威胁情报分析之牛刀小试:“BITTER”事件的分析总结。近日,Forcepoint公司披露了一起针对巴基斯坦政府部门的APT攻击事件。墨侠团队通过对网络基础设施的关联信息分析,得到了BITTER与APT 28组织很可能师出同门的结论。本文将对此次攻击进行分析总结。
本报告中将详细给出对本事件的分析步骤,仅作为交流作用,不存在任何指导意义。
1.对事件定性
APT攻击和普通的无差异木马传播在某种角度上有技术重合部分,比如传播方式都可以使用邮件的鱼叉式攻击,回传数据都可能用到CC域名等。在对BITTER组织进行分析时,我们通过以下几点将本次活动定义为APT攻击。
1.1目标专一性
APT攻击和木马传播行为最大的不同就是对目标的选择,APT攻击的目的是为了窃取目标的机密情报,所以目标都体现出相对的专一性,通常只是特定的行业,甚至行业内几家相关公司或部委。而普通的传马行为通常在选择目标上是无差异的,目标旨在获得更多的“肉鸡”供攻击者完成其它用途,比如DDOS。
本次攻击的发动者“BITTER”在选择目标上就体现出了较强的专一性,据我们掌握的信息体现出,本次事件的被害者基本都集中在巴基斯坦的政府官员这一范围内。从目标的选择上看,符合APT攻击的特性,但对于传马行为则这个范围相对狭小。
之前由友商披露的“海莲花”组织曾被质疑不是一起APT攻击,质疑者的观点之一就是,目标没有专一性。报告原文指出“现已捕获OceanLotus特种木马样本100余个,感染者遍布国内29个省级行政区和境外的36个国家。其中,92.3%的感染者在中国。北京、天津是国内感染者最多的两个地区”如此庞大的目标范围,需要来维护这次攻击的成本是无法想象的,而且攻击者的动机难以预料。所以目标的专一性是对一次攻击定性的重要依据之一。
1.2工具专业性
APT攻击之所以被称为是“高级持续性威胁”,是因为“高级”主要体现在大费周章的收集目标的信息,精心构造的攻击payload。从近年披露出的APT攻击事件来看,攻击者使用的工具也在飞速的进化,不光针对windows,可用于linux,Mac甚至移动端的攻击工具相继出现。因为攻击目标的基数有限,所以攻击者必须保证攻击payload的高效性,所以APT攻击中使用的工具也以功能复杂,免杀手段高端而体现“高级”。
“BITTER”组织使用了包含针对WindowsPC和安卓移动端的攻击工具,并且在对样本的分析过程中发现这批样本设计的很精致,功能丰富,并且使用了了大量的加密和混淆分析的手段,保证样本的存活。攻击者所使用的钓鱼邮件也是为目标专门定制的,体现出在前期的信息收集上,攻击者也花费了相当的心思。
普通传马行为的钓鱼邮件则没有准确的针对性,可能包括实时新闻,夸张言论,甚至不可描述内容。由于目标面向所有可能被入侵的主机,目标基数较大,对种马成功率的考虑则有所欠缺,所以对木马结构的设计相对不够严谨。
1.3攻击持续性
APT攻击意在长期潜伏在目标内部,源源不断的获取攻击者感兴趣的情报,所以一次攻击的时间往往长达几年,为了维持权限,攻击者还可能具有后门的更新手段。
而普通的传马行为的目的就是获得更多的“肉鸡”加入到攻击者的僵尸网络中,一波攻击过去再来一波,往往不会出现对攻击目标长期监控的现象。
在本次事件当中“BITTER”组织使用的样本最早出现在2013年11月,根据PassiveDNS技术所分析到的攻击时间轴也基本符合这一时间点,说明该组织对目标的监控可能长达三年之久。
综合以上几点,可将本次由“BITTER”组织发起的攻击定性为一起APT攻击,进而有了深入分析的价值。
2.Whois信息利用
Whois是用来查询域名的IP以及所有者等信息的传输协议,在威胁情报的分析过程当中,我们通常注意的是注册者的姓名,注册邮箱。利用这些信息与之前积累下的威胁情报资源关联,尝试找出与以往攻击事件是否发生资源交叉利用的情况,为攻击溯源提供强有力证据。
在实际的分析过程当中,自然不会如上说的那么理想化。随着反威胁情报的发展,攻击者在部署这些网络基础设施时也格外的注意隐藏自己的信息,在这个过程当中就需要分析人员从这些虚假信息中找出可能被我们利用的信息。
2.1 免费动态域名
网络上有许多免费域名服务商,攻击者只需要在其顶级域名下注册一个二级域名,就可以获得一个免费的网络空间来部署CC服务器。这也是攻击者最常见的利用手段。
在本次对BITTER的分析中发现,其使用了大量的这种域名来隐藏自己的信息。如果查询这种域名的whois信息的话,分析者通常得到是对应的顶级域名,也就是域名提供商的相关信息。
2.2虚假信息
通过对整个事件的分析统计,BITTER组织的域名注册邮箱统一使用Gmail格式的邮箱。在威胁情报库内,未发现这些邮箱有重复利用的情况。
APT攻击通常都伴有政治,军事或者商业背景,在攻击者部署网络基础设施时都会刻意隐藏有关自身的任何信息,防止安全厂商或者目标感知到威胁后对攻击进行溯源。
虽然通过whois信息我们通常无法辨别真伪,可以全部造假使得分析人员得到的可用情报相对有限,但这些信息就毫无价值了吗?暂不考虑whois信息的真实性,我们可以通过一些信息体现出的特征来作为溯源关联的一些线索或者依据,比如在这次攻击中,BITTER组织使用的域名基本都为“单词”+“数字”的固定格式,如果在以后发现的威胁中发现有此类特征,至少可以给分析人员提供一个分析方向来寻找两者之间更多的共性。这一点的可用性在之前的分析实例中被证明过,比如墨侠团队在对threatconnect公司披露的“熊猫”系列与某组织进行关联时发现,两者注册者信息部分习惯以“复仇者联盟”中的角色和中国姓名格式命名,域名服务商均是godaddy.com等。其中任何一条单独拿出来都可以说是巧合,但多个“巧合”组合起来就可以理解为“吻合”,再通过样本,目标一致性,PDNS等证据就可以将两个组织关联起来。
所以,即使whois信息虽然在大多数情况下都是虚假的,分析人员依然可以通过这些信息得到攻击者的行为特征来作为溯源线索甚至辅助证据。
3.PassiveDNS信息利用
近年来,随着威胁情报一起火起来的一个词就是“PassiveDNS”,被动DNS最初于2004年由FlorianWeimer发明,旨在对抗恶意软件。根据其定义,递归域名服务器会响应其接收到的来自其它域名服务器的请求信息,然后对响应信息进行记录并将日志数据复制到中央数据库当中。
在整个威胁情报分析的过程当中,前期的威胁感知和后期的攻击溯源PassiveDNS都发挥着举足轻重的作用。在DNS服务器上部署被动DNS“传感器”,定期对上传数据进行审核,如果发现异常记录即可进行深入分析,辨别请求目标是否为恶意链接。攻击溯源时,我们可以查询到某一域名曾经解析过的IP地址。即使这一域名已经从域名服务器中移除了,也可以查询到相关的信息。这些信息对分析人员用来确定攻击持续时间,网络资源是否交叉利用等起着关键作用。
3.1 确定攻击时间
PassiveDNS的每一条解析记录都具有时间戳,这个时间戳可以了解到域名的出现时间和历次的解析行为。通过这两个信息再配合样本的编译时间大致可以确定一个攻击行为可能的时间轴。再通过审计这段时间内的日志,评估造成的影响和损失。
在分析BITTER组织时,我们发现样本的编译时间最早出现在2013年,集中出现在2015年7月至2016年9月期间,再通过CC域名的PassiveDNS记录可以确定此次攻击大概从2015年初开始。
3.2网络资源交叉使用
此部分信息作为事件关联的最有利的证据,一直以来都是威胁情报分析中重要的分析步骤。PassiveDNS提供的解析记录不仅可以提供域名的解析动作,也可以提供此IP上解析过哪些域名,如果两个事件中涉及的CC域名都在同一时间段解析到同一IP上,那么这三者之间必然有一定的联系,(当然还要判断此IP的归属类型,后文会提到)。
在对BITTER所使用的CC域名进行分析时,经过筛选分析人员注意到一个域名“info2t.com”。PassiveDNS记录如下
时间
IP
归属地
2016-10-25
130.211.96.168
美国
2014-09-07
31.41.218.176
乌克兰
可以看到此域名于2016-10-25解析到IP130.211.96.168上,在对通对IP:130.211.96.168的分析我们得到了进一步的信息。有大量的恶意链接指向此IP,部分结果如下:
其中被标记出来的链接,形似仿冒合法网站的域名,此类域名经常被用来实施水坑攻击。分析人员对这些域名进行逐一排查发现域名worldmilitarynews.org的PassiveDNS记录如下。
时间
IP
归属地
2016-09-26
130.211.96.168
美国
2015-09-29
109.71.51.58
乌克兰
2015-04-07
198.105.122.184
美国
2015-03-13
5.56.133.69
英国
可以看到该域名于2016-09-26同样解析到IP 130.211.96.168上,通过对比两个域名的PDNS记录不难发现两个域名几乎在同一时间解析到同一IP上,至此只可以假设这两个域名具有某种联系,因为接下来还要确定此IP的有效性,还不能排除这个IP是不是安全厂商在检测到恶意域名之后进行接管,将它们解析到自己的IP上。
3.3 可用的PassiveDNS信息
攻击者通常不会在网络上架设独立的服务器用来控制后门,而更偏向于租赁云主机来保护自己的信息。所以我们在针对某事件的分析过程中经常会发现一个IP上解析了大量的域名。造成这种情况通常有两个原因,一是在不同时间段由不同用户解析上来并且被PDNS传感器记录到,二是上文提到的被安全厂商接管。
无论哪种情况都不能单独作为攻击溯源的证据进行事件关联,比如第一种,可能五年前的一次攻击事件中的CC域名解析过某个IP,五年后的新事件中又出现解析在此IP的域名,这可能就是攻击者以“栽赃”为目的的情报混淆,因为很可能在五年前的攻击被披露之后攻击者就弃用了这些资源,而后来被其它攻击者使用。如果没考虑到这一层,很可能分析人员就会被误导,从而得出“XXX组织时隔五年卷土重来”的结论。第二种情况就很明显了,分析时会发现这个IP上有多个恶意域名用于不同的攻击事件中,并且IP归属不是供应商的业务IP。
在本次事件中,墨侠团队对IP 130.211.96.168进行了上述两点的调查分析。第一点通过两个域名的PDNS记录可以看到两个域名解析到此IP的时间基本重合。第二点对于IP的归属,分析人员得到如下信
可以看到IP的归属方为谷歌云计算,此IP的Hostname后缀显示为bc.googleusercontent.com,这说明这台服务器是谷歌云计算的业务主机。因为bc.googleusercontent.com后缀均属于谷歌云计算GCP主机,说明此主机是业务主机,供他人租用的。
4.总结
经过在墨侠团队的威胁情报库中查询,域名“worldmilitarynews.org”曾经是著名的APT组织APT 28在某次事件中使用的域名。关于“APT 28”,最早是由卡巴斯基披露了其针对乌克兰,东欧等国的攻击事件,从而出现在公众的眼前。并且后续有多家安全厂商证明该组织属于俄罗斯,并且背后很可能是莫斯科政府。
因为网络资源的交叉利用,所以可以得到结论,本次事件的主角“BITTER”组织,很可能是受俄罗斯政府资助的一个实施APT攻击的团队。
