APT29—觊觎全球情报的国家级黑客组织(中)

admin 2021年12月3日11:44:38评论242 views字数 7336阅读24分27秒阅读模式

 APT29—觊觎全球情报的国家级黑客组织(中)


本篇报告内容较长,将分为上、中、下三篇发布,本文为篇。

上篇可查看“APT29—觊觎全球情报的国家级黑客组织(上)”。


目录

一、概述上篇

二、背景

三、组织结构划分

四、攻击战术剖析

4.1 The Dukes系列

4.2 WellMess系列

4.3 Nobelium(SolarWinds)系列

五、关联归因(中篇)

5.1 The Dukes归因

5.1.1 受害者分析

5.1.2 特马编译时间时区分析

5.1.3 美国情报机构调查

5.2 WellMess归因

5.3 Nobelium归因

5.3.1 Sunburst与Kazaur的代码相似性

5.3.2 SilverFish调查报告

六、关键TTPS剖析(下篇)

6.1 落地环境检测

6.2 木马上线延时

6.3 网络C&C托管

6.4图像隐写术

6.5 应用协议加密算法

七、微步视角下的黑客画像

八、总结

九、附录

9.1 机构名词缩写解释

9.2 Domain

9.3 IP

9.4 Hash

十、参考链接


5

关联归因
攻击事件关联归因是 APT 组织追踪溯源过程中非常重要的环节,同时也是高级威胁事件调查的最终目的。当前复杂多变的网络战环境以及各安全机构情报信息差异问题均给归因工作提出挑战。所谓的归因只是站在独立立场尽可能客观地去描述攻击者背景。出于多数 APT 攻击事件中特有的国际政治局势下的攻击倾向,对被攻击目标国家的政治敌对(或外交不友好)国家尝试关联验证往往是比较有用的初步关联归因思路。此外,基于恶意代码指纹、网络资产特征、攻击 TTPS 等维度向已知背景组织挂靠是比较常见有效的归因办法。

在对 APT29 组织的研究过程中,其归因结论主要由美国、英国、加拿大、瑞士等国家情报机构以及其本土安全公司提供,然后其他媒体机构对归因结论进行传播扩散。在公开披露的调查报告中,因为信息涉密问题,多数归因证据进行了阉割脱敏处理。我们在研究梳理 APT29 关联归因证据过程中,过滤掉以媒体机构为主的主观性较强并且缺乏切实证据的新闻信息,侧重于总结第三方安全机构调查报告中披露的具有指向性的客观线索。

接下来,我们按照本文前部分划分的 APT29 组织结构分开梳理其关联归因证据。

5.1 The Dukes归因

The Dukes 系列是 APT29 最早的组织代号,早期的 Dukes 特马工具是在2013年由卡巴斯基安全团队作为未知类型攻击组件进行命名披露的。对于 The Dukes 系列的归因,我们重点探讨如何将 The Dukes 归因至俄罗斯政府背景黑客组织,而对于如何将 APT29 关联到俄罗斯联邦对外情报局(SVR)不在本文讨论范围内。

5.1.1 受害者分析

2013年2月,卡巴斯基在 “The MiniDuke Mystery: PDF 0-day Government Spy Assembler 0x29A Micro Backdoor” 一文中对 MiniDuke 木马组件以及其参与的攻击事件进行详细披露。该系列攻击活动中,被攻击目标主要为欧洲西部、中部国家。鱼叉网络攻击活动中投入使用的诱饵素材如下。
APT29—觊觎全球情报的国家级黑客组织(中)
图【20】 引自 Kaspersky,2013年 Dukes 攻击诱饵

在对 Dukes 2013年攻击活动的深入调查中,卡巴斯基团队通过分析大量 C&C 服务器日志,发现该系列攻击活动受害者包括分散在23个国家的59个独立机构,这些国家为:比利时、巴西、保加利亚、捷克共和国、格鲁吉亚、德国、匈牙利、爱尔兰、以色列、日本、拉脱维亚、黎巴嫩、立陶宛、黑山、葡萄牙、罗马尼亚、俄罗斯联邦、斯洛文尼亚、西班牙、土耳其、乌克兰、英国和美国。

2015年9月,F-Secure 安全公司在 “THE DUKES 7 YEARS OF RUSSIAN CYBERESPIONAGE” (译为:The Dukes 7年的俄罗斯网络间谍活动)报告中继续披露了格鲁吉亚、乌干达、波兰、哈萨克斯坦、吉尔吉斯斯坦、阿塞拜疆、乌兹别克斯坦等国家。

APT29—觊觎全球情报的国家级黑客组织(中)

图【21】 2008-2009年,Dukes 针对波兰、捷克、国美智库攻击活动中诱饵文件


此后的2016年夏季,美国总统大选期间,The Dukes 对美国民主党相关机构发起大规模间谍活动。

至此,我们梳理自2008年-2016年期间 The Dukes 的攻击目标包括几乎全体欧洲国家、部分美洲国家、少数亚非国家,其中主要目标国家为以美国为主的北约成员国和以乌克兰、格鲁吉亚、哈萨克斯坦、阿塞拜疆为代表的欧洲中部国家。结合当时世界各国的情报间谍能力、美俄之间的政治局势以及俄罗斯西南方向敏感的地缘政治关系,The Dukes 极有可能具有俄罗斯政府背景。

5.1.2 特马编译时间时区分析

F-Secure 披露报告中指出,根据 The Dukes 特马的编译时间戳,恶意软件的作者似乎主要在周一至周五 UTC+0 时间早上6点到下午4点之间工作。这相当于 UTC+3 时区(也称为莫斯科标准时间)上午9点到晚上7点之间的工作时间,包括莫斯科和圣彼得堡在内的俄罗斯西部大部分地区。此种基于特马编译时间进行的时区分析为 The Dukes 归因至俄罗斯提供了佐证。
APT29—觊觎全球情报的国家级黑客组织(中)
图【22】引自 F-Secure,UTC+3 时区中的莫斯科

5.1.3 美国情报机构调查

在2016年以干预美国总统大选为目的一系列间谍活动之后,美国国会组织各情报机构及第三方安全公司对该事件进行调查。后续披露的归因至俄罗斯政府的多个报告中,包含了美俄政治局势分析、国家机密泄密事件分析、网络供应商调查分析等。美方提供一系列的调查报告及事件相关人员证词,通过国际司法程序指控俄罗斯组织的这一系列间谍活动。在美方的披露信息中,关于 The Dukes 的确切归因证据并未展示。我们仅从美国参议院情报特别委员会披露的一份名为 “Report of the select committee on intelligence United States senate on Russian active measures campaigns and interference in the 2016 U.S. Election volume 1: Russian efforts against election infrastructure with additional views” 的调查报告中找到了一条疑似指向俄罗斯的归因证据。报告中提到:2016年8月18日FLASH(美国联邦安全家园联盟)间谍事件相关的 IP 地址提供了一些指向俄罗斯政府的迹象,尤其是 GRU(俄罗斯总参谋部情报部,简称“格鲁乌”)。

APT29—觊觎全球情报的国家级黑客组织(中)

图【23】引自美国参议院情报特别委员会调查报告 Report_Volume1.pdf,13/67页


上述关联点是当前可公开收集的可初步将 The Dukes 关联到俄罗斯的论据,虽然美国各情报部门并未披露过多调查细节,但结合国际政治局势及美方提供的众多国际司法指控证据来看,将 The Dukes 归因至俄罗斯应该是较为合理的。

5.2 WellMess归因

WellMess 系列木马在2018年由 JPCERT 作为一款独立的新型木马披露。2020年,在对英美在内的全球 COVID-19 疫苗研制机构的网络间谍活动中出现了 WellMess 的身影,英国、美国、加拿大三国的国家情报机构(NCSC、NSA、CISA、CSE)联合发文将该系列攻击事件归因至具有俄罗斯联邦对外情报局背景的 APT29,具体归因点并未披露。外界至今对于将 WellMess 归因至 APT29 仍然存在少许争议。

2020年8月,英国普华永道安全咨询公司在 “WellMess malware: analysis of its Command and Control (C2) server” 一文中给出了部分归因证据,即 WellMess 与已知 APT29 SeaDuke 组件在关联,二者均存在使用攻击失陷的第三方网站作为 C&C 服务器,以及二者在网络通信中使用的数据加密协议较为相似。我们重点注意通信数据加密协议,二者在 HTTP 协议通信过程中,均会使用 header 部分的 Cookie 字段来传输 C&C 指令,并且在 C&C 指令的加密逻辑上较为相似。

Table 3 加密协议比较:
木马组件
HTTP Header Cookie字段加密协议
SeaDuke
C&C指令与临时的前缀hash进行RC4加密,然后Base64编码,填充字符混淆
WellMess
C&C指令与硬编码密钥进行RC6加密,然后Base64编码,填充字符混淆
分析对比二者 HTTP 通信中传输的自定义加密数据表现如下,二者非常相似。
APT29—觊觎全球情报的国家级黑客组织(中)
图【24】 SeaDuke 与 WellMess 通信流量

综上,考虑到 SeaDuke 和 WellMess 特有的应用层数据加密协议以及使用 HTTP header 部分 Cookie 字段传输加密数据的共同偏好,可将该关联点作为将 WellMess 归因至 SeaDuke 所属的 APT29 的强关联论据。

5.3 Nobelium归因

划分 Nobelium 分支的一个标志性事件是2020年12月曝光的 Solarwinds 供应链攻击活动,该攻击活动的主要受害者为美国和欧洲国家的政府实体、科研、能源等机构。攻击活动发现之后,美方情报机构联合 FireEye、Volexity 等第三方安全公司对攻击活动进行深入调查分析。在已披露的调查报告中,其实并没有提供将 Solarwinds 事件归因至 APT29 的确切证据,各安全公司多采用私有命名对幕后攻击者进行归类,随后美方政府基于受害者立场下的国际政治局势因素将该事件归因至 APT29。准确来讲,是将 Solarwinds 供应链攻击事件定性为俄罗斯政府背景支持的间谍活动。

微步情报局在深入总结已有情报信息之后,梳理了两条可用于归因的佐证线索:卡巴斯基披露的 Sunburst 木马( Solarwinds 供应链攻击活动中植入的特马)与 Kazaur 木马(归属于俄罗斯背景的 Turla 组织的特马)的代码相似性,瑞士安全公司 Prodaft 在 SilverFish 组织的调查报告中攻击者背景分析。下面我们分别来论述:

5.3.1 Sunburst 与 Kazaur 的代码相似性

Kazuar 木马是 PaloAltoNetworks 安全公司在2017 年首次报道的 .NET 后门,并将该特马归因至 Turla APT 组织。两款木马在 C&C 上线时均采用特定休眠算法实现数周时间的上线延时。二者计算休眠时间算法高度相似,均遵循下述逻辑。
APT29—觊觎全球情报的国家级黑客组织(中)
Sunburst 木马计算 C&C 上线延时的休眠时间算法实现如下,延时12到14天。
APT29—觊觎全球情报的国家级黑客组织(中)
图【25】 Sunburst 休眠时间算法

Kazuar 木马计算 C&C 上线延时的休眠时间算法实现如下,延时14到28天。
APT29—觊觎全球情报的国家级黑客组织(中)
图【26】 Kazuar 休眠时间算法

其次,Sunburst 和 Kazuar 特马运行过程中都采用动态方式获取核心函数,通过计算遍历获取的 Windows API 名称摘要与硬编码值比较来判定,二者均采用自定义修改的 FNV-1a 哈希算法。FNV 哈希算法全名为 Fowler-Noll-Vo 算法,是以三位发明人 Glenn Fowler、Landon Curt Noll、Phong Vo的名字来命名的,最早在1991年提出。FNV-1a 摘要算法的标准实现逻辑如下,算法中包含两个初始向量:初始哈希种子 offset_basis ,迭代相乘的种子 FNV_prime。简单描述其逻辑为:从待计算字符串中取出指定步长数据,将取出数据先与初始哈希向量做异或运算,然后将结果与初始乘法种子做乘法运算,将计算结果赋值为初始哈希向量,然后取待计算字符串后续单位数据迭代上述过程,最终得到计算结果。
APT29—觊觎全球情报的国家级黑客组织(中)

Sunburst 和 Kazuar 在使用 FNV-1a 算法时均进行了相同的修改:增加一个新的硬编码 key,将标准 FNV-1a 计算后的哈希最后与该 key 进行异或运算。二者在代码层实现如下:

APT29—觊觎全球情报的国家级黑客组织(中)
图【27】 Sunburst改变后的FNV-1a算法
APT29—觊觎全球情报的国家级黑客组织(中)
图【28】 Kazuar 改变后的 FNV-1a 算法

在计算当前 PC 机器 UID 标识序列时,Sunburst 和 Kazuar 均采用相同算法(MD5+XOR),即通过既定字符串计算 MD5 摘要,然后将该散列值与出初始四字节逐字节异或得到最终 UID 序列。
Sunburst 中 UID 生成算法如下:
APT29—觊觎全球情报的国家级黑客组织(中)
图【29】 Sunburst GUID 生成算法

Kazuar 中 GUID 生成算法如下:
APT29—觊觎全球情报的国家级黑客组织(中)

图【30】Kazuar GUID 生成算法


客观来看待上述几种加密算法的相似性,其实并不能作为强有力的关联证据,尤其是 FNV-1a 算法的改编和 UID 生成算法,因为上述算法相对较为简单,而且对于标准算法的微调存在较大的偶然性。对此,卡巴斯基在披露文章中表述了一个客观的论证前提:基于已有的海量恶意样本库,满足上述算法指纹的样本主要出现在 Sunburst 和 Kazuar 特马中,特别是使用 NextDouble 函数的自定义休眠时间算法。

5.3.2 SilverFish 调查报告

SilverFish 是瑞士安全公司 Prodaft 对包括 Solarwinds 供应链攻击事件在内的一系列攻击活动的背后组织的私有命名。在 “SilverFish GroupThreat Actor Report” 一文中,Prodaft 公司 PTI 威胁情报团队基于成功反制木马主控端后台对 Solarwinds 供应链攻击活动中的受害者、攻击组织背景、主控端后台资产、攻击者操作日志等进行深入分析披露。该报告也是迄今为止将 Solarwinds 事件归因至俄罗斯政府的最直接论据来源。本节我们侧重于梳理总结报告中提及的 Solarwinds 事件归因点。

总结归因点之前,先回顾一下 Prodaft 成功渗入 Solarwinds 事件木马主控端后台的流程,这一步也是调查过程中最为关键的一步,虽然过程存在非常大的运气成分。Prodaft 团队调查之初,重点分析当时还处于存活状态的攻击者资产 “databasegalore.com”,该域名解析至5.252.177.21,在该主机上的2304端口存在 PowerMTA 邮件服务。同时通过 URL 路径暴力访问发现存在名为 “example.php” 的资源文件,基于2304端口的 PowerMTA 服务和 IP:2304/example.php 特征进行网络空间搜索并排除掉无关站点,发现新的攻击者资产81.4.122.203,继续进行同C段的子网调查,分析人员发现81.4.122.101站点存在疑似木马控制端登录页面信息,爆破登录该主机后,经分析验证为Solarwinds 事件控制端后台。其流程图绘制如下:

APT29—觊觎全球情报的国家级黑客组织(中)
图【31】Prodaft 渗入 Solarwinds 事件木马主控端后台的流程

接下来我们将逐一梳理该调查报告中将 Solarwinds 事件归因至俄罗斯黑客组织的细节:

5.3.2.1 C&C 后台源代码中携带的开发者 ID

在 C&C 后台的 PHP 源代码中静态包含14个人的昵称和 ID,多数 ID 曾在俄语地下论团中活跃。该线索可以初步证明攻击者拥有浏览俄语黑客团队的习惯。
APT29—觊觎全球情报的国家级黑客组织(中)
图【32】摘自 Prodaft 报告,含黑客 ID 的 PHP 代码

5.3.2.2 C&C 后台关于中马机器的俄语信息备注

C&C 后台面板中上线机器一栏均存在名为  “Comment” 的信息单元格,此位置用于后台操作人员填写关于受控机器信息,当前已存在的备注信息多采用俄语俚语或白话,如 “dno”、“pidori”、“poeben”、“poebotina”、“psihi”、“hernya”、“xyeta”、“gavno”。该线索说明 C&C 后台操作人员具有俄语背景。
APT29—觊觎全球情报的国家级黑客组织(中)
图【33】摘自 Prodaft 报告,Comment 中的俄语俚语描述信息

5.3.2.3 流量重定向代码过滤 CIS 独联体国家受害者

基于当前 C&C 后台拓线的其他失陷类型 C&C 站点上存在用于流量重定向的 PHP 代码,该代码会过滤掉包含阿塞拜疆、亚美尼亚、白俄罗斯、哈萨克斯坦、吉尔吉斯斯坦、摩尔多瓦、俄罗斯、塔吉克斯坦、土库曼斯坦、乌兹别克斯坦、乌克兰、格鲁吉亚在内的 CIS 独联体国家的受害者机器回连流量,其中还设置了俄语、乌克兰语等在内的语种过滤条件,对于美国和加拿大不予过滤。代码中使用注释语句为俄语。考虑到 Solarwinds 供应链攻击事件受害者遍布全球,攻击者在受害者回连流量重定向代码中主动过滤掉非目标的俄语系国家,该行为可作为将 Solarwinds 供应链攻击事件归因至俄罗斯背景黑客组织的强归因论据。
APT29—觊觎全球情报的国家级黑客组织(中)

图【34】摘自 Prodaft 报告,重定向流量过滤代码

5.3.2.4 C&C 后台操作行为活跃时间区段

基于 C&C 后台操作日志信息,其操作人员的活跃时间集中在周一至周五08:00到20:00(UTC)之间,按照一般的工作时间可大致推测攻击者所处地理位置为0时区至东4区之间,这一点与前文中 The Dukes 归因部分提到的时区推测基本吻合,可作为将 Solarwinds 归因至俄罗斯政府黑客的佐证。

APT29—觊觎全球情报的国家级黑客组织(中)
图【35】摘自 Prodaft 报告,C&C 后台操作行为活跃时间区段


- END -


中篇报告已结束,但精彩还在继续,敬请期待下篇。



关于微步在线研究响应团队

微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。


微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级 URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级 APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的WannaCry 勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox 定向攻击全国上百家手机行业相关企业的事件。



内容转载与引用



1. 内容转载,请微信后台留言:转载+转载平台

2. 内容引用,请注明出处:以上内容引自公众号“微步在线研究响应中心”


 点个 “在看”,再走哟 ~

本文始发于微信公众号(微步在线研究响应中心):APT29—觊觎全球情报的国家级黑客组织(中)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月3日11:44:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   APT29—觊觎全球情报的国家级黑客组织(中)http://cn-sec.com/archives/454278.html

发表评论

匿名网友 填写信息