浅谈APT组织在网络攻击中的发展演变
范宇倩
国家计算机网络与信息安全管理中心天津分中心
摘 要: 近年来,世界各国、各组织对网络空间安全的重视程度不断升级,国家间的网络安全对抗战愈演愈烈,APT组织数量增多、攻击对象和攻击范围不断扩大。本文以Lazarus、APT28、OceanLotus等典型APT组织为例,从组织规模、攻击对象、攻击技术等方面分析了APT组织在网络攻击中的发展演变,以期增强我国网络攻击的风险意识,提高我国应对网络攻击的能力。
关键词: 高级持续性威胁攻击;黑客组织;网络攻击;网络空间安全
0 引言
APT(Advanced Persistent Threat,高级持续性威胁)组织是实施高级持续性威胁攻击的黑客组织统称。APT组织实施的网络攻击通常具有政治目的或经济目的。聚焦政治目的的APT组织一般具有国家背景,对其政治目标进行长久性的情报刺探金额收集;聚焦经济目的的APT组织主要为牟取经济利益而实施攻击活动。近年来,无论是具有政治目的还是经济目的的APT组织,都逐渐呈现出明确的组织化特点,他们攻击目标明确、范围宽广,很多APT组织开发出自己独特的网络武器库,且具备更具针对性的攻击方法。
1 重要APT组织的发展演变
1.1 Lazarus组织的发展演变
Lazarus,又称T-APT-15,是来自朝鲜的APT组织。该组织不仅针对韩国和美国的媒体、金融、基础设施进行渗透攻击,还对全球其他的金融机构进行攻击以获取经济利益。2007年至今,Lazarus组织一直非常活跃,进行的攻击在世界范围内影响巨大。2014年索尼影业遭黑客攻击,公司员工数据及企业机密曝光;2016年孟加拉国银行数据泄露;2017年英国韩国等比特币交易所被攻击,均被证实与该组织有关。2017年席卷全球的“Wannacry”勒索病毒也被怀疑是该组织所为。
(1)在网络攻击对象上的发展演变
随着Lazarus组织的不断发展壮大,其攻击对象从政府逐渐扩展至媒体、金融等各个行业,攻击范围从韩国、美国逐渐蔓延至其他国家和地区。2007年到2013年,该组织网络攻击的政治目的明确,攻击范围集中在韩国政府、美国政府,以及韩国媒体业、金融业相关的网络,攻击目的主要是网络信息获取和网络破坏。从2014年开始,该组织开始拓展攻击对象,对索尼影业开展的网络攻击成为其攻击对象范围扩大的标志之一。2015年该组织的攻击对象扩展至越南、台湾等地区的金融业信息系统。2018年4月和9月,该组织对中美洲的网上赌场和拉丁美洲的金融机构分别进行了攻击。2018年11月又从亚洲和非洲的ATM上窃取了数百万美元,网络攻击目的从最初的政治目的发展至金融盗窃的特点比较明显。虽然攻击活动被不断披露,但是该组织从未停止攻击活动的步伐,甚至攻击次数更加频繁、攻击范围持续扩大、攻击对象更加多样,从能源、军事、政府等部门扩展到专业金融机构,乃至攻陷数字货币交易所等。
一次性是风景园林景观工程施工的显著特点,施工成本控制应立足于各施工阶段的不同展开动态控制。其原因是准备阶段根据施工内容对成本目标进行确定,对成本计划和方案予以制定;而在竣工阶段,成本盈亏已成定局,已经不能纠正发生的偏差。
从2016年春季开始,APT28向包括民主党全国委员会(DNC)成员在内的政治目标发送了鱼叉式网络钓鱼电子邮件,诱骗收件人在虚假的网络邮件域中更改邮件密码。攻击者使用这些被盗的凭据来访问DNC网络,安装恶意软件进行窃密。这标志着APT28组织的战术发生了变化,从之前的低调情报收集转向更加公开的活动,用以破坏受害组织和国家。在之后的两年里,该APT组织的网络攻击对象主要是欧洲的军事信息,欧洲政府、南美国家的政府和属于东欧国家的大使馆都是其目标。2018年6月,该APT组织还将关注对象从北约成员国和乌克兰转向了中东和中亚国家。
在组织数量上,APT组织越来越多,新的APT组织层出不穷。2018年6月,Palo Alto Networks发现了新的名为Rancor的黑客组织。该组织自2017年以来对东南亚地区实施了一系列高度定向的攻击活动,主要用于攻击新加坡和柬埔寨两国的政治实体。2018年7月,赛门铁克发现了新的名为Leafminer的黑客组织,该组织至少从2017年初开始就瞄准中东各地区的政府组织和垂直行业。2018年8月,趋势科技发现了一个新的名为Urpage的APT组织,该组织针对乌尔都语和阿拉伯语的文字处理软件ⅠnPage进行攻击,并与黑客组织Bahamut、Confucius和Patchwork具有一定的关联性。2018年10月,赛门铁克发现了一个网络间谍组织Gallmaker,至少从2017年12月开始针对各国政府和军事机构如一些东欧国家的海外大使馆以及中东的军事和国防机构进行攻击。
随着网络攻击技术逐步的发展成熟,Lazarus组织的攻击技术也在不断升级。从最初的单个组织发展为Andariel和Bluenoroff两个特定攻击活动小组,专注于特定类型的攻击和目标。其中,Andariel专门针对韩国境内的组织进行攻击,Bluenoroff专注于攻击国外金融机构。该组织具有强大的武器库,擅长使用邮件钓鱼进行鱼叉攻击。从该组织披露的活动看,该组织不仅发起攻击的规模巨大,而且具有使用0Day漏洞发起攻击的能力。2018年6月,Andariel在韩国智库的网站上植入了ActiveX 0Day漏洞利用工具;2018年8月卡巴斯基的研究员发现该组织使用虚假安装程序和macOS恶意软件进行加密货币交换,这是首次发现该组织使用ma OS恶意软件进行攻击。
1.2 APT28组织的发展演变
APT28,又称Sofacy、Fancy Bear、Sednit等,是来自俄罗斯的APT组织。该组织主要是从特定的目标中窃取机密信息,其最早的网络攻击可以追溯到2004年。APT28间谍活动主要针对美国、欧洲和俄罗斯,包括政府和军事单位、国防机构、媒体以及与俄罗斯当局持不同政见者,主要收集国防和地缘政治方面的情报。2014年乌克兰选举网站遭黑客攻击、2015年法国电视台TV5Monde遭大规模网络攻击、2016年世界反兴奋剂组织的数据库信息泄露和美国总统大选黑客攻击、2017年国际田径联合会的数据库信息泄露等都和该组织有关。
(1)在网络攻击对象上的发展演变
(2)在网络攻击技术上的发展演变
(2)采用构件化的设计思想,在需求分析对象的基础上,先进行软件功能构件的设计,然后通过基于构件的开发组合完成系统的构建开发。
APT28组织主要采用网络钓鱼电子邮件的方式进行攻击,拥有强大的网络攻击武器库,自行开发了专业的间谍软件和漏洞利用工具包,并持续不断地更新迭代,推陈出新。早在2014年,该组织就使用了两段式攻击手法:首先使用感染性强的病毒在Windows平台广泛撒网,使用针对word和PDF漏洞的邮件附件进行传播;当受害者中毒之后会采集感染者的信息,再筛选出高价值的感染者传播XAgent病毒。XAgent是一个模块化的后门,具有间谍功能,包括键盘记录和文件泄漏。XAgent是APT28组织最重要的后门软件,在其运营中大量使用,其Linux和Windows的早期版本在几年前就已被发现,iOS版本出现在2015年,Android版本出现在2016年,2017年初一个用于OS X的XAgent示例标志其登录OS X平台。同时,Windows版本的XAgent一直在更新,2018年6月出现了该恶意软件Windows版本的新变种。Sedkit是APT28组织专门使用的漏洞利用工具包,利用各种持久易受攻击的应用程序中的漏洞,2016年之前主要是Adobe Flash和Ⅰnternet Explorer漏洞,Sedkit是该组织的首选攻击工具。2016年底以来,该工具逐渐被Dealers Choice漏洞利用平台所取代。Dealers Choice是一个生成包含嵌入式Adobe Flash文件的恶意文档的平台,主要利用的是Adobe Flash漏洞。该平台有两种变体:第一个变体先检查系统上安装的Flash Player版本,然后选择三个不同漏洞中的一个;第二个变体先连接C2服务器,该服务器提供所选的漏洞利用工具和最终的恶意负载。该平台直到今天仍然被APT28组织所使用。在2018年4月,APT28组织的工具集中新增了Zebrocy组件,这个新组件是一个恶意软件家族,主要包括使用Delphi编写的下载器和AutoⅠt编写的后门程序。2018年6月,出现了以C++编写的新版Zebrocy后门,采用动态数据交换(DDE)攻击技术来传播。另外,早在2015年,APT28组织就具有开发0day漏洞的能力。2017年5月,针对法国选举,该组织利用了Microsoft Word中的远程执行代码漏洞(CVE-2017-0262)和Windows中的本地权限提升(CVE-2017-0263)的2个0day漏洞发起了网络钓鱼攻击。
1.3 OceanLotus组织的发展演变
这话说起来轻巧,做起来确实有难度。这是一个手脑并用的过程:从动脑开始,想出一个可行的行动方案,然后动手引导宝宝去做。请注意我这里没用上“教”这个字。你教,宝宝没有体验,就没有感受,路摆在他面前,他也走不下去。
(1)在网络攻击对象上的发展演变
自2014年以来,OceanLotus组织持续地对中国境内的政府和海事机构进行了长期不间断的攻击。同时,该组织针对越南和柬埔寨等东南亚国家的基础设施、媒体、银行、消费等多个行业进行了持续性攻击。其中,2014年该组织利用了一个名为“打击越南大使馆抗议者计划”的鱼叉式网络钓鱼附件,针对东南亚越南侨民持不同政见者进行了攻击。在2015年和2016年,该组织对两家越南媒体进行了攻击;2017年该组织攻击了澳大利亚越南侨民以及菲律宾的政府雇员;2018年9月该组织对柬埔寨国防部、柬埔寨外交和国际合作部等多个网站发起了攻击。
(2)在网络攻击技术上的发展演变
OceanLotus组织主要通过鱼叉攻击和水坑攻击等方法,向特定攻击目标投放特种木马以获取机密信息。该组织会针对特定受害者设计专门的诱饵文件,并使用电子邮件分析软件对诱饵文件进行跟踪分析。该组织攻击使用的特种木马在不断的发展变化。2012年4月首次发现与该组织相关的木马,初期的特种木马技术并不复杂,比较容易发现和查杀。2014年该组织的特种木马开始采用包括文件伪装、随机加密和自我销毁等一系列复杂的攻击技术同安全软件进行对抗,查杀和捕捉的难度大大增加。同年11月开始,新的特种木马使用了云控技术,攻击的危险性、不确定性与木马识别查杀的难度都大大增强。2017年该组织开发了针对macOS的恶意软件,并在2018年进行了更新,主要针对安装了Perl编程语言的macOS计算机。2018年该组织采用了新的特种木马和攻击战术,主要利用受害系统中的PowerShell,通过单行指令从不同利用工具包下载并部署恶意软件、混淆软件、反向PE/shellcode加载软件,使得大多数恶意软件在内存中执行,而不在硬盘留下痕迹。为了隐蔽行踪,该组织还经常变换下载服务器和C2服务器的域名和ⅠP。为了躲避溯源,多数域名都开启了Whois域名隐藏,使得分析人员很难知道恶意域名背后的注册者是谁。
(1)在发展规模上的发展演变
OceanLotus,又名APT32、SeaLotus和CobaltKitty等,是来自越南的APT组织。该组织长期针对中国、越南和其他东南亚国家进行攻击,其最早的网络攻击可以追溯到 2012年。
2 其他APT组织的发展演变
11月16日,科技部组织专家对贵州省2015年承担的“喀斯特山区中药资源可持续利用关键技术”国家科技支撑计划项目进行验收。
(2)在网络攻击技术上的发展演变
此外,该配筋审核系统实现的关键技术是准确识别框架柱、框架梁等的相关信息,如图2所示。它直接决定了审核结果的准确性和可靠性。目前,该软件仅包括了框架梁、框架柱的信息读取,后期会进一步加入框架剪力墙等审核内容,使之更加完善。
宿家人都是行伍出身,是盘旋于巍峨雪山上的雄鹰,那是自出生就带有的血性。在宿晚第一次举起长矛的那刻,他就明白了这个道理。于是他背上了离乡的行囊,背上了家人和瑾夙的牵挂,离开家乡,去往了参军之路。
(2)在网络攻击对象上的发展演变
在网络攻击对象上,APT组织的攻击目标逐渐向精细化和集中化发展,尤其是在政治目标上的发展最为迅速。网络间谍活动猖獗,网络攻击不仅针对各国的选举和重要会议,还出现越来越多针对工控系统的攻击,以控制国家级的基础设施为目的。2017年伊朗APT组织Chafer入侵了一家中东地区的电信服务提供商。2017年底黑客组织Hades仿冒韩国国家反恐中心(NCTC)的电子邮件地址发送钓鱼邮件,针对韩国平昌奥运会进行了攻击。2018年3月伊朗黑客组织Mabna发起网络钓鱼活动,攻击了21个国家的144所美国大学和176所大学,窃取了超过31.5TB的学术数据。2018年8月,Dark Matter LLC披露了APT组织WindShift针对中东地区的政府部门和关键基础设施部门的特定工作人员进行攻击。
(3)在网络攻击技术上的发展演变
一方面,APT组织对0day漏洞或未披露漏洞的利用越来越多,攻击覆盖多个平台。2018年7月,趋势科技披露了APT组织DarkHotel利用基于vbscript引擎的0day漏洞(CVE-2018-8373)进行攻击的office文档样本。2018年8月,卡巴斯基发现了APT组织FruityArmor利用基于Windows操作系统的0day漏洞(CVE-2018-8453)攻击中东地区。另一方面,APT组织逐渐完善攻击工具,使用无文件攻击等多种躲避攻击检测的技术,使得安全检测越来越难。2018年2月APT组织MuddyWater针对土耳其的政府机构的攻击,是利用PowerShell等脚本后门,通过PowerShell在内存中执行,使得在受害者的计算机中不再保存新的PE文件,从而降低了该组织的样本被检测到的概率。2018年APT组织OilRig一直对中东地区政府实体进行持续攻击,其使用的工具不断迭代,逐渐增加了反分析和反虚拟机功能,以规避自动防御系统的检测。同年,APT组织The White Company也开发出一系列方法来躲避检测。在漏洞利用上使用了四种不同的反检测措施,并具有完全从目标系统中删除自身的能力;在恶意软件的打包上使用了五种不同的混淆技术,以掩盖最终有效载荷防止自动分析,从而规避了如BitDefender、Kaspersky等多种杀毒软件的检测。
3 总结
近年来,随着世界各国对网络空间安全的高度重视,国家间网络空间安全对抗愈演愈烈,出现了越来越多具有政府背景的APT组织。他们组织强大,具有明确的目标与分工,带有明确的政治目的,持续对政府机关、军工、科研机构等进行窃密和渗透攻击。随着工业、国防、金融向网络化、智能化发展,各国工控系统和关键基础设施更是成为网络攻击破坏的目标。近年来,国内外各大安全厂商都加强了对APT攻击活动的披露,APT组织的面纱被一层层揭开,老旧攻击武器逐渐失效,越来越多的APT组织积极拓展攻击技术,一方面加强了0day漏洞能力的储备,覆盖多个平台,包括PC、服务器、移动终端、路由器,甚至工控设备等;另一方面也加强了攻击的隐蔽性,尝试规避和隐藏攻击活动中留下的痕迹,使得APT攻击的检测越来越困难。可以说,只要存在政治目的和经济利益,APT组织的攻击就不会停止,我们必须时刻以最高的安全意识,应对各种不同的网络风险和攻击。
(收稿日期: 2019-02-26;技术审稿:马旸;
责任编辑: 赵明亮)
标签:高级持续性威胁攻击论文; 黑客组织论文; 网络攻击论文; 网络空间安全论文; 国家计算机网络与信息安全管理中心天津分中心论文;