近日，F(xiàn)orcepoint公司披露了一起針對巴基斯坦政府部門的APT攻擊事件。墨俠團(tuán)隊通過對網(wǎng)絡(luò)基礎(chǔ)設(shè)施的關(guān)聯(lián)信息分析，得到了BITTER與APT 28組織很可能師出同門的結(jié)論。本文將對此次攻擊進(jìn)行分析總結(jié)。

本報告中將詳細(xì)給出對本事件的分析步驟，僅作為交流作用，不存在任何指導(dǎo)意義。

1.對事件定性

APT攻擊和普通的無差異木馬傳播在某種角度上有技術(shù)重合部分，比如傳播方式都可以使用郵件的魚叉式攻擊，回傳數(shù)據(jù)都可能用到CC域名等。在對BITTER組織進(jìn)行分析時，我們通過以下幾點將本次活動定義為APT攻擊。

1.1目標(biāo)專一性

APT攻擊和木馬傳播行為最大的不同就是對目標(biāo)的選擇，APT攻擊的目的是為了竊取目標(biāo)的機密情報，所以目標(biāo)都體現(xiàn)出相對的專一性，通常只是特定的行業(yè)，甚至行業(yè)內(nèi)幾家相關(guān)公司或部委。而普通的傳馬行為通常在選擇目標(biāo)上是無差異的，目標(biāo)旨在獲得更多的“肉雞”供攻擊者完成其它用途，比如DDOS。

本次攻擊的發(fā)動者“BITTER”在選擇目標(biāo)上就體現(xiàn)出了較強的專一性，據(jù)我們掌握的信息體現(xiàn)出，本次事件的被害者基本都集中在巴基斯坦的政府官員這一范圍內(nèi)。從目標(biāo)的選擇上看，符合APT攻擊的特性，但對于傳馬行為則這個范圍相對狹小。

之前由友商披露的“海蓮花”組織曾被質(zhì)疑不是一起APT攻擊，質(zhì)疑者的觀點之一就是，目標(biāo)沒有專一性。報告原文指出“現(xiàn)已捕獲OceanLotus特種木馬樣本100余個，感染者遍布國內(nèi)29個省級行政區(qū)和境外的36個國家。其中，92.3%的感染者在中國。北京、天津是國內(nèi)感染者最多的兩個地區(qū)”如此龐大的目標(biāo)范圍，需要來維護(hù)這次攻擊的成本是無法想象的，而且攻擊者的動機難以預(yù)料。所以目標(biāo)的專一性是對一次攻擊定性的重要依據(jù)之一。

1.2工具專業(yè)性

APT攻擊之所以被稱為是“高級持續(xù)性威脅”，是因為“高級”主要體現(xiàn)在大費周章的收集目標(biāo)的信息，精心構(gòu)造的攻擊payload。從近年披露出的APT攻擊事件來看，攻擊者使用的工具也在飛速的進(jìn)化，不光針對Windows，可用于Linux，Mac甚至移動端的攻擊工具相繼出現(xiàn)。因為攻擊目標(biāo)的基數(shù)有限，所以攻擊者必須保證攻擊payload的高效性，所以APT攻擊中使用的工具也以功能復(fù)雜，免殺手段高端而體現(xiàn)“高級”。

“BITTER”組織使用了包含針對WindowsPC和安卓移動端的攻擊工具，并且在對樣本的分析過程中發(fā)現(xiàn)這批樣本設(shè)計的很精致，功能豐富，并且使用了了大量的加密和混淆分析的手段，保證樣本的存活。攻擊者所使用的釣魚郵件也是為目標(biāo)專門定制的，體現(xiàn)出在前期的信息收集上，攻擊者也花費了相當(dāng)?shù)男乃肌?/p>

普通傳馬行為的釣魚郵件則沒有準(zhǔn)確的針對性，可能包括實時新聞，夸張言論，甚至不可描述內(nèi)容。由于目標(biāo)面向所有可能被入侵的主機，目標(biāo)基數(shù)較大，對種馬成功率的考慮則有所欠缺，所以對木馬結(jié)構(gòu)的設(shè)計相對不夠嚴(yán)謹(jǐn)。

1.3攻擊持續(xù)性

APT攻擊意在長期潛伏在目標(biāo)內(nèi)部，源源不斷的獲取攻擊者感興趣的情報，所以一次攻擊的時間往往長達(dá)幾年，為了維持權(quán)限，攻擊者還可能具有后門的更新手段。

而普通的傳馬行為的目的就是獲得更多的“肉雞”加入到攻擊者的僵尸網(wǎng)絡(luò)中，一波攻擊過去再來一波，往往不會出現(xiàn)對攻擊目標(biāo)長期監(jiān)控的現(xiàn)象。

在本次事件當(dāng)中“BITTER”組織使用的樣本最早出現(xiàn)在2013年11月，根據(jù)PassiveDNS技術(shù)所分析到的攻擊時間軸也基本符合這一時間點，說明該組織對目標(biāo)的監(jiān)控可能長達(dá)三年之久。

綜合以上幾點，可將本次由“BITTER”組織發(fā)起的攻擊定性為一起APT攻擊，進(jìn)而有了深入分析的價值。

2.Whois信息利用

Whois是用來查詢域名的IP以及所有者等信息的傳輸協(xié)議，在威脅情報的分析過程當(dāng)中，我們通常注意的是注冊者的姓名，注冊郵箱。利用這些信息與之前積累下的威脅情報資源關(guān)聯(lián)，嘗試找出與以往攻擊事件是否發(fā)生資源交叉利用的情況，為攻擊溯源提供強有力證據(jù)。

在實際的分析過程當(dāng)中，自然不會如上說的那么理想化。隨著反威脅情報的發(fā)展，攻擊者在部署這些網(wǎng)絡(luò)基礎(chǔ)設(shè)施時也格外的注意隱藏自己的信息，在這個過程當(dāng)中就需要分析人員從這些虛假信息中找出可能被我們利用的信息。

2.1 免費動態(tài)域名

網(wǎng)絡(luò)上有許多免費域名服務(wù)商，攻擊者只需要在其頂級域名下注冊一個二級域名，就可以獲得一個免費的網(wǎng)絡(luò)空間來部署CC服務(wù)器。這也是攻擊者最常見的利用手段。

在本次對BITTER的分析中發(fā)現(xiàn)，其使用了大量的這種域名來隱藏自己的信息。如果查詢這種域名的whois信息的話，分析者通常得到是對應(yīng)的頂級域名，也就是域名提供商的相關(guān)信息。

2.2虛假信息

通過對整個事件的分析統(tǒng)計，BITTER組織的域名注冊郵箱統(tǒng)一使用Gmail格式的郵箱。在威脅情報庫內(nèi)，未發(fā)現(xiàn)這些郵箱有重復(fù)利用的情況。

APT攻擊通常都伴有政治，軍事或者商業(yè)背景，在攻擊者部署網(wǎng)絡(luò)基礎(chǔ)設(shè)施時都會刻意隱藏有關(guān)自身的任何信息，防止安全廠商或者目標(biāo)感知到威脅后對攻擊進(jìn)行溯源。

雖然通過whois信息我們通常無法辨別真?zhèn)?，可以全部造假使得分析人員得到的可用情報相對有限，但這些信息就毫無價值了嗎？暫不考慮whois信息的真實性，我們可以通過一些信息體現(xiàn)出的特征來作為溯源關(guān)聯(lián)的一些線索或者依據(jù)，比如在這次攻擊中，BITTER組織使用的域名基本都為“單詞”+“數(shù)字”的固定格式，如果在以后發(fā)現(xiàn)的威脅中發(fā)現(xiàn)有此類特征，至少可以給分析人員提供一個分析方向來尋找兩者之間更多的共性。這一點的可用性在之前的分析實例中被證明過，比如墨俠團(tuán)隊在對threatconnect公司披露的“熊貓”系列與某組織進(jìn)行關(guān)聯(lián)時發(fā)現(xiàn)，兩者注冊者信息部分習(xí)慣以“復(fù)仇者聯(lián)盟”中的角色和中國姓名格式命名，域名服務(wù)商均是godaddy.com等。其中任何一條單獨拿出來都可以說是巧合，但多個“巧合”組合起來就可以理解為“吻合”，再通過樣本，目標(biāo)一致性，PDNS等證據(jù)就可以將兩個組織關(guān)聯(lián)起來。

所以，即使whois信息雖然在大多數(shù)情況下都是虛假的，分析人員依然可以通過這些信息得到攻擊者的行為特征來作為溯源線索甚至輔助證據(jù)。

3.PassiveDNS信息利用

近年來，隨著威脅情報一起火起來的一個詞就是“PassiveDNS”，被動DNS最初于2004年由FlorianWeimer發(fā)明，旨在對抗惡意軟件。根據(jù)其定義，遞歸域名服務(wù)器會響應(yīng)其接收到的來自其它域名服務(wù)器的請求信息，然后對響應(yīng)信息進(jìn)行記錄并將日志數(shù)據(jù)復(fù)制到中央數(shù)據(jù)庫當(dāng)中。

在整個威脅情報分析的過程當(dāng)中，前期的威脅感知和后期的攻擊溯源PassiveDNS都發(fā)揮著舉足輕重的作用。在DNS服務(wù)器上部署被動DNS“傳感器”，定期對上傳數(shù)據(jù)進(jìn)行審核，如果發(fā)現(xiàn)異常記錄即可進(jìn)行深入分析，辨別請求目標(biāo)是否為惡意鏈接。攻擊溯源時，我們可以查詢到某一域名曾經(jīng)解析過的IP地址。即使這一域名已經(jīng)從域名服務(wù)器中移除了，也可以查詢到相關(guān)的信息。這些信息對分析人員用來確定攻擊持續(xù)時間，網(wǎng)絡(luò)資源是否交叉利用等起著關(guān)鍵作用。

3.1 確定攻擊時間

PassiveDNS的每一條解析記錄都具有時間戳，這個時間戳可以了解到域名的出現(xiàn)時間和歷次的解析行為。通過這兩個信息再配合樣本的編譯時間大致可以確定一個攻擊行為可能的時間軸。再通過審計這段時間內(nèi)的日志，評估造成的影響和損失。

在分析BITTER組織時，我們發(fā)現(xiàn)樣本的編譯時間最早出現(xiàn)在2013年，集中出現(xiàn)在2015年7月至2016年9月期間，再通過CC域名的PassiveDNS記錄可以確定此次攻擊大概從2015年初開始。

3.2網(wǎng)絡(luò)資源交叉使用

此部分信息作為事件關(guān)聯(lián)的最有利的證據(jù)，一直以來都是威脅情報分析中重要的分析步驟。PassiveDNS提供的解析記錄不僅可以提供域名的解析動作，也可以提供此IP上解析過哪些域名，如果兩個事件中涉及的CC域名都在同一時間段解析到同一IP上，那么這三者之間必然有一定的聯(lián)系，（當(dāng)然還要判斷此IP的歸屬類型，后文會提到）。

在對BITTER所使用的CC域名進(jìn)行分析時，經(jīng)過篩選分析人員注意到一個域名“info2t.com”。PassiveDNS記錄如下

可以看到此域名于2016-10-25解析到IP130.211.96.168上，在對通對IP：130.211.96.168的分析我們得到了進(jìn)一步的信息。有大量的惡意鏈接指向此IP，部分結(jié)果如下：

其中被標(biāo)記出來的鏈接，形似仿冒合法網(wǎng)站的域名，此類域名經(jīng)常被用來實施水坑攻擊。分析人員對這些域名進(jìn)行逐一排查發(fā)現(xiàn)域名worldmilitarynews.org的PassiveDNS記錄如下。

可以看到該域名于2016-09-26同樣解析到IP 130.211.96.168上，通過對比兩個域名的PDNS記錄不難發(fā)現(xiàn)兩個域名幾乎在同一時間解析到同一IP上，至此只可以假設(shè)這兩個域名具有某種聯(lián)系，因為接下來還要確定此IP的有效性，還不能排除這個IP是不是安全廠商在檢測到惡意域名之后進(jìn)行接管，將它們解析到自己的IP上。

3.3 可用的PassiveDNS信息

攻擊者通常不會在網(wǎng)絡(luò)上架設(shè)獨立的服務(wù)器用來控制后門，而更偏向于租賃云主機來保護(hù)自己的信息。所以我們在針對某事件的分析過程中經(jīng)常會發(fā)現(xiàn)一個IP上解析了大量的域名。造成這種情況通常有兩個原因，一是在不同時間段由不同用戶解析上來并且被PDNS傳感器記錄到，二是上文提到的被安全廠商接管。

無論哪種情況都不能單獨作為攻擊溯源的證據(jù)進(jìn)行事件關(guān)聯(lián)，比如第一種，可能五年前的一次攻擊事件中的CC域名解析過某個IP，五年后的新事件中又出現(xiàn)解析在此IP的域名，這可能就是攻擊者以“栽贓”為目的的情報混淆，因為很可能在五年前的攻擊被披露之后攻擊者就棄用了這些資源，而后來被其它攻擊者使用。如果沒考慮到這一層，很可能分析人員就會被誤導(dǎo)，從而得出“XXX組織時隔五年卷土重來”的結(jié)論。第二種情況就很明顯了，分析時會發(fā)現(xiàn)這個IP上有多個惡意域名用于不同的攻擊事件中，并且IP歸屬不是供應(yīng)商的業(yè)務(wù)IP。

在本次事件中，墨俠團(tuán)隊對IP 130.211.96.168進(jìn)行了上述兩點的調(diào)查分析。第一點通過兩個域名的PDNS記錄可以看到兩個域名解析到此IP的時間基本重合。第二點對于IP的歸屬，分析人員得到如下信

可以看到IP的歸屬方為谷歌云計算，此IP的Hostname后綴顯示為bc.googleusercontent.com，這說明這臺服務(wù)器是谷歌云計算的業(yè)務(wù)主機。因為bc.googleusercontent.com后綴均屬于谷歌云計算GCP主機，說明此主機是業(yè)務(wù)主機，供他人租用的。

4.總結(jié)

經(jīng)過在墨俠團(tuán)隊的威脅情報庫中查詢，域名“worldmilitarynews.org”曾經(jīng)是著名的APT組織APT 28在某次事件中使用的域名。關(guān)于“APT 28”，最早是由卡巴斯基披露了其針對烏克蘭，東歐等國的攻擊事件，從而出現(xiàn)在公眾的眼前。并且后續(xù)有多家安全廠商證明該組織屬于俄羅斯，并且背后很可能是莫斯科政府。

因為網(wǎng)絡(luò)資源的交叉利用，所以可以得到結(jié)論，本次事件的主角“BITTER”組織，很可能是受俄羅斯政府資助的一個實施APT攻擊的團(tuán)隊。