APT

APT思路小tips

aptbase

Posted by DC on December 12, 2018

APT 基础知识

之前参加了一个Live,自己也在做这方面的工作,汇总下学习到的知识要点

攻击事件甄别

主要是做 botnet APT malware worm 的定性

常规攻击

botnet

malware

APT:多指纹身份、包含RAT/malware/attack/download 等多环节的模块。APT攻击多用0/Nday

自己开发malware、定制化工具、持续性强

攻击手法(顺序技术难度由弱到强、攻击难度增加、收益增加、使用频率减少)
  1. 鱼叉式钓鱼邮件、即时通信软件
  2. 水坑攻击、钓鱼网站
  3. 1/Nday
  4. 0day
  5. 供应链
  6. 物理接触
apt分析

1.钻石模型(每一次EVENT)

攻击者、受害者、基础设施、攻击者能力

wKiom1mCrU_Acy2TAADL6hqikNc557.png-wh_50

2.APT事件分析生命周期

明确: 分析什么样的攻击事件、攻击事件属于什么类型、相关攻击事件的消息从哪些途径进行收集、分析所需辅助资源、

  • 方向:分析那个组织(明确方向)
  • 收集:已有信息基础上收集:样本–>特征–>匹配其他样本–》样本回收(需进行研判)
  • 研判:判断拓展内容关联性
  • 分析:分析单点模型整合事件组织产出情报
  • 扩展:分析数据进行二次扩展
  • 整理:数据整合
  • 传播:APT产出的是攻击活动情报,情报是用来支持决策的
  1. 价值数据点(持续更新)
  • 购买的域名或者主机(攻击者自有资产)—-基础设施
  • 入侵别人的网站、主机(不好判别攻击者身份)—-基础设施

  1. APT分析的两种方法

    攻击者能力切入

    • 受害者信息
    • 基础设置列表
    • 使用的技术
    • 样本的一些特征
    • 匹配到的其他样本

    通过攻击者“基础设施”进行切入

    • 与该基础设施有联系的受害者
    • 该基础设施下发\上传\命令控制等行为
    • 关联到其他基础设施

  2. 基于能力分析

    • ​ 样本方面: 恶意行为、驻留、子进程创建、释放文件、网络请求
    • ​ 关注样本:携带的信息、加解密、攻击技术、对抗技术方面特征 (有助于其他数据跟进)

  3. 基于攻击设施分析 (C2)

    • 与该基础设施有联系的受害者
    • 与该基础设施下发、上传、命令控制等行为
    • 关联到其他基础设施

总结:通过单一事件的数据上下文关联,梳理出事件网(VT graph)事件完整度

IOC(Indicators-of-Compromise)
  • hash
  • ip
  • domain
  • 网络特征
  • 主机特征(编译系统环境、证书、编译器、证书、pdb、代码资源路径)
  • 工具
  • TTPS

对于IOC

价值逐渐增大

  • Hash Values
  • IP Address
  • Domain Names
  • Network/Host Artifacts
  • Tools (APT28 DealersChoice\Xagent 工具)
  • TTPs (攻击者攻击行为、战术层次描述)

组织点判断

  • 基础设施下样本判断、
  • 域名IP解析断层
TTP 提取
  1. ttp 包含 战术 +过程(技术实现)
  2. TTP 描述

XXXAPT 组织主要针对XXX机构,XXX部门,XXX人群,主要以邮件为入口点,习惯采用伪装文档来突破防御边界,采用XXX的C2 架构,释放XXX恶意软件家族来主流控制,来达到XXX的利益

(利于传播,不可机读,无法落地)

  1. 特征矩阵:

​ 基础设施特征:C2、网络特征、主机特征(样本)

​ 技术特征:加解密、攻击技术、对抗技术

​ 战略特征:目标群体、攻击入口、载荷投递方式等

样本中携带的信息:开发打包工具的语言、样本中携带的字符串语言、样本生成的时间、签名时间、PDB调试文件路径、源代码路径、诱惑文档的内容、文档拥有者的最后一个修改者

技术特征:

​ 加解密:字符串、函数名、释放Payload

​ 攻击技术:使用工具、运行环境监测、持久性部署、漏洞利用

​ C&C: C2所在区域,C2获取方式、C2通信方式、C2指令特点

​ 对抗技术:反杀软、反虚拟机、行为隐藏

战略/战术:目标群体、信息收集方式、攻击入口、载荷投递方式

  1. 事件链图:Kill chain 杀伤链

    img

    入侵上下文 这个 可以形成 mk&attck 模型那样进行数据存储,之前的文章有一些这样的处理方式

以下为学到哪里写到哪里的小知识点

  1. 移动网络钓鱼方法(部分适用于PC网络,检测从流量段也可信)
    1. 鱼叉式网络钓鱼(针对性的收集信息,制作可信电子邮件)
    2. Whaling(捕鲸)针对高管的针对性攻击(手法多种)
    3. Smishing(SMS钓鱼:就是SMS网络短信息,信息中藏诱骗链接或诱导到语音邮箱式的钓鱼–留号码/或邮箱让你打)
    4. Pharming(DNS欺骗,劫持DNS或者URL重定向)
    5. Content-injection phishing(内容注入,类似于水坑,进行站点误导内容欺骗)
    6. Man-in-the-middle phishing(社交网站或其他银行类型类型,传递信息事收集信息,不是特有实例)
    7. search engine phishing(通过制作站点,进行搜索引擎钓鱼)
CATALOG
    FEATURED TAGS
    honeypot_event RCE VUL APT tool
    FRIENDS