APT28、PutterPanda、Lazarus、Equation、Shamoon、Animal Farm……每週都會發生重大電腦攻擊事件,這些攻擊或多或少都被確定為攻擊者所為。甚至有海盜被點名的情況。這種情況在 2014 年以驚人的方式發生,當時美國政府起訴五名中國軍官用於黑客攻擊和電腦間諜活動。最近,他起訴兩名來自中國國家安全部的駭客、姓名和支持照片。但專家們是如何做出這種歸因的呢?鑑於電腦資料總是會被修改,我們對這種類型的分析應該有什麼信心?
當我們與安全研究人員交談或閱讀他們的分析時,很明顯,歸因遠不是一門精確的科學,也沒有找到駭客蹤跡的神奇方法。這是一個漫長而乏味的過程,需要收集盡可能多的技術線索,以便在必要時對攻擊的起源提出有效的假設。這些指數來自多個不同領域,這就是為什麼必須能夠依賴“一支具有多種技能的團隊,例如逆向工程、基礎設施分析、地緣政治分析和取證調查”,蒂莫史蒂芬斯 (Timo Steffens) 在書致力於電腦攻擊的歸因。這位人工智慧專家現任德國政府電腦攻擊預警和回應中心Cert-Bund副主任。
二進位代碼,第一資訊來源
第一個資訊來源是攻擊期間使用的惡意軟體。當從機器中恢復副本後,專門從事逆向工程的工程師將對其進行檢查。一般來說,攻擊者會對二進位程式碼進行混淆,其目的有兩個:保持在防毒軟體的雷達範圍內以及使軟體難以分析。這種混淆通常是使用“加殼器”來完成的,該軟體將壓縮二進位代碼並使其不可讀。一旦放置在目標機器上,該二進位代碼就會使用整合的解壓縮模組進行平方。「一些駭客組織創建了自己的加殼器並多次重複使用它。也正是因為這一點,我們才能認出他們”Eset 安全情報團隊負責人 Alexis Dorais-Joncas 強調。
一旦二進位代碼被恢復,工程師最終可以發現軟體的內部機制:它感染電腦的方式、它執行的功能、整合的模組、資料的加密、聯繫的外部伺服器等。然後,他將能夠知道它是否是後門、遠端控制軟體(遠端存取工具)或簡單的“植入程式”,它將下載另一個惡意軟體。經過分析和剖析,此二進位程式碼將與已知的惡意軟體程式碼進行比較。每個重疊都是歸因的額外線索。
通常,二進位程式碼還包含編譯器和開發框架產生的元資料。這使您可以了解開發語言,尤其是編譯日期。如果分析人員擁有大量相同惡意軟體的副本,這尤其有用。「透過簡單的統計方法,就可以辨識肇事者的生活習慣。他們的工作時間是幾點?他們在一周中的哪幾天產生二進位代碼? »”,蒂莫·史蒂芬斯解釋道。透過這種分析,可以確定海盜活動的時區,甚至文化區。例如,從週六開始到週四結束的工作週可以作為伊朗血統的線索。
顯然,編譯日期可能會被故意歪曲,這就是為什麼它們必須始終通過其他線索來證實。「在大多數已知的情況下,生活習慣可以透過其他指數來驗證。因此我們可以推斷,只有少數群體系統性地操縱編譯日期。”,蒂莫史蒂芬斯強調。
遙測數據是問題的關鍵
惡意軟體分析可以透過對受攻擊環境的取證分析來補充。當受害公司呼籲專家「清理」其基礎設施時,就會出現這種情況。這些 IT 偵探將分析應用程式和網路流量日誌,以識別「零號病人」(第一台受感染的電腦)和攻擊的不同階段。在這種情況下,這些專家將恢復一大堆所謂的「妥協指標」(IOC):儲存的檔案名稱、聯絡的IP位址、使用的連接埠號碼、啟動的某個應用程式、竊取密碼的方式, ETC。這些指標將突顯攻擊者的工具和攻擊方法(工具、技術和程序、TTP)。這些元素將使定義「入侵集」成為可能,該「入侵集」將以某種方式形成攻擊的特徵。“例如,在程式碼或攻擊者的基礎設施中發現的加密金鑰是一個非常好的指標,因為它應該保持秘密並且不會與其他組織共用””,亞歷克西斯·多萊斯-瓊卡斯強調。
優點是安全解決方案提供者將能夠使用這些指標來偵測其他類似的攻擊。如何 ?感謝他們從客戶和/或合作夥伴收集的遙測數據。事實上,防毒和入侵偵測發布商不斷收集儲存在其資料庫中的警報和使用資料。 IOC 將使過濾大量資訊成為可能。「在某種程度上,這項研究讓我們能夠進行一次穿越時空的旅行。它使我們能夠知道哪些地區已成為目標以及持續了多少年。遙測確實是問題的關鍵””,亞歷克西斯·多萊斯-瓊卡斯繼續說道。這些遙測數據更加有趣,因為它們很難偽造。當然,攻擊者總是可以在事後嘗試刪除或修改他所感染的電腦的日誌。但如果日誌被立即複製並保存在第三方伺服器上(正如通常建議的那樣),它將毫無用處。因此,良好的日誌管理非常重要。
有時令人困惑的術語
一旦到達這一階段,分析人員通常能夠將攻擊與先前已識別的攻擊者之一聯繫起來,或者相反,定義新的攻擊者。這就是 Equation Group、DarkHotel、PutterPanda 等這些充滿異國情調的名字出現的地方。每個安全公司都有自己的術語。 FireEye 將這個黑客組織命名為“APT28”,Eset 稱之為“Sednit”,CrowdStrike 稱之為“Fancy Bear”。其他名稱也在流傳,例如 Pawn Storm、Strontium 或 Sofacy。
為了找到解決辦法,您需要有一個轉換表,要知道這種換位並不是 100% 有效。「安全公司每天都會掃描客戶的惡意軟體和攻擊,使他們能夠更新入侵集。由於它們都有不同的客戶端,因此它們的感測器會偵測到不同的攻擊。這必然會在入侵集和群體的定義上造成差異””,蒂莫·史蒂芬斯解釋道。例如,一些分析師會建立子組,而其他人只能看到一個組。安全研究員 Florian Roth 試圖將不同的術語分組為谷歌試算表免費訪問。
大多數安全公司不會進一步進行歸因。他們只是創建術語並以技術方式描述攻擊。最好的情況是,他們能夠說某個行為者是網路犯罪分子(因為他竊取銀行卡資料)或國家犯罪分子(因為他監視政府機構),並給出一些有關攻擊者地理起源的假設要素。但他們不會就這一點發表正式聲明,即使他們的堅定信念有時會透過名字的選擇表現出來。所以這個詞熊用來指稱俄羅斯駭客,這個詞貓熊指的是中國駭客。
CrowdStrike 和 FireEye 等一些公司承擔了更多風險,甚至會識別組織。但這只是例外。 “我們只能看到襲擊者留下的痕跡。為了進一步並真正識別他們,你必須完成這些資訊並依賴其他來源:你必須能夠奪取伺服器、攔截通訊、進行竊聽等。這超出了我們的能力範圍。”,亞歷克西斯·多萊斯-瓊卡斯解釋道。這項工作只有司法警察或情報機構才能做好。他們是唯一擁有此類分析工具的玩家。當一個國家或一個國家組織被正式點名時,總是在執法部門進行調查之後進行的。
官方指控,歸責最後階段
問題是這種歸因並不總是透明的。 2014年美國起訴五名中國軍官時,有一份包含許多技術細節的起訴書。但關於美國總統競選期間俄羅斯襲擊的官方報告幾乎沒有提供任何資訊(灰熊草原)。並且有充分的理由:這種歸因很可能基於不應受到損害的監視技術。因此,身為公民,我們仍然處於飢餓狀態。所指出的組織可以輕易否認這種分析的結論(俄羅斯就是這樣做的)。但這並不一定很嚴重,因為所追求的目標首先是政治性的:這不是一個告知或說服公眾輿論的問題,而是增加對對手的外交壓力的問題。
最後,我們看到歸因是一門非常技術性的藝術,而且很大程度上仍然是手工藝術。它對於安全研究人員來說非常有用,因為它有助於更好地理解攻擊者的邏輯,從而改進安全產品。但當它被推到極限、受到官方指責時,它也可能成為政治武器。
