对于不同APT组织,往往会采用不同的攻击手段方法,例如毒云藤,从网上纰漏信息可以了解到其会从用于控制和分发攻击载荷的控制域名下载一个名为tiny1detvghrt.tmp的恶意payload。通过ZoomEye或fofa等空间搜索引擎,搜索相应内容,就有可能搜索到组织相应的payload下载机器,然后再对其IP的归属,历史端口,服务等进一步分析其活动时间等信息
APT组织分辨手段对于APT组织一般会从其攻击入口、编码方式、加密方式、恶意工具、漏洞利用、IOC、任务活动这几个方面去分辨
传统手段
恶意样本捕获
静态分析:
文件名、文件大小、时间截、壳信息、编译器信息、入口点、代码段大小、病毒名、SSDEEP
动态分析:衍生文件名、衍生文件路径、注册表项及键值、域名、IP、URL、IP地理位置
新兴手段
机器学习:
针对于数据训练,通过多维度数据比对。建立数据模型
组织名称 XXX
攻击目标 ***、能源
攻击国家 中国
攻击目的 窃取信息、敏感资料、勒索
攻击时间 时间周期
攻击方式 鱼叉攻击→投放ps脚本→RAT
诱饵类型 doc、lnk等
编写语言 C、C#、VB、powershell等
武器库 CVE-xxx-xxx
APT防御
目前业界比较流行的防御APT思路有三种:
1、采用高级检测技术和关联数据分析来发现APT行为,典型的公司是FireEye;
2、采用数据加密和数据防泄密(DLP)来防止敏感数据外泄,典型的公司是赛门铁克;
3、采用身份认证和用户权限管理技术,严格管控内网对核心数据和业务的访问,典型的公司是RSA。
而一般企业***的防御方式就是提高人员的安全意识,因为APT攻击入口点往往是针对于特定人员构造的攻击链,其次就是各类安全措施了。
身为蓝队,我们的主要关注点在于攻击捕获及目标匹配。
1、从日常对我们发起扫描的主机进行反制,进而从肉鸡上查找恶意程序、远控木马等,然后沙箱分析后对IOC和特征进行目标匹配
2、从防病毒或邮件网关上提取恶意程序、文档,进而分析其IOC和特征进行目标匹配
3、高交互蜜罐捕获,在高交互蜜罐中往往可能有攻击者留下的恶意程序,可以进一步提取分析,最后匹配
4、跟踪对能源行业、电力行业有攻击行为的APT组织,搜集其攻击手段及样本,对内进行监测匹配,发现攻击后可快速比对
对于在日常的蓝队工作中,分析APT组织的攻击手段和过程有助于我们更好的防御其攻击,同时可以在其攻击路径节点上,针对性部署反制手段,帮助我们更好的开展溯源反制工作。最终目的还是挖掘其攻击目的及目标范围,争取及时发现APT攻击