2021年2月

隋唐之时,

四明山下,

瓦岗群雄轮番上阵,对隋唐第二勇士宇文成都发起了“车轮战”。

虽然单打独斗都不是宇文成都的对手,但在长时间的消耗战下,宇文成都体力不支,败给了排名第三的裴元庆。

在网络安全领域,也有一个长期令安全人员感到难缠的对手,它就是APT攻击(高级可持续威胁攻击)。

持续时间长、隐蔽性强、攻击手段复杂、破化力大……依赖单一的网络安全产品或手段,很难将APT攻击一招降伏,于是,“车轮战”显现出了威力。

1.jpg

第一回合 安全运营发现APT入侵“足迹”

2019年5月,一封邮件引起了企业A的警觉。

为了达到一些不可告人的秘密,黑客组织向企业A的员工(目标1主机的用户)邮箱投递鱼叉邮件。

鱼叉邮件往往是APT渗透的“尖兵”。

出于安全性的顾虑,该员工并未打开不明来源邮件附件,所幸“逃过一劫。”经过QAX威胁情报高对抗云沙箱(文件深度分析平台)分析后发现,该附件携带了APT组织海莲花所使用的特种木马。

尽管没有中招,但这封鱼叉邮件还是引起了企业A的警觉,于是该企业针对性部署了QAX态势感知与安全运营平台(简称NGSOC),并由QAX提供常态化安全运营服务。

QAX安全运营服务人员在日常告警排查过程中,发现企业A的NGSOC疑似检测到APT攻击。对此,QAX迅速启动了应急响应机制,为客户提供失陷区域排查以及攻击溯源服务。

由于告警发生时间较早,溯源分析面临较大的困难。但没过多久,QAX安全运营服务人员再次发现NGSOC平台产生APT攻击告警。在取得企业A同意后,QAX迅速派出一线安全运营服务团队进驻客户现场,开始了查杀APT的“车轮战”。

第二回合 威胁情报检测让海莲花组织显形

由于APT攻击往往十分隐蔽,并且早在2019年5月份就出现了APT攻击的痕迹,此次告警很可能并不是APT攻击的开端,因此应急响应人员决定从历史日志入手,对近一年的终端日志进行溯源分析,希望能够从中发现APT组织留下的蛛丝马迹。

2.jpg

不出意料,安服人员通过NGSOC有了重大发现!

通过日志溯源分析发现,早在2019年10月,内网终端目标2访问过疑似黑客组织所使用的C2(Command & Control,命令与控制)服务器,并成功登录业务服务主机目标3。威胁情报显示,该C2服务器域名和IP地址均带有海莲花组织标签。

据此,安服人员得出了两个结论:

第一,发动此次攻击的APT组织应该是海莲花组织;

第二,海莲花组织最先入侵了目标2,并以此为跳板,控制了目标3。

但由于目标3主机并没有连接互联网,因此海莲花组织无法直接操控目标3或者将窃取的信息直接回传至自己的C2服务器上。因此,海莲花组织极有可能利用目标2作为中转站,开展远程操作以及信息窃密工作。

果不其然,安服人员在目标2的主机日志中发现,海莲花组织开启了目标2主机的数据包转发功能,能够操控目标3并将从目标3窃取的信息转发到自己的服务器上。

3.jpg

此时,“车轮战”的第二个上场选手——威胁情报,圆满完成任务。

第三回合 NGSOC流量回溯完成APT扩散“流调”

为了详细还原海莲花组织在控制目标3后,到底做了什么事情,现场安服团队决定进行流量回溯,确定目标3经由目标2与黑客组织的信息回传情况以及目标3针对其他终端的访问和扩散传播情况。

这次排查很快就有了眉目。

经过NGSOC平台流量回溯后发现,在海莲花组织控制目标3后的大约半个小时左右,发起了一个内网网段的扫描探测,以及一个网段的MySQL扫描攻击。此举的主要目的是以目标3为跳板,再找出内网其它存在漏洞(包括开放了高危端口)的终端和数据库,实现内网的横向扩散。

显然,海莲花组织并没有满足于控制两台终端,它们希望控制更多内网终端和服务器,以获取更多有价值的敏感信息。

恰在此时,现场安服人员从NGSOC告警信息中获取了两条重要线索:

2019年12月开始,终端目标4和终端目标5曾频繁访问海莲花组织C2服务器,数量和频率都远超过目标2和目标3两台失陷终端。因此,安服团队随即针对目标4和目标5开展重点排查。

4.jpg

图 目标5相关告警

登录日志显示,目标3曾登录过目标4,目标4则登录了目标5,因此安服团队得出了一条海莲花组织在内网的扩散路线:

海莲花组织在通过鱼叉邮件感染目标1无果后,绕过了之前部署的某厂商边界防护手段,入侵了目标2并以该终端为跳板,依次向目标3、目标4和目标5横向扩散。

5.jpg

由于目标5是该机构开发重要系统的主机,能够频繁访问公司敏感系统和代码服务器,能够获取大量敏感信息。 最终目标5在被海莲花组织控制之后,成为了其获取重要系统敏感信息的重要“据点”。

在此番较量中,NGSOC平台的流量回溯,为还原APT攻击的“入侵路径”,立下了汗马功劳。

第四回合 文件深度分析解密攻击手法

接下来最重要的就是从这四台失陷终端中,找到木马文件并展开深度分析,通过木马文件的功能判断海莲花组织的攻击意图和恶意行为。

由于目标5的特殊性,安服团队决定把终端5作为切入点,重点开展排查。

但令人稍感意外的是,在作为海莲花组织重要据点的目标5上,并没有发现木马文件。

日志分析显示,或许是出于隐蔽性的考虑,海莲花植入的木马文件已被远程命令删除,同时木马运行的相关日志也被一并删除。

不过,这样的场景,他们已经经历过太多次。考虑到目标4频繁与海莲花组织进行远程通信,安服团队猜测,海莲花组织应该是以目标4作为跳板,窃取来自目标5的敏感信息,因此他们立即把重点放在了目标3和目标4上,果然收获颇丰。

在对目标3主机重点排查时,安服团队发现了3个木马文件,编号为木马1、木马2和木马3。QAX文件深度分析平台(威胁情报中心云沙箱)分析显示,这三个木马文件均具有OceanLotus(海莲花)标签,即被标记为海莲花组织使用的特种木马。

其中,木马1的主要功能便是让目标3与目标2进行通信,以便海莲花组织对目标3进行远程控制;木马2和木马3的主要功能都是窃密。

6.jpg

图 云沙箱分析结果

在对目标4主机进行排查时,安服团队在某个文件目录下发现了恶意木马4。为了实现该木马的持久化利用,不被杀毒软件查杀,海莲花组织将木马4与某个合法应用进行了捆绑加载和运行,这也就是业界常说的“白利用”方式。

QAX文件深度分析平台 分析显示,木马4在运行后,便会访问office.xxx.org域名实现远程控制电脑。与威胁情报中心比对显示,木马4与其访问的域名均带有海莲花组织的标签。

至此,海莲花的攻击行为被彻底揭穿和中止。

案例总结

7.jpg

图 海莲花组织攻击全景图

早在2019年11月,企业A在NGSOC平台上发现相关APT告警,但一直未能获取木马样本,难以实现精确查杀。

没过多久, NGSOC再次检测到大量APT告警攻击,QAX应急响应专家迅速抵达客户现场,通过企业A现有环境,协同QAX安全运营专家、安全能力中心威胁情报专家、QAX红雨滴团队等最终确定该企业A遭受海莲花(OceanLotus)又称APT-32、APT-C-00,APT组织攻击。

通过溯源分析,本次海莲花组织攻击集中爆发于2019年10月,攻击者利用目标2、目标3和目标4,等设备作为跳板机对客户内网机器进行渗透、收集敏感信息最终获取重要系统权限,造成数据被窃取。

在这次针对海莲花组织APT攻击的追踪和围剿中,NGSOC、安全运营、威胁情报、文件深度分析平台(威胁情报中心云沙箱)等等诸多武器,都先后派上了用场,加上经验丰富的QAX安全专家,以及强大的数据分析能力,最终再次挫败了一次隐秘性极高的海莲花攻击活动。

这也应了一句老话,“一个好汉三个帮”,只有协同联动,将人、数据、工具和流程有机结合到一起,常态化持续运营,才能构建出“以我为主”的积极防御体系。