安天對這一系列針對中國教育、科研、軍事等領(lǐng)域的攻擊行動(dòng),進(jìn)行了近四年時(shí)間的持續(xù)監(jiān)測、捕獲、跟蹤、分析,并發(fā)布本報(bào)告。在安天過去多次的會(huì)議報(bào)告中如《APT的線索、關(guān)聯(lián)與樣本集度量》、《A2PT與“準(zhǔn)APT”事件中的攻擊武器》中,曾對其 “第一攻擊波”做過較為詳細(xì)的介紹,稱之為輕量級(jí)的APT攻擊,但令人扼腕的是,這種輕量級(jí)的攻擊,對中國的信息系統(tǒng)依然形成了有效侵害。而從第二攻擊波中,可以看到其攻擊能力水平的快速成長,以及帶來的更全面的威脅。
白象一代攻擊特點(diǎn)
2012年——2013年,安天陸續(xù)捕獲了來自白象組織的多次載荷投放,此后依托關(guān)聯(lián)信息同源分析,找到了數(shù)百個(gè)樣本,這些樣本多數(shù)投放的目標(biāo)是巴基斯坦,少數(shù)則針對中國的高等院校和其他機(jī)構(gòu)。隨后安天逐步對其進(jìn)行了披露,并在2014年完成報(bào)告《白象的舞步——HangOver攻擊事件回顧及部分樣本分析》。
為區(qū)分兩個(gè)不同的攻擊波,安天將2012——2013年高度活躍的這組攻擊稱為 “白象一代”。“白象一代”投放了至少近千個(gè)不同HASH的PE樣本,使用了超過500個(gè)C&C域名地址;其開發(fā)人員較多,開發(fā)團(tuán)隊(duì)技能混雜,樣本使用了VC、VB、。net、Autoit等多種環(huán)境開發(fā)編譯;同時(shí)其未使用復(fù)雜的加密算法,也未發(fā)現(xiàn)使用0day漏洞和1day的漏洞,而更多的是采用被部分中國安全研究者稱為“亂扔EXE”的簡易社會(huì)工程學(xué)——魚叉式網(wǎng)絡(luò)釣魚攻擊。PE免殺處理是該攻擊組織所使用的主要技巧,這也是使這組攻擊中的PE載荷數(shù)量很大的原因之一。根據(jù)以上情況安天把這組攻擊劃分為輕量級(jí)APT攻擊,即缺乏足夠的0day儲(chǔ)備,很少使用0day;二進(jìn)制載荷編碼質(zhì)量非常低下;嚴(yán)重依賴網(wǎng)絡(luò)投放;沒有采用必要的Rootkit手段;缺少必要的持久化能力;主要針對Windows系統(tǒng)平臺(tái)作業(yè)的APT。
白象二代攻擊特點(diǎn)
2015年年底,安天又發(fā)現(xiàn)一組來自“西南方向”的攻擊在進(jìn)一步活躍,主要目標(biāo)依然是中國和巴基斯坦,通過安天監(jiān)控預(yù)警體系分析可以發(fā)現(xiàn),中國的受攻擊者主要為教育、軍事、科研等領(lǐng)域。而且此次攻擊已擺脫了“白象一代”雜亂無章的攻擊手法,整體攻擊行動(dòng)顯得更加“正規(guī)化”和“流程化”,安天將這組攻擊稱為“白象二代”。
“白象二代”普遍使用了具有極高社工構(gòu)造技巧的魚叉式釣魚郵件進(jìn)行定向投放,至少使用了CVE-2014-4114和CVE-2015-1641等三個(gè)漏洞;其在傳播層上不再單純采用附件而轉(zhuǎn)為下載鏈接、部分漏洞利用采取了反檢測技術(shù)對抗;其相關(guān)載荷的HASH數(shù)量則明顯減少,其中使用了通過Autoit腳本語言和疑似由商業(yè)攻擊平臺(tái)MSF生成的ShellCode;同時(shí)其初步具備了更為清晰的遠(yuǎn)程控制的指令體系。從整體上來看,“白象二代”相比“白象一代”的技術(shù)手段更為高級(jí),其攻擊行動(dòng)在整體性和技術(shù)能力上的提升,可能帶來攻擊成功率上的提升。而其采用的更加暴力和野蠻的投放方式,使其攻擊次數(shù)和影響范圍遠(yuǎn)遠(yuǎn)比“白象一代”更大。”
APT防御需要信息化基本環(huán)節(jié)和安全能力的共同完善在過去數(shù)年間,中國的信息系統(tǒng)和用戶遭遇了來自多方的網(wǎng)絡(luò)入侵的持續(xù)考驗(yàn),從安天針對“白象”的分析可以看到,來自地緣利益競合國家與地區(qū)的網(wǎng)絡(luò)攻擊,將是中國信息化的重大風(fēng)險(xiǎn)和挑戰(zhàn)。同時(shí),“白象”系列攻擊也反映出了我國在網(wǎng)絡(luò)安全防御上的種種不足。
首先可以看到中國在信息化發(fā)展上的不足,在“白象二代”組織所投放的目標(biāo)電子郵箱當(dāng)中,其中很大比例是免費(fèi)個(gè)人郵箱,而國內(nèi)免費(fèi)信箱的安全狀況已高度不容樂觀。在啟動(dòng)信息高速公路建設(shè)二十年后,國內(nèi)依然沒有對官方機(jī)構(gòu)和政務(wù)人員實(shí)現(xiàn)有效的安全電子郵件服務(wù)的覆蓋。
其次,還能看到中國大量基礎(chǔ)的信息安全環(huán)節(jié)和產(chǎn)品能力還不到位,“白象一代”曾被安天定性為輕量級(jí)APT攻擊,但卻成功入侵了中國的高等學(xué)府。“白象二代”組織盡管在手法上有很大提高,但亦未見其具備0day儲(chǔ)備,其所使用的三個(gè)漏洞,在為“白象組織”使用時(shí),微軟已經(jīng)將其修補(bǔ),而其中兩個(gè)并未經(jīng)過免殺處理。而類似這樣的攻擊依然能夠大行其道,也是當(dāng)前補(bǔ)丁、系統(tǒng)加固等基礎(chǔ)安全環(huán)節(jié)不到位、產(chǎn)品能力不足的體現(xiàn)。
反APT是一種綜合的體系較量,要求對抗攻擊者在人員、機(jī)構(gòu)、裝備、工程體系方面的綜合投入,是一場成本較量。要求對抗攻擊者具有堅(jiān)定、持續(xù)的攻擊意志,既要有曝光對手的勇銳,也要有戍邊十載、不為人知的意志與沉穩(wěn)。說到底大國防御力,由設(shè)計(jì)所引導(dǎo)、以產(chǎn)業(yè)為基礎(chǔ)、與投入相輔相成,但最終其真實(shí)水平,要在與攻擊者和窺探者的真實(shí)對壘中來檢驗(yàn)。
