安天对这一系列针对中国教育、科研、军事等领域的攻击行动,进行了近四年时间的持续监测、捕获、跟踪、分析,并发布本报告。在安天过去多次的会议报告中如《APT的线索、关联与样本集度量》、《A2PT与“准APT”事件中的攻击武器》中,曾对其 “第一攻击波”做过较为详细的介绍,称之为轻量级的APT攻击,但令人扼腕的是,这种轻量级的攻击,对中国的信息系统依然形成了有效侵害。而从第二攻击波中,可以看到其攻击能力水平的快速成长,以及带来的更全面的威胁。
白象一代攻击特点
2012年——2013年,安天陆续捕获了来自白象组织的多次载荷投放,此后依托关联信息同源分析,找到了数百个样本,这些样本多数投放的目标是巴基斯坦,少数则针对中国的高等院校和其他机构。随后安天逐步对其进行了披露,并在2014年完成报告《白象的舞步——HangOver攻击事件回顾及部分样本分析》。
为区分两个不同的攻击波,安天将2012——2013年高度活跃的这组攻击称为 “白象一代”。“白象一代”投放了至少近千个不同HASH的PE样本,使用了超过500个C&C域名地址;其开发人员较多,开发团队技能混杂,样本使用了VC、VB、。net、Autoit等多种环境开发编译;同时其未使用复杂的加密算法,也未发现使用0day漏洞和1day的漏洞,而更多的是采用被部分中国安全研究者称为“乱扔EXE”的简易社会工程学——鱼叉式网络钓鱼攻击。PE免杀处理是该攻击组织所使用的主要技巧,这也是使这组攻击中的PE载荷数量很大的原因之一。根据以上情况安天把这组攻击划分为轻量级APT攻击,即缺乏足够的0day储备,很少使用0day;二进制载荷编码质量非常低下;严重依赖网络投放;没有采用必要的Rootkit手段;缺少必要的持久化能力;主要针对Windows系统平台作业的APT。
白象二代攻击特点
2015年年底,安天又发现一组来自“西南方向”的攻击在进一步活跃,主要目标依然是中国和巴基斯坦,通过安天监控预警体系分析可以发现,中国的受攻击者主要为教育、军事、科研等领域。而且此次攻击已摆脱了“白象一代”杂乱无章的攻击手法,整体攻击行动显得更加“正规化”和“流程化”,安天将这组攻击称为“白象二代”。
“白象二代”普遍使用了具有极高社工构造技巧的鱼叉式钓鱼邮件进行定向投放,至少使用了CVE-2014-4114和CVE-2015-1641等三个漏洞;其在传播层上不再单纯采用附件而转为下载链接、部分漏洞利用采取了反检测技术对抗;其相关载荷的HASH数量则明显减少,其中使用了通过Autoit脚本语言和疑似由商业攻击平台MSF生成的ShellCode;同时其初步具备了更为清晰的远程控制的指令体系。从整体上来看,“白象二代”相比“白象一代”的技术手段更为高级,其攻击行动在整体性和技术能力上的提升,可能带来攻击成功率上的提升。而其采用的更加暴力和野蛮的投放方式,使其攻击次数和影响范围远远比“白象一代”更大。”
APT防御需要信息化基本环节和安全能力的共同完善在过去数年间,中国的信息系统和用户遭遇了来自多方的网络入侵的持续考验,从安天针对“白象”的分析可以看到,来自地缘利益竞合国家与地区的网络攻击,将是中国信息化的重大风险和挑战。同时,“白象”系列攻击也反映出了我国在网络安全防御上的种种不足。
首先可以看到中国在信息化发展上的不足,在“白象二代”组织所投放的目标电子邮箱当中,其中很大比例是免费个人邮箱,而国内免费信箱的安全状况已高度不容乐观。在启动信息高速公路建设二十年后,国内依然没有对官方机构和政务人员实现有效的安全电子邮件服务的覆盖。
其次,还能看到中国大量基础的信息安全环节和产品能力还不到位,“白象一代”曾被安天定性为轻量级APT攻击,但却成功入侵了中国的高等学府。“白象二代”组织尽管在手法上有很大提高,但亦未见其具备0day储备,其所使用的三个漏洞,在为“白象组织”使用时,微软已经将其修补,而其中两个并未经过免杀处理。而类似这样的攻击依然能够大行其道,也是当前补丁、系统加固等基础安全环节不到位、产品能力不足的体现。
反APT是一种综合的体系较量,要求对抗攻击者在人员、机构、装备、工程体系方面的综合投入,是一场成本较量。要求对抗攻击者具有坚定、持续的攻击意志,既要有曝光对手的勇锐,也要有戍边十载、不为人知的意志与沉稳。说到底大国防御力,由设计所引导、以产业为基础、与投入相辅相成,但最终其真实水平,要在与攻击者和窥探者的真实对垒中来检验。