安天實驗室首席技術(shù)架構(gòu)師肖新光
日前召開的阿里安全峰會上�����,安天實驗室首席技術(shù)架構(gòu)師肖新光通過幾例中國遭遇攻擊的案例分析�,指出威脅是能力與意圖的乘積����。2015年APT橫掃全球,中國是受害最為嚴重的國家�����,針對中國的關(guān)鍵目標和基礎(chǔ)設(shè)施受到大量的精密的框架與固件持久化的攻擊。APT的本質(zhì)就是大國博弈��。一定要避免從純技術(shù)視角看待綜合性的威脅��。
肖新光指出���,這是我們的陸地�����、海洋���、島嶼,以及網(wǎng)絡(luò)空間��,我們生與斯��,長與斯�,苦樂與斯,守候與斯����,不義之財我們分文不取���,祖宗之地我們寸土不讓。
以下為演講實錄:
今天的主題是熊貓傷痕�����,中國遭遇的APT攻擊�,這里有老師幫我畫的圖片�,看起來很辛酸,這是我一直以來告訴大家的觀點�����,中國是網(wǎng)絡(luò)安全威脅的受害者���。
講這個案例之前�,我還是要重新的解讀一下APT的概念和起源����。
APT的概念
關(guān)于APT,這是一個縮寫�,高級識別系統(tǒng)威脅,但是APT他們之間到底是什么樣的關(guān)系��,如果我們超越出之前種種的所謂的技術(shù)化的概括和想象,放在一個更大的背景和場景里面去����,我們會對他有一個什么樣解讀呢?
大家都知道這樣一句話��,就是說威脅是能力與意圖的乘積���,何為能力�����,在我們整個講APT的過程中�����,大家往往會把它概括為一些攻擊法����,0day漏洞和格式文檔攻擊等等�,這是什么,高級就是APT的能力�����,什么APT的意圖?講到持續(xù)的時候��,大家也總是想到比如說這個加密的連接��,這種反復(fù)的進入等等��,但是歸根結(jié)底上來講���,他是作業(yè)者的攻擊意志。
所以說APT的T的威脅是高級與持續(xù)性的一個乘積�����。他們是互為放大的關(guān)系��,但是高級和持續(xù)性達不到我們一個基礎(chǔ)的水準的時候����,他們又是一個相互限制的關(guān)系。所以從一個更為廣闊的來談綜合性威脅的觀點來看�����,那么,這就是APT三個詞的相關(guān)的關(guān)系����。
美國空軍上校Greg創(chuàng)造了APT一詞
第二點,我還是想再重復(fù)講一次是誰創(chuàng)造了APT一詞��,這里有很多的同仁聽我講過�,但是我依然發(fā)現(xiàn),在本應(yīng)非常專業(yè)的技術(shù)文章方面���,依然在這里有很多的不正確的猜測和想象�。
那么�����,目前來看����,關(guān)于APT起源,最為準確的說法2006年由美國空軍上校Greg��,為什么這里要重復(fù)一下這個起源呢�����?我們要看一下Greg的經(jīng)歷,他最還是擔任凱里空軍基地23期信息作戰(zhàn)軍隊的指揮官����,后來當了白宮網(wǎng)絡(luò)安全的主管和空軍信息站業(yè)務(wù)指揮的指揮官,這個期間他提出并概括了APT一詞��,然后做過安全咨詢的高級顧問����,創(chuàng)業(yè)過相應(yīng)的安全企業(yè),當前擔任了資本方擔任了摩根大通的總經(jīng)理����,他這樣一個軌跡,如果放在美國政治體制上是非常典型的詞���,就是旋轉(zhuǎn)門。
APT帶有著濃重的大國博弈的色彩
為什么講這個觀點��,我再重復(fù)一下APT從來不是一個技術(shù)概念�,是一個非常復(fù)合的政治與經(jīng)濟的概念,帶有著非常濃重的大國博弈的精彩����,所以我們簡單的觀點去看待APT的話,我們就會把APT當成是傳播一勞永逸,解決方式的一種銷售素材����,我們不能正確的去應(yīng)對。那么在過去的若干年中��,各種來自于不同方面的APT攻擊橫掃全球����,這是我們?nèi)ツ甑模?015年的網(wǎng)絡(luò)安全年報中的一張圖,我們把主要的APT攻擊和他的受害國做了一個關(guān)聯(lián)�,這里我們可以看到中國是APT攻擊最為嚴重的受害國家之一。那么只不過是這樣的一個事實�����,目前不是國際上普遍接受的一個結(jié)論�����,因為有人散布了一個刻板的偏見���。
那么我們進入到這樣的幾個案例��。
中國是最大的受害者
首先����,我們還是想去看到那種我們認為技術(shù)手段最高級,甚至是可以說開啟了上位視角的�,大家知道2015年初卡巴斯基曝光了他命名為方程式這樣一個攻擊組織,實際上來看我們追蹤這樣一個攻擊組織也有接近四年的時間�,大家知道在國內(nèi)想要曝光一些事件還要經(jīng)過很多的準備工作,還會有一些周折�,所以很多時間很難扮先發(fā)方的角色。
那么在這個整個的APT的作業(yè)中��,我們所看到的是什么���,如果說我們單獨把它拿出來看�,我們只能看到他們一些特點�����,但是其實比如說我們把這么多的��,把所謂的上位模式的APT攻擊視角來看��,我們會發(fā)現(xiàn)這里有很多的一脈相承的東西�,包括了精密的框架����,包括了復(fù)雜的指令體系以及相應(yīng)的高度的可附庸化����,這里面重要的特點是針對硬盤固件來實現(xiàn)���,這一特點是建于我們講的其他的具有風格延續(xù)性的�,有相同或者是不同的其他的組織所發(fā)動的攻擊��。關(guān)于硬件的固件這里面我們不過多的介紹�����,這里我們有許多的報告可以去看�。我們可以看到的是什么,我們可以看到整個達成實體化作業(yè)方面的想象力��。
還有很遺憾的一件事����,當我們已經(jīng)發(fā)現(xiàn)他其實是一個在發(fā)現(xiàn)高價值目標之后所采用的實施化方式,或者是攔截這種存儲的物流配送來實現(xiàn)這種注射的方式之后���,我們國內(nèi)依然刻意的把它解讀為所有的硬盤和安裝了什么����,這無疑不是一種嚴重的誤導(dǎo),一旦這種誤導(dǎo)到達我們政策以后我們不能很好的去應(yīng)對相應(yīng)的風險�。
同時,從我們來看�,這樣的攻擊組織最大的特點是什么?是整個的載荷覆蓋了我們所能想象的全部的操作系統(tǒng)的平臺��,無論是微軟還是其他����。這樣的一種全平臺的作業(yè)能力,包括了剛才我們所講到��,如何獲取幾乎所有主流硬件品牌的固件能力�����,從我們的分析來看并不是一個產(chǎn)業(yè)協(xié)同的結(jié)果���,而是大量的深刻的逆向工程���,工程組織與測試的結(jié)果�����,這是對手的真實目的,對手并不是通過耍流氓的方式來達成���,這是我們要深刻記錄的����。
我們也可以看到深刻的指令體系�,如果我們拿這個指令體系和我們之前發(fā)布的分析報告,包括了烏克蘭的停電事件�����,以及發(fā)布的白象事件��,就可以看到這樣的一個指令體系是多么的精美����,顯得是多么的嚴謹和市場性,同時在上帝視角中極度強調(diào)嚴格的本地化的數(shù)據(jù)加密和加密的通訊���,以及把數(shù)據(jù)打到一個第三方�����,從中間來攔截劫持的方法�����。
所以說剛才是我們所看到的一種我把它稱之為上帝模式視角這樣的一種攻擊方式����。當然,在這里我們也可以看到一些并不太高明的攻擊方式��,以及這種攻擊方向所看到的一些能力的成長���。
我們在前天發(fā)布了一篇名為白象�,來自南亞次大陸網(wǎng)絡(luò)攻擊的報告��,實際上關(guān)于公開的資料���,可以看到2013年7月發(fā)布的報告�,以及我們在2014年的4月��,在那個計算機學(xué)會通訊上所發(fā)布的文章����,以及我們相應(yīng)的報告����。那么這樣一個溯源���,我們可以看到在實際上,最初的時候���,攻擊者所具備的能力�����,并不是一個非常高明的�,甚至是沒有必要的偽裝�,但是就是這樣一個攻擊卻使我們的高等院校淪陷了。這樣一個過程中我們也看到了來自于同一方向的攻擊�,在2012-2013年到今年年初的攻擊波中的成長。
當然我們只能認為這兩個攻擊目前來看來自于同一個國家背景�����,我們還不能找到相應(yīng)的關(guān)聯(lián)�,但是我們可以看到從最開始的構(gòu)造大量的PE來進行連殺,現(xiàn)在做4114的漏洞的文檔連殺,最開始PE和圖片結(jié)合的粗糙的技巧���,到今天采用這種具有極富引誘力的郵件通過UIL來加載的攻擊��,相繼這樣的攻擊組織從最開始的輕量級的攻擊進展到一個經(jīng)典的APT攻擊組織����,我們做了很多工作��,鎖定的相應(yīng)的時區(qū)�,確定了人員的規(guī)模和使用相應(yīng)的IP。大家可以在網(wǎng)上看公開的事件視頻比這個詳細一些��。
所以我們看到攻擊��,攻擊者即使是原來并不擁有很好的基礎(chǔ)���,但是強大的攻擊意志驅(qū)動下會逐漸的演進�,即使來自于不同的攻擊組織��,但是同一背景下能力更強的組織����,有可能會被取代能力弱的組織��。這種能力更強會更加可能的膽大妄為�����,從一代的攻擊謹慎而少量的進行投放���,到二代構(gòu)造出的具有誘餌性質(zhì)的信息之后對我們國家的很多信箱大面積的投放����,構(gòu)成了這樣的路徑。
同時我們可以看到除了這種自有式的能力之外����,還有一個因素在整個的針對中國的APT攻擊中起到非常關(guān)鍵的因素,那就是商用的攻擊平臺��。
不是靶彈�,而是具有戰(zhàn)斗能力的導(dǎo)彈
大家都知道在去年的五月份,曝光了一個APT的事件���,360也爆發(fā)了一個事件��,實際上這是同一個攻擊組織的兩個不同維度的視角解讀��。友商的報告非常有數(shù)據(jù)的底蘊����,而我們揭示了其中一個細節(jié)的場景。這個場景中最重要的一點是什么����?就是這樣的一個來自于中南半島某國的攻擊對手以前是非常弱的攻擊能力,突然具備了與上帝視角的某些相似的攻擊方法���,這些方法從何而來��,這些攻擊方法來自于商用的攻擊平臺�。那么這樣一個攻擊平臺中��,我們可以看到他通過一個非常典型的���,利用注冊表來分段加載腳本的方法實現(xiàn)了本地的無文件載體的載荷加載���,然后包括實現(xiàn)與服務(wù)器的同聯(lián),這種能力經(jīng)過尋覓來看并不來自于攻擊方自研的能力�,而是通過大數(shù)據(jù)的平臺很容易關(guān)聯(lián)到另外一個攻擊平臺所生成的。具有這樣一個全能力�����,全格式的打擊力量平臺,包括具有載荷投放和加密回傳這樣的設(shè)計平臺�����,我們認為像這樣的工具超出了傳統(tǒng)的理解�����,像安全掃描器這樣的基礎(chǔ)的安全的能力���,他們不是一個靶彈,而是真實的具有戰(zhàn)斗能力的導(dǎo)彈���。我們所面臨的環(huán)境是一個脆弱的信息機體���,但是面臨著商業(yè)中擴散的危險。
我們還是要把不同能力的攻擊行動做一個概括�����,有人就覺得之前的四象限的圖不夠精準��,如果我們想把APT攻擊分成兩個維度,一個是攻擊方的成本投入��,一個是攻擊方的行動能力���,這來看毫無疑問被我們稱之為高級的APT����,既所謂的A方的攻擊需要維護巨大的成本���,比如說卡巴斯基所依賴的工程體系和研發(fā)�,以及相應(yīng)使用的各種維護和研發(fā)需要五千萬美金的成本��。
所以說�,這種A方PT,毫無疑問是成本投入和行動能力的最大化的結(jié)果�����。同時我們看到另外一個部分是當前大量的商業(yè)中����,包括了買賣和商用的和免費的攻擊平臺,以及商用木馬的使用情況下�����,使那些原來只具備初級攻擊能力的,然后也缺少天才的攻擊手的團隊��,具有了原子彈���,具有了中國這樣的信息化大國實現(xiàn)挑戰(zhàn)的能力����。當然了我們也可以看到傳統(tǒng)的APT組織正在堅持他舊有的風格�����。
同時我一直講一件事��,對于APT攻擊�,大場合下分析的只是彈頭����,彈頭就是載荷,彈頭是當我們被APT遠程狙射的時候�����,留在我們身體中,從傷口中挖出的金屬物質(zhì)�����,可以分析口徑和大致的方向�,但是目前來看還有很多的攻擊,特別是來自于上帝視角的攻擊���,我們看不清他的來歷����,我們看不清他的槍械和狙擊手��,我們看不清他的位置���,但是我們連分析彈頭的能力都沒有��,我們不能從分析彈頭來做腳踏實地的工作�����,我們何談對抗APT�。
我們之前談的很多點,都是老生常談�。但是這里還是有解決方案要重復(fù),第一點避免純技術(shù)視角來看待綜合性危機����,APT不是一個嚴格的關(guān)聯(lián),必須要關(guān)聯(lián)起背景���,首先APT是分析發(fā)起方與動機���,其次是受害方的動機,最后是作業(yè)過程和手段���。因此所謂的A不是一種絕對高級的手段���,如果說目標只關(guān)注在技術(shù)手段上,而不是去關(guān)注是不是給我們造成威脅以及我們本身所具有的防御能力的話�,那么我們就會經(jīng)常的被豬一樣的對手搞定。
所以說這個A不是一種絕對的技術(shù)水平�,而是相對攻擊體系中背景中相對高的能力層次����,第二點是代表加密通信,可能加密實體化的接入�����,但是本身取決于攻疾方的作業(yè)意識和持續(xù)的成本投入冷藏。所以我們對APT的再認識����,我們認為他是情報作業(yè)的網(wǎng)絡(luò)空間延展,網(wǎng)絡(luò)犯罪的高階形態(tài)����,我們說這是三種不同的場景。就是說這是三種有關(guān)���,但是有區(qū)別的場景��。那么他可能是情報作業(yè)的網(wǎng)絡(luò)空間延展�,也有可能是網(wǎng)絡(luò)犯罪的高階形態(tài)�����。但是情報作業(yè)的網(wǎng)絡(luò)空間延展本身就有可能構(gòu)成網(wǎng)絡(luò)戰(zhàn)的環(huán)境�����。
不是發(fā)報告,是止損�����、遏制�、防御和反恐
同時我們?yōu)槭裁匆芯緼PT攻擊,我是為了發(fā)報告嗎����?為了漲江湖聲望嗎?不是����,所有的研究威脅的目的是為了對威脅達成止損、遏制和防御����,所以APT的博弈手段,或者是說曝光只是其中一種�����,那么真正的��,我們要有效的實現(xiàn)在載荷投放時候的手段��,在載荷已經(jīng)運行后的止損和反恐��,以及配合其他的博弈手段的懲戒和相應(yīng)的報復(fù)���。
體系化的攻擊必須有體系化的防守�����,集大成者的攻擊必須有相應(yīng)的動態(tài)綜合縱深的體系去防御���,而我們面臨的現(xiàn)實情況是什么,盡管很多人聲討老三樣�,但是我們再次強調(diào)一下,國內(nèi)的基礎(chǔ)信息場景中最大的問題是老三樣沒有發(fā)揮應(yīng)有的作用����。盡管我們不做這樣的產(chǎn)品,但是高級的技術(shù)能力和產(chǎn)品形態(tài)需要有可靠的��,基礎(chǔ)的IP治理形態(tài)�,另外是看到的問題是,這次我們分析了大量所投放的信箱�,這里有很大一部分的比例是重要人員的免費信箱,163�,126���,騰訊等等,這里所帶來的問題���?這是報告我們分析了大概數(shù)千個政府網(wǎng)站的信箱����,發(fā)現(xiàn)幾乎一半的聯(lián)系信箱是免費的�,這使威脅是高度的離散的,我們沒有把高價值的目標牽引到一種高防御能力的體系中����,我們就造成了對于威脅是高度不敏感的,我們把威脅的基礎(chǔ)放在的免費信箱所能提供給個人的防御能力上去���。
所以說在當前的整個作業(yè)中����,已經(jīng)影響到關(guān)聯(lián)人員的個人信息�����,個人設(shè)備���,個人手機���,以及家庭成員的身上。這又是APT防御的一個重要的點���。同時目前我們正在舉行的活躍的IOC的威脅情報的交換���,為什么要進行威脅情報的交換,這是因為APT的定向性導(dǎo)致了大家都不能夠去捕獲所有的信息�。但是我們需要注意的幾點是什么,第一點是APT這種攻方具有擊強的系統(tǒng)體系和資源連接能力的情況下����,攻防雙方均具有強大的IOC獲取能力。也就是說防御方可以通過IOC來增強能力���,攻擊方同樣可以通過IOC來判斷自己是否已經(jīng)暴露����。另外一點的情況��,剛才我們看到了面對無文件載體這種方式的流行����,是一種威脅情報的價值�,我是指文件的價值在打折扣�����,我們一直堅持一個觀點����,威脅情報需要有可靠的感知、檢測����、分析、防御能力為支撐��,威脅情報需要有效的行動力轉(zhuǎn)化和驗證情報����。
今天已經(jīng)很多人講終端了,終端依然是重要的終極的防御���。云實際上是對終端的一種組織形式�����,并不改變終端也是一個操作系統(tǒng)����,以及受到相應(yīng)威脅的本質(zhì)。我們今天很多人在講白防�,利用可信來改進這種安全防御,但是白防不能只有白���,沒有防。因為最終來看不是對攻擊者一個對黑名單或者是白名單的簽名和載荷的控制���,而是對于是否能夠獲取入口的控制�,今天我們看到了很多是白名單���,而不是白名單防御���。還有一個是什么,如何看待反病毒引擎與沙箱����,原來基于一個靜態(tài)引擎就能解決的問題,當前確實很多不能解決����,但是沒有這樣一個靜態(tài)引擎所提供的威脅標注能力��,很多的上層決策難以進行��,所以已經(jīng)從核心模塊轉(zhuǎn)化為基礎(chǔ)設(shè)施���,還有一點是現(xiàn)在反病毒引擎的重大價值是什么,是他本身就具有了格式解析和向量拆解能力���。比如說為什么這次白象要把PPT�,就是說XML這個格式轉(zhuǎn)化成老的勞拉格式����。
實際上是因為在很多的粗淺的靜態(tài)分析中,是經(jīng)過開源的代碼就可以解析�����,而勞拉格式是通過拆解原有的結(jié)構(gòu)��,這恰恰是傳統(tǒng)的AV廠商的強項��,傳統(tǒng)的AV廠商的靜態(tài)分析和決策能力是未來的資源。另外砂箱不是反病毒引擎�,比如說誤報了,誤報率是多少��,結(jié)果是否準確����,砂箱的最重要的一點是漏洞的處罰能力。第二點是要有行為的深度的揭示����,通過這樣的一個靜態(tài),動態(tài)的環(huán)節(jié)輸送出相應(yīng)的向量�����,最終形成上層的與威脅情報聯(lián)動的這樣一個檢索和相應(yīng)的決策機制�,而不是依賴于某一個單獨的環(huán)節(jié)達成判斷�,而這個過程中很重要的一點,或者是網(wǎng)管�����,或者是廠商運維支持一定是勤奮的�����,兩個人都指望著展望格式去解決,這是不一樣的�。
還是要老生常談一下動態(tài)、綜合���、縱深��,同時���,在昨天大家都知道,發(fā)生了一件讓中國人民義憤填膺的事情�����,作為管安全的工作者�,作為網(wǎng)絡(luò)安全團隊的負責人,我想再說這是我們的陸地��、海洋�����、島嶼���,以及網(wǎng)絡(luò)空間�����,我們生與斯�����,長與斯�����,年畫苦樂與斯�,守候與斯,不義之財我們分文不取���,祖宗之地我們寸土不讓���。
