安天实验室肖新光：APT事件样本集的度量

其实样本并不重要，因为我们对每一个攻击事件，事后都能找到很多样本，这个事件最为重要。这个事件的情况是怎样的？它实际上就是从分别位于瑞典、荷兰、法国的服务器，把PE的攻击载荷投放给上海的两个目标和北京的一个目标。陆续有一些新的回联地址，这些是从样本行为中发现的，目前我们并不确定一定是在目标机上中了，导致这个行为，我们并不能完全排除它是一个主动的下载行为。同时，确实由于时间是APT的最大敌人，目前来看并不能再判断出这三个回联的IP地址在哪里。从已有的载荷行为和攻击行为，可以把它拼成刚才我们看到的这个作业链。

我们刚刚谈了一个观点，我们无法判断这是主动的样本下载行为，还是真正中了样本之后导致的行为，需要来推断一下。

在整个分析中，我们调用了相关的协作资源。在这个协作中，很重要的一点就是我们做了这样一个假定，假定它是被分析研究者主动下载的批样本，它必然要在其他的通道暴露过，然后通过研究者获取到URL，再去下载。我们把能够接触到的相关的URL的开放和商用的资源进行查询，所有标红的都是在开放的URL查询中不能查到的。这里面有四条是可以发现它已经在其他的恶意地址捕获中被发现的，但它晚的时间比较短，有三条都在24小时之内，只有一条是在31天之后。

从这个角度来看，我们更倾向于认为这是一个相对完整的APT攻击事件，它已经发生了相应的效果。从这个节点来看，它确实是在相对长的时间段内，陆续下载了多个文件。当然，也不能完全排除掉它是主动发现的可能性。

我们看到了一个问题，诺曼通过全球的攻击体系发现了数百个文件，我们也有数百个样本，问题就在于，从真实感知的路径上来看，我们只能查到多少。其他样本更多的是通过各种样本的交换渠道到达的。

这就带来了APT的特点，对APT事件来说，任何一个团队都不会拥有完整的样本集，在任何一个团队拥有的海量的样本集中，我们往往不知道哪一个样本归属于哪个事件。大家刚才看到了，各个杀毒厂商对这几个样本的命名。

这种情况下提出了一个问题，就是关联。传统的APT最重要的关联无疑是把开始的载荷投放、信息回传、组织关系完整摸出，这样一个作业过程往往不是一个商业团队能完成的，甚至也不是有一定的国际协作能力的公益组织能完成的。对于一个传统的反恶意代码团队来说，拥有最多的还是样本。很重要的可以做的事情，很现实的事情，不是去找到它到底是谁，不是去找到某个机构或某个人，而是有没有可能从已知的线索中，从自身的库中找到更多样本。从自身的库中找到更多样本，这些样本有可能在感知体系中有新的存在，这就是一个过程。一旦提到样本的关联查找，毫无疑问，所有的研究者都会想到一个词，同源性。

当2010年面临的数以千万计的样本集合的时候，对每一个文件提取100个向量，假设库中有1亿个样本，也有100亿的向量，怎么从百万级的向量实现快速搜索，这带来了问题。

现有的学术方法最可笑的一点是他们无疑不是用杀毒软件的家族做参照系。像卡巴斯基非常严谨的反病毒软件也对样本集给出了九个不同家族的命名。学术界在命名上并没有给出方法，我们还是要跳出美丽的图谱，回到最传统、最擅长的方面去，寻找它的静态关联点，在自动化分析中生成的大量向量。

实际上要采取组合条件的思路，把一个样本集转化成一种条件组合的逻辑。通过这种条件的组合逻辑，它就会生成相应的分支。在这种分支之后，就可以生成一个样本集合。从目前的角度来看，至少对于APT这样的样本资源，我们所使用的方法还是要进行人工判定。

再回到刚才讲的事件，因为这个事件使用的就是多人编写的多种编译器，在不同的编译器上建立不同的模板方法，最终转化成四个模式。在这四个模式上，我们又分别判定出有效的，原始的样本体，不是经过加工改变的方式。也可以看到，关联处新的样本，包括刚才提到的对编译器的分布进行统计。基于这些，我们就可以看到Hangover的特点，首先是攻击组织人员较多，采用人海战术的方法。二是编程水平参差不齐，有使用数字证书，但没有流行厂商的证书。使用少量的加密算法，非常简单，使用了大量的C&C，没有发现有使用0day漏洞的情况。样本集可以反映出攻击团队的方法和水平的，我们尝试建立度量。

我们举了几个事件，通过上述条件关联方法，可以建立起样本集合。我们已经找到了910个样本，已经多于了诺曼提供的样本集，就是基于这种条件关联的方法。尽管绝大部分都是PE的样本，也有一些非PE的文件，包括脚本等等。在不同的编译器上使用，有不同的风格，Hangover是对为混乱的。

相应的使用数字签名的情况，使用数字签名的样本里面最多的是Hangover，有76个样本使用，它的本身基数也比较大，其他的都有一定的样本带有数字签名。

也可以统计每个事件习惯性使用的C&C地址。这些工作是非常粗糙的，尽管目前把所有的壳都脱掉了，建立起样本集，并且保证所有的样本都是确切的经过人工的确定，它属于这个家族。同时，可以看到还有很多工作要做。我们目前希望后续推动的，一个就是真正形成每个事件集合的样本版本的关联图谱。

尽管我们很早就分析了Flame、Duqu、Stuxnet的关联性，但我们一直没有有效的描述，没有着手研究的事情是为什么Stuxnet有2千个样本，而只有4个大的版本。当我们得到个样本集，并且对它进行度量之后，这种度量有助于判断背后攻击团队的人员规模，这种判断力应该得到定量。这个就是我们正在做的工作，也得到了国内大学的支持。

样本集确实是APT的一部分，而且是目前能够研究APT最有效、最直接的资源，因为我们匮乏的是它投放的过程、回传的过程，我们拥有最多的只能是样本集。当我们再看诺曼发布阵网蠕虫档案很久以后发布的文献，比如之前没有深入分析的0.5版本，他认为这可能是有可能随同PRC投放的版本。特别是它的0.5版本使用的是和1.0完全不同的破坏机理。

绝大多数研究者都知道它是通过改变离心机的转速形成相应的破坏效果。实际上0.5版本是通过多个阀门极联，造成超压来形成效果的。这种效果打击的破坏性和毁灭性有可能是超过后者的，因为阀门超压的版本在前。他认为这是一个没有生效的机理。为什么突然从样本集拐到了离心机？是因为我想说真正衡量一个APT的主要工作量，一个像阵网这样具有纵深性的APT攻击，它的主要工作量绝对不在样本集上，而是在于对手场景的仿真、模拟、研究、尝试过程，而这个过程确实超出了我们现有的研究意志、研发决心和研究成本承担的能力。如果我们还是简单的把APT当成样本，当成格式溢出稳当，就会错过很多东西。

我还要回到我的观点，尽管我认为在一个具有极大最深能力的APT中，样本不是其中主要工作量，但样本可以真实体现攻击者拥有的能力。我在这里套用了魔力四象限的方法，把刚才列举的事件摆到魔力象限上，包括高思在内一系列的以美国被背景的事件，毫无疑问的处于能力的第一平台，它所具有的战略方面的前瞻性，对0day漏洞的储备，工业配套的基础设施，它使用的成本能力，以及与它传统的基于人脉的情报体系和基于梯队的电磁信号体系成一体的综合机制，使它处于整个APT金字塔塔尖的位置。类似于来自俄罗斯的事件，我们也可以看到它拥有的非常丰富的想象力。

像Hangover事件基本的基础能力与我们当前看到的很多地下黑产的技术手法大概一致，甚至还不如地下黑产。这可以看作一种穷国原子弹式的攻击，基于人海战术。它也反映了进行这样一个攻击的所在国家或者是所在组织的最高水平。
从2003年追踪口令蠕虫失败开始，我们做了很多的思考，为什么参与了这么大规模的追踪，依然没有办法判定它的源头，或者是取得更有效的进展。从蠕虫的溯源角度，我把它称作百万军中取上将首级如探囊取物。基于大量的载荷投放所建立起的感知体系不再能够应对新的威胁，新的威胁具有高级性和高度的定向性和持续性。我们相信梦想永远，人在征途。