考虑到这一层,很可能阐发职员就会被误导,从而得出“XXX构造时隔五年东山再起”的结论。第二种状况就很明显了,阐发时会发明这个IP上有多个歹意域名用于差别的进犯变乱中,而且IP归属不是供应商的业务IP。

在本次变乱中,墨侠团队对IP 130.211.96.168停止了上述两点的查询拜访阐发。第一点经由过程两个域名的PDNS记载能够看到两个域名解析到此IP的工夫根本重合。第二点关于IP的归属,阐发职员获得以下信息

3.png

能够看到IP的归属方为谷歌云计较,此IP的Hostname后缀显现为bc.googleusercontent.com,这阐明这台服务器是谷歌云计较的业务主机。由于bc.googleusercontent.com后缀均属于谷歌云计较GCP主机,阐明此主机是业务主机,供别人租用的。

4.  总结

颠末在墨侠团队的要挟谍报库中查询,域名“worldmilitarynews.org”已经是出名的APT构造APT 28在某次变乱中利用的域名。关于“APT 28”,最早是由卡巴斯基表露了其针对乌克兰,东欧等国的进犯变乱,从而呈现在公家的长远。而且后续有多家安全厂商证实该构造属于俄罗斯,而且背后很可能是莫斯科当局。

由于网络资源的穿插操纵,以是能够获得结论,本次变乱的配角“BITTER”构造,很可能是受俄罗斯当局赞助的一个施行APT进犯的团队。


澳门新葡京网站博彩
在线征询 周一至周五
09:00-18:00