APT28 攻击时间线

APT28 攻击时间线

Fancy Bear（APT28（Mandiant命名）)，Pawn Storm，Sofacy Group（卡巴斯基命名），Sednit，Tsar Team（火眼命名）以及STRONTIUM（微软命名），被认为是俄罗斯的网络间谍组织，与俄罗斯军事情报机构GRU有关。2018年，美国特别顾问在起诉书中将Fancy Bear确定为两个单位Unit 26165和Unit 74455。
Fancy Bear自2000年代中期以来就开始运作，与俄罗斯的国家利益是一致的。该组织的目标是政府，军事和安全组织，特别是与高加索和北约结盟的国家。Fancy Bear被认为是对德国议会，法国电视台TV5Monde，白宫，北约，民主党全国委员会，欧洲安全与合作组织以及法国总统候选人伊曼纽尔（Emmanuel）运动的网络攻击的罪魁祸首。

攻击时间表
Fancy Bear的目标包括东欧各国政府和军队、格鲁吉亚和高加索地区、乌克兰、北约等安全相关组织，以及美国国防承包商 Academi（以前称为BlackWater）、科学应用国际公司（SAIC）、波音公司、洛克希德马丁公司，雷声公司，Fancy Bear还攻击了俄罗斯联邦的政治敌人克里姆林宫的公民，包括前石油大亨米哈伊尔·霍多尔科夫斯基（Mikhail Khodorkovsky）和Pussy Riot乐队的玛丽亚·阿列克希纳（Maria Alekhina）。

下列时间表将APT28追溯到2008年，让我们快速了解了该组织在过去十年中的规模和组织。

大多数新的攻击发生在2018年至2019年的时间范围内。因此，分析它们在这样的时间范围内的演变方式以了解其变化是非常有意义的。APT28在许多领域都发生了变化，但是今天主要关注以下三个主要领域：武器化，交付，安装。

武器化
武器化是PRE-ATT＆CK技术，是建立和（或）准备复杂攻击前所需的操作。在ATT＆CK框架中武器化不包括情报搜集，信息收集，非正式测试等。

观察武器化的时间表，结果发现有三个主要的部分几乎没有共同的特点。
例如，从2017年到2018年初，APT28使用了特定技术，例如：T1251，T1329，T1336和T1319。这些技术主要侧重于外部（T1319除外）技能。实际上，获得第三方基础设施或安装和配置硬件网络系统以及使用第三方混淆库，这些肯定会显示出人力资源枯竭的弊端或有明显的虚假意图。
另一方面，在2018年初至2018年中，武器装备链发生了很大变化，转向T1314，T1322和T1328。这些技术实施表现出该团队从外部专业资源和硬件本地化技术转移到内部专业资源（实际上，他们开始购买自己的域名进行传播和C2）。
从2018年10月到2019年3月下旬，APT28引入了一种完全不同的武器化技术：T1345。这并不是先前观察到的技术的直接结果，实际上我们可能会认为它们改进了或分支出了内部开发团队。在过去的几年中，没有观察到那些自我开发的功能（由T1345实现）且没有重大的变化。如今我们可能会认为他们招募了一个专门的开发团队，或者自身分支出了另一个专业开发团队。

交付
交付是攻击者将初始内容部署到受害者系统的方式。一方面，交付载体通常是网络安全分析师可以观察到的唯一（或第一个）工件（例如：恶意软件，链接或漏洞利用工具包的使用情况）。但是，分析人员通常无法跟踪每个攻击阶段，他们只能观察到其中的一小部分，而且通常这个“部分”就是“交付的工件”。跟踪交付方面的变化将有助于网络安全分析人员通过比较编码，样式和技术的相似性和差异来建立有关攻击者的概念。
事实上，交付阶段是区分威胁因素的一个特殊关键点，这些因素通常倾向于随着时间的推移而达到专业化的技术能力，而不是将他们的能力转移到新的交付载体上。下面的时间线显示了在分析的时间范围内交付是如何变化的。

在上一部分（武器化部分）中，有三个主要的部分，而在交付部分中，根据技术T1193：带有恶意附件的鱼叉式钓鱼，这一切看起来都相当一致。但是，如果我们专注于2018年初，看起来APT28使用的是一种更为综合的情报技术（T1376），它专注于关于人的情报，以获取宝贵的信息，用于提供精心设计的电子邮件活动（与外交有关的政府机构）。在交付阶段，通过利用漏洞“保存并运行”所需位置的有效载荷来实现相当复杂的滴管技术。APT28最易攻击的漏洞跟踪如下：
CVE-2017-0144 , CVE-2013-3897, CVE-2014-1776, CVE-2012-0158, CVE-2015-5119, CVE-2013-3906, CVE-2015-7645, CVE-2015-2387, CVE-2010-3333, CVE-2015-1641, CVE-2013-1347, CVE-2015-3043, CVE-2015-1642, CVE-2015-2590, CVE-2015-1701, CVE-2015-4902, CVE-2017-0262, CVE-2017-0263
CVE-2014-4076, CVE-2014-0515

使用最多的漏洞主要集中在：“ Windows”，“ Adobe Flash”和“ Oracle”技术。在过去的几个月中，可以观察到Microsoft Office漏洞的利用快速增加，以减少第二阶段的有效负载。这完全符合新趋势和当前的感染链。

安装
尽管可以通过许多不同的方式来保证系统的持久性，例如通过定期利用RCE漏洞，但通常将恶意软件攻击的持久性称为：“安装”。此外，安装过程在感染链中起着关键作用。观察安装KPI对于理解恶意软件背后的开发团队将是有意义的，因为开发人员团队不喜欢随着时间的推移更改安装过程，因为他们过去一直专注于新功能和（或）改进现有模块，而不是更改安装框架。以下时间轴显示了APT28人员在安装过程中如何随时间变化。

观察到的时间范围集中在过去一年。首先观察一下，在2018年初，最常用的技术是：T1055，T1045，T1064，T1158和T1037。大多数使用的技术都属于“脚本”领域。换句话说，最有影响力的功能是基于登录脚本和JS / WB scripintg。从2018年年中开始，他们主要使用PowerShell脚本语言（T1086和T1140），在过去两年中得到广泛应用，到2019年初，先进技术有了发展，如：T1221、T1204、T1045、T1047、T1112，这突出了一个相当有趣的新开发技能集。

总结
与许多小组一样，APT28也在不断发展。团队的发展正在改变许多TTP（战术，技术和过程），大多数追踪的进化指标发生在过去的一两年中，显示出在开发，混淆和逃避技术方面的快速技能增强。

原文链接：https://marcoramilli.com/2019/12/05/apt28-attacks-evolution/

相关推荐: 记录一次绕过杀软的过程

一、背景 在做红队渗透时，经常会遇到目标机安装了各种杀毒软件，诸如360、腾讯管家之类的。导致生成的payload总是无法利用且被杀软强制删除的事情时常发生。这个东西真的很烦人，烦死了！只能停下来去研究一下杀软的原理以及如何绕过。在此记录下来做个备忘录。 二、…