戰(zhàn)法簡介     

APT即高級可持續(xù)威脅攻擊,也稱為定向威脅攻擊，指某組織對特定對象展開的持續(xù)有效的攻擊活動。這種攻擊活動具有極強的隱蔽性和針對性,通常會運用受感染的各種介質(zhì)、供應鏈和社會工程學等多種手段實施先進、持久且有效的威脅和攻擊。

該戰(zhàn)法是針對APT攻擊事件的快速發(fā)現(xiàn)、定性分析，及其所屬攻擊組織的研判方法。戰(zhàn)法原理是先基于流量分析的不同技術角度來檢測發(fā)現(xiàn)APT攻擊線索事件，然后利用威脅線索TTPs（技術、工具、過程）分析中的攻擊資源同源性分析和惡意代碼同源性分析，快速研判事件所屬的APT攻擊組織。

該技戰(zhàn)法適用于初中級研判分析人員從各類檢測產(chǎn)品告警中快速篩選APT威脅攻擊線索，通過快速的情報關聯(lián)分析來確定威脅事件的性質(zhì)，研判攻擊事件所屬的APT攻擊組織。

     戰(zhàn)法實施     

本戰(zhàn)法的實施可以分為檢測、分析、研判三個階段來開展，各個階段均可以借助各類安全產(chǎn)品來進行基本應用，例如：檢測和分析階段可使用抗APT類、NDR類產(chǎn)品，能夠有效幫助檢測發(fā)現(xiàn)和基礎分析威脅線索；分析和研判階段則可以使用態(tài)勢感知類、TIP威脅情報類產(chǎn)品來進行基礎的線索及情報關聯(lián)；研判階段還應借助基于攻防經(jīng)驗和威脅情報知識庫，來對威脅事件精確定性。

檢測階段

利用基于流量分析的各類產(chǎn)品來進行APT威脅事件和線索的檢測，主要包含以下兩個方面：

1）典型APT攻擊戰(zhàn)法檢測

可以使用虛擬化沙箱技術、AI建模分析技術針對流量中魚叉釣魚攻擊、水坑攻擊等典型APT攻擊技戰(zhàn)法進行檢測發(fā)現(xiàn)。

針對已知APT組織常用惡意代碼家族攻擊，例如郵件投遞、文件欺騙下載、WEB誘導瀏覽、文件欺詐分享等攻擊戰(zhàn)法中投遞的各類文檔、網(wǎng)頁和流量報文和網(wǎng)絡會話，抗APT產(chǎn)品通過內(nèi)置強大的病毒庫、漏洞攻擊庫、黑客工具庫進行靜態(tài)檢測，實時檢測各類已知網(wǎng)絡漏洞攻擊和入侵行為。

針對未知惡意文件攻擊，抗APT產(chǎn)品將流量還原得到的辦公文檔和可執(zhí)行文件放入虛擬執(zhí)行檢測引擎的虛擬環(huán)境中執(zhí)行，根據(jù)執(zhí)行中的可疑行為綜合判定各類含漏洞利用代碼的惡意文檔、惡意可執(zhí)行程序及植入攻擊行為。

在虛擬化沙箱中誘導惡意代碼展現(xiàn)并記錄惡意行為后，使用AI建模分析方法可以使用機器學習算法，對樣本在虛擬執(zhí)行環(huán)境中的各種行為進行威脅判定。

2）APT威脅線索檢測

可以通過隱蔽信道、異常協(xié)議、異常流量等基于行為分析的、基于模型匹配的威脅線索發(fā)現(xiàn)能力，來發(fā)現(xiàn)各類APT威脅攻擊在非法控制階段的線索事件。

從歷年來APT攻擊中所使用的惡意代碼的攻擊原理和特點來看，特種木馬需要與外聯(lián)的服務端進行實時通信，才能達到竊取敏感信息的目的。那么在通信的過程中，在網(wǎng)絡內(nèi)肯定存在外聯(lián)的活躍行為，抗APT系統(tǒng)可通過強大的木馬通信行為庫，基于多手段的流量行為分析檢測技術，檢測已植入內(nèi)網(wǎng)的未知威脅，包括：動態(tài)域名、協(xié)議異常、心跳檢測、非常見端口、規(guī)律域名統(tǒng)計、URL訪問統(tǒng)計、流量異常等通過多種通信行為的復合權值，在網(wǎng)絡層對未知APT惡意代碼的網(wǎng)絡通信行為進行實時監(jiān)控、預警、分析。

從近幾年被曝光的APT攻擊組織樣本來看，其所使用的特種木馬、間諜木馬等惡意代碼，會使用自定義或者加密的協(xié)議建立隱蔽通信信道，用以繞過防火墻、IDS等傳統(tǒng)安全設備的檢測。針對網(wǎng)絡流量中的隱蔽信道進行深度分析，通過分析隱蔽信道通信中的流量特征和行為特征，構建相應的檢測模型，能夠把隱蔽傳輸?shù)臄?shù)據(jù)從復合流量中分離出來，從而發(fā)現(xiàn)一些未知的攻擊行為。

分析階段

分析階段是需要從檢測階段發(fā)現(xiàn)的各種威脅攻擊事件/線索中，分析抽取可用于關聯(lián)分析的元數(shù)據(jù)，然后再通過基于威脅情報知識庫的同源性分析，將威脅事件/線索與已知APT組織進行快速關聯(lián)比對。

這類最常用且有效的關聯(lián)分析方法可以分為以下兩種方法：

1）攻擊資源同源性分析

通過分析攻擊投遞、非法控制兩個階段中攻擊者采用的攻擊載具，抽取相應的元數(shù)據(jù)，然后通過搜索引擎或威脅情報檢測類產(chǎn)品，與各APT組織戰(zhàn)術類威脅情報中的IOC指標進行快速匹配。

攻擊載具可抽取的元數(shù)據(jù)包括但不限于：攻擊者郵箱、攻擊者郵件發(fā)送源IP、惡意代碼模塊下載地址、惡意代碼家族、惡意代碼文件模塊HASH、PDB路徑、文件簽名、C&C服務器域名/IP等。通過這些元數(shù)據(jù)與APT組織情報進行關聯(lián)，就能夠快速分析出事件高概率所屬的APT組織。

2）惡意代碼同源性分析

由于APT組織會經(jīng)常變換C2服務器，使得利用威脅情報的可能性大大縮小。但對于長期存在的APT組織來說，雖然其使用的惡意代碼會經(jīng)常版本迭代，但很多基礎代碼和關鍵函數(shù)很少變動，經(jīng)常能找到關鍵的關聯(lián)特征。

本戰(zhàn)法就可以采用模糊HASH算法、AI算法（聚類算法）等模型匹配的方式，或者采用人工逆向分析的方式，來比對惡意代碼樣本的代碼與已知APT組織常用惡意代碼的相似性。

判研階段

基于以上檢測和分析的結果，需要威脅分析人員對已發(fā)現(xiàn)的信息威脅源進行研判，對攻擊技術、工具、過程進行綜合刻畫，判斷攻擊威脅體現(xiàn)的技術實力。然后再綜合攻擊者、受害者、動機、攻擊后果四個維度進行攻擊意圖研判。

通過以上研判，最終嘗試確定攻擊事件的性質(zhì)：間諜組織、涉政組織、暴恐組織等已知APT組織，或黑/灰產(chǎn)組織等已知其他攻擊組織。如有需要，還要確定進一步溯源策略，例如反制C&C服務器、嘗試線上線下身份挖掘等。

     案例分析     

一則案例是在2019年4月間，APT34組織的武器泄密事件中，東巽科技對其常用武器做了一個詳細的分析。其中DNS隱蔽隧道就是該組織常用的技術，隱蔽隧道技術可以躲避常規(guī)流量的檢測，利用DNS協(xié)議與服務器通信，傳輸數(shù)據(jù)。

APT34常用武器中使用的DNS隱蔽隧道

APT34是一個來自于伊朗的APT組織，自2014年起，持續(xù)對中東及亞洲等地區(qū)發(fā)起APT攻擊，涉獵行業(yè)主要包含政府、金融、能源、電信等。多年來，攻擊武器庫不斷升級，攻擊手法也不斷推陳出新，并且攻擊行為不會因為被曝光而終止。在本戰(zhàn)法實際運用過程中，通過攻擊資源同源性（采用相同C&C服務器）關聯(lián)到APT組織的案例非常多，這里就不再贅述。

另外一則是分析一個通過攻擊載荷代碼同源性來研判APT攻擊的案例：

海蓮花（OceanLotus、APT32）是一個具有越南背景的黑客組織。啟明星辰金睛安全研究團隊發(fā)現(xiàn)了一起該組織的魚叉釣魚網(wǎng)絡攻擊事件。在該事件中，關鍵確認APT攻擊的同源關系有：

1) 攻擊者所使用的惡意代碼包含一個VBS腳本，其下載的shellcode的編寫技巧，與以往海蓮花組織所使用的shellcode手法幾乎一致。

2) 本次攻擊事件中最后釋放的遠控惡意代碼，與在以往披露的海蓮花組織報告中（詳見《2017網(wǎng)絡安全態(tài)勢觀察報告》），無論是回傳特征，還是代碼結構都幾乎一致，甚至連偽裝成amazon的host主機也一致。

由此基本可以確認，本次攻擊的確為海蓮花組織發(fā)起，并且該組織仍然在沿用以往的武器。

     戰(zhàn)法點評     

本戰(zhàn)法優(yōu)點是能夠讓一般分析人員清晰的快速實現(xiàn)對已知APT組織攻擊事件的關聯(lián)確認，且大量成熟產(chǎn)品可以有效輔助該戰(zhàn)法的實現(xiàn)。

本戰(zhàn)法也有一定的局限性，大量APT組織的戰(zhàn)術類和戰(zhàn)略類威脅情報并未公開曝光，可關聯(lián)情報不足也會導致無法關聯(lián)匹配。