科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全安天实验室肖新光:APT事件样本集的度量

安天实验室肖新光:APT事件样本集的度量

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

在2014中国互联网安全大会的第二天上午9点,APT防御技术论坛如期开始,吸引了大量的APT专家和其他嘉宾。。开场的短片,也让大家了解到APT如果类比于人的话,其实是一个人的长期安全状态的缩写。

来源:ZDNet安全频道【原创】 2014年9月25日

关键字: APT防御技术论坛 ISC APT攻击 样本

  • 评论
  • 分享微博
  • 分享邮件
在2014中国互联网安全大会的第二天上午9点,APT防御技术论坛如期开始,吸引了大量的APT专家和其他嘉宾。主持人赵效民先生表示,大家对APT的技术防御有很大关注。APT防御技术论坛也不会让大家失望。开场的短片,也让大家了解到APT如果类比于人的话,其实是一个人的长期安全状态的缩写。
 
来自安天实验室首席技术架构师肖新光首先发言——APT事件样本集的度量。
 
APT事件样本集的度量——肖新光
 
APT的样本集不是指它用什么技术方法,而是它支撑的国家或者是政经集团具备的最高水平的攻击能力。这个可能就是这个攻击者拥有的极限能力,如果是一个针对特定目标的威胁,我们依然可以把它叫做样本。这几个样本的作用是非常离散的,由于这种离散,每一个都显示不出特别显著的威胁,这就好在,其中五个样本在同一个时间段内是打向同一个目标的,我们可以理出这五个样本的作业链条。
 
肖新光用多个实际的例子反应了APT其整个作业链条的攻击过程,主要讲解三个部分。第一是关于APT的线索,第二个是样本之间的关联,第三个才是我原来想讲的样本集的度量。APT的线索说起,分析了次攻击高度的定向性和隐藏性。
 

其实样本并不重要,因为我们对每一个攻击事件,事后都能找到很多样本,这个事件最为重要。这个事件的情况是怎样的?它实际上就是从分别位于瑞典、荷兰、法国的服务器,把PE的攻击载荷投放给上海的两个目标和北京的一个目标。陆续有一些新的回联地址,这些是从样本行为中发现的,目前我们并不确定一定是在目标机上中了,导致这个行为,我们并不能完全排除它是一个主动的下载行为。同时,确实由于时间是APT的最大敌人,目前来看并不能再判断出这三个回联的IP地址在哪里。从已有的载荷行为和攻击行为,可以把它拼成刚才我们看到的这个作业链。

我们刚刚谈了一个观点,我们无法判断这是主动的样本下载行为,还是真正中了样本之后导致的行为,需要来推断一下。

在整个分析中,我们调用了相关的协作资源。在这个协作中,很重要的一点就是我们做了这样一个假定,假定它是被分析研究者主动下载的批样本,它必然要在其他的通道暴露过,然后通过研究者获取到URL,再去下载。我们把能够接触到的相关的URL的开放和商用的资源进行查询,所有标红的都是在开放的URL查询中不能查到的。这里面有四条是可以发现它已经在其他的恶意地址捕获中被发现的,但它晚的时间比较短,有三条都在24小时之内,只有一条是在31天之后。


从这个角度来看,我们更倾向于认为这是一个相对完整的APT攻击事件,它已经发生了相应的效果。从这个节点来看,它确实是在相对长的时间段内,陆续下载了多个文件。当然,也不能完全排除掉它是主动发现的可能性。


我们看到了一个问题,诺曼通过全球的攻击体系发现了数百个文件,我们也有数百个样本,问题就在于,从真实感知的路径上来看,我们只能查到多少。其他样本更多的是通过各种样本的交换渠道到达的。


这就带来了APT的特点,对APT事件来说,任何一个团队都不会拥有完整的样本集,在任何一个团队拥有的海量的样本集中,我们往往不知道哪一个样本归属于哪个事件。大家刚才看到了,各个杀毒厂商对这几个样本的命名。

这种情况下提出了一个问题,就是关联。传统的APT最重要的关联无疑是把开始的载荷投放、信息回传、组织关系完整摸出,这样一个作业过程往往不是一个商业团队能完成的,甚至也不是有一定的国际协作能力的公益组织能完成的。对于一个传统的反恶意代码团队来说,拥有最多的还是样本。很重要的可以做的事情,很现实的事情,不是去找到它到底是谁,不是去找到某个机构或某个人,而是有没有可能从已知的线索中,从自身的库中找到更多样本。从自身的库中找到更多样本,这些样本有可能在感知体系中有新的存在,这就是一个过程。一旦提到样本的关联查找,毫无疑问,所有的研究者都会想到一个词,同源性。

如何把事件和样本之间的关系建立起来?这是一个很关键的问题。肖新光以熊猫烧香为例,APT很重要的一点,它其实是有被入侵的场景复杂度,可能有一个复杂的样本集合。

当2010年面临的数以千万计的样本集合的时候,对每一个文件提取100个向量,假设库中有1亿个样本,也有100亿的向量,怎么从百万级的向量实现快速搜索,这带来了问题。

现有的学术方法最可笑的一点是他们无疑不是用杀毒软件的家族做参照系。像卡巴斯基非常严谨的反病毒软件也对样本集给出了九个不同家族的命名。学术界在命名上并没有给出方法,我们还是要跳出美丽的图谱,回到最传统、最擅长的方面去,寻找它的静态关联点,在自动化分析中生成的大量向量。

实际上要采取组合条件的思路,把一个样本集转化成一种条件组合的逻辑。通过这种条件的组合逻辑,它就会生成相应的分支。在这种分支之后,就可以生成一个样本集合。从目前的角度来看,至少对于APT这样的样本资源,我们所使用的方法还是要进行人工判定。

再回到刚才讲的事件,因为这个事件使用的就是多人编写的多种编译器,在不同的编译器上建立不同的模板方法,最终转化成四个模式。在这四个模式上,我们又分别判定出有效的,原始的样本体,不是经过加工改变的方式。也可以看到,关联处新的样本,包括刚才提到的对编译器的分布进行统计。基于这些,我们就可以看到Hangover的特点,首先是攻击组织人员较多,采用人海战术的方法。二是编程水平参差不齐,有使用数字证书,但没有流行厂商的证书。使用少量的加密算法,非常简单,使用了大量的C&C,没有发现有使用0day漏洞的情况。样本集可以反映出攻击团队的方法和水平的,我们尝试建立度量。

我们举了几个事件,通过上述条件关联方法,可以建立起样本集合。我们已经找到了910个样本,已经多于了诺曼提供的样本集,就是基于这种条件关联的方法。尽管绝大部分都是PE的样本,也有一些非PE的文件,包括脚本等等。在不同的编译器上使用,有不同的风格,Hangover是对为混乱的。

相应的使用数字签名的情况,使用数字签名的样本里面最多的是Hangover,有76个样本使用,它的本身基数也比较大,其他的都有一定的样本带有数字签名。

也可以统计每个事件习惯性使用的C&C地址。这些工作是非常粗糙的,尽管目前把所有的壳都脱掉了,建立起样本集,并且保证所有的样本都是确切的经过人工的确定,它属于这个家族。同时,可以看到还有很多工作要做。我们目前希望后续推动的,一个就是真正形成每个事件集合的样本版本的关联图谱。

尽管我们很早就分析了Flame、Duqu、Stuxnet的关联性,但我们一直没有有效的描述,没有着手研究的事情是为什么Stuxnet有2千个样本,而只有4个大的版本。当我们得到个样本集,并且对它进行度量之后,这种度量有助于判断背后攻击团队的人员规模,这种判断力应该得到定量。这个就是我们正在做的工作,也得到了国内大学的支持。

样本集确实是APT的一部分,而且是目前能够研究APT最有效、最直接的资源,因为我们匮乏的是它投放的过程、回传的过程,我们拥有最多的只能是样本集。当我们再看诺曼发布阵网蠕虫档案很久以后发布的文献,比如之前没有深入分析的0.5版本,他认为这可能是有可能随同PRC投放的版本。特别是它的0.5版本使用的是和1.0完全不同的破坏机理。

绝大多数研究者都知道它是通过改变离心机的转速形成相应的破坏效果。实际上0.5版本是通过多个阀门极联,造成超压来形成效果的。这种效果打击的破坏性和毁灭性有可能是超过后者的,因为阀门超压的版本在前。他认为这是一个没有生效的机理。为什么突然从样本集拐到了离心机?是因为我想说真正衡量一个APT的主要工作量,一个像阵网这样具有纵深性的APT攻击,它的主要工作量绝对不在样本集上,而是在于对手场景的仿真、模拟、研究、尝试过程,而这个过程确实超出了我们现有的研究意志、研发决心和研究成本承担的能力。如果我们还是简单的把APT当成样本,当成格式溢出稳当,就会错过很多东西。

我还要回到我的观点,尽管我认为在一个具有极大最深能力的APT中,样本不是其中主要工作量,但样本可以真实体现攻击者拥有的能力。我在这里套用了魔力四象限的方法,把刚才列举的事件摆到魔力象限上,包括高思在内一系列的以美国被背景的事件,毫无疑问的处于能力的第一平台,它所具有的战略方面的前瞻性,对0day漏洞的储备,工业配套的基础设施,它使用的成本能力,以及与它传统的基于人脉的情报体系和基于梯队的电磁信号体系成一体的综合机制,使它处于整个APT金字塔塔尖的位置。类似于来自俄罗斯的事件,我们也可以看到它拥有的非常丰富的想象力。

像Hangover事件基本的基础能力与我们当前看到的很多地下黑产的技术手法大概一致,甚至还不如地下黑产。这可以看作一种穷国原子弹式的攻击,基于人海战术。它也反映了进行这样一个攻击的所在国家或者是所在组织的最高水平。
从2003年追踪口令蠕虫失败开始,我们做了很多的思考,为什么参与了这么大规模的追踪,依然没有办法判定它的源头,或者是取得更有效的进展。从蠕虫的溯源角度,我把它称作百万军中取上将首级如探囊取物。基于大量的载荷投放所建立起的感知体系不再能够应对新的威胁,新的威胁具有高级性和高度的定向性和持续性。我们相信梦想永远,人在征途。


 
 
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章