分类: 网络与安全
2016-03-28 18:19:00
面对威胁高速演进变化、防御技术同样快速改善的现状,无论我们做怎样的努力,都已无法用一篇年报来涵盖网络安全威胁的全景,这亦使参与本文档编写的安天分析工程师们无比纠结。对于安天安全研究与应急处理中心(安天CERT)来说,在数年前,年报工作是相对简单的,我们只需从恶意代码存储和分析的后台系统导出足够多的统计图表,就可以构成一篇年度报告。在网络安全领域,恶意代码自动化分析是一个成型较早的基础设施,恶意代码样本集更是一个非常容易进行统计的大集合,这一度让我们偏离了网络安全的本质,弱化了我们对保障用户价值的信念。
从去年开始,安天颠覆了自身传统的数据表年报的风格,面对当前威胁的纵深化、复杂化特点,大量简单的统计已经失去意义,我们非常明确地提出了做“观点型年报”的自我要求。尽管我们拥有更多的样本、更多的数据,但我们依然不敢说已经能够驾驭安全大数据,目前我们能做到的只有学习和思考,我们要学习更丰富的数据分析方式,我们要做能独立思考、有观点、有立场的安全团队,而非做大数据和计算资源的奴隶。
同时,我们也深知,我们自己的工作是局限的,安天的分析工作更多地是围绕如何防御高级持续性威胁(APT)攻击和恶意代码展开,我们坦诚面对自己对WEB安全、漏洞挖掘等领域技能积累的一贯不足。此外,由于安天CERT的部门分工所决定的分析视野的不同,本年报涉及到的移动安全相关内容较少,安天移动安全公司(AVL TEAM)后续会单独发布移动安全年报。
图 I 2015年APT事件时间与地理位置分布
APT攻击继续引领2015年的威胁大潮。从2月,方程式(Equation)组织浮出水面;到5、6月,APT-TOCS和Duqu2.0相继露出峥嵘;再到8月,蓝白蚁(Blue Termitex)事件的公布,2015年全年共曝光了十多起APT事件。虽然相较于2014年,曝光事件总体数量有所减少,但从威胁事件的影响力和技术水准来看,高水准的攻击手法、系统化的攻击平台、商用木马和标准化渗透平台的使用,使得方程式、Duqu2.0和APT-TOCS等事件都极具代表性。
在2015年的APT事件中,“方程式(Equation)”[1]攻击是较早被披露且含金量极高的攻击事件。方程式(Equation)组织是一个活跃了近20年的攻击组织,其将APT的特点P(持久化)展现的淋漓尽致。该组织不仅能够早于其他组织发现更多0day漏洞,且拥有一套用于植入恶意代码的超级制式信息武器库,其中最受关注、最具特色的攻击武器是两个可以对数十种常见品牌硬盘实现固件植入的恶意模块。作为一种高级的持久化手段,其既可以用于感染后的植入,也可以与臭名昭著的“物流链”劫持搭配使用。相比之前我们分析过的BIOSKIT和BOOTKIT,该恶意模块具有更高的隐蔽性,更加难以分析。但多数被方程式(Equation)“光顾”过的节点,并未触发持久化功能,这说明该组织具有坚持获取高价值目标的原则。根据对相关硬盘固件接口的分析,我们认为,相关接口和参数的获取,通过人力和时间投入,依托技术文档和逆向分析完全可以实现。因此,安天CERT不倾向于固件接口的获得是相关情报机构与产业界协作的结果,其更多体现出的是攻击组织及其资源体系强大的分析能力和坚定的作业意志,也包含其针对上游进行渗透作业的可能性。而方程式组织所采用的加密策略,则体现出了其作业的严密性,安天CERT于2015年4月发布的《方程式(EQUATION),组件加密策略分析》[2],对此进行了进一步分析。
图 II 方程式(Equation)恶意代码的演进、原理与机理
2011年后,没有安全厂商或组织报道Duqu继续活跃的迹象,业内一度认为其已经停止活动。然而在2015年初发现的一系列攻击事件中,出现了Duqu的全新版本,Duqu2.0就此重装上阵,并对卡巴斯基进行了渗透攻击。Duqu2.0的重要特点是恶意代码只会驻留在被感染机器的内存当中,利用漏洞执行内核级别的代码,硬盘中无法查到痕迹。虽然重启系统时恶意代码会被暂时清除,但是攻击者可以在直接联网的少数计算机中部署驱动程序,从而通过远程桌面会话或之前获得的用户凭证将Duqu2.0重新部署到整个平台。不得不说的是,像Duqu这样有着政府支持的高成本的APT攻击基础设施,不仅拥有复杂的、插件化模块体系,其作业组织也具备直接挑战世界顶级安全公司的自信。
与“方程式(Equation)”所拥有的装备武库和Duqu2.0强大的体系化能力相比,有些APT组织难有雄厚的资金支持、先进的武器储备和强大的攻击能力,特别是难以具备建制化的高水平攻击队伍,所以他们另辟蹊径,利用开放或商业化的标准化的渗透平台生成恶意代码和其他攻击载荷,向目标进行部署和攻击。2015年5月,在安天发现的一例针对中国官方机构的攻击事件(APT-TOCS)[3]中,攻击者就是使用自动化攻击测试平台Cobalt Strike生成了利用信标模式进行通信的Shellcode,实现了对目标主机的远程控制能力。这种利用测试平台进行攻击渗透的方式以及无恶意代码实体文件、定时发送心跳包等行为在一定程度上可以规避主机安全防护软件的查杀与防火墙的拦截,同时对可信计算环境、云检测、沙箱检测等安全环节和手段均有对抗能力。该攻击控制目标主机的方式非常隐蔽,难以被发现,并且具备攻击多种平台的能力,如Windows、Linux、Mac等。经过线索关联,这一事件被认为与友商所公布的“海莲花”事件,源于同一攻击组织,但其作业方式与既往相比显现出较大差异。从本次事件的分析结果及我们长期的监控情况来看,商用木马、标准化的渗透平台等已经被广泛用于各种定向持续攻击中,特别是针对中国目标的攻击中。这种成本较低的攻击模式不仅降低了对攻击者能力和资源储备的要求,还导致对依托大数据分析来辨识线索链的过程产生更多的干扰,并使“编码心理学”等一些我们过去更擅长的分析方法失去作用。
传统意义的APT攻击更多地让人联想到精干的作业团队、强大的用于攻击的基础设施、专业的0day漏洞挖掘小组以及恶意代码的编写小组等。因此,多数的APT研究者更愿意把更多目光放在具有这些特点的事件上。但APT-TOCS等事件则用一种新的方式,为一些技术能力和资源相对有限的国家和组织提供了另一种选择。该事件也说明,随着攻击平台、商用木马和开源恶意工具的使用,网络军火被更加广泛的使用可能成为一种趋势。从安天过去的跟踪来看,这种威胁已经存在近五年之久,但依然缺乏有效检测这类威胁的产品和手段。安天CERT分析小组之所以将APT-TOCS事件定位为准APT事件,是因为该攻击事件一方面符合APT攻击针对高度定向目标作业的特点,同时隐蔽性较强、具有多种反侦测手段。但同时,与我们过去所熟悉的很多APT事件中,进攻方具备极高的成本承担能力与巨大的能力储备不同,其成本门槛并不高,事件的恶意代码并非由攻击者自身进行编写构造,商业攻击平台使事件的攻击者不再需要高昂的恶意代码的开发成本,相关攻击平台亦为攻击者提供了大量可选注入手段,为恶意代码的加载和持久化提供了配套方法,这种方式降低了攻击的成本,使得缺少雄厚资金、也没有精英黑客的国家和组织依托现有商业攻击平台提供的服务即可进行接近APT级的攻击水准,而这种高度“模式化”攻击也会让攻击缺少鲜明的基因特点,从而更难追溯。
图 III Cobalt Strike渗透测试平台的能力覆盖图
图 IV 安天对APT-TOCS攻击的可视化复现
与APT-TOCS事件中的Cobalt Strike所扮演的角色有所不同,Hacking-Team是一个专门为攻击者提供工具和手段的公司。2015年7月,由于遭到入侵,Hacking Team逾400G数据泄露。关于Hacking-Team被盗了什么的问题,形象的回答就是“军火库、账房和衣橱都被洗劫了”。大量含源代码的木马程序、多个未公开的0day漏洞、电子邮件、商业合同、项目资料和监听录音遭到泄露,无异于向本就充满着威胁的网络环境投放了一枚重磅炸弹。这种具有商用水准的多平台木马的泄露,瞬间提升了黑产编写木马的能力,泄露的漏洞也迅速出现在一些普通的攻击中。
安天AVL TEAM亦发现类似Giige等商业手机木马,被攻击者用来攻击中国的机构和人员。
正如我们今年在APT-TOCS事件报告中指出的那样“鉴于网络攻击技术具有极低的复制成本的特点,当前已经存在严峻的网络军备扩散风险。商业渗透攻击测试平台的出现,一方面成为高效检验系统安全的有利工具,但对于缺少足够的安全预算、难以承担更多安全成本的国家、行业和机构来说,会成为一场噩梦。在这个问题上,一方面需要各方面建立更多的沟通和共识;而另一方面毫无疑问的是当前在攻防两端均拥有全球最顶级能力的超级大国,对于有效控制这种武器级攻击手段的扩散,应该负起更多的责任”。
近年来的APT事件中,超级APT组织拥有大量0day漏洞和豪华的攻击装备储备,甚至是“挥霍”0day漏洞,而同时,我们一些攻击组织则利用现有平台和商用木马来完成的攻击事件;同样也有一些技术相对粗糙,手段亦不高明的攻击事件也同样体现出攻击方持续和定向攻击作业的特点。因此,我们不禁要问,近年来的攻击事件在攻击手法、能力和技术储备上存在诸多差异,那么究竟该以何种标准去定义APT?
从技术能力、资源储备、攻击手段等方面综合考虑,安天将APT攻击能力细分为A2PT(“高级的”APT)、APT、准APT、轻量级APT几个等级。A2PT,顾名思义,就是高级的APT,该命名我们受到Michael Cloppert的 《Why Stuxnet Isn't APT》一文启发。在2015年全年的APT事件中,我们前文介绍的“方程式”用修改硬盘固件的方式作为持久化支点,被称为“世界上最复杂的网络攻击”;Duqu2.0沿用当年的Duqu和Stuxnet的思路,形成了系统化的攻击基础设施,并让卡巴斯基这样的世界级公司承认自己沦为此次事件的受害者。这些攻击组织综合能力明显具有领先一代的特点,因此他们是A2PT,我们也注意到一些同行称之为GPT(上帝模式的APT攻击)。
而类似HAVEX这样具有较高攻击水准和较强资源储备的攻击,则毫无疑问是我们传统意义上的经典APT的代表。
然而,有一些攻击组织并不能与以上具有的较高的攻击水准和较强的资源储备的攻击组织相比,他们无论是技术水平还是资源储备,都逊色得多。为了完成攻击目标,攻击者只能开发水准较低的恶意代码,或者直接利用现有的攻击平台和商用木马生成恶意代码。APT-TOCS事件即由此而来,安天的分析人员经过对本次事件的分析,发现攻击者具有较高的攻击水准和持久、定向的攻击意图,然而经过更深层次的分析,我们发现,本次事件所体现的高水准竟是来源于Cobalt Strike这个自动化攻击测试平台。较高的攻击水准、持久化能力和与之相反的较低的研发成本相结合,成就了APT-TOCS事件,也让我们为之设定了“准APT”的定义。
图 V 安天复盘HangOver事件中被攻击某个主机的场景
安天CERT在2015年底,全文公开了两年前对HangOver组织攻击中国两所大学的分析报告[4],让研究者进一步回顾了这个“乱扔EXE”的APT攻击组织。这种粗糙的攻击水准不仅无法与“方程式”这种超级攻击相比,也明显低于其他已知的APT攻击。基于此前对“HangOver行动”的捕获与分析,以及后来的事件关联和可视化复现工作,我们把这种基于“人海战术”的不够“高级”的APT攻击,称为轻量级APT攻击。
图 VI 安天在《A2PT与准APT中的攻击武器》报告中绘制的APT的能力层次示意图
在2015年,由网络攻击引发的数据泄露事件依旧猖獗,医疗、保健、电信运营商等行业和人事管理、社保、税务等政府部门受灾严重,身份证、社保、电话、信用卡、医疗、财务、保险等相关信息都是黑客窃取的目标。从目前来看,拖库攻击、终端木马和APP的超量采集、流量侧的信息劫持获取,已经成为数据泄露的三个主要渠道。信息泄露的背后已经形成了一条完整的利益链,这些用户信息或被用于团伙诈骗、钓鱼,或被用于精准营销。
图 IX 2015年安天每月上报漏洞情况
2015年安天捕获PC端恶意代码新增家族数为3,109个、新增变种2,243,062种,这些变种覆盖了亿级的样本HASH。相比于2014年,恶意代码总数虽然有所增加,但已经不再是2006~2012年间那种爆炸式的增长。
需要说明的是,我们无法确保这个统计足够精确,新增家族数的减少,并不能完全反映恶意代码的实际情况,更多的是我们过度依赖自动化命名的结果,从而对大量样本只能给出通用命名。尽管我们还在尽力维护一个完整的命名体系,但面对恶意代码数量多年的快速膨胀,以及恶意代码的开源和交易,几乎所有的安全厂商都失去了完整的基于严格编码继承性的家族命名关联跟进能力。各厂商大量采用编译器、行为等为恶意代码命名以及类似Agent这样粗糙的自动化命名,就是这种窘境的明证。而很多短小的WebShell,本身亦未有足够的信息,去判定其演进和关联。在今天,我们应该更多地在分析实践中,通过基于向量、行为之间的关系搜索,去寻觅恶意代码之间、安全事件与恶意代码之间的关系,而不是希望自动化给我们带来一切。
在2015年恶意代码家族变种数量排行榜前十名中,木马程序占六席,而其他四席被相对轻量级的Hacktool、和Grayware所占据(也有一些安全厂商将这些称为PUA,即:用户不需要的应用)。这个比例相对此前数年木马垄断排行榜的情况已经有了很大变化。在互联网经济带来更多变通道的情况下,一些攻击者的作业方式开始具有更强的隐蔽性。上榜恶意代码的主要功能是下载、捆绑、窃密、远程控制等行为,例如Trojan/Win32.Badur是一个通过向用户系统中下载、安装大量应用程序获利的木马程序,该木马会在后台下载多款推广软件,使用静默安装的方法在用户系统中安装指定的应用程序,并从软件厂商或推广人处获取利益。今年,广告程序有三个家族进入了排行榜,除AdLoad这个以行为命名的家族(家族样本未必具备同源性)外,另外两个广告程序家族都是具有亲缘性的庞大家族Eorezo和Browsefox,两个家族中带有数字签名的样本占总样本比重分别为32.9%和79.9%,它们通过与其他程序捆绑、下载网站、下载者等进行传播,其安装模式通常为静默安装,主要的功能是浏览器劫持和域名重定向,通过修改用户搜索结果显示各种在线广告公司的广告来获利。而排名第八位的恶作剧程序ArchSMS实际上是一个勒索软件,今年在全球范围内有较大规模的感染,国内感染量也非常多,它会弹出警告窗体,通知用户系统磁盘被格式化(实际上未格式化,因此我们将其暂定为恶作剧程序)等虚假消息,恐吓用户发送短信并以此进行敲诈。
2013年,我们用泛化(Malware/Other)一词,说明安全威胁向智能设备等新领域的演进,之后泛化(Malware/Other)一直被作为主要的威胁趋势,占据了安天威胁通缉令的“小王”位置两年之久。在这两年,除我们熟悉的Windows、Linux和其他类Unix系统、iOS、Android等平台外,安全威胁在小到智能汽车、智能家居、智能穿戴,大到智慧城市中已经无所不在。
在2015年,这种安全威胁泛化已经成为常态,但我们依然采用与我们在上一年年报中发布“2014年网络安全威胁泛化与分布”一样的方式,以一张新的图表来说明2015年威胁泛化的形势。
高级威胁向普通威胁转化的速度会日趋加快,任何在精妙的APT攻击中所使用的思路一旦被曝光,就会迅速被更多的普通攻击者学习和模仿。而以国家和政经集团为背景的攻击者也会与地下黑产有更多的耦合。由于商业化攻击平台和商用木马具有节省开发成本、干扰追踪等特点,越来越多的攻击组织将使用成型或半成型的商业攻击平台、商业木马和黑产大数据基础设施作为网络攻击的组合武器。“核威慑”的时代令人远虑,但“武器扩散”的年代则会带来更多现实的困扰。
勒索软件将成为全球个人用户甚至企业客户最直接的威胁,除加密用户文件、敲诈比特币外,勒索攻击者极有可能发起更有针对性的攻击来扩大战果,如结合内网渗透威胁更多的企业重要资料及数据。也不排除其会尝试邮件之外更多的投送方式,在更多邮件服务商开启默认全程加密后,在流量侧难以有效发现和阻断,因此对敲诈者过滤的责任除了邮件服务商本身,则又回到了终端安全厂商。
基于简单信标共享层次的威胁情报会遭遇挑战,利用脚本、内存驻留、无实体文件等隐藏踪迹的攻击方法将更为盛行。例如,APT-TOCS中使用PowerShell作为文件载体进行加载恶意代码。在这种技术面前,简单的文件HASH共享将无法有效应对。此外,随着更多攻击者占据种种网络设备资源,更为隐蔽的通讯方式将逐渐让更多攻击者摆脱对固定域名C&C的依赖。因此这种基于文件HASH和地址的通讯信标检测,未来注定在对抗APT攻击中难以占据上风。同时,我们需要提醒我们的同仁,威胁情报的共享体系,同样使其具有了很大被污染的可能性。
“上游厂商”将遭受更多的攻击,导致整个供应链、工具链的脆弱性增加。攻击者会将目光转向防护能力稍弱的第三方供应商,以其受信任的身份为跳板,攻击防护能力较强的企业,从而带来更大面积的影响。例如,攻击者对分析工具、安全工具等的攻击可以影响逆向爱好者和恶意代码分析师;对开发场景的攻击可以影响其大量用户和高敏感的用户,使用者会将其判定为受信程序或软件;对出厂设备预安装恶意代码可以直接影响用户。因此,上游厂商和开发商需要担负起更有效的布防责任。同时,因为中国行业资质门槛的问题,OEM、贴牌等行为更为普遍,而盗版工具链、伪原创等问题也十分常见,因此威胁图谱往往更为复杂,供应链透明化的呼声需要变成行动。
我们还需要注意到的是,随着中国政府以“互联网+”盘活传统产业的努力,中国所面临的安全威胁也将向传统的工业和基础设施中快速逼近。
我们终于要插播广告了……
在过去的2015年,安天完成了从反病毒检测引擎供应商,到高级威胁检测能力厂商的角色调整,初步形成了以“安天实验室”为母体,“企业安全”与“移动安全(AVL TEAM)”为两翼的集团化布局。我们希望以有效的检测分析能力和数据储备为基础,依托在反恶意代码和反APT方面长期的尝试和积累,为用户创造更有效、更直接的安全价值。
同时在过去一年中,我们改善了自身的一些产品,以使之获得更有效的缓存和向前回溯的能力。我们改进了沙箱技术,使之能够更有效地触发恶意行为,同时对PE样本有更深的行为揭示能力;我们让反病毒引擎不再简单地充当一个鉴定器,而是变成一个知识体系;我们也继续加大了对移动安全相关领域的研究和投入,并在AV-C上下半年的两次测试中,成为全球唯一一个获得检出率双百分成绩的厂商。通过这些工作所带来的产品改进,安天已经形成了以PTD探海威胁检测系统(前身是安天VDS网络病毒检测系统)为流量侧探针,以IEP智甲终端防御系统为终端防线,以PTA追影威胁分析系统为分析纵深能力的高级威胁检测防护方案,并通过结合态势感知和监控预警通报来满足行业用户和主管部门的需求。
我们对威胁情报共享机制和大数据都给予了足够的关注,我们也坚信威胁情报不是简单的信标挖掘与互换,其需要可靠的安全威胁检测能力作为支撑。同时更要警惕情报共享体系遭到上游污染,从而导致情报价值降低,甚至产生反作用。
向前台产品的转型,可以让我们更好地为用户服务,但我们依然专注于反APT与反恶意代码领域,既不会跟随新概念而摇摆,也不会被提供“无死角”解决方案的想象所诱惑。
除了我们对用户的责任外,安天珍惜通过自身长期与兄弟厂商互动,提供反病毒引擎所形成的产业角色。
我们以可靠检测能力支撑威胁情报,我们以检测能力输出共建安全生态。
这是我们对于安天自身的产业责任和未来的理解。
在安天度过第15个年头,在最早加入安天CERT的分析工程师已经四十不惑的时候,我们承认我们都有过彷徨、有过动摇。但如果你认真地问我们,“你心力憔悴么?”——我们要回答:“不!”。
安全工作者与安全威胁间进行的本身就是一场永不终止的心力长跑,双方进行的不止是力量的抗衡,同样也是心灵与意志的较量。无论是地下经济从业者对利益的孜孜以求,还是APT的发起者坚定的攻击意志,都驱动着对手的不知疲倦,这终将会使网络安全成为靠勤奋者和坚定者坚持的行业。