根据卡巴斯基实验室安全研究员Brian Bartholomew和Juan-Andres Guerrero-Sade在Virus Bulletin发布的一篇论文,针对性攻击的发动者正在越来越多地使用大量欺骗技巧,将水淌混,让我们无法确认攻击来源
根据卡巴斯基实验室安全研究员Brian Bartholomew和Juan-Andres Guerrero-Sade在Virus Bulletin发布的一篇论文,针对性攻击的发动者正在越来越多地使用大量欺骗技巧,将水淌混,让我们无法确认攻击来源。同时在攻击中植入“伪旗”时间戳、不相关的语言字符串、恶意软件和其他内容,并且假借根本不存在的网络犯罪组织的名号进行行动。
针对性攻击幕后组织的真正身份是所有人都想知道的,确认这些人的身份并非不可能,但非常困难。为了掩饰在当今这种威胁情报环境下对威胁进行定性的复杂性和不确定性,来自卡巴斯基实验室的两位研究人员发表了一篇揭露网络罪犯如何使用所谓的伪旗行动误导受害者和安全研究人员的。
研究人员最常利用一些迹象来判断攻击的来源,文章演示了一些已知的网络犯罪组织是如何通过操纵这些迹象,欺骗研究人员的,包括:
时间戳
恶意软件文件包含一个时间戳,指明这些文件是什么时候被编译的。如果收集到足够多的相关样本,研究人员就可以利用时间戳判断恶意软件开发者的工作时间,从而判断网络罪犯所在的大致时区。但是,这些时间戳很容易被修改。
语言标记
恶意软件经常包含一些字符串和debug路径,这些信息能够让我们对恶意软件编写者有所了解。其中最明显的线索是恶意软件作者所使用的语言以及其对所使用语言的精通程度。debug路径还可以揭示用户名以及该恶意软件项目或攻击行动的内部命名习惯。此外,钓鱼文档中包含的元数据可能会包含作者的国家信息。
但是,网络罪犯可以很容易地操纵这些语言标记,用于迷惑研究人员。例如,Cloud Atlas幕后的网络罪犯就在恶意软件中留下了具有欺骗性的语言线索,包括在黑莓版本的恶意软件中留下阿拉伯语字符,在安卓版中留下印度语字符,在iOS版本的相聚路径中留下“JohnClerk”字样。尽管如此,很多人怀疑这种恶意软件同东欧有关。Wild Neutron幕后的网络罪犯使用的恶意软件中则同时包含罗马尼亚语和俄语字符串。
基础设施和后端连接
找到攻击者使用的命令和控制(C&C)服务器就好像是找到网络罪犯的家庭住址。命令和控制基础设施成本较高,并且较难维护,所以就算是资源丰富的攻击者也可能会重复使用命令和控制服务器或钓鱼基础设施。如果网络罪犯没有充分对互联网连接进行匿名,当恶意软件试图窃取数据或从邮件服务器获取信息,准备登台服务器或钓鱼服务器或检查受感染服务器时,其后端连接可能会暴露攻击者的信息。
但是有时候,这些“失误”是故意的。例如,Cloud Atlas会故意使用来自韩国的IP地址迷惑安全研究人员。
恶意工具:恶意软件、代码、密码、漏洞利用程序
目前,虽然有些网络犯罪组织依赖能够公开获取到的工具,但很多网络罪犯仍然选择打造自己的定制后门程序以及横向移动工具和漏洞利用程序,并且不会轻易泄露这些工具。所以,特定的恶意软件家族能够帮助安全研究人员确定威胁幕后的网络罪犯组织。
当发现自己在受感染系统中被困住时,Turla威胁会利用上述设想迷惑分析人员。这种恶意软件不会首先删除自己,而是安装一款罕见的来自中国的恶意软件,这种恶意软件会同位于北京的基础设施进行通讯,而且同Turla完全没有关系。当受害者的事故响应团队在追踪这款欺骗性恶意软件时,Turla会悄悄卸载自身恶意软件,从受害者系统中清除所有痕迹。
攻击的目标
攻击者的目标也可能会揭示攻击的形式,但是要为两者之间建立精确的关联,需要高超的解读和分析技巧。例如以Wild Neutron威胁为例,其受害者范围非常广泛,所以很容易对其定性造成困扰。
此外,有些网络罪犯会利用公众想要了解攻击者和受害者之间明确关系的想法,使用假冒的(通常不存在的)黑客组织名称进行活动。Lazarus网络犯罪组织在2014年对索尼影业进行攻击是就自称为“和平守卫者”。很多人认为,名为Sofacy的网络犯罪组织也采取了相似的策略,自称为多个黑客主义组织。
同样值得注意的是,有时候攻击者会让其他网络犯罪组织为自己的行为背黑锅。例如,无法定性的TigerMilk攻击组织就在其后门程序中使用了同Stuxnet组织之前用过的同样的被盗数字证书。
“对针对性攻击进行定性非常复杂,而且并不可靠,主观性较强。此外,网络攻击组织还会使用各种手段操纵研究人员用于判断的迹象,进一步将水淌混。我们认为,要对威胁进行精准定性几乎是不可能的。此外,威胁情报所涉及的深度和可测量价值远超过“谁做的”这一问题。对于恶意软件生态系统中的顶级狩猎者的了解,全球的需求很大。所以我们的重点应该是位这些需要的组织提供全面和可供行动的情报信息,”卡巴斯基实验室资深安全研究员Brian Bartholomew说。
要了解更多关于伪旗行动如何被应用于针对性攻击以便感染对威胁定性,请阅读Securelist.com上的博文。
想要了解更多关于卡巴斯基实验室APT情报报告服务,请访问:http://www.kaspersky.com/enterprise-security/apt-intelligence-reporting.
