2012年目标攻击和APT高级持续性攻击

作者：趋势科技

经过整个2012 年，我们研究了各式各样的目标攻击，包括好几个APT 高级持续性渗透攻击活动（例如 LuckyCat和Ixeshe），也更新了一些已经运行一段时间的攻击活动（例如Lurid/Enfal和Taidoor）。信息安全群体在今年有很多关于目标攻击的精采研究发表，我将这些有意思的研究集结起来，分成六个我认为可以代表2012 年目标攻击趋势的主题：

目标和工具

虽然在2011 年，目标攻击几乎就等同于APT。在2012 年出现了各式各样的攻击，特别是在中东地区，包括沙特阿拉伯的Shamoon，Mahdi攻击活动，GAUSS和Wiper/Flame，这些都被卡巴斯基所记录起来。还有一些攻击和中东地区冲突有关，最显著的是叙利亚、以色列和巴勒斯坦（参考Norman 的研究分析）。APT 活动在2012 年仍然是个重大的问题，Dell SecureWorks 发表了一份集结各种APT 活动的报告，还有关于Mirage和 SinDigoo的报告来阐述问题的影响范围。彭博社发表了一系列关于“CommentCrew”的文章，详细介绍了APT 攻击活动的广度和影响。还有针对俄罗斯、台湾、韩国、越南、印度和日本的活动也相当活跃。除了目标地理位置的扩张之外，我们也看到了所针对技术的扩展，包括Android移动设备和 Mac 平台。来自Citizen Lab 的Seth Hardy 在SecTor 上作了一场很棒的演讲，介绍了今年所新兴的各种Mac 相关远程访问木马（SabPub、MacControl、IMULER/Revir和Dokster）。虽然我们在过去看过智能卡的相关攻击，不过感谢来自Sykipot和AlienVault 的精采分析，提供蓄意用智能卡做目标攻击的技术细节。

隐匿性和持久性

这些是主要的趋势之一，根据Mandiant 在2012 年的文件，APT 活动之所以不只是恶意软件，正因为确保持久访问会使用正常应用程序（例如VPN）。此外虽然许多进行中的APT 攻击活动所用的恶意软件可以经由网络使用分析而检测到，微软发现一个旧的恶意软件组件会在NDIS 层建立一个隐蔽后门，让检测变得更加困难。除了隐身在网络层，我们也看到在某些案例中，出现有数字签名的恶意软件让文件系统层的检测变得更加困难。有数字签名的恶意软件当然不是新伎俩，还有个大量被用在目标攻击上的远程访问木马（被称为PlugX），使用一种DLL 搜索路径劫持（这技术本身也不是新的）。

另一个出现在Mandiant 报告中的HiKit工具会利用DLL 搜索路径隐藏在文件系统层，同时会在网络层窃听进入流量（像是早期的远程访问木马），而非只是对外连接到命令和控制服务器。Flame 恶意软件则会利用MD5碰撞攻击，劫持 Windows Update 功能来传播。将隐匿性及持久性带到另一个境界。

社交工程陷阱

毫无意外地，鱼叉式网络钓鱼邮件仍然是目标攻击主要用来传递恶意软件的机制。但其他技术，例如“WateringHole”攻击也让人极为注目。Shadowserver 发表了被他们称之为“策略性网站入侵”的研究分析，利用了Java 和Flash 的漏洞攻击码，而RSA 报告中所提到的 VOHO攻击活动也使用了相同的技术。但在2012 年，另一个有趣的社交工程伎俩就是利用安全厂商对恶意软件的分析做为诱饵来传播恶意软件。不过鱼叉式网络钓鱼邮件和沦陷网站并不是唯一的攻击途径。实时通（被认为用在针对Google 的Aurora 攻击）也提供了另一条攻击路线。Skype也被报导提到用在叙利亚冲突的 DarkCometRAT 攻击中。

攻击是最好的防御

在2012 年，有个新兴的信息安全公司 Crowdstrike 提出了“攻击是最好的防御”概念，虽然这概念常被狭隘地理解为“黑回去”，但我却想从David Dittrich 所谓的“主动响应连续”背景下来理解这件事。有各种战术可以应用，渗透，强迫下线（不管是通过技术手段、回报滥用行为、策反、点名和羞辱、法律机制或和执法单位合作）或是欺敌行动，好来进行反击，而不是只能“黑回去”。这些都是经常用来对付犯罪份子的行动，但也可以应用在这里。在一定程度上，针对基础设施的攻击，通常都是国家默许或国家资助的。所以这些措施以外的反击作法也很吸引人，因为有国家资助的案例通常是不适用于法律途径的，所以我们也开始看到这样的行动出现。在2012 年的一个案例中，CERT-GOV-GE 不仅取得访问“Georbot”殭尸网络命令和控制服务器的能力，还诱使殭尸网络运营者去偷取一个恶意文件。执行之后，就让CERT-GOV-GE 可以远程录下运营者的影像。

「超限」武器交易

这个备受争议的话题：贩卖零时差漏洞攻击码及搭配的恶意软件，在2012 年已经是个公开的秘密。美国公民自由联盟的Christopher Soghoian 在VB2012 大会上用这个题目做了主题演讲。除了会买卖漏洞和攻击码外，也有恶意软件的交易是在政府授意下进行的。Morgan Marguis-Boire 发表了被称为FinFisher的产品（也可用来侦查智能手机）是如何被英国政府传播的相关资料。还有被意大利公司所传播的后门程序，据报导是被政府用来监控异议份子。另外Dell SecureWorks 的Joe Stewart 发现“一个由位在某亚洲国家（非中国）的私营计算机安全公司所经营的庞大网络间谍活动针对国外军事单位”，进一步说明了问题的严重程度。

资料销毁

虽然目标攻击通常是为了间谍活动目的，但有时也会有破坏性行为（看看Stuxnet）。在2012 年，卡巴斯基的报告中提到一个被称为Wiper的例子会破坏数据，还有Shamoon（参考Seculert 的分析）会针对中东的石油公司并摧毁数据，这恶意软件被认为用来破坏沙特阿拉伯和卡塔尔成千上万的计算机。而这样的间谍破坏行为可能还会继续下去。

2012 年是个目标攻击肆虐的一年，我认为2013年甚至可能更加严重。很快地，我就会发表我对2013 年目标攻击的预测，敬请期待！

＠原文出处：TheTrends in Targeted Attacks of 2012