攻击溯源或归因往往很难,因为犯罪团伙常常共享代码和技术,黑客国家队则精通欺骗和消痕。安全研究人员在此分享溯源常用技术和常见陷阱。

将网络攻击溯源到特定威胁团伙极具挑战性,尤其是在复杂攻击源自黑客国家队的情况下,因为攻击者十分擅长隐藏或清除自身痕迹,或者故布疑阵转移视线。

正如思科 Talos 安全研究员Paul Rascagneres和Vitor Ventura在9月30号的VB2020大会上所言,达成切实归因的最佳办法是分析攻击中用到的基础设施和技术,但即便如此,研究人员也常追往错误的方向。

Rascagneres称,研究人员通常依赖三种情报源:互联网上公开可用的开源情报(OSINT);依靠恶意软件分析的技术情报(TECHINT);仅涉事公司才有的专有数据。

国家情报机构可作为另一情报来源,因为他们通常比私营产业拥有更多的信息和额外的资源,但情报机构往往对他们的方法秘而不宣。Rascagneres表示:“公营部门的人通常不会说出一切。他们不会解释自己是怎么得到所有细节的。那要怎么建立联系呢?”

溯源WellMess恶意软件

Rascagneres举了个分析基础设施的例子,说明这种方法是怎么误导安全人员的。例子从安全调查人员所谓的战术、技术和程序(TTP)几方面入手,展示2018年日本国家计算机应急响应小组(CERT)发现的WellMess多平台恶意软件。

英国国家网络安全中心(NCSC)直接将WellMess恶意软件溯源到APT29,也就是以安逸熊(Cozy Bear)之名更为人所知的俄罗斯国家威胁组织。这一结论得到了加拿大通信安全局(CSE)、美国国家安全局(NSA)和国土安全部网络安全与基础设施安全局(CISA)的认可。

WellMess在在等待进一步指令的同时从受感染主机抽取信息,拥有32位和64位的不同变种,利用DNS、HTTP和HTTPS等多种协议进行C2通信。通过观察基础设施,研究人员可以推断出恶意软件样本之间的联系。例如,如果恶意软件A使用基础设施X,恶意软件B与同样使用基础设施X的威胁组织M相关联,攻击就通过共同的基础设施关联了起来。

此技术可用于调查共享的IP地址和域名,因为很多不同客户会使用相同的IP地址。Rascagneres称:“仅基于IP地址,事情有点棘手,你很容易犯错。”

“另一个重要事项是时间间隔。IP地址随客户不同而快速改变。如果你今天看到一个威胁团伙使用某个特定IP地址,一年之后看到另一攻击活动,你有太大的概率看到不同IP,关联也就建立不起来了。”

基于对IP地址的分析,WellMess似乎是源于APT28(也称奇幻熊(Fancy Bear))而非APT29,这个溯源就与英国官方发现的不一致了。即使使用TTP,溯源分析也会将研究人员导向错误的威胁组织。

Rascagneres分析了另一WellMess样本的TTP,在VirusTotal上检测时发现WellMess与DarkHotel攻击团伙之间有关联。DarkHotel团伙据信在朝鲜半岛运作,从CEO等高级目标处盗取有价值数据。该团伙的名称源自DarkHotel跟踪旅行计划并通过酒店Wi-Fi入侵的方法。

中国安全公司360的一份报告认为WellMess是完全未知的威胁组织,并将之命名为APT-C-42,进一步复杂化了对此样本的分析。但尽管利用了私营产业各方可用的这三种情报来源,归因分析依然无法达成NCSC获得的结论,不能将攻击者锁定为APT29。(Rascagneres分析的详细解读可查阅文末所附论文链接。)

分析共享代码

分析共享的代码是溯源过程的另一常用技术。Ventura称:“我们分析共享代码,是因为我们看到这个样本属于那个样本,然后第二个样本可能关联到一个国家或组织。由此,我们就能向前跃进,直至归因了。”

但是,Ventura警告未来的归因研究员:完全无法前进的情况也会出现,尤其是在共享的代码公开可用的时候。这种情况下,代码相同点反而会导向错误的归因。Ventura认识的一名研究人员就因为共享的代码而将两个恶意软件样本关联了起来。然而,后来发现,这段共享的代码其实是内嵌TLS库的一部分,是开发人员广泛使用的公开代码,不太可能提供两个恶意软件样本间的强连接。“这种情况下,我们知道所有重叠,但当我们进一步研究,当我们审视其他可用信息,我们实际上推翻了我们的猜测。”

注意伪旗

伪旗可能将研究人员误导至错误的结论。2018年韩国平昌冬奥会遭遇的Olympic Destroyer恶意软件,就是最近曝光度很高的伪旗案例。由于此恶意软件中内嵌伪旗的干扰,分析恶意软件的安全专家得出了多种归因结果,有俄罗斯、伊朗、中国、朝鲜。

在伪旗问题上,情报机构显示出了相对于私营产业的优势。Ventura称:“情报机构享有我们没有的信息。他们有信号情报(SIGINT),还有人力情报。他们拥有我们通常没有的各种信息。我们手中的信息并不多。”

Ventura谈到了安全研究人员感到沮丧的一个可能原因:没办法知道情报机构到底怎么做出的溯源。“对我们研究人员而言,这让我们十分不舒服,因为我们喜欢可以验证的东西。但因为我们没有这些信息,我就根本无法验证。”

这种情况下,最佳应对机制就是承认有些东西可能永远未知。Ventura表示:“我们需要承认这一点。我们不仅应该接受他们说的就是定论,还需要接受他们可能不会共享这些信息。”

Rascagneres 的论文:

https://blog.talosintelligence.com/2020/08/attribution-puzzle.html

来源:数世咨询