如何利用开源威胁信息分析APT团伙

现在的黑客团伙越来越会玩了。

不久前，编辑在外网看到一则新闻：连接智利所有银行ATM基础设施的公司Redbanc在12月底遭受了计算机攻击，尽管新闻里没有提到是否带来损失，但听起来似乎就很可怕的样子。

更多人则把目光放在这样大面积的攻击，黑客怎么做到的？

事情要从悲催的大卫斯基（宅式化名）说起。小哥是Redbanc里面的一名码农，因为想换工作常常浏览一些招聘网站。谁知就被暗中盯上，黑客团伙挖好了坑，在Linkedin上发布了计算机相关职位等着他上钩。

小哥还真没怀疑，看到这个合适职位就联系了对方。“戏精”黑客们通过 Skype 用西班牙语和小哥交流了一番，成功获取信任后就要求小哥在计算机上安装 ApplicationPDF.exe 程序，借口是以 pdf 格式在线生成他们的申请表。

这个程序没有引起任何杀软报警，暗戳戳地在Redbanc网络内的计算机上安装并运行了起来。潘多拉魔盒已被打开……

事情发生后，相关安全研究员经过比对分析，最终锁定这起攻击事件的幕后黑手是据称朝鲜来源的APT组织——Lazarus。

雷锋网曾在 国内外APT组织武力排行榜大揭秘 一文中对个黑客团伙有过介绍，但这不是重点，我们要聊的是安全专家是如何一步步挖出事件背后的APT组织的？

不久前，编辑在威胁情报生态大会上和360威胁情报中心的安全专家汪列军聊了聊——如何利用开源威胁信息分析APT活动。

开源信息利用

寻找APT组织的过程就如同刑警破案，需要进入犯罪现场搜集信息，这些信息中可能隐藏着嫌疑人作案手法以及作案动机，甚至能通过线索还原作案过程。

对应到寻找APT组织上，面对黑客团伙的隐秘行动，该如何锁定目标？

首先就要利用开源信息，主要有四个来源。

一是各大安全厂商以及机构发布的APT报告，其中有不少安全人员收集整理的报告集。GitHub上最早的APTnotes已经停止更新，但有人另开集合维护。总之，开源的好处是找到你可能漏掉的报告，能够节省力气。

“2018年我们搜集到比较成型的APT相关报告有478个，平均一天就有1-2个报告。其中被提及的独立APT组织名53个。”汪列军告诉雷锋网。

二是社交媒体，可以在上面得到最快的信息，虽然相关信息的上下文不多。

“我们在推特上关注了两千个账号，都是人工打理。”

三是数据Feed。Feed就是为满足以某种形式持续得到自己更新的需求而提供的格式标准的信息出口。就是信源。信息发布网站将网站全部或者部分信息整合到一个 RSS 文件中，这个文件就被称之为 feed 。信源中包含的数据都是标准的 XML 格式，不但能直接被其他站点调用，也能在其他的终端和服务中使用。

Feed流最早被网景通讯公司（Netscape）推送之后，随着近些年来国内内容资讯平台大爆发，被广泛用于微信、微博、今日头条等社交网站和内容平台，而feed广告更是已经成为国内社交平台的一种重要盈利模式。

四是信息平台，也就是整合过的威胁情报平台。其中最出名的是Virus  Total，里面整合了诸多恶意代码数据，改版后可以搜索样本，还新增了交互式图以及分析管理。

汪列军还提醒到，不要试图进行一站式的数据查询，毕竟各家都有各自的数据视野，而且大部分都不相互覆盖。

其它信息利用

这些开源信息对追踪APT组织到底能起到什么作用呢？

一方面，这些数据是很好的线索输入。

汪列军举例来说，比如某人得到一个新的样本并发在了Twitter上。在收集到这个样本后即使360自己的样本库中没有这个样本，但可以找到与其相似的样本研究特征规则。

另一方面，开源数据提供了一部分基础数据，要想进一步锁定目标还需要多维度的数据补充。

2018年9月外媒曾报道美国政府指控并制裁了一名朝鲜男子 Park Jin Hyok。这名男子是臭名昭著的著名APT团伙——Lazarus中的一员。涉嫌2017年全球WannaCry勒索软件网络攻击和2014年索尼公司的网络攻击。

而确定Park是Lazarus成员的过程收集了很多维度的信息，比如特定服务器IP的访问记录，个人Gmail邮箱的过往记录，LinkedIn上的记录以及Twitter账号记录等等。总之，这份长达170多页的起诉书体现了多维度数据交叉验证的威力。

想要获取更多数据则需要其他渠道，比如各大安全厂商的自有数据库，或是通过商业采购的数据及直接的威胁情报。国外的数据源主要有VT，国内有 IPIP.net。

汪列军告诉雷锋网。360今年在采购数据的预算可能会达到千万级别。

另一个方式就是通过情报联盟，进行某些信息交换。当然，目前来说，情报联盟尚不成熟，还需要持续推进。

总之，能否锁定最终的黑客团伙归根结底在于收集的数据维度够不够多，毕竟，线索千丝万缕，而真相只有一个。

分析匹配

上述的搜集行为实际可以比作拼图游戏，过程中的玩家都有自己独有的一块数据视野，只有尽可能和别人手里的拼图拼在一起才能看清更多真实场景。而根据得到的数据进行具体分析匹配则是安全厂商提供的增值价值。

如果只是将得到的数据堆在一起打包送给对被攻击的企业，是没有价值的。他们需要的是更明确的结论，比如哪些终端连接到了哪些IP，自己的网络可能被某个黑客团伙渗透，甚至泄露了一部分数据。这个黑客团伙属于哪个组织，这个组织曾有过什么活动，常用攻击方式是什么，以及他们需要采取哪些防御措施等。

这就是所谓的“不知攻焉知防”。

具体来说，第一步先要将获取的线索进行粗/细分类，以及结构化。

比如区分信息类型是安全新闻、事件揭露还是技术分析，再进一步还会区分涉及的内容是勒索、挖矿、漏洞还是定向攻击等，如果是定向攻击会继续判断是网络犯罪还是APT团伙。

而结构化即从中抽取涉及组织名字、目标、TTP等关键元素，便于之后的自动化和人工分析。

第二步是进行关联拓展，用到的是钻石模型。

这个模型做的就是基于已有线索下的关联分析。菱形四角为四个元素，所有实线连接起来的两个点都能互相关联，只要知道直线两端某一端的信息，就可能基于一些公开或非公开数据推导出更多信息。

汪列军举了个栗子，比如攻击者利用恶意代码攻击了某个网络基础设施的IP，用这个模型进行推导就从菱形的左边到右边，从他使用的基础设施情况就可以了解整个团队的攻击能力。如果把钻石模型与Kill  Chain结合起来做关联分析，可以通过已有线索拓展更多信息。

第三步是TTP分析，这里用到的是ATT&CK框架。

在分析各个阶段用到了哪些技术，比如植入阶段运用了水坑攻击，都需要这个框架。可以看到横轴划分了11个阶段（常见的洛克希德马丁的Cyber Kill Chain框架划分了七个阶段），并且详细拆了每个阶段应用的具体技术，体现在各个环节上标定，标定以后可以做归类分析。

最后一步就是背景研判。也就是基于上述信息做一个匹配，将APT组织列表与之对应，锁定目标。

整个过程简单说就是，基于线索搜集多维度数据，再利用线索进行关联。

这一系列复杂操作真的这么顺利吗？当然不。

现在的APT组织愈发狡猾，一方面自己会隐藏很好，另一方面还会“借刀杀人”，就是在对目标发动攻击时候使用了其他APT组织的 工具 、技术或者微代码，甚至重用了其他组织的网络基础设施IP，等于耍了个障眼法。

汪列军告诉雷锋网，他们也曾犯过这样的错误，不久前在推特上发布的一个报告就被指出匹配错了APT组织。

但他笑了笑，“错了就是错了，承认也没什么。”

******分割线******

看完了整套分析是不是觉得相关报告来之不易？（还不重新阅读下雷锋网 (公众号：雷锋网) 之前发出的报告！）

APT高持续性威胁这个专业名词源于2010年Google退华一事中的“极光攻击”这起安全事件，各国安全专家对这类攻击持续热议后总结而得。在此之后APT攻击与防护战拉开帷幕，这一斗就是10年。显然，这是场打不完的硬仗。

2018年全球APT攻击数不胜数，而2019年只多不少。面对愈发隐蔽的攻击者，安全人员也不断重铸圣剑。赛博世界的攻防之战永远不会停歇。

最后，祝大家新年快乐，2019也要加油鸭。

附上“码农界”对联。

图片来源：编辑神秘的朋友圈

相关文章：

5家新APT组织被披露，2019是“后起之秀”的天下？

国内外 APT 组织武力排行榜大揭秘

雷锋网原创文章，未经授权禁止转载。详情见 转载须知 。