安天實(shí)驗(yàn)室首席技術(shù)架構(gòu)師肖新光
日前召開的阿里安全峰會(huì)上���,安天實(shí)驗(yàn)室首席技術(shù)架構(gòu)師肖新光通過幾例中國遭遇攻擊的案例分析�,指出威脅是能力與意圖的乘積����。2015年APT橫掃全球,中國是受害最為嚴(yán)重的國家�����,針對中國的關(guān)鍵目標(biāo)和基礎(chǔ)設(shè)施受到大量的精密的框架與固件持久化的攻擊。APT的本質(zhì)就是大國博弈���。一定要避免從純技術(shù)視角看待綜合性的威脅��。
肖新光指出��,這是我們的陸地�、海洋��、島嶼�,以及網(wǎng)絡(luò)空間,我們生與斯����,長與斯,苦樂與斯�����,守候與斯���,不義之財(cái)我們分文不取,祖宗之地我們寸土不讓���。
以下為演講實(shí)錄:
今天的主題是熊貓傷痕����,中國遭遇的APT攻擊,這里有老師幫我畫的圖片�����,看起來很辛酸����,這是我一直以來告訴大家的觀點(diǎn),中國是網(wǎng)絡(luò)安全威脅的受害者����。
講這個(gè)案例之前,我還是要重新的解讀一下APT的概念和起源��。
APT的概念
關(guān)于APT����,這是一個(gè)縮寫,高級識別系統(tǒng)威脅��,但是APT他們之間到底是什么樣的關(guān)系,如果我們超越出之前種種的所謂的技術(shù)化的概括和想象��,放在一個(gè)更大的背景和場景里面去�����,我們會(huì)對他有一個(gè)什么樣解讀呢�����?
大家都知道這樣一句話�����,就是說威脅是能力與意圖的乘積���,何為能力�����,在我們整個(gè)講APT的過程中��,大家往往會(huì)把它概括為一些攻擊法���,0day漏洞和格式文檔攻擊等等��,這是什么,高級就是APT的能力�,什么APT的意圖?講到持續(xù)的時(shí)候��,大家也總是想到比如說這個(gè)加密的連接���,這種反復(fù)的進(jìn)入等等����,但是歸根結(jié)底上來講��,他是作業(yè)者的攻擊意志���。
所以說APT的T的威脅是高級與持續(xù)性的一個(gè)乘積�。他們是互為放大的關(guān)系��,但是高級和持續(xù)性達(dá)不到我們一個(gè)基礎(chǔ)的水準(zhǔn)的時(shí)候����,他們又是一個(gè)相互限制的關(guān)系。所以從一個(gè)更為廣闊的來談綜合性威脅的觀點(diǎn)來看���,那么���,這就是APT三個(gè)詞的相關(guān)的關(guān)系�。
美國空軍上校Greg創(chuàng)造了APT一詞
第二點(diǎn)��,我還是想再重復(fù)講一次是誰創(chuàng)造了APT一詞�����,這里有很多的同仁聽我講過����,但是我依然發(fā)現(xiàn),在本應(yīng)非常專業(yè)的技術(shù)文章方面�����,依然在這里有很多的不正確的猜測和想象��。
那么����,目前來看,關(guān)于APT起源��,最為準(zhǔn)確的說法2006年由美國空軍上校Greg,為什么這里要重復(fù)一下這個(gè)起源呢����?我們要看一下Greg的經(jīng)歷,他最還是擔(dān)任凱里空軍基地23期信息作戰(zhàn)軍隊(duì)的指揮官�����,后來當(dāng)了白宮網(wǎng)絡(luò)安全的主管和空軍信息站業(yè)務(wù)指揮的指揮官��,這個(gè)期間他提出并概括了APT一詞�����,然后做過安全咨詢的高級顧問�����,創(chuàng)業(yè)過相應(yīng)的安全企業(yè)����,當(dāng)前擔(dān)任了資本方擔(dān)任了摩根大通的總經(jīng)理���,他這樣一個(gè)軌跡����,如果放在美國政治體制上是非常典型的詞,就是旋轉(zhuǎn)門���。
APT帶有著濃重的大國博弈的色彩
為什么講這個(gè)觀點(diǎn)���,我再重復(fù)一下APT從來不是一個(gè)技術(shù)概念,是一個(gè)非常復(fù)合的政治與經(jīng)濟(jì)的概念���,帶有著非常濃重的大國博弈的精彩�,所以我們簡單的觀點(diǎn)去看待APT的話���,我們就會(huì)把APT當(dāng)成是傳播一勞永逸�����,解決方式的一種銷售素材��,我們不能正確的去應(yīng)對����。那么在過去的若干年中���,各種來自于不同方面的APT攻擊橫掃全球��,這是我們?nèi)ツ甑模?015年的網(wǎng)絡(luò)安全年報(bào)中的一張圖��,我們把主要的APT攻擊和他的受害國做了一個(gè)關(guān)聯(lián)��,這里我們可以看到中國是APT攻擊最為嚴(yán)重的受害國家之一����。那么只不過是這樣的一個(gè)事實(shí)���,目前不是國際上普遍接受的一個(gè)結(jié)論�����,因?yàn)橛腥松⒉剂艘粋€(gè)刻板的偏見�����。
那么我們進(jìn)入到這樣的幾個(gè)案例���。
中國是最大的受害者
首先,我們還是想去看到那種我們認(rèn)為技術(shù)手段最高級���,甚至是可以說開啟了上位視角的���,大家知道2015年初卡巴斯基曝光了他命名為方程式這樣一個(gè)攻擊組織�����,實(shí)際上來看我們追蹤這樣一個(gè)攻擊組織也有接近四年的時(shí)間�,大家知道在國內(nèi)想要曝光一些事件還要經(jīng)過很多的準(zhǔn)備工作����,還會(huì)有一些周折,所以很多時(shí)間很難扮先發(fā)方的角色��。
那么在這個(gè)整個(gè)的APT的作業(yè)中�,我們所看到的是什么,如果說我們單獨(dú)把它拿出來看�����,我們只能看到他們一些特點(diǎn)����,但是其實(shí)比如說我們把這么多的,把所謂的上位模式的APT攻擊視角來看,我們會(huì)發(fā)現(xiàn)這里有很多的一脈相承的東西����,包括了精密的框架,包括了復(fù)雜的指令體系以及相應(yīng)的高度的可附庸化���,這里面重要的特點(diǎn)是針對硬盤固件來實(shí)現(xiàn)�,這一特點(diǎn)是建于我們講的其他的具有風(fēng)格延續(xù)性的�,有相同或者是不同的其他的組織所發(fā)動(dòng)的攻擊。關(guān)于硬件的固件這里面我們不過多的介紹����,這里我們有許多的報(bào)告可以去看。我們可以看到的是什么����,我們可以看到整個(gè)達(dá)成實(shí)體化作業(yè)方面的想象力��。
還有很遺憾的一件事���,當(dāng)我們已經(jīng)發(fā)現(xiàn)他其實(shí)是一個(gè)在發(fā)現(xiàn)高價(jià)值目標(biāo)之后所采用的實(shí)施化方式���,或者是攔截這種存儲(chǔ)的物流配送來實(shí)現(xiàn)這種注射的方式之后,我們國內(nèi)依然刻意的把它解讀為所有的硬盤和安裝了什么,這無疑不是一種嚴(yán)重的誤導(dǎo)����,一旦這種誤導(dǎo)到達(dá)我們政策以后我們不能很好的去應(yīng)對相應(yīng)的風(fēng)險(xiǎn)。
同時(shí)��,從我們來看��,這樣的攻擊組織最大的特點(diǎn)是什么����?是整個(gè)的載荷覆蓋了我們所能想象的全部的操作系統(tǒng)的平臺(tái),無論是微軟還是其他��。這樣的一種全平臺(tái)的作業(yè)能力���,包括了剛才我們所講到��,如何獲取幾乎所有主流硬件品牌的固件能力�����,從我們的分析來看并不是一個(gè)產(chǎn)業(yè)協(xié)同的結(jié)果�����,而是大量的深刻的逆向工程����,工程組織與測試的結(jié)果,這是對手的真實(shí)目的��,對手并不是通過耍流氓的方式來達(dá)成���,這是我們要深刻記錄的��。
我們也可以看到深刻的指令體系���,如果我們拿這個(gè)指令體系和我們之前發(fā)布的分析報(bào)告,包括了烏克蘭的停電事件���,以及發(fā)布的白象事件���,就可以看到這樣的一個(gè)指令體系是多么的精美��,顯得是多么的嚴(yán)謹(jǐn)和市場性�����,同時(shí)在上帝視角中極度強(qiáng)調(diào)嚴(yán)格的本地化的數(shù)據(jù)加密和加密的通訊,以及把數(shù)據(jù)打到一個(gè)第三方�,從中間來攔截劫持的方法。
所以說剛才是我們所看到的一種我把它稱之為上帝模式視角這樣的一種攻擊方式����。當(dāng)然,在這里我們也可以看到一些并不太高明的攻擊方式����,以及這種攻擊方向所看到的一些能力的成長。
我們在前天發(fā)布了一篇名為白象��,來自南亞次大陸網(wǎng)絡(luò)攻擊的報(bào)告���,實(shí)際上關(guān)于公開的資料�,可以看到2013年7月發(fā)布的報(bào)告�����,以及我們在2014年的4月��,在那個(gè)計(jì)算機(jī)學(xué)會(huì)通訊上所發(fā)布的文章���,以及我們相應(yīng)的報(bào)告�。那么這樣一個(gè)溯源,我們可以看到在實(shí)際上���,最初的時(shí)候���,攻擊者所具備的能力,并不是一個(gè)非常高明的�,甚至是沒有必要的偽裝,但是就是這樣一個(gè)攻擊卻使我們的高等院校淪陷了����。這樣一個(gè)過程中我們也看到了來自于同一方向的攻擊,在2012-2013年到今年年初的攻擊波中的成長�。
當(dāng)然我們只能認(rèn)為這兩個(gè)攻擊目前來看來自于同一個(gè)國家背景,我們還不能找到相應(yīng)的關(guān)聯(lián)�,但是我們可以看到從最開始的構(gòu)造大量的PE來進(jìn)行連殺,現(xiàn)在做4114的漏洞的文檔連殺��,最開始PE和圖片結(jié)合的粗糙的技巧�,到今天采用這種具有極富引誘力的郵件通過UIL來加載的攻擊,相繼這樣的攻擊組織從最開始的輕量級的攻擊進(jìn)展到一個(gè)經(jīng)典的APT攻擊組織�,我們做了很多工作,鎖定的相應(yīng)的時(shí)區(qū)�,確定了人員的規(guī)模和使用相應(yīng)的IP����。大家可以在網(wǎng)上看公開的事件視頻比這個(gè)詳細(xì)一些����。
所以我們看到攻擊�����,攻擊者即使是原來并不擁有很好的基礎(chǔ)�����,但是強(qiáng)大的攻擊意志驅(qū)動(dòng)下會(huì)逐漸的演進(jìn)�����,即使來自于不同的攻擊組織��,但是同一背景下能力更強(qiáng)的組織��,有可能會(huì)被取代能力弱的組織����。這種能力更強(qiáng)會(huì)更加可能的膽大妄為,從一代的攻擊謹(jǐn)慎而少量的進(jìn)行投放�����,到二代構(gòu)造出的具有誘餌性質(zhì)的信息之后對我們國家的很多信箱大面積的投放,構(gòu)成了這樣的路徑�����。
同時(shí)我們可以看到除了這種自有式的能力之外�����,還有一個(gè)因素在整個(gè)的針對中國的APT攻擊中起到非常關(guān)鍵的因素�����,那就是商用的攻擊平臺(tái)����。
不是靶彈,而是具有戰(zhàn)斗能力的導(dǎo)彈
大家都知道在去年的五月份����,曝光了一個(gè)APT的事件,360也爆發(fā)了一個(gè)事件�����,實(shí)際上這是同一個(gè)攻擊組織的兩個(gè)不同維度的視角解讀。友商的報(bào)告非常有數(shù)據(jù)的底蘊(yùn)��,而我們揭示了其中一個(gè)細(xì)節(jié)的場景����。這個(gè)場景中最重要的一點(diǎn)是什么����?就是這樣的一個(gè)來自于中南半島某國的攻擊對手以前是非常弱的攻擊能力,突然具備了與上帝視角的某些相似的攻擊方法�����,這些方法從何而來�����,這些攻擊方法來自于商用的攻擊平臺(tái)����。那么這樣一個(gè)攻擊平臺(tái)中,我們可以看到他通過一個(gè)非常典型的�,利用注冊表來分段加載腳本的方法實(shí)現(xiàn)了本地的無文件載體的載荷加載,然后包括實(shí)現(xiàn)與服務(wù)器的同聯(lián)��,這種能力經(jīng)過尋覓來看并不來自于攻擊方自研的能力,而是通過大數(shù)據(jù)的平臺(tái)很容易關(guān)聯(lián)到另外一個(gè)攻擊平臺(tái)所生成的�����。具有這樣一個(gè)全能力�,全格式的打擊力量平臺(tái),包括具有載荷投放和加密回傳這樣的設(shè)計(jì)平臺(tái)���,我們認(rèn)為像這樣的工具超出了傳統(tǒng)的理解����,像安全掃描器這樣的基礎(chǔ)的安全的能力�,他們不是一個(gè)靶彈,而是真實(shí)的具有戰(zhàn)斗能力的導(dǎo)彈����。我們所面臨的環(huán)境是一個(gè)脆弱的信息機(jī)體,但是面臨著商業(yè)中擴(kuò)散的危險(xiǎn)���。
我們還是要把不同能力的攻擊行動(dòng)做一個(gè)概括�����,有人就覺得之前的四象限的圖不夠精準(zhǔn)����,如果我們想把APT攻擊分成兩個(gè)維度,一個(gè)是攻擊方的成本投入�,一個(gè)是攻擊方的行動(dòng)能力,這來看毫無疑問被我們稱之為高級的APT��,既所謂的A方的攻擊需要維護(hù)巨大的成本�,比如說卡巴斯基所依賴的工程體系和研發(fā)���,以及相應(yīng)使用的各種維護(hù)和研發(fā)需要五千萬美金的成本���。
所以說,這種A方PT�,毫無疑問是成本投入和行動(dòng)能力的最大化的結(jié)果。同時(shí)我們看到另外一個(gè)部分是當(dāng)前大量的商業(yè)中���,包括了買賣和商用的和免費(fèi)的攻擊平臺(tái)����,以及商用木馬的使用情況下�����,使那些原來只具備初級攻擊能力的,然后也缺少天才的攻擊手的團(tuán)隊(duì)�,具有了原子彈,具有了中國這樣的信息化大國實(shí)現(xiàn)挑戰(zhàn)的能力�����。當(dāng)然了我們也可以看到傳統(tǒng)的APT組織正在堅(jiān)持他舊有的風(fēng)格����。
同時(shí)我一直講一件事,對于APT攻擊�����,大場合下分析的只是彈頭��,彈頭就是載荷��,彈頭是當(dāng)我們被APT遠(yuǎn)程狙射的時(shí)候�����,留在我們身體中����,從傷口中挖出的金屬物質(zhì)����,可以分析口徑和大致的方向��,但是目前來看還有很多的攻擊����,特別是來自于上帝視角的攻擊,我們看不清他的來歷�,我們看不清他的槍械和狙擊手��,我們看不清他的位置�,但是我們連分析彈頭的能力都沒有,我們不能從分析彈頭來做腳踏實(shí)地的工作����,我們何談對抗APT。
我們之前談的很多點(diǎn)�,都是老生常談。但是這里還是有解決方案要重復(fù)��,第一點(diǎn)避免純技術(shù)視角來看待綜合性危機(jī)���,APT不是一個(gè)嚴(yán)格的關(guān)聯(lián)����,必須要關(guān)聯(lián)起背景,首先APT是分析發(fā)起方與動(dòng)機(jī)���,其次是受害方的動(dòng)機(jī)��,最后是作業(yè)過程和手段��。因此所謂的A不是一種絕對高級的手段���,如果說目標(biāo)只關(guān)注在技術(shù)手段上,而不是去關(guān)注是不是給我們造成威脅以及我們本身所具有的防御能力的話�����,那么我們就會(huì)經(jīng)常的被豬一樣的對手搞定�����。
所以說這個(gè)A不是一種絕對的技術(shù)水平�,而是相對攻擊體系中背景中相對高的能力層次,第二點(diǎn)是代表加密通信��,可能加密實(shí)體化的接入,但是本身取決于攻疾方的作業(yè)意識和持續(xù)的成本投入冷藏�。所以我們對APT的再認(rèn)識,我們認(rèn)為他是情報(bào)作業(yè)的網(wǎng)絡(luò)空間延展���,網(wǎng)絡(luò)犯罪的高階形態(tài)�����,我們說這是三種不同的場景�。就是說這是三種有關(guān)��,但是有區(qū)別的場景���。那么他可能是情報(bào)作業(yè)的網(wǎng)絡(luò)空間延展�����,也有可能是網(wǎng)絡(luò)犯罪的高階形態(tài)。但是情報(bào)作業(yè)的網(wǎng)絡(luò)空間延展本身就有可能構(gòu)成網(wǎng)絡(luò)戰(zhàn)的環(huán)境���。
不是發(fā)報(bào)告�,是止損����、遏制��、防御和反恐
同時(shí)我們?yōu)槭裁匆芯緼PT攻擊�����,我是為了發(fā)報(bào)告嗎�����?為了漲江湖聲望嗎�����?不是����,所有的研究威脅的目的是為了對威脅達(dá)成止損����、遏制和防御,所以APT的博弈手段�,或者是說曝光只是其中一種,那么真正的�,我們要有效的實(shí)現(xiàn)在載荷投放時(shí)候的手段���,在載荷已經(jīng)運(yùn)行后的止損和反恐,以及配合其他的博弈手段的懲戒和相應(yīng)的報(bào)復(fù)���。
體系化的攻擊必須有體系化的防守����,集大成者的攻擊必須有相應(yīng)的動(dòng)態(tài)綜合縱深的體系去防御����,而我們面臨的現(xiàn)實(shí)情況是什么,盡管很多人聲討老三樣�,但是我們再次強(qiáng)調(diào)一下,國內(nèi)的基礎(chǔ)信息場景中最大的問題是老三樣沒有發(fā)揮應(yīng)有的作用��。盡管我們不做這樣的產(chǎn)品����,但是高級的技術(shù)能力和產(chǎn)品形態(tài)需要有可靠的����,基礎(chǔ)的IP治理形態(tài),另外是看到的問題是��,這次我們分析了大量所投放的信箱,這里有很大一部分的比例是重要人員的免費(fèi)信箱���,163�����,126���,騰訊等等,這里所帶來的問題�����?這是報(bào)告我們分析了大概數(shù)千個(gè)政府網(wǎng)站的信箱����,發(fā)現(xiàn)幾乎一半的聯(lián)系信箱是免費(fèi)的,這使威脅是高度的離散的�����,我們沒有把高價(jià)值的目標(biāo)牽引到一種高防御能力的體系中��,我們就造成了對于威脅是高度不敏感的,我們把威脅的基礎(chǔ)放在的免費(fèi)信箱所能提供給個(gè)人的防御能力上去�����。
所以說在當(dāng)前的整個(gè)作業(yè)中�����,已經(jīng)影響到關(guān)聯(lián)人員的個(gè)人信息�,個(gè)人設(shè)備,個(gè)人手機(jī)��,以及家庭成員的身上���。這又是APT防御的一個(gè)重要的點(diǎn)�。同時(shí)目前我們正在舉行的活躍的IOC的威脅情報(bào)的交換��,為什么要進(jìn)行威脅情報(bào)的交換���,這是因?yàn)锳PT的定向性導(dǎo)致了大家都不能夠去捕獲所有的信息�。但是我們需要注意的幾點(diǎn)是什么���,第一點(diǎn)是APT這種攻方具有擊強(qiáng)的系統(tǒng)體系和資源連接能力的情況下�����,攻防雙方均具有強(qiáng)大的IOC獲取能力�����。也就是說防御方可以通過IOC來增強(qiáng)能力��,攻擊方同樣可以通過IOC來判斷自己是否已經(jīng)暴露�。另外一點(diǎn)的情況���,剛才我們看到了面對無文件載體這種方式的流行����,是一種威脅情報(bào)的價(jià)值��,我是指文件的價(jià)值在打折扣�����,我們一直堅(jiān)持一個(gè)觀點(diǎn)�,威脅情報(bào)需要有可靠的感知、檢測����、分析�、防御能力為支撐�,威脅情報(bào)需要有效的行動(dòng)力轉(zhuǎn)化和驗(yàn)證情報(bào)。
今天已經(jīng)很多人講終端了�,終端依然是重要的終極的防御。云實(shí)際上是對終端的一種組織形式����,并不改變終端也是一個(gè)操作系統(tǒng),以及受到相應(yīng)威脅的本質(zhì)��。我們今天很多人在講白防����,利用可信來改進(jìn)這種安全防御,但是白防不能只有白�����,沒有防�����。因?yàn)樽罱K來看不是對攻擊者一個(gè)對黑名單或者是白名單的簽名和載荷的控制��,而是對于是否能夠獲取入口的控制,今天我們看到了很多是白名單�,而不是白名單防御。還有一個(gè)是什么�����,如何看待反病毒引擎與沙箱����,原來基于一個(gè)靜態(tài)引擎就能解決的問題�,當(dāng)前確實(shí)很多不能解決,但是沒有這樣一個(gè)靜態(tài)引擎所提供的威脅標(biāo)注能力���,很多的上層決策難以進(jìn)行��,所以已經(jīng)從核心模塊轉(zhuǎn)化為基礎(chǔ)設(shè)施��,還有一點(diǎn)是現(xiàn)在反病毒引擎的重大價(jià)值是什么�����,是他本身就具有了格式解析和向量拆解能力���。比如說為什么這次白象要把PPT�����,就是說XML這個(gè)格式轉(zhuǎn)化成老的勞拉格式���。
實(shí)際上是因?yàn)樵诤芏嗟拇譁\的靜態(tài)分析中,是經(jīng)過開源的代碼就可以解析���,而勞拉格式是通過拆解原有的結(jié)構(gòu)����,這恰恰是傳統(tǒng)的AV廠商的強(qiáng)項(xiàng)����,傳統(tǒng)的AV廠商的靜態(tài)分析和決策能力是未來的資源。另外砂箱不是反病毒引擎��,比如說誤報(bào)了���,誤報(bào)率是多少�,結(jié)果是否準(zhǔn)確���,砂箱的最重要的一點(diǎn)是漏洞的處罰能力�����。第二點(diǎn)是要有行為的深度的揭示��,通過這樣的一個(gè)靜態(tài)�,動(dòng)態(tài)的環(huán)節(jié)輸送出相應(yīng)的向量,最終形成上層的與威脅情報(bào)聯(lián)動(dòng)的這樣一個(gè)檢索和相應(yīng)的決策機(jī)制���,而不是依賴于某一個(gè)單獨(dú)的環(huán)節(jié)達(dá)成判斷,而這個(gè)過程中很重要的一點(diǎn)��,或者是網(wǎng)管�����,或者是廠商運(yùn)維支持一定是勤奮的��,兩個(gè)人都指望著展望格式去解決����,這是不一樣的。
還是要老生常談一下動(dòng)態(tài)��、綜合����、縱深�,同時(shí)�����,在昨天大家都知道�,發(fā)生了一件讓中國人民義憤填膺的事情,作為管安全的工作者�,作為網(wǎng)絡(luò)安全團(tuán)隊(duì)的負(fù)責(zé)人,我想再說這是我們的陸地���、海洋����、島嶼����,以及網(wǎng)絡(luò)空間,我們生與斯��,長與斯�,年畫苦樂與斯,守候與斯���,不義之財(cái)我們分文不取����,祖宗之地我們寸土不讓。
