白象的舞步——来自南亚次大陆的网络攻击

安天实验室安全研究与应急处理中心(Antiy CERT)

报告初稿完成时间:2016年07月1日17时
首次发布时间:2016年07月10日 10时
本版本更新时间:2016年07月18日 15时

 

PDF报告下载

在过去的四年中,安天的工程师们关注到了中国的机构和用户反复遭遇来自“西南方向”的网络入侵尝试。这些攻击虽进行了一些掩盖和伪装,我们依然可以将其推理回原点——来自南亚次大陆的某个国家。尽管我们积极地提醒和协助我们的客户进行改进防护,并谨慎而有限地披露信息、给予警告,但这种攻击并未偃旗息鼓,恰恰相反,其却以更高的能力卷土重来。

安天本报告披露其中两组高频度攻击事件,尽管我们尚未最终确定这两个攻击波的内在关联,但可以确定的是其具有相似的目的和同样的国家背景,我们将其两组攻击统称为——“白象行动”

1.1         第一攻击波的概况

2012~2013年,安天陆续捕获了来自白组织的多次载荷投放,此后依托关联信息同源分析,找到了数百个样本,这些样本多数投放的目标是巴基斯坦,少数则针对中国的高等院校和其他机构。20137月,安全厂商Norman所发布的报告,将这一攻击称为HangOver [1]

安天技术负责人在20144月在《中国计算机学会通讯》发表的《反病毒方法的现状、挑战与改进》 [2] 一文中,披露了安天捕获到的该组织针对中国的攻击事件:

 “从20123月起,我们已经陆续捕获了该事件的一些相关的样本。而这些样本对应的网络事件非常稀少,呈现出高度定向的特点。”安天在文章中披露了其中6个相关的样本HASH和被攻击的目标——中国的两所高等院校。在2014年的中国互联网安全大会上,安天在题为《APT事件样本集的度量 [3] 的公开报告中,对这个事件做了首次全面披露。20148月,安天完成了报告《白象的舞步——HangOver攻击事件回顾及部分样本分析》 [4] ,并将这一攻击组织中文命名为 “白象”。

为区分两个不同的攻击波,我们将2012~2013年高度活跃的这组攻击,在本报告中称之为“白象一代”。“白象一代”投放了至少近千个不同HASHPE样本,使用了超过500C&C域名地址;其开发人员较多,开发团队技能混杂,样本使用了VCVB.netAutoit等多种环境开发编译;同时其未使用复杂的加密算法,也未发现使用0day漏洞和1day的漏洞,而更多的是采用被部分中国安全研究者称为“乱扔EXE”的简易社会工程学——鱼叉式网络钓鱼攻击。PE免杀处理是该攻击组织所使用的主要技巧,这也是使这组攻击中的PE载荷数量很大的原因之一。在2015616日的中国反病毒大会上,安天做了题为《A2PT与“准APT”事件中的攻击武器》 [5] 的技术报告,并把这组攻击划分为轻量级APT攻击。

1.2         第二攻击波的概况

在第一攻击波发生后,具有相关基因特点的攻击载荷开始减少,2014年活跃度开始明显下降。直到2015年年底,安天又发现一组来自“西南方向”的攻击进一步活跃,通过持续跟踪发现本次行动的攻击主要目标依然为中国和巴基斯坦,通过安天监控预警体系分析发现,中国的受攻击者主要为教育、军事、科研等领域。

第二攻击波的行动摆脱了“白象一代”杂乱无章的攻击手法,整体攻击行动显得更加“正规化”和“流程化”。第二攻击波普遍使用了具有极高社工构造技巧的鱼叉式钓鱼邮件进行定向投放,至少使用了CVE-2014-4114CVE-2015-1641等三个漏洞;其在传播层上不再单纯采用附件而转为下载链接、部分漏洞利用采取了反检测技术对抗;其相关载荷的HASH数量则明显减少,其中使用了通过Autoit脚本语言和疑似由商业攻击平台MSF生成的ShellCode;同时其初步具备了更为清晰的远程控制的指令体系。

我们将这组攻击称为“白象二代”,我们尚无证据表明“白象一代”和“白象二代”组织间存在人员交叉。从整体上来看,“白象二代”相比“白象一代”的技术手段更为高级,其攻击行动在整体性和技术能力上的提升,可能带来攻击成功率上的提升。而其采用的更加暴力和野蛮的投放方式,使其攻击次数和影响范围远远比“白象一代”更大。”

“白象二代”的技术手法相比“白象一代”有质的提升,其更符合某些研究者对于APT攻击的“技术定义”, 但安天始终要指出,APT的“A(高级)”是相对的,是否称为APT攻击,主要是分析攻击的发起方与其动机和意志,而所谓技术水平则不是定性的主要因素。同时,无论是“白象一代”轻量级的攻击,还是“白象二代”显得更为高明的攻击,对于中国庞大的信息体系,特别是针对高等院校等民用机构,构成了严重的威胁。

2          白象一代——HangOver的样本、目标与源头分析

2.1         概述

安天在2012年获取导向相关的载荷最早的投放行为曾淹没于其他海量的安全事件中,并未将相关事件判定为APT攻击。因此需要感谢安全厂商Norman20137月所发布的报告《OPERATION HANGOVER |Executive Summary——Unveiling an Indian Cyberattack Infrastructure [1] Norman在上述报告根据在分析中发现的原始工程名“HangOve”,将此事件命名为“HangOver”。这组事件即是安天称为“白象一代”的行动。这让安天反思过去在发现和追踪APT攻击中,过度考虑攻击技巧和漏洞利用的问题,并开始针对周边国家对中国攻击检测有了新的方法和视角。

安天认为“白象一代”组织中人员较多,人员能力参差不齐,采用开发编译器混杂,作业相对混乱。通过安天后端分析平台的关联统计,查找到该攻击组织的相关样本910个,其模块功能包括键盘记录、下载器,信息窃取等,相关样本最新的版本号为HangOver 1.5.7 (Startup)。并根据分析判断相关组织针对中国高等院校等目标实施了攻击行动。

2.2         样本与资源分析

安天CERT的研究人员对安天的全样本集,制定了针对四种编译二进制文件的关联方法(Method A~D),对样本的动静态信息进行向量比对和关联。对于提取出的样本结果集合,安天CERT研究人员又基于代码结构的对比进行了误报排查,最终在已经被其他分析方认定的样本之外,发现了更多样本。

                                             2 1 使用不同方法关联出的新的样本比例

2 2 “白象一代”挖掘到的关联样本的编译器分布

其中,使用Autoit编译的样本29个,VB编译的样本189个,VC编译的样本127个。

注:Autoit是一个用于编写自动化脚本的语言,其编写的脚本可以编译成压缩、单一的可执行文件,这样就如同其他编译器生成的PE文件一样,可以脱离开发环境,运行于Windows系统。

同时,安天CERT也对样本所使用的C&C IP进行了地理位置对应:

2 3 “白象一代”C&C对应的地理位置

通过对部分样本的时间戳及编译器数据的对比可以发现,“白象一代”的样本编译时间在2010年下半年到2011年下半年之间的数量最多;2010年上半年的数量较少,属于开始阶段;2012年上半年开始下降,属于收尾阶段。

注:Delphi编译器的样本未加入到对比中,这是因为Delphi时间戳在统计分析中未体现出足够价值。

2 4 “白象一代”不同编译器样本的时间戳情况

2.3         对中国境内目标的攻击

2.3.1          攻击样本与事件

安天在20144月相关文章中,所披露的针对中国两所大学被攻击的实事件,涉及以下六个样本。

捕获时间

样本hash列表

样本编号

2012-08-10

0D466E84B10D61031A62AFFCFFF6E31A

Sample 1

2012-10-21

734E552FE9FFD1FFDEA3434C62DD2E4B

Sample 2

2012-07-24

9A20F6F4CDDEABC97ED46AEE05AC7A50

Sample 3

2012-07-06

CE00250552A1F913849E27851BC7CF0A

Sample 4

2012-09-24

DE81F0BDBD0EF134525BCE20B05ED664

Sample 5

2012-08-01

F37DD92EF4D0B7D07A4FBDCD9329D33B

Sample 6

“白象一代”对中国两所高校攻击的时间链: