最近老大让看了几篇很不错的溯源文章,感觉从思路,方法上都很和不错。为APT溯源搭建一个起码的思维框架,这里仅作学习参考。
美国安全厂商对APT10的报道和溯源一直有持续,截至2019年2月6日,APT10又有新的披露,参见(https://github.com/CyberMonitor/APT_CyberCriminal_Campagin_Collections/blob/master/2019/2019.02.06.APT10_Sustained_Campaign/cta-2019-0206.pdf)。
本篇文章并不打算从美国披露APT10的目的以及美国披露APT10攻击方身份来谈,而是想单纯地从技术角度,通过us-cert与美国厂商披露的溯源方式来浅析美国应急响应中心拥有的能力和使用的方法。
一、美国溯源APT事件的步骤与使用的方法
1. 报警、取证与样本抽取
美国的安全厂商众多,它们的安防设备与安防软件维护着全球各国大中型企业的边界安全,同时它们承接着维护众多企业的安全防护服务。从APT10事件的溯源来看,最初是由于欧洲软件集成商Visma的报警。
visma是软件供应链的生产端,其开发的软件应用于欧洲、中东、美洲的许多大型企业。对visma公司开展APT渗透的目的,主要是为了感染其软件成品,在其软件成品中植入特种木马或后门,进而可对所有装配该软件的企业轻而易举开展网络渗透,这种方式称为供应链攻击。
美国厂商rapid7与recorder future接到visma的报警后,对visma公司的电脑进行了查看,它们对被入侵的边界web主机一一排查,发现了木马样本文件。
2、分组行动、相互配合,锁定特征码,大数据关联分析,感知未发现的攻击行为
厂商将木马样本提供给了美国国家网络安全和通信集成中心(NCCIC),它是网络安全和基础设施安全局(CISA)的一部分,NCCIC分成三个小组对木马样本开展工作,代码逆向组、流量分析组与网络调研组。
代码逆向组,对木马样本dll文件进行逆向,确定了木马传输流量使用的传输算法——Salsa20(本质是XOR运算)与RC的加密算法,代码逆向组通过对木马核心加密代码代码的逆向,分析出了整个代码的加载与运行流程,并得出了木马程序传输过程中在TCP层的特征码——00 00 7a 8d 9b dc,同时得出了木马程序在DNS过程中的硬编码的域名地址www.miphomanager.com。
流量分析组利用美国国家边界上的流量分析系统,对特征码进行布控,发现了未知的更多的发生与正在发生的攻击行为。比如APT10中,美国应急响应中心通过对00 00 7a 8d 9b dc的边界流量布控,发现了APT10攻击过一家之前未掌握的美国法律咨询公司。
网络调研组,利用CC的域名地址进行大数据关联分析,将不同的网络信息进行重组分析在重组,对攻击方进行溯源以及公开网络调研,对攻击者进行人物画像。最终确定了APT10的攻击方人员与公司,甚至幕后背景。
二、美国应急响应中心的拥有能力
1.美国应急响应中心能够对被入侵的主机进行还原取证;
2.美国应急响应中心能够有能力对木马样本进行代码的逆向分析与解密;
3.美国应急响应中心能够对流经美国的数据在传输层进行特征码布控,并可能存储至少半年的流经美国边界的数据流量,以便还原攻击;
4.美国应急响应中心对VPS代理服务提供商与正常网络服务提供商,两者有能力区分,并能落地VPS代理服务提供商的用户背后真实IP地址;
三、美国应急响应中心判断异常网络行为的方法及出乎意料的细致,又在情理之中
美国应急响应中心将5类网络行为特征定义为异常网络行为:
1. 端口与协议不匹配,如使用443端口传输明文协议;
2. 边界VPN拨入的IP地址不在企业用户VPN常用IP地址之列;
3.利用VPS服务提供商的代理IP地址访问企业用的边界VPN拨入内网;
4.Windows事件日志中的特殊ID编号,如ID 5140,通常是PSEXEC(一款内网hash传递工具)使用后产生的日志。
5.对于特殊协议要记录访问主机IP、目的主机IP,如SMB协议(永恒之蓝等等的攻击利用协议)要过滤网络流量,倍加防范。
总而言之,美国应急响应中心的能力代表了美国政府的部分还原追溯能力,通过美国企业与官方披露的APT事件追溯文档,我们能够更加清晰地了解美国政府的网络安全真实水平。