[网络安全自学篇] 七十七.恶意代码与APT攻击中的武器（强推Seak老师）

时间 2020-05-17 标签网络安全自学篇七十七 77 恶意代码 apt 攻击中武器强推 seak 老师

这是做者网络安全自学教程系列，主要是关于安全工具和实践操做的在线笔记，特分享出来与博友们学习，但愿您喜欢，一块儿进步。前文分享了逆向分析之OllyDbg动态调试工具，包括INT3断点、反调试、硬件断点和内存断点。这篇文章将带你们学习安天科技集团首席架构师肖新光老师（Seak）的分享，介绍恶意代码与APT攻击中的武器，包括A2PT的攻击武器、普通APT组织的自研恶意代码、商用恶意代码、无恶意代码做业、开源和免费工具等。做者不多会在标题写“强推”的字样，但这篇文章真的值得学习，也但愿对您有所帮助。php

做者做为网络安全的小白，分享一些自学基础教程给你们，主要是关于安全工具和实践操做的在线笔记，但愿您们喜欢。同时，更但愿您能与我一块儿操做和进步，后续将深刻学习网络安全和系统安全知识并分享相关实验。总之，但愿该系列文章对博友有所帮助，写文不易，大神们不喜勿喷，谢谢！若是文章对您有帮助，将是我创做的最大动力，点赞、评论、私聊都可，一块儿加油喔~git

文章目录

PS：本文参考了github、安全网站和参考文献中的文章（详见参考文献），并结合本身的经验和实践进行撰写，也推荐你们阅读参考文献。github

做者的github资源：
软件安全：https://github.com/eastmountyxz/Software-Security-Course
其余工具：https://github.com/eastmountyxz/NetworkSecuritySelf-study
逆向分析：https://github.com/eastmountyxz/Reverse-Analysis-Caseweb

声明：本人坚定反对利用教学方法进行犯罪的行为，一切犯罪行为必将受到严惩，绿色网络须要咱们共同维护，更推荐你们了解它们背后的原理，更好地进行防御。正则表达式

前文欣赏：
[渗透&攻防] 一.从数据库原理学习网络攻防及防止SQL注入
 [渗透&攻防] 二.SQL MAP工具从零解读数据库及基础用法
 [渗透&攻防] 三.数据库之差别备份及Caidao利器
 [渗透&攻防] 四.详解MySQL数据库攻防及Fiddler神器分析数据包shell

一.从恶意代码的发展看APT攻击

首先，咱们从恶意代码的发展看APT攻击。数据库

在上世纪80~90年代，安全工做者对抗的威胁
在上世纪80~90年代，咱们面对的是一些DOS下比较简单的计算机病毒，这些病毒有一些是恶意的，也有一些是编写者以炫技为目的所编写的病毒。在PC还没有承载关键资产、以磁盘为主要信息交换方式时，以制造者心理知足做为主要动力编写的感染病毒。编程

在屏幕上，能够看到的是一些恶意代码发做的形式，尽管DOS时代的恶意代码比较简单，但随着DOS病毒的膨胀逐渐催生了反病毒引擎的诞生。在DOS时代，反病毒引擎的整个体系结构已经趋于成熟，反病毒引擎的更新维护成为安全对抗的工做主线。后端

在本世纪初，安全工做者对抗的威胁
信息高速公路建设，大规模蠕虫传播与之俱来。咱们能够看到本世纪初的前五年，出现了大量的大规模流行的相关的病毒状况。从安天当时研发的检测软件和数据排行中，能够看到当时的蠕虫流程程序。换句话说，大量的蠕虫传播，也推进了协议解析、流量监测技术的成熟，产生了如UTM、NG-FW、NTA等产品。

反病毒工做者一直面对的压力
随着信息社会的不断发展，信息资产价值日趋增长，趋利成为了网络黑客组织的主要动力。咱们能够看到，大约在2006年左右，恶意代码数量快速膨胀，其中数量膨胀的主体是各类类型的特洛伊木马，在这种背景下，靠人工分析来造成全面的恶意代码对抗已经不可行。必须依赖于大规模的自动分析体系，这种分析压力促成了反病毒企业和安全公司在后台逐渐创建和完善了反病毒体系。

恶意代码数量的快速膨胀，使依靠人工分析完成断定和检测不可能，海量恶意代码后台自动化分析体系逐步成熟
面对恶意代码数量的快速增加，2004年开始安天全面经过自动化手段进行样本分析，实现了海量样本自动化分析和处理

“方程式”（Equation）组织入侵中东SWIFT服务提供商EastNets可视化复现
在反病毒引擎、端点防御、流量监测、后端自动化分析技术基本成熟的基础上，安全工做者也日趋看到更为严峻的安全威胁。下图是著名的APT攻击组织“方程式”（Equation）对中东最大的金融服务机构EastNets的攻击。

在该攻击过程当中，攻击者前后从互联网四个跳板发起攻击，前后击穿了两层防火墙（VPN防火墙、ASA防火墙），而且在防火墙上预制了Rootkit。

以后又经过多个0day漏洞穿梭进内网体系，获取多台业务服务器的控制权。

最后经过相关的SQL语句，从Orcale服务器上得到了攻击方感兴趣的帐户名和密码、交易轨迹等相关信息，这就是一次典型的APT攻击。

这里能够看到相关APT攻击的整个推动过程和资产场景。下图展现了“方程式组织”入侵EastNets行动中受到入侵过程。

在这一过程当中，攻击方使用了大量的恶意代码攻击装备，包括：

针对Juniper V*N防火墙和CISCO企业级防火墙的相关攻击恶意代码和预制Rootkit木马
针对各类主流IT场景运载、植入、持久化和传输中继工具
复合型攻击控制平台
支持深度持久化的组件化木马
横向移动利用工具集合
多个0DAY漏洞（永恒之蓝、永恒冠军、永恒协做、永恒浪漫）

这就是一个典型的APT攻击。APT攻击概念最先是在2006年，由美国空军信息中心业务组指挥官Greg Rattray上校提出，APT即高级持续性威胁（Advanced Persistent Threat），用以归纳网络空间中的战略性对手行动。

Threat威胁：是能力和意图的乘积
Advanced能力：横向移动、水坑攻击、SNS夹带、0DAY漏洞、数字假装、格式文档攻击、本地化反弹
Persistent意图：反复进入、坚决动机、隐蔽通信、人员带入、做业意志、持久化

Persistent所呈现的意图，才是咱们判断APT攻击的核心因素。在APT攻击中，未必全部的都是高级技巧。

下面给出不一样层级的威胁，包括最低0级业余攻击者发动的攻击，也有发达国家发动的以国家利益驱动的网络情报做业。咱们整个网络信息体系天天都是处在不一样动机、不一样来源、复杂的攻击任务中，各类攻击有掩蔽在互联网各类应用当中，须要深度的分析和辨识。

在整个网络信息技术发展、安全威胁和对抗技术发展中，有愈来愈多的APT攻击组织浮出水面，下面能够看到全球APT攻击行动、组织归属地理位置分布图。

二.高级恶意代码工程体系——A2PT的攻击武器

接着咱们看一下高级恶意代码的工程体系，A²PT的攻击武器。它是安天所提出的术语，是在各类APT组织中来评价一些有超高能力行为体所发动的攻击，这种攻击水平每每高于其余的APT组织，由于成为高级恶意代码工程体系。

首先回顾2010年发起的震网事件Stuxnet。该事件是一块儿针对YL铀离心设施的攻击事件，它几乎击穿了整个YL的自主的JUN工业生产体系。

Stuxnet事件包括两个版原本实现不一样的攻击机理。

0.5版本主要是经过控制阀门改变压力，致使离心机的损坏
1.x版本经过改变离心机的转速实现离心机的损坏

安天公司针对震网多版本技术细节全面对比，能够看到所使用的复杂高级恶意代码，同时也存在不少的关联和差别。

咱们能够看到，它其实是用一个巨大的Loader来承载相关主DLL文件，这些文件是用于实施很是复杂、破坏、传播机理过程的一个个攻击载荷。因为震网是实如今隔离网络中，难以实现远程控制的做业，因此在震网中预制了很是复杂的配置和逻辑，使其能在内网目标中推动并达成相应的效果。

同时咱们能够看到，这种大规模的恶意代码工程体系自己会有必定的继承性和延续性，由于研发这样复杂的恶意代码工程体系，也须要很是高的人力成本。下图展现了震网先后出现的毒曲、火焰、高斯、Fanny、Flowershop的关系图，它们是在两个比较大的恶意代码工程框架基础上扩展起来的。

Flamer框架
Tilded框架

这种依托复杂的恶意代码框架，而后在攻击行动中，承载一些专属定制模块的特色，体现出来A2PT组织的强大能力，这也为咱们追踪A2PT组织带来了条件。下图梳理了相关的恶意代码行动与使用恶意代码框架的关系，以及后续的恶意攻击事件的关联，这些关联为咱们有效追踪相关的攻击组织提供线索。

同时，震网整个攻击过程是基于一个隔离网络，咱们能够当作是一种无后方做业，它极可能不能和后方的远程人员创建实时的远程控制关系，更多依赖于一个独立的Loader承载更多的可拆卸模块和复杂逻辑实现攻击。

在后续的关于“方程式”组织分析中，咱们看到另一类经过精细化模块实现先后场控制、按需投递恶意代码的方式，下图展现了“方程式”组织主机做业模块积木图。能够看到这一类恶意代码每每是由一个内存Loader，大量小型DLL做为原子化攻击模块，经过加密信道传输至前场，由Loader进行加载，该状况使得防护方很难得到整个恶意代码的全部模块，从而实现隐蔽性和可重用性的保证。

详见安天分析报告《方程式组织EQUATION DRUG平台解析》

此外，在A2PT所使用的恶意代码中，基本上它是为全部操做系统的针对性研制，只是在Windows安全对抗前度较高的场景下更新较快，而在相似Solaris等系统更新较慢。

经过分析斯诺登揭秘的NSA ANT攻击装备谱系、维基解密曝光的CIA攻击装备谱系，能够发现，A2PT等攻击组织的攻击活动中，恶意代码并非惟一的J火武器，实际上它们把大量相关的外设、中继、电池、声像传统的JD设备与网络恶意代码结合，从而造成覆盖人力、网络的全频谱的做业能力。

三.普通APT组织的自研恶意代码

第二部分看了复杂庞大的A2PT武器，实际上也有一些APT组织使用自研的恶意代码，但其攻击能力要远远低于A2PT组织。

首先，咱们来看一下白象的武器。白象是来自南亚次大陆某国，长期对我国和巴基斯坦发起APT攻击，至今仍然活跃。下图展现了白象捕获监控来自南亚次大陆某国的持续多年的APT攻击，依托深度分析和公开线索，进行了攻击小组画像，并映射到天然人。

推荐做者前文：[网络安全自学篇] 七十四.APT攻击检测溯源与常见APT组织的攻击案例

白象从攻击伊始，就使用了大量自研的恶意代码，这些恶意代码自己使用了多种不一样的开发工具，其编写水平也良莠不齐，有的用VC编写、有的用VB编写，还有一些脚本语言。整个恶意代码的工程能力并非很强，可是对于一些防范意识缺失的被攻击者也一样有效。

“白象一代”相关载荷组合做业方式以下图所示，能够看到，这种恶意代码也会呈现多个模块进行功能组合、配合、协同的特色。相比于震网多模块体系，这个攻击显得相对简陋。

下图对比了白象一代和白象二代。白象组织从2012年开始到2015年，能力有所提高，从最开始不适用漏洞，到使用必定的1DAY或陈旧漏洞，在这个工程中，虽然没有使用高级恶意代码和0DAY漏洞的状况，但也给被攻击国家带来了很大的威胁。

四.商用恶意代码

在整个APT攻击中，还有一种状况，它们使用的恶意代码是一种商品，即购买来的商用武器。下图展现了安天在2015年5月27日所发布报告，指出的相关攻击组织使用商用攻击平台Cobalt Strike，攻击我国ZF机构的过程。

咱们能够看到，攻击者使用相关的攻击平台，以在欧洲的远程控制跳板发起攻击，试图窃取信息。

攻击工程和CS攻击瓶体，整个流程包括：

Sampe B：是段脚本文件，Powershell.exe进行加载执行，而后获得脚本1
脚本1：脚本1执行后也会解密（Base64加密的数据）获得模块1
模块1：经过调用Shellcode中的Wininet函数，进行链接网络，下载模块2
模块2：建立并挂起系统进程rundll32.exe，并将模块3写入到rundll32.exe中
模块3：shellcode后门模块，链接C&C服务器等待命令

在攻击过程当中，能够看到攻击者利用商用攻击平台，使用不落地的木马，而后经过相关的前挡模块，不断获取载荷的方式，将相应编码过的数据发送到远端。下图右侧展现了Cobalt Strike功能解析，其能够构造多种格式的攻击载荷，进行多种方式的远程攻击和样本持久化的过程。

Cobalt Strike做者是Raphael Mudge，他是原美国安全人员，参与过美国红队项目，创业以后开发了该商用开源的攻击平台。这也致使了不少缺少防护的目标很是容易遭受攻击。

该系列100篇写完以后，下一个“安全提升班”系列做者会深刻学习该工具，分享相关的博客及案例，敬请期待。

“商业攻击平台+恶意代码”为核心的军火扩散影响地区平衡
在过去，咱们能够看到相似于白象等组织，须要花必定成本和精力去研发相关的自用恶意代码，但其恶意代码自己的水平不是很高。可是，相似于海莲花这样的组织，在使用了商用攻击平台以后，在缺乏特别专业攻击手、漏洞挖掘和利用人员、高级恶意代码编写人员的状况下，就可以发动水准很是高的攻击，所以这种以“商业攻击平台+恶意代码”为核心的军火扩散，在必定程度上影响了地区平衡。

同时，咱们在过去的若干年内，也看到了多起APT攻击武器，包括商用JH泄露带来的灾难。最严重的是NSA下属的方程式攻击组织的一些列漏洞利用工具泄露，包括永恒之蓝漏洞，致使了Wannacry勒索蠕虫的爆发。另外一家很是很是注明的商业JH提供商，Heaking Team也发生了被攻击致使相关攻击工具曝光在网上，从而被大量黑产利用的状况。

五.无恶意代码做业、开源和免费工具

下面咱们看看其余状况，攻击者使用其余的开源免费工具，以及在攻击中不使用恶意代码做业的状况。

(1) 使用开源或公开的恶意代码——绿斑
首先，咱们来看一下在2018年被曝光的绿斑攻击组织。在他们的攻击活动中，所使用的远程控制工具，多数都是开源或商业能够买卖、公开的工具。固然，这也为相应的攻击溯源带来了难度，也下降了攻击方的攻击成本。

(2) 无恶意代码做业
值得一提的是，咱们在2009年先后，比较早的发现一例疑似绿斑组织的早起攻击活动，就看到了一例“无恶意代码做业”的状况。实际上，攻击者在攻击某个关键服务器过程当中，在攻击得手后，其实是经过一组开源、免费或商业的工具搭建的整个攻击做业环境，使之可以有效地获取数据。

利用无恶意功能的工具进行攻击，对应的工具以下表所示。

nc.exe
mt1.exe
http.exe
rar.exe

这里的部分工具是网络管理人员也会使用的，所以当时的各类反病毒软件不会对这些文件进行报警。但能够说，当时绿斑使用这些工具并非为了逃逸，而更大多是当时它们没有足够成本和能力去编写相关的恶意代码，并且他们自己是从Unix攻防上得到了启示，所以就采用了当时的这些工具构建了攻击。

值得注意的是，在整个恶意代码对抗、分析能力、防护不断关注和加强的状况，当前确实出现了一部分APT活动中，不使用恶意代码，而是获取相应合法身份，尽量使用商用工具，使用攻击场景中已经存在的工具，来逃避检测的方法。

(3) 不使用恶意代码的攻击会成为主流化？
所以，美国的某个新兴安全厂商，甚至认为在APT攻击中，不使用恶意代码的攻击会成为主流化。那么，这一观点是否正确呢？这一观点显然有失偏颇。首先，咱们能够看到恶意代码自己数量还在快速膨胀。其次，它所谓的不使用恶意代码包括两种状况，一种状况是虽然使用了相关恶意载荷，但恶意载荷并不以文件形态落地，事实上，不管是内存形态、扇区形态，仍是文件形态，它都是恶意程序这一本质没有改变，这并不取决于它是否有文件载体；第二种状况是使用正常的工具软件在其中，凭借其获取合法身份，这确实值得关注。

同时，无恶意代码做业难以支撑超级复杂的攻击逻辑，正常工具软件很难实现相应功能，必须去编写相关的恶意程序或脚本、配置逻辑。
好比震网事件，感染震网的计算机会监控接入的设备，一旦发现U盘插入而且知足条件即开始写入U盘摆渡文件，具体条件以下：

当前时间的U盘没有被感染
根据配置标记（不是默认设置）来感染磁盘，若是默认配置不感染，那么感染的发生取决于日期
感染当前计算机少于21天
U盘至少有5MB的剩余空间
U盘至少有3个文件

六.总结与思考

对整个APT进行总结。

(1) 恶意代码传统分类定义不足以支撑APT分析
最开始咱们把恶意代码做为一种威胁类型来进行对抗，在对抗过程当中，咱们逐渐积累出发病毒引擎、端点防御、流量监测、后端分析等技术，用于对抗恶意代码的病毒感染属性、蠕虫传播属性、木马侵害属性。但实际上，这种传统的分类定义不足以支撑APT分析。

(2) 传统恶意代码的特色和APT的差别

追随主流 vs 装备覆盖
传统恶意代码每每是一个编写者、利用者追溯产业发展主流，试读利益最大化的过程。所以能够看到主流恶意代码每每随着当前最为普遍存在的系统来完成它的恶意攻击。而APT攻击追求的是装备覆盖，尽量覆盖全部可能的活跃系统，一方面存在着对一些新出现系统的超前性布局，另外一方面始终保持对旧的仍活着的系统覆盖。
最大化感染 vs 高度定向\慎重持久化
传统的蠕虫传播、僵尸网络、C&C控制，攻击者每每追求获取最大化的感染量，以实现最大利益。而APT攻击的恶意代码每每是高度定向的，甚至高水平的攻击者在持久化环境，都很是慎重。好比方程式组织在进行攻击时，对其所关注的节点进行硬盘持久化率只有千分之二左右，谨慎实施移动和持久化避免暴露。
慢羊理论（成本最低） vs 高价值目标
传统的恶意代码攻击是基于慢羊理论，就是羊一般跑得最慢的被咬死，这种恶意代码攻击多数是感染比较脆弱的节点，获益更容易的方法实施安全威胁。对于APT攻击来讲，它针对的就是高价值目标，它是否发送攻击与自己的强度无关，仅与目标的价值相关。

(3) 攻击者的变化
传统的恶意代码攻击和APT攻击的攻击者也发生变化。下图左侧是CIH、震荡波等相关著名恶意代码攻击事件的病毒做者，能够看出他们不少都是个体攻击者或犯罪团伙的头目。但APT攻击大部分的攻击者都是相关的，带有国家政治、经济集团为背景的攻击者。

(4) 以隐蔽和定向支撑持续做业对比

网络蠕虫从传播到发现 vs APT活动从准备到曝光
咱们从整个时间线上作对比，能够看到此前的相关相似于蠕虫传播感染过程当中，绝大部分都是病毒发做的当天或较短期内，因为病毒快速传播而被发现。可是APT攻击，不管是Stuxnet、Duqu、Flame、白象、方程式，每每都会呈现出一个很是长的、未被发现感知的阶段，甚至长达数年。

同时，咱们能够对比传播范围背后的定向性。上图是基于SQL Server传播的Slammer蠕虫，它在2003年发做30分钟内就几乎感染了全球全部的国家。而震网攻击在被认为出现传播失控的问题上，数月以内也只是造成了一条从中东到东南亚的感染带。固然，所谓的传播失控，也有人猜想是攻击方试读去追中YL的整个工业链。

下面对比恶意代码平台的复杂度增加状况。从DOS样本到早起木马、再到APT样本。

(5) 从攻击全过程的视角更全面的看APT
这里能够看到基于刚才的分析，很难简单的从传统恶意代码视角看到APT组织，须要从一种攻击过程的完整视角看APT。这里就有了2011年洛马所提出的沙箱链模型，把APT攻击当作一系列过程。

侦察跟踪
武器构建
载荷投递
突防利用
安装逐日
命令与控制
行动

沙箱链为咱们提供了一个很是好的观察视角，但没有造成清晰的标准，其用于评价APT攻击依然显得不足。此时，出现了更完整的相关威胁框架。

TCTF威胁框架
比较有影响威胁框架，已是2.0版本。更可能是以情报视角，将攻击工程划定为行动管理与资源保障、目标勘察与环境整备、接触目标与进攻突破、持久化驻留潜伏、致效能力运用、全程持续支撑做业等阶段。威胁框架必定程度是对沙箱链的展开。

ATT&CK威胁框架
在实际的商业的攻防对抗中，更为流行的是ATT&CK框架，它划分为初始访问、执行、持久化、提权、防护规避、凭证访问、发现、横向移动、收集、命令与控制、渗出、影响等过程。面对复杂的攻击过程，咱们能够看到各类安全产品，都只能在应对攻击中起到相应的局部做用，任何一个单点的安全产品都不能覆盖整个攻击过程。下图展现安天多款安全产品举例，看到流量侧检测、边界侧阻断、终端侧防护的分析、威胁处置过程。

安天产品包括：

安天探海威胁系统——ATT&CK威胁框架覆盖度（流量侧检测）
安天镇关威胁系统——ATT&CK威胁框架覆盖度（边界侧阻断）
安天智甲终端防护系统——ATT&CK威胁框架覆盖度（终端侧防护）
安天拓痕处置工具——ATT&CK威胁框架覆盖度（威胁处置）
安天资产安全运维平台——ATT&CK威胁框架覆盖度（资产安全）
安天捕风蜜罐系统——ATT&CK威胁框架覆盖度（捕获蜜罐）

尽管它们都能对一部分攻击进行相应的安全防护，但都不可能单独的解决安全问题。若是须要应对安全问题，就须要一个动态综合的网络安全解决方案。下图展现了安天动态综合防护体系，以应对高级威胁。涉及四个层面：

基础结构安全
安全纵深防护
动态积极防护
情报驱动防护

只有造成这样一个综合体系，才能有效对抗高级威胁。同时，面对如此强大的对手，还须要开展威胁猎杀。

因为课程时间有限，不能一一展开，这里给出参考资料，推荐你们去学习。真心感谢安天的肖新光老师，真正的安全大佬，要向这些前辈学习，加油~

最后但愿这篇文章对您有所帮助，文章中若是存在一些不足，还请海涵。做者做为网络安全初学者的慢慢成长路吧！但愿将来能更透彻撰写相关文章。同时很是感谢参考文献中的安全大佬们的文章分享，感谢师傅、师兄师弟、师姐师妹们的教导，深知本身很菜，得努力前行。

欢迎你们讨论，是否以为这系列文章帮助到您！任何建议均可以评论告知读者，共勉。

(By:Eastmount 2020-05-14 下午7点写于贵阳 http://blog.csdn.net/eastmount/ )

参考资料：
[1] https://mooc.study.163.com/learn/1000003014?share=2&shareId=1000001005 [2] 《软件安全之恶意代码机理与防御》WHU