APT攻擊及其組織認定方法研究與應用

張增波 韓一劍 牛澤彬 李少杰 公安部第一研究所

一、APT組織研究現(xiàn)狀

（一）APT研究機構

國外研究APT組織的廠商機構較多，主要集中在美國和俄羅斯等網(wǎng)絡安全能力較強的國家。其中美國主要是CIA、ATT&CK等官方機構、火眼、微軟、思科等軟硬件廠商和殺毒軟件廠商，俄羅斯主要是卡巴斯基。國外披露的APT組織和攻擊情況細節(jié)比較多，質(zhì)量相對較高。

國內(nèi)公開研究APT組織的機構約在30家左右，主要集中在殺毒軟件廠商、安全設備廠商、威脅情報廠商等，具有首先發(fā)現(xiàn)并披露APT組織的廠商約為5家左右。

總體來看，具有首次發(fā)現(xiàn)APT攻擊的研究機構主要集中在提供基礎安全能力的廠商，如殺毒軟件、網(wǎng)絡安全設備等，而受害單位并不具備首次披露APT攻擊的能力。

（二）APT研究模型

研究網(wǎng)絡攻擊的模型有很多，如STRIDE、KillChain、ATT&CK、CAPEC等模型，Cyber Kill Chain、STRIDE威脅模型可以劃分為高層次模型，ATT&CK被劃分為中層次模型，CAPEC漏洞庫及漏洞利用模型劃分為低層次模型。高層次可以用來表達和理解高層次的攻擊者目標和防護系統(tǒng)風險。抽象層次越高，越難以表達具體的攻擊行為和攻擊行為關聯(lián)的具體數(shù)據(jù)、防護措施、配置資源等。

對比上述網(wǎng)絡攻擊分析模型，可以發(fā)現(xiàn)各個模型側(cè)重點和應用場景各不相同，如表1所示，對比了CAPEC模型和ATT&CK模型。例如，我們可將某一攻擊行為對應到攻擊鏈的“C&C”階段，這提醒防御方需要采取必要的措施了，但采取怎樣的措施，攻擊鏈模型是難以表達的。而在ATT&CK模型中，該攻擊行為可能對應到戰(zhàn)術 “Command and Control”，同時采用的是“Multi-hop Proxy”的技術手段以達成戰(zhàn)術目標，至此，我們可以進一步獲取針對該技術手段的一些通用的防護措施。當然，中層次的ATT&CK模型所描述的仍然是TTP的抽象，具體到實例化的行為描述，仍然需要細粒度的劃分。

?

CAPEC（Common Attack Pattern Enumeration and Classification）模型關注的是攻擊者對網(wǎng)絡空間脆弱性的利用，其核心概念是攻擊模式（Attack Pattern）。從攻擊機制的角度而言，CAPEC模型通過多個抽象層次對攻擊進行分類和枚舉。其目標是全面的歸類針對已知的應用程序脆弱性的攻擊行為。相對而言，ATT&CK模型的目標不是對不同攻擊戰(zhàn)術目標下技術的窮盡枚舉，而是從APT組織的可觀測數(shù)據(jù)中提取共性的戰(zhàn)術意圖和技術模式。戰(zhàn)術意圖是CAPEC模型枚舉庫難以表達的。從攻擊檢測的角度來看，只有明確攻擊的戰(zhàn)術意圖，才能進一步推測攻擊的關聯(lián)上下文信息，以支持攻擊威脅的評估和響應。此外，通過提供攻擊組織和軟件信息，ATT&CK模型還能夠串聯(lián)起威脅情報和事件檢測數(shù)據(jù)，打通對威脅事件的理解鏈路。

（三）已被披露的APT組織情況

目前全球被披露的APT組織已達600多個，2013年美國麥迪安網(wǎng)絡安全公司就發(fā)布了對141個客戶可組織的跟蹤分析報告。APT組織從分布的區(qū)域、攻擊水平、攻擊目標各有不同。目前較為活躍的在60個左右，主要集中在北美、東亞和南亞地區(qū)，針對中國的APT攻擊最多。

二、當前APT研究存在的局限性

目前APT攻擊行為的認定和APT組織的發(fā)現(xiàn)都是后知后覺，即在攻擊發(fā)生后進行復盤總結，整體來看進行認定，在攻擊發(fā)生當時，并沒有被認定為APT攻擊行為，甚至沒有發(fā)現(xiàn)攻擊行為。一是初次認定命名無標準，當前各個研究機構首次披露APT組織的名稱標準不一，命名規(guī)范不統(tǒng)一，各自有自己的一套標準體系，ATT&CK按照披露時間順序以數(shù)字序號命名；360按照植物、動物、怪獸等類別進行命名；CrowdStrike目前在全球追蹤150多個民族國家、電子犯罪分子和黑客行動主義者命名系統(tǒng)，“BEAR”指的是俄羅斯，“CHOLLIMA”指的是朝鮮，“PANDA”指的是中國，“KITTEN”指的是伊朗。“SPIDER”用于非國家資助的電子犯罪。二是APT攻擊初始階段難以發(fā)現(xiàn)，按照殺傷鏈模型的七個階段，很難將前6個階段的偵察、測試、潛伏的攻擊行為準確歸屬為APT攻擊行為，甚至普通的攻擊行為可以模仿已知的APT攻擊特征，沒有明確的邊界區(qū)分是普通探測掃描還是APT攻擊的前奏，造成誤判和漏判。三是關基單位尚未協(xié)同聯(lián)動信息共享，APT研究的門檻較低，但取得新發(fā)現(xiàn)的門檻較高。根據(jù)公開的威脅情報，關基防護單位、研究機構均可對已知的APT進行研究，但是若要第一時間了解APT的全貌，則需要部署全面的監(jiān)測體系、專業(yè)的分析團隊，同時還必須與關基單位保持密切聯(lián)系，在第一時間進行全面的線索收集和取證分析。四是APT研究成果主要輸出形式是威脅觀測值，例如IP地址、URL、惡意文件MD5值等靜態(tài)數(shù)值，而真正的APT組織的威脅指標、攻擊技戰(zhàn)法并沒有深入的發(fā)現(xiàn)。

三、APT攻擊認定要素

APT攻擊是高級可持續(xù)威脅，部分研究者從針對性、持續(xù)性、威脅性等方面對APT攻擊特點進行了總結，從當前已被披露的APT攻擊事件分析發(fā)現(xiàn)，各個APT組織實施的攻擊在目的針對性、攻擊能力、背景實力等方面表現(xiàn)出了不同的水平，但其中共同的要素，可作為APT攻擊的主要指標，本文提出從攻擊技戰(zhàn)法特點、攻擊造成的影響、攻擊的目標、攻擊技術、攻擊者擁有的基礎設施五個方面進行APT攻擊衡量。

（一）攻擊的技戰(zhàn)法較為先進

從具體的攻擊方法看，APT攻擊采取的技術手段高明，技術能力較強，往往使用一些高級的攻擊手段：在突破邊界防護入侵內(nèi)網(wǎng)時往往采用精準社工釣魚的攻擊方式，釣魚主題大多與國家重大時事相關，例如“毒云藤”制作了大量的模仿國家政府部門網(wǎng)站的郵箱釣魚網(wǎng)站來定向獲取情報信息；APT攻擊經(jīng)常利用操作系統(tǒng)、網(wǎng)絡設備的零日漏洞獲取網(wǎng)絡和系統(tǒng)的控制權，此類攻擊利用門檻較低，危害較高，往往具有“一錘定音”的效果。例如“蔓靈花”善于利用Office軟件漏洞，在文檔中綁定木馬后門進行攻擊。

（二）攻擊產(chǎn)生影響范圍較廣

美國著名安全公司FireEye披露一件始于2020年春季的大規(guī)模黑客入侵事件：攻擊者入侵SolarWinds軟件開發(fā)公司，將木馬植入名為Orion的網(wǎng)絡和應用程序監(jiān)視平臺產(chǎn)品中，從而將木馬后門引入到使用該軟件產(chǎn)品的重要單位。截止2021年三月，已確認的受害者包括美國聯(lián)邦機構、微軟、VMware和思科、FireEye等高知名度科技公司，以及歐洲、亞洲和中東的政府、咨詢、技術、電信和采掘業(yè)實體等攻擊18000位客戶。據(jù)《華盛頓郵報》報道，攻擊者為俄羅斯外交情報部門背景的黑客組織APT-29。

（三）攻擊目標比較明確

在震網(wǎng)病毒攻擊事件中，攻擊者使用了多個微軟系統(tǒng)的漏洞，同時針對伊朗核設施工業(yè)控制系統(tǒng)定制開發(fā)了多個零日漏洞，并偽造了相關核設施供應商的數(shù)字簽名，使攻擊具有合法性、隱蔽性，一系列的漏洞和工具都是專門為此次攻擊定制。此次攻擊被認為是美國針對伊朗的國與國之間的、具有明確政治軍事目的的APT攻擊。

（四）攻擊的技術手段較高

2017年“影子經(jīng)紀人”曝光的數(shù)據(jù)中包含一個名為SWIFT的文件夾，完整曝光了“方程式組織”針對SWIFT金融服務提供商及合作伙伴的兩起網(wǎng)絡攻擊行動的詳實信息，安天公司還原了“方程式組織”對EastNets網(wǎng)絡的攻擊過程。通過復盤我們可以看到，這是一起由超強能力網(wǎng)空威脅行為體發(fā)起，以金融基礎設施為目標；從全球多個區(qū)域的預設跳板機進行攻擊；以0Day漏洞直接突破兩層網(wǎng)絡安全設備并植入持久化后門；通過獲取內(nèi)部網(wǎng)絡拓撲、登錄憑證來確定下一步攻擊目標；以“永恒”系列0Day漏洞突破內(nèi)網(wǎng)Mgmt（管理服務器）、SAA業(yè)務服務器和應用服務器，以多個內(nèi)核級（Rootkit）植入裝備向服務器系統(tǒng)植入后門；通過具有復雜的指令體系和控制功能平臺對其進行遠程控制，在SAA業(yè)務服務器上執(zhí)行SQL腳本來竊取多個目標數(shù)據(jù)庫服務器的關鍵數(shù)據(jù)信息的APT攻擊事件。

（五）攻擊擁有與已知攻擊相同的攻擊設施

在某單位發(fā)現(xiàn)的APT攻擊中，攻擊者使用的資源中，具有大量的釣魚網(wǎng)站的代碼，與已經(jīng)披露的APT攻擊釣魚網(wǎng)站頁面完全一致，使用的攻擊IP也與已披露的攻擊IP在鄰近網(wǎng)段，斯諾登披露的美國NSA的網(wǎng)絡武器庫也顯示出國家支持的APT組織具有強大的資金、人才、網(wǎng)絡等資源。

因此，在監(jiān)測到網(wǎng)絡安全事件時，符合上述基本要素中的一個或者多個，均可能被認定為APT攻擊行為。

四、APT攻擊組織認定方法

網(wǎng)絡安全攻擊事件歸因分析一直是攻擊溯源分析的難點，確定發(fā)起APT攻擊事件的攻擊組織更加困難，主要原因是APT攻擊非常隱蔽，攻擊技術較為高超，利用較少的線索刻畫復雜的攻擊全貌非常困難。APT攻擊組織認定主要有以下方法：

（一）攻擊者或者組織聲稱負責

部分APT組織具有公開的政治傾向，攻擊行為具有挑釁性和明確的目的，例如“匿名者”組織宣稱將攻擊馬斯克星鏈計劃，也曾揚言要在春節(jié)期間攻擊100個中國政府網(wǎng)站；公開情報顯示名為“圖蘭軍”（TuranOrdusu）的土耳其黑客組織曾在某黑客論壇上發(fā)帖，煽動土耳其黑客針對我國境內(nèi)網(wǎng)站發(fā)起攻擊。

（二）利用攻擊特征中帶有的明顯標識認定APT組織

部分APT組織會在攻擊的載荷中暴露自己的特征。2016由美國安全公司Forcepoint披露的“蔓靈花”組織，在其遠程訪問工具（RAT）變體使用的網(wǎng)絡通信頭包含“BITTER”，所以將此次攻擊命名為“BITTER”，同年國內(nèi)安全廠商也跟進發(fā)布了分析報告，命名為“蔓靈花”?！八鱾愔邸币蚱涔舫绦虻呐渲梦募写嬖凇癝URON_ KBLOG_KEY”的關鍵詞，被卡巴斯基實驗室命名。“方程式”攻擊組織的名字是由卡巴斯基實驗室發(fā)現(xiàn)并命名的?？ò退够趫蟾嬷性f，之所以叫他們方程式，是因為在他們的行動中，比較偏愛加密算法、模糊策略等比較復雜的技術。

（三）通過地緣政治認定APT組織

黃金雕（APT-C-34）組織的基礎設施和絕大部分的受害者均集中在哈薩克斯坦國境內(nèi)，根據(jù)受害者的數(shù)據(jù)推測，該組織的大部分攻擊行動主要是針對哈薩克斯坦國境內(nèi)的情報收集任務，支持該組織背后的實體機構疑似與哈薩克斯坦國政府機構存在關聯(lián)。Lazarus別名APT38、Guardians of Peace，被認為是隸屬于朝鮮的一個APT組織。據(jù)一位計算機科學教授透露，該組織的成員主要來源于朝鮮海外情報機構，主要負責以獲得外匯為目的的攻擊。

（四）通過暴露的攻擊武器認定APT組織

APT組織具有自己的攻擊工具或者軟件系統(tǒng)，根據(jù)使用相同攻擊軟件的特點可以判定其歸屬。360披露的APT-C-39組織多次使用了Fluxwire、Grasshopper等CIA專屬網(wǎng)絡武器針對我國目標實施網(wǎng)絡攻擊。通過對比相關的樣本代碼、行為指紋等信息，可以確定該組織使用的網(wǎng)絡武器即為“Vault7（穹窿7）”項目中所描述的網(wǎng)絡攻擊武器。APTC-39組織使用的部分攻擊武器同NSA存在關聯(lián)。WISTFULTOLL是2014年NSA泄露文檔中的一款攻擊插件。在2011年針對我國某大型互聯(lián)網(wǎng)公司的一次攻擊中，APTC-39組織使用了WISTFULTOOL插件對目標進行攻擊。與此同時，在維基解密泄露的CIA機密文檔中，證實了NSA會協(xié)助CIA研發(fā)網(wǎng)絡武器，這也從側(cè)面證實了APT-C-39組織同美國情報機的關聯(lián)。

上述已知的APT組織的歸因方法從樣本同源、代碼相似、政治目的等方面基于小樣本空間和歷史經(jīng)驗進行歸因認定，缺乏更多的數(shù)據(jù)支撐。

因此，APT組織的歸因方法還應該從大數(shù)據(jù)的方向，利用人工智能的算法，依托上述提到的特征，綜合考慮攻擊時間跨度、語言、命名特點、時區(qū)、遺留信息、C2信息、攻擊手法、攻擊技術、攻擊復雜度、攻擊資源等建立APT的威脅情報庫，以APT的情報庫為數(shù)據(jù)源，建立相關模型，利用機器學習中的訓練聚類算法模型，去預測相關組織的特性，甚至發(fā)現(xiàn)新的APT組織。

五、APT攻擊及組織認定的應用

依托安全設備抓取網(wǎng)絡流量，利用APT認定方法中的相關特征分析網(wǎng)絡攻擊流量，通過分析能夠?qū)崿F(xiàn)以下應用：一是根據(jù)APT相關認定方法建立APT組織檔案，對APT攻擊組織的常用手法、攻擊特點進行動態(tài)跟蹤。二是監(jiān)測APT組織的攻擊動態(tài)和攻擊趨勢，從開源、本地情報、第三方情報等多渠道的線索融合分析，監(jiān)測APT的攻擊動作。三是監(jiān)測信息基礎設施受APT攻擊的態(tài)勢，通過在關基信息基礎設施網(wǎng)絡內(nèi)部或者互聯(lián)網(wǎng)出口部署基于APT情報的流量監(jiān)測設備，全天候監(jiān)測APT相關特征的流量，輔助研判APT攻擊態(tài)勢。

六、結語

目前我國APT監(jiān)測發(fā)現(xiàn)和認定方面與國外均存在較大差距，基本上處于跟隨報道的階段，個別廠商雖然也首次揭露了APT組織的攻擊組織，但是基本上是基于已有的成果或者已披露的線索，尚未達到能夠完全自主、確鑿歸因攻擊組織的水平，并且我國披露APT攻擊事件尚未能定位到具體攻擊者，對于攻擊組織的國家背景關聯(lián)分析更是缺乏。因此迫切需要從政策、機制和技術等多個方面追趕與國外的差距，提升APT的監(jiān)測和認定能力，保護我國關鍵信息基礎設施安全。