搜索
基于动态分析的APT检测技术研究©安天实验室版权所有第1页/共20页基于动态分析的APT检测技术研究安天实验室文档信息作者安天实验室反病毒引擎研发中心发布日期2012/11背景介绍本报告介绍了安天在APT检测方面的经验及近年来在对抗APT方面的工作。版权说明本文版权属于安天实验室所有。本着开放共同进步的原则,允许以非商业用途使用自由转载。转载时需注明文章版权、出处及链接,并保证文章完整性。以商业用途使用本文的,请联系安天实验室另做授权。联系邮箱:resource@antiy.cn。基于动态分析的APT检测技术研究©安天实验室版权所有第2页/共20页基于动态分析的APT检测技术研究安天实验室安天实验室反病毒引擎研发中心Andy&CuteK编者按:2012年11月12日至14日,第十五届AVAR国际反病毒安全会议在杭州举行。安天实验室研发负责人在大会上做了题为《基于动态分析的APT检测技术研究》的英文报告,报告中介绍了安天在APT检测方面的经验及近年来在对抗APT方面的工作。报告中指出基于动态分析系统可以判定网络中传输的文件是否利用了已知或未知的漏洞,从而发现可能的APT攻击中搜集信息和渗透行为。本文根据大会报告整理形成的论文,并在技术文章汇编(十)中首次公开。关键词:APT:高级持续性威胁(AdvancedPersistentThreat,APT)C&C:命令与控制(CommandandControl)1摘要在信息化高速发展的今天,网络安全正面临着全新的挑战。高级持续性威胁(APT)不断发展升级,也许就在我们认为一切正常时,APT攻击正在发生或己然完成。攻击者不再是原有意义上的恶意代码作者或黑客,通过宽泛的大面积攻击以获取部分利益;而是有组织团队、具有极强目的性的持续性攻击。由于上述的特点APT攻击的对象必然是有所选择的,为了利益的最大化,他们选择的目标开始转为企业甚至是政府。也正是上述的这些特点导致了企业防御成本的增加,防范难度的加大。APT攻击组织会通过各种手段收集目标的信息,不断的利用最新的漏洞甚至是已知漏洞对目标进行定点的攻击。自2010年1月Google在其官方微博承认自己遭受到网络攻击后,APT就成为信息安全界的一个热门话题。这两年随着Stuxnet事件、Duqu事件以及Flame事件的接连发生,如何发现和应对APT成为一个新的挑战。基于动态分析的APT检测技术研究©安天实验室版权所有第3页/共20页第一,简介APT(AdvancedPersistentThreat)即高级持续性威胁,通常是指在某个组织(如国家或财团)的支持下针对一个特定的目标使用比较高级的技术进行持续的攻击。这种攻击通常具有很强的破坏性,手段比较隐蔽,持续时间较长,这种攻击造成的后果也是极其严重的。APT并不是一个新的技术,其主要采用的是最新的漏洞利用溢出攻击目标并进行远程控制。对于溢出和远程控制的检测传统上杀毒软件通过特征码技术以及及时的升级。但由于杀毒软件的特征码以及简单的启发检测受到资源和时间的限制,对于变化的新的样本难以及时发现。针对恶意代码的动态分析技术也有很多包括类似CWSandbox为代表的Ring3级别的监控程序,主要运行在虚拟机或者冰点还原系统内部,可以对恶意代码的进程相关的API调用做记录。但由于该分析系统只是停留在简单的监控,对于分析的结果缺乏进一步的提炼挖掘和识别,所以在恶意检测上还需要更进一步;另一个自动分析恶意代码的系统是Threatexpert,该自动化分析的主要技术方案是通过快照对比方式发现恶意代码运行前后的对系统的修改,同时也使用Hook的方法对系统进行监控,模拟一定的网络应答,触发一些网络行为。由于其是全封闭状态,所以很多网络行为无法捕获,只能捕获模拟开始的几个包。Anubis系统主要采用对QEMU的修改这种方式的好处是比较底层,但是解析指令比较复杂,特别是一些上层的API调度,到了系统底层就变化为基本的操作,所以Anubis系统的记录的行为多是以对系统修改为主。由于APT可能采用多种格式入侵,特别是文档类型的格式,一些反APT产品如FireEye的设备中已经出现支持文档类型、PDF等恶意代码的动态分析。本文采取的主要检测方法是依托白名单和动、静态分析技术对一个网络进行立体的防御,达到尽可能的缩短检测时间,尽可能全面的检测APT威胁。第二,攻击技术特点研究a)高级可持续攻击介绍APT主要是指有组织,有能力且针对特定相关目标所发动功击。APT是一种攻击类型,其主要针对企业、政府以及军事领域发起有针对性的攻击,具有极高的目的性、阶段性与长其潜伏的特性。为了发起APT攻击,攻击者会进行针对性的资料收集,对被攻击的目标进行深入分析。通常来说攻击者具有较强的网络安全相关的技术能力。基于动态分析的APT检测技术研究©安天实验室版权所有第4页/共20页i.APT攻击与传统攻击的区别目标及针对性APT攻击具有极强的针对性,发起攻击时目标明确,通常以企业、政府、军事领域为主要攻击目标。而传统攻击以经济利益的获取为主要目的,其通常不以特定的目标为攻击点,所以对应的攻击目标具有不确定的因素。两者之间希望达到的目的不同,导致了攻击目标不同,其针对性也有较大的差异可控性的区别由于所攻击的目标及针对性的区别,导致了两者的传播方式具有较大的不同,传统的攻击为扩大非法获取经济利益,其传播方式以大面积的传播为主。而APT攻击由于针对目标明确,一切以接近攻击目标为主要目的,因此传播方式可控(如在Stuxnet样本存在针对时间的判定,当计算机的时间大于2012/04/24则不进下一步的操作)。甚至对于特定目标进行传播。长期潜伏性区别APT攻击在完成攻击后持续潜伏,直到锁定目标或接收到攻击指令后才发起下一阶段的攻击,而传统的攻击通常在攻击成功后会立即进行后续的操作。甚至被APT攻击所入侵“被控主机”仅仅被用来作为跳板,进行下一步的持续搜索,直到锁定目标。而传统攻击往往是攻击成功后会立即或间隔时间较短的情况下进行下一步的操作。下面简单的将其与传统的攻击手段做一下比较:APT传统攻击手段时间从确立攻击目标,到开发攻击工具,实施攻击等过程时间很长通常时间较短动机通常窃取攻击者感兴趣的机密,通常是国家或企业的重要机密。也可能是攻击国家机构或企业因此为其带来重大的损失目的不一,通常是为了经济利益攻击者有实力的团体甚至是国家个人或者较小规模的组织攻击对象具有明确的针对性,如政府机构,科技企业等一般不具有明显的针对性攻击手法通常通过社会工程,借助0Day实现入侵,然后使用复杂的手段完成后续动作。通常是针对该目标为其开发的手段单一,持续时间短。使用的工具比较常见基于动态分析的APT检测技术研究©安天实验室版权所有第5页/共20页APT传统攻击手段相关的工具。表错误!文档中没有指定样式的文字。-1传统攻击手段比较通过前面的对比,我们可以看到APT通常是一个非常复杂的攻击过程,需要精心准备。攻击者需要明确攻击的目标,搜集相关的信息,然后利用一些未公开的手段,十分隐蔽的实现其目的。这个过程需要较大的投入,通常情况下只有政府或财团才能够具备这样的实力。通过对Stuxnet和Duqu的关联性比较,信息安全产业普遍认为APT存在着一个产业链,并且其开发平台已经成熟。ii.APT的攻击的特点混合的攻击手法APT攻击往往采用混合式攻击的手法,包括通过社交工程发送恶意的URL、利用格式溢出的漏洞发送含有恶意程序的邮件附件,然后恶意软件释放数据并且通过文件共享、移动储存介质横向扩散,在攻击目标成功后收集高价值的数据或进行破坏性攻击。图3-1APT的攻击手法基于动态分析的APT检测技术研究©安天实验室版权所有第6页/共20页持续的攻击活动APT攻击通常是一个持续的攻击活动,而非单一的攻击事件。在攻击的过程中会利用各种攻击手法不停的尝试,直到达到目的为止。我们可以通过一个事件了解到APT攻击的持续性,其实早在2011年年底,Kaspersky实验室已经在报告中提出Duqu木马和Stuxnet蠕虫的作者是同一个人(或者团队)的观点,并在另一份报告中提出Duqu木马可能早在2007-2008年之间就已出现,而其主要目的正是收集一系列有关伊朗企业和政府情报机构活动的数据。似乎先有Duqu木马后有Stuxnet蠕虫的假设,更符合实际情况(即先用木马收集详细数据再用蠕虫实施精确攻击)。比较项目Duqu木马Stuxnet蠕虫功能模块化是Ring0注入方式PsSetLoadImageNotifyRoutineRing3注入方式Hookntdll.dll注入系统进程是资源嵌入DLL模块一个多个利用微软漏洞是使用数字签名是包括RPC通讯模块是配置文件价解密密钥0xae2406820x01ae0000注册表解密密钥0xae240682MagicNumber0x90,0x05,0x79,0xae运行模式判断代码存在Bug是注册表操作代码存在Bug是攻击工业控制系统否是驱动程序编译环境MicrosoftVisualC++6.0MicrosoftVisualC++7.0表错误!文档中没有指定样式的文字。-2Duqu木马与Stuxnet蠕虫的对比明确的目标基于动态分析的APT检测技术研究©安天实验室版权所有第7页/共20页在Stuxnet蠕虫的分析中,我们可以看到Stuxnet是专门针对WinCC系统进行攻击。那么WinCC之后又发生了什么?图3-2离心机感染示意图一台伊朗IR-1型离心机的转速为1064赫兹,当离心机第一次被病毒感染出错时,会持续以1410赫兹的转速运转15分钟,然后回到正常转速。27天以后Stuxnet蠕虫病毒再次发起攻击,这次让离心机以低于正常转速几百赫兹的速度运转了50分钟。离心机出错产生的过度离心力让铝管扩大,提高了离心机部件相互冲撞的危险,最终可能导致离心机的摧毁。b)APT攻击过程分析现有的常规方法很难检测和防御APT攻击,因为APT是一个复杂的长期的过程,同时还会使用一些比较隐蔽的方法如0day。通过对APT攻击过程的分析,我们可以了解APT的相关细节从而做到有效的预防和防御。我们这里把APT攻击的过程分为六个阶段,这六个阶段覆盖了常见的APT攻击的过程。这六个过程如下:确立目标,信息搜集和攻击方法的准备,渗透目标,控制目标,扩展攻击目标,窃取机密或破坏目标。下面我们将针对这六个阶段进行详细的分析。控制器(WinCC)执行器(调速器)攻击目标离心机转子转速传感器和变送器设定转速偏差控制器输出离心机转速测控装置工艺对象转速测量数据基于动态分析的APT检测技术研究©安天实验室版权所有第8页/共20页i.确立目标由于APT的背后往往有巨大资源支持,需要投入大量的人力和财力,所以要攻击的目标往往是对发动攻击者或者支持者有很大的利益。被攻击的对象通常是拥有很高的机密,商业价值,或者影响巨大的结构或组织。这些被攻击的对象往往是政府部门,金融机构,知名公司等。以震惊世界的“超级武器”Stuxnet蠕虫为例,它的攻击目标是西门子公司的SIMATICWinCC系统。这是一款数据采集与监视控制(SCADA)系统,被广泛用于钢铁、汽车、电力、运输、水利、化工、石油等核心工业领域,特别是国家基础设施工程;它运行于Windows平台,常被部署在与外界隔离的专用局域网中。WinCC已被广泛应用于很多重要行业,一旦受到攻击,可能造成相关企业的设施运行异常,甚至造成商业资料失窃、停工停产等严重事故。一些专家认为,Stuxnet病毒是专门设计来攻击伊朗重要工业设施的,包括当时刚刚竣工的布什尔核电站。从而我们可以看到APT的攻击目标很明确,而且具有很强针对性。但是并不是说APT对于小企业没有威胁。随着APT的发展,小企业也逐渐成为被攻击的对象,甚至也可能会通过小企业作为跳板间接实现其攻击目的。3.2.2信息搜集和攻击方法的准备在攻击目标确立之后,下一步便是开始搜集信息。搜集的方法可以是很简单,但是通常情况下很有效。可以使用搜过引擎搜索与要攻击对象相关的关键词。通常情况下可以搜索到不少信息。同时