在2014中国互联网安全大会第二天的APT防御技术论坛中,南京翰海源安全研究员何淼分享APT GROUPS揭开"潘多拉魔盒"主题演讲,何淼首先回顾一下我们身边发生的APT Groups攻击事件。讲到,“这一封是针对政府部门发动的定向攻击邮件,运行这个邮件,通过WPS2012或者是2013打开以后,会释放出正常的doc文件,加载dll文件,窃取政府部门的机密信息,并上传。”
何淼表示,“查询网络资料可以看到有70家政府部门和60多家国企在使用国产办公软件,潜在的APT威胁数量很大。这个是我同事出差时捕获的攻击邮件。打开文件以后可以从攻击者网站下载特定zbot感染型木马。“
另外,何淼认为,”这两次APT事件很难关联起来,如果是有其他的APT样本搭桥牵线,是不是就可以找到它们之间的关联关系呢?就好比是两个不同的案发现场,采用不同的作案手段,如果留下了凶手的指纹信息,我们是不是可以顺藤摸瓜的抓出凶手呢?APT Groups可以帮我们找出意想不到的结果,并且找到背后隐藏的秘密。
何淼认为,“首先要进行多纬度基因数据的组建。这些信息需要通过沙盒系统获取样本的动态信息,比如窃取网银的密码行为、用户的游戏帐号信息或者是邮箱帐号等等。一些威胁信息,比如文件的启动项、进程的启动信息。文件的静态信息是文件的导入信息、文件的资源目录。如此多的样本信息中,要找到自己感兴趣的信息。通过相似度计算,可以看到这两个攻击是同一个作者所为。”
此外,何淼分享了一个组名叫APT-malicious-dw20,特点就是样本繁多,大部分都是使用自己的签名。主要分布在美国、法国、波兰、韩国等国家。攻击者是某黑客团体的APT攻击。这个攻击组织常用的数字签名比较多。这个组织的C&C服务器分布,美国的分布占42%。
何淼讲到,“APT-RAT-DNSWATCH主要利用DOS的路径攻击。我们重点看一下APT-phanonra-shenzhen。这个攻击者参与了多次APT攻击事件,特点是到处签名,动态劫持dll文件。用到的CVE是2011-2462、2011-0611、2012-0158,最后追踪到是美国的APT攻击团队。尾部都有一个明显的download的特征。我们要演示的样本暴露了攻击者的行踪,并且顺藤摸瓜,追踪到了攻击者的博客地址。攻击活动生命周期主要是集中在2012到2013,也是APT事件发生的高峰时期。未来在2013到2014期间也会发动多起攻击事件。这个组织的C&C服务器主要分布在香港、法国、澳大利亚、美国等地。”
最后,何淼表示,“PT Groups在上传样本文件,通过信息查询所在的APT家族,定位到攻击者所在的APT家族。通过这个样本可以找到攻击者的来源。找到和WPS的样本相互关联的原因。展示了服务器所在国。样本的静态信息。也可以通过查询样本的C&C信息查询域名信息,通过样本的时间轴可以查到样本的攻击活动生命周期,了解攻击组织或者是作者制作样本的时间。”