1.情报价值 | 关键基础设施 | 为未来再进一步制造混乱和干扰做准备 | 边界设备 | OPSEC
马克:当然。如你所说,“APT X”是一个X国黑客组织,我们在今年5月曝光了他们的身份,并谈到过他们在Y岛和G国多个地方的攻击。与大多数其他X国黑客不同,这群人基本上是在攻击关键基础设施。所以,有时你可能会看到X国黑客入侵获取情报,但在这种情况下,我们看到的目标是供电、供水和其他公用事业相关的设施,这对他们完全没有情报价值。所以这个组织对这些目标表现出了某种兴趣,这对我们来说有些令人不安,也让我们感到疑惑,他们这么做的目的是什么?我想等下有机会和大家深入探讨一下这个话题的时候,我可以让朱迪来详细解释。为什么他们要攻击那些对他们毫无情报价值的公用事业设施?除非他们是在为未来再进一步制造混乱和干扰做准备。
朱迪:正如马克所说,就连摩根在演讲时也提到了这一点,这完全没有任何情报价值。那么他们为什么要攻击那么多公用事业机构呢?这很可能是为了更好地了解当地环境,以及他们今后可能造成破坏的能力。正如马克和我在演讲中强调的,迄今为止,我们还没有看到“APT X”实施任何网络攻击行动。目前都是他们入侵环境进行的传统网络间谍活动(得到网络访问权限并可能进行更多研究,以便他们可以长期驻留在这些网络中。)这正是一个让我们有机会发声、采取行动的时期,我们在演讲中也强调了与不同合作伙伴的合作,我们可以一起努力应对这个威胁。
马克:首先,很大程度上需要做好基本的安全卫生工作。APT X的一个特点是他们通常入侵边缘站点,如VPN设备、负载均衡器,或一些可以从互联网访问的端点管理软件。然后他们会以某种方式获得对这些设备的访问权限,这些设备通常会有较高级别的账户或特权账户,这样黑客可以直接获得域管理员权限。我们多次看到他们转储NTLM哈希,然后根据受害者的情况,他们有时会深入网络进行更多侦察。其他时候他们会在4到6周后(笔者注:情报分析师通常会秘密观察攻击者)再次转储AD(Active Directory)帐户信息,并不断重复这一过程。所以核心措施就是网络基础架构的基本安全监控,比如登录日志、可疑登录记录、对活动目录的转储等等,这些都非常基本,但如果你能做到这些基本防范,你发现APT X这样的攻击的机会就会大大增加。
谢洛:了解。朱迪,你其实教了我很多有关边缘设备问题的知识。X国人似乎很热衷攻击边缘设备。这其中的缘由是什么?
朱迪·吴:我认为随着所有这些针对X国APT的指责和公开报告,他们真的牢记于心,如何变得隐秘。(笔者注:APT会分析厂商公开的APT报告,然后跟进其行为)我们被迫让他们变得更加隐秘,思考不同的方法进入网络。所以我们看到,这其实是社区做得非常出色的证明,我们突显了他们的行动,实际上他们已经重新思考可以使用什么工具作为渗透工具包的一部分,以便不惊动告警进入系统。
2.APT信息行动(IO)的价值以及如何干扰情报分析师
纳德:它们非常机会主义。在许多情况下,它们被夸大和夸张,这是伊朗的典型策略,他们发起攻击,同时发起一个信息行动,试图最大限度地夸大攻击的影响,并可能声称一些不一定是真实的事情。所以他们正在寻求夸大、放大和扩大影响力。
纳德:信息行动。这意味着会在Twitter或Telegram上采用新身份创建假账户或频道。我们遇到的一个例子是,伊朗人采用了所谓的“所罗门”的身份。通过Telegram这个身份,他们声称攻击了以色列军事基础设施、攻击了关键基础设施。因此,他们在某种程度上吹嘘自己的成功、他们的能力。我们致力于用我们的数据证明或反证这些声明中的许多声明。我们发现,尽管“所罗门”组织能够发动勒索软件攻击,但他们对精确性和影响力的声明被夸大了。所以我们能用数据证明,好吧,他们确实有部署勒索软件的能力,但他们精确定位的能力和造成影响和破坏的能力是有限的。所以,这又是一个典型的伊朗人夸大和放大他们所做事情的策略。
纳德:是的。这在某种程度上将是一种镜像思考的练习。以下是我做这些事情的原因,不一定与他们的案例相同。但是我认为你可以从中提取的一些好处是,在你的对手目标受众中制造混乱和困惑,你的对手需要花一些时间来确定,像“他们真的做了这个吗?我的天哪。”我们都接受过事件响应任务的委托,头24、48小时是非常混乱的时期。你正在努力搞清楚这里到底发生了什么。入侵者做了什么。而如果入侵者在电报上告诉你他们做了什么,这可能会以很多方式导致你走弯路,导致你花时间去做一些可能不是最好的事情。作为事件响应人员,你最好是追随证据,而不是听从入侵者的话并追查他们提供的各种线索,因为这些线索可能不是你应该追查的正确方向。所以它制造混乱,制造恐慌,散布混乱。这可能是一个原因。另一个原因是要向国内传达信息。所以,你知道,很容易想到,嘿,他们这样做是为了在目标受众中制造混乱,即对手方。但他们也可能是想要向他们在德黑兰的上司传达信息:嘿,看我们多棒。看看我们在网上做的所有这些事情。他们的上司真的会去核查吗?他们是否真的精确定位了以色列南部的某个军事基地?噢,他们在电报上说是他们干的。听起来不错,伙计们。这是更多的预算。他们可以通过放大和夸大他们的真实影响力来实现多种效果的信息操作。
3.为什么所有朝鲜APT都被归因为“Lazarus”?
纳德:好吧,因为业内有这样一种趋势,人们会基于其他人发布的研究构建,而不去验证和校准自己的数据源或自己的分析,而是简单地以其他人的调查结果为面值和真理。所以随着时间的推移,一家公司发布了一份报告,他们称之为“Lazarus”。另一家公司基于此进行扩展,将自己的遥测数据添加到上面,也称之为“Lazarus”。由于每个公司都有些不同,拥有不同的遥测来源、不同的方法和协议,最终的结果是一个由不同部分随时间拼凑在一起的混合行为体,并不能代表真实的行为体。每个公司拥有不同的数据来源和方法完全没有问题,我们可以互相学习,但我们不应盲目相信所有人的调查结果并在此基础上构建自己的调查。因为我们走的越远,离真相就越远。
4.APT攻击紧贴地缘政治 | 情报需求
朱迪:我想我真的很享受追踪的过程,他们总在做创新事物,这总是对X国APT 来说,与当下地缘政治有关的很迷人。所以当看到他们针对某些事物迅速行动和调整情报需求以进入某些系统时,总是很有收获感的,我不会说有趣或很好玩,但将所有碎片拼在一起并跟踪他们是非常有成就感的。
5.“四大”
纳德:这告诉大家我做这一行做了很久。所以随着时间的推移,我做了一些俄罗斯方面,也做了一些X国方面,我做了很多伊朗方面。我喜欢伊朗,主要是因为,这可能不是一个很好的理由,但没有人真正在意它好几年了。所以人们总是会离我而去。回到我头发变灰的问题,你知道,我就是那个大喊大叫的老头子,叫你们都离开我的草坪。所以我只是喜欢一个人呆着。但是,回到你更大的问题,为什么选择APT。我大学主修政治学,不是计算机科学。事实上,我的数学和编程很差。所以我总是从政治学的角度来看这个问题。我进入这个领域太早,没有人真正注意到我不会编程或不是计算机科学专业的。所以在这方面我很幸运。所以我一直围绕的思维模式就是国家行为体。我一直无法跟上网络犯罪生态系统之间的交互联系。这对我来说一直是个巨大的挑战。我做过很多漏洞响应的案例,其中涉及勒索软件,我的思维很快就会跟丢线索。。。
往期精选
围观
热文
热文
如需入群交流的朋友,请后台发送“工作单位/公司+研究方向”和个人微信二维码(注意:1.需要进行身份验证 2.不能保证入群)
入群要求:
1.研究方向
A.威胁情报、安全运营、威胁狩猎、入侵检测/对抗、取证、数据安全、安全架构等
B.监管、CERT、智库研究员等
2.积极参与交流(每周至少参加一次交流)
原文始发于微信公众号(天御攻防实验室):抓APT的一点故事
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论