肖新光:APT的本质是大国博弈,我们生与斯,长与斯,不义之财我们分文不取,祖宗之地我们寸土不让

 

6熊猫s安天实验室首席技术架构师肖新光

日前召开的阿里安全峰会上,安天实验室首席技术架构师肖新光通过几例中国遭遇攻击的案例分析,指出威胁是能力与意图的乘积。2015年APT横扫全球,中国是受害最为严重的国家,针对中国的关键目标和基础设施受到大量的精密的框架与固件持久化的攻击。APT的本质就是大国博弈。一定要避免从纯技术视角看待综合性的威胁。

肖新光指出,这是我们的陆地、海洋、岛屿,以及网络空间,我们生与斯,长与斯,苦乐与斯,守候与斯,不义之财我们分文不取,祖宗之地我们寸土不让。

以下为演讲实录:

今天的主题是熊猫伤痕,中国遭遇的APT攻击,这里有老师帮我画的图片,看起来很辛酸,这是我一直以来告诉大家的观点,中国是网络安全威胁的受害者。

讲这个案例之前,我还是要重新的解读一下APT的概念和起源。

APT的概念

关于APT,这是一个缩写,高级识别系统威胁,但是APT他们之间到底是什么样的关系,如果我们超越出之前种种的所谓的技术化的概括和想象,放在一个更大的背景和场景里面去,我们会对他有一个什么样解读呢?

大家都知道这样一句话,就是说威胁是能力与意图的乘积,何为能力,在我们整个讲APT的过程中,大家往往会把它概括为一些攻击法,0day漏洞和格式文档攻击等等,这是什么,高级就是APT的能力,什么APT的意图?讲到持续的时候,大家也总是想到比如说这个加密的连接,这种反复的进入等等,但是归根结底上来讲,他是作业者的攻击意志。

所以说APT的T的威胁是高级与持续性的一个乘积。他们是互为放大的关系,但是高级和持续性达不到我们一个基础的水准的时候,他们又是一个相互限制的关系。所以从一个更为广阔的来谈综合性威胁的观点来看,那么,这就是APT三个词的相关的关系。

美国空军上校Greg创造了APT一词

第二点,我还是想再重复讲一次是谁创造了APT一词,这里有很多的同仁听我讲过,但是我依然发现,在本应非常专业的技术文章方面,依然在这里有很多的不正确的猜测和想象。

那么,目前来看,关于APT起源,最为准确的说法2006年由美国空军上校Greg,为什么这里要重复一下这个起源呢?我们要看一下Greg的经历,他最还是担任凯里空军基地23期信息作战军队的指挥官,后来当了白宫网络安全的主管和空军信息站业务指挥的指挥官,这个期间他提出并概括了APT一词,然后做过安全咨询的高级顾问,创业过相应的安全企业,当前担任了资本方担任了摩根大通的总经理,他这样一个轨迹,如果放在美国政治体制上是非常典型的词,就是旋转门。

APT带有着浓重的大国博弈的色彩

为什么讲这个观点,我再重复一下APT从来不是一个技术概念,是一个非常复合的政治与经济的概念,带有着非常浓重的大国博弈的精彩,所以我们简单的观点去看待APT的话,我们就会把APT当成是传播一劳永逸,解决方式的一种销售素材,我们不能正确的去应对。那么在过去的若干年中,各种来自于不同方面的APT攻击横扫全球,这是我们去年的,2015年的网络安全年报中的一张图,我们把主要的APT攻击和他的受害国做了一个关联,这里我们可以看到中国是APT攻击最为严重的受害国家之一。那么只不过是这样的一个事实,目前不是国际上普遍接受的一个结论,因为有人散布了一个刻板的偏见。

那么我们进入到这样的几个案例。

中国是最大的受害者

首先,我们还是想去看到那种我们认为技术手段最高级,甚至是可以说开启了上位视角的,大家知道2015年初卡巴斯基曝光了他命名为方程式这样一个攻击组织,实际上来看我们追踪这样一个攻击组织也有接近四年的时间,大家知道在国内想要曝光一些事件还要经过很多的准备工作,还会有一些周折,所以很多时间很难扮先发方的角色。

那么在这个整个的APT的作业中,我们所看到的是什么,如果说我们单独把它拿出来看,我们只能看到他们一些特点,但是其实比如说我们把这么多的,把所谓的上位模式的APT攻击视角来看,我们会发现这里有很多的一脉相承的东西,包括了精密的框架,包括了复杂的指令体系以及相应的高度的可附庸化,这里面重要的特点是针对硬盘固件来实现,这一特点是建于我们讲的其他的具有风格延续性的,有相同或者是不同的其他的组织所发动的攻击。关于硬件的固件这里面我们不过多的介绍,这里我们有许多的报告可以去看。我们可以看到的是什么,我们可以看到整个达成实体化作业方面的想象力。

还有很遗憾的一件事,当我们已经发现他其实是一个在发现高价值目标之后所采用的实施化方式,或者是拦截这种存储的物流配送来实现这种注射的方式之后,我们国内依然刻意的把它解读为所有的硬盘和安装了什么,这无疑不是一种严重的误导,一旦这种误导到达我们政策以后我们不能很好的去应对相应的风险。

同时,从我们来看,这样的攻击组织最大的特点是什么?是整个的载荷覆盖了我们所能想象的全部的操作系统的平台,无论是微软还是其他。这样的一种全平台的作业能力,包括了刚才我们所讲到,如何获取几乎所有主流硬件品牌的固件能力,从我们的分析来看并不是一个产业协同的结果,而是大量的深刻的逆向工程,工程组织与测试的结果,这是对手的真实目的,对手并不是通过耍流氓的方式来达成,这是我们要深刻记录的。

我们也可以看到深刻的指令体系,如果我们拿这个指令体系和我们之前发布的分析报告,包括了乌克兰的停电事件,以及发布的白象事件,就可以看到这样的一个指令体系是多么的精美,显得是多么的严谨和市场性,同时在上帝视角中极度强调严格的本地化的数据加密和加密的通讯,以及把数据打到一个第三方,从中间来拦截劫持的方法。

所以说刚才是我们所看到的一种我把它称之为上帝模式视角这样的一种攻击方式。当然,在这里我们也可以看到一些并不太高明的攻击方式,以及这种攻击方向所看到的一些能力的成长。

我们在前天发布了一篇名为白象,来自南亚次大陆网络攻击的报告,实际上关于公开的资料,可以看到2013年7月发布的报告,以及我们在2014年的4月,在那个计算机学会通讯上所发布的文章,以及我们相应的报告。那么这样一个溯源,我们可以看到在实际上,最初的时候,攻击者所具备的能力,并不是一个非常高明的,甚至是没有必要的伪装,但是就是这样一个攻击却使我们的高等院校沦陷了。这样一个过程中我们也看到了来自于同一方向的攻击,在2012-2013年到今年年初的攻击波中的成长。

当然我们只能认为这两个攻击目前来看来自于同一个国家背景,我们还不能找到相应的关联,但是我们可以看到从最开始的构造大量的PE来进行连杀,现在做4114的漏洞的文档连杀,最开始PE和图片结合的粗糙的技巧,到今天采用这种具有极富引诱力的邮件通过UIL来加载的攻击,相继这样的攻击组织从最开始的轻量级的攻击进展到一个经典的APT攻击组织,我们做了很多工作,锁定的相应的时区,确定了人员的规模和使用相应的IP。大家可以在网上看公开的事件视频比这个详细一些。

所以我们看到攻击,攻击者即使是原来并不拥有很好的基础,但是强大的攻击意志驱动下会逐渐的演进,即使来自于不同的攻击组织,但是同一背景下能力更强的组织,有可能会被取代能力弱的组织。这种能力更强会更加可能的胆大妄为,从一代的攻击谨慎而少量的进行投放,到二代构造出的具有诱饵性质的信息之后对我们国家的很多信箱大面积的投放,构成了这样的路径。

同时我们可以看到除了这种自有式的能力之外,还有一个因素在整个的针对中国的APT攻击中起到非常关键的因素,那就是商用的攻击平台。

不是靶弹,而是具有战斗能力的导弹

大家都知道在去年的五月份,曝光了一个APT的事件,360也爆发了一个事件,实际上这是同一个攻击组织的两个不同维度的视角解读。友商的报告非常有数据的底蕴,而我们揭示了其中一个细节的场景。这个场景中最重要的一点是什么?就是这样的一个来自于中南半岛某国的攻击对手以前是非常弱的攻击能力,突然具备了与上帝视角的某些相似的攻击方法,这些方法从何而来,这些攻击方法来自于商用的攻击平台。那么这样一个攻击平台中,我们可以看到他通过一个非常典型的,利用注册表来分段加载脚本的方法实现了本地的无文件载体的载荷加载,然后包括实现与服务器的同联,这种能力经过寻觅来看并不来自于攻击方自研的能力,而是通过大数据的平台很容易关联到另外一个攻击平台所生成的。具有这样一个全能力,全格式的打击力量平台,包括具有载荷投放和加密回传这样的设计平台,我们认为像这样的工具超出了传统的理解,像安全扫描器这样的基础的安全的能力,他们不是一个靶弹,而是真实的具有战斗能力的导弹。我们所面临的环境是一个脆弱的信息机体,但是面临着商业中扩散的危险。

我们还是要把不同能力的攻击行动做一个概括,有人就觉得之前的四象限的图不够精准,如果我们想把APT攻击分成两个维度,一个是攻击方的成本投入,一个是攻击方的行动能力,这来看毫无疑问被我们称之为高级的APT,既所谓的A方的攻击需要维护巨大的成本,比如说卡巴斯基所依赖的工程体系和研发,以及相应使用的各种维护和研发需要五千万美金的成本。

所以说,这种A方PT,毫无疑问是成本投入和行动能力的最大化的结果。同时我们看到另外一个部分是当前大量的商业中,包括了买卖和商用的和免费的攻击平台,以及商用木马的使用情况下,使那些原来只具备初级攻击能力的,然后也缺少天才的攻击手的团队,具有了原子弹,具有了中国这样的信息化大国实现挑战的能力。当然了我们也可以看到传统的APT组织正在坚持他旧有的风格。

同时我一直讲一件事,对于APT攻击,大场合下分析的只是弹头,弹头就是载荷,弹头是当我们被APT远程狙射的时候,留在我们身体中,从伤口中挖出的金属物质,可以分析口径和大致的方向,但是目前来看还有很多的攻击,特别是来自于上帝视角的攻击,我们看不清他的来历,我们看不清他的枪械和狙击手,我们看不清他的位置,但是我们连分析弹头的能力都没有,我们不能从分析弹头来做脚踏实地的工作,我们何谈对抗APT。

我们之前谈的很多点,都是老生常谈。但是这里还是有解决方案要重复,第一点避免纯技术视角来看待综合性危机,APT不是一个严格的关联,必须要关联起背景,首先APT是分析发起方与动机,其次是受害方的动机,最后是作业过程和手段。因此所谓的A不是一种绝对高级的手段,如果说目标只关注在技术手段上,而不是去关注是不是给我们造成威胁以及我们本身所具有的防御能力的话,那么我们就会经常的被猪一样的对手搞定。

所以说这个A不是一种绝对的技术水平,而是相对攻击体系中背景中相对高的能力层次,第二点是代表加密通信,可能加密实体化的接入,但是本身取决于攻疾方的作业意识和持续的成本投入冷藏。所以我们对APT的再认识,我们认为他是情报作业的网络空间延展,网络犯罪的高阶形态,我们说这是三种不同的场景。就是说这是三种有关,但是有区别的场景。那么他可能是情报作业的网络空间延展,也有可能是网络犯罪的高阶形态。但是情报作业的网络空间延展本身就有可能构成网络战的环境。

不是发报告,是止损、遏制、防御和反恐

同时我们为什么要研究APT攻击,我是为了发报告吗?为了涨江湖声望吗?不是,所有的研究威胁的目的是为了对威胁达成止损、遏制和防御,所以APT的博弈手段,或者是说曝光只是其中一种,那么真正的,我们要有效的实现在载荷投放时候的手段,在载荷已经运行后的止损和反恐,以及配合其他的博弈手段的惩戒和相应的报复。

体系化的攻击必须有体系化的防守,集大成者的攻击必须有相应的动态综合纵深的体系去防御,而我们面临的现实情况是什么,尽管很多人声讨老三样,但是我们再次强调一下,国内的基础信息场景中最大的问题是老三样没有发挥应有的作用。尽管我们不做这样的产品,但是高级的技术能力和产品形态需要有可靠的,基础的IP治理形态,另外是看到的问题是,这次我们分析了大量所投放的信箱,这里有很大一部分的比例是重要人员的免费信箱,163,126,腾讯等等,这里所带来的问题?这是报告我们分析了大概数千个政府网站的信箱,发现几乎一半的联系信箱是免费的,这使威胁是高度的离散的,我们没有把高价值的目标牵引到一种高防御能力的体系中,我们就造成了对于威胁是高度不敏感的,我们把威胁的基础放在的免费信箱所能提供给个人的防御能力上去。

所以说在当前的整个作业中,已经影响到关联人员的个人信息,个人设备,个人手机,以及家庭成员的身上。这又是APT防御的一个重要的点。同时目前我们正在举行的活跃的IOC的威胁情报的交换,为什么要进行威胁情报的交换,这是因为APT的定向性导致了大家都不能够去捕获所有的信息。但是我们需要注意的几点是什么,第一点是APT这种攻方具有击强的系统体系和资源连接能力的情况下,攻防双方均具有强大的IOC获取能力。也就是说防御方可以通过IOC来增强能力,攻击方同样可以通过IOC来判断自己是否已经暴露。另外一点的情况,刚才我们看到了面对无文件载体这种方式的流行,是一种威胁情报的价值,我是指文件的价值在打折扣,我们一直坚持一个观点,威胁情报需要有可靠的感知、检测、分析、防御能力为支撑,威胁情报需要有效的行动力转化和验证情报。

今天已经很多人讲终端了,终端依然是重要的终极的防御。云实际上是对终端的一种组织形式,并不改变终端也是一个操作系统,以及受到相应威胁的本质。我们今天很多人在讲白防,利用可信来改进这种安全防御,但是白防不能只有白,没有防。因为最终来看不是对攻击者一个对黑名单或者是白名单的签名和载荷的控制,而是对于是否能够获取入口的控制,今天我们看到了很多是白名单,而不是白名单防御。还有一个是什么,如何看待反病毒引擎与沙箱,原来基于一个静态引擎就能解决的问题,当前确实很多不能解决,但是没有这样一个静态引擎所提供的威胁标注能力,很多的上层决策难以进行,所以已经从核心模块转化为基础设施,还有一点是现在反病毒引擎的重大价值是什么,是他本身就具有了格式解析和向量拆解能力。比如说为什么这次白象要把PPT,就是说XML这个格式转化成老的劳拉格式。

实际上是因为在很多的粗浅的静态分析中,是经过开源的代码就可以解析,而劳拉格式是通过拆解原有的结构,这恰恰是传统的AV厂商的强项,传统的AV厂商的静态分析和决策能力是未来的资源。另外砂箱不是反病毒引擎,比如说误报了,误报率是多少,结果是否准确,砂箱的最重要的一点是漏洞的处罚能力。第二点是要有行为的深度的揭示,通过这样的一个静态,动态的环节输送出相应的向量,最终形成上层的与威胁情报联动的这样一个检索和相应的决策机制,而不是依赖于某一个单独的环节达成判断,而这个过程中很重要的一点,或者是网管,或者是厂商运维支持一定是勤奋的,两个人都指望着展望格式去解决,这是不一样的。

还是要老生常谈一下动态、综合、纵深,同时,在昨天大家都知道,发生了一件让中国人民义愤填膺的事情,作为管安全的工作者,作为网络安全团队的负责人,我想再说这是我们的陆地、海洋、岛屿,以及网络空间,我们生与斯,长与斯,年画苦乐与斯,守候与斯,不义之财我们分文不取,祖宗之地我们寸土不让。