战法简介   

APT即高级可持续威胁攻击,也称为定向威胁攻击，指某组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进、持久且有效的威胁和攻击。

该战法是针对APT攻击事件的快速发现、定性分析，及其所属攻击组织的研判方法。战法原理是先基于流量分析的不同技术角度来检测发现APT攻击线索事件，然后利用威胁线索TTPs（技术、工具、过程）分析中的攻击资源同源性分析和恶意代码同源性分析，快速研判事件所属的APT攻击组织。

该技战法适用于初中级研判分析人员从各类检测产品告警中快速筛选APT威胁攻击线索，通过快速的情报关联分析来确定威胁事件的性质，研判攻击事件所属的APT攻击组织。

战法实施

本战法的实施可以分为检测、分析、研判三个阶段来开展，各个阶段均可以借助各类安全产品来进行基本应用，例如：检测和分析阶段可使用抗APT类、NDR类产品，能够有效帮助检测发现和基础分析威胁线索；分析和研判阶段则可以使用态势感知类、TIP威胁情报类产品来进行基础的线索及情报关联；研判阶段还应借助基于攻防经验和威胁情报知识库，来对威胁事件精确定性。

检测阶段

利用基于流量分析的各类产品来进行APT威胁事件和线索的检测，主要包含以下两个方面：

1）典型APT攻击战法检测

可以使用虚拟化沙箱技术、AI建模分析技术针对流量中鱼叉钓鱼攻击、水坑攻击等典型APT攻击技战法进行检测发现。

针对已知APT组织常用恶意代码家族攻击，例如邮件投递、文件欺骗下载、WEB诱导浏览、文件欺诈分享等攻击战法中投递的各类文档、网页和流量报文和网络会话，抗APT产品通过内置强大的病毒库、漏洞攻击库、黑客工具库进行静态检测，实时检测各类已知网络漏洞攻击和入侵行为。

针对未知恶意文件攻击，抗APT产品将流量还原得到的办公文档和可执行文件放入虚拟执行检测引擎的虚拟环境中执行，根据执行中的可疑行为综合判定各类含漏洞利用代码的恶意文档、恶意可执行程序及植入攻击行为。

在虚拟化沙箱中诱导恶意代码展现并记录恶意行为后，使用AI建模分析方法可以使用机器学习算法，对样本在虚拟执行环境中的各种行为进行威胁判定。

2）APT威胁线索检测

可以通过隐蔽信道、异常协议、异常流量等基于行为分析的、基于模型匹配的威胁线索发现能力，来发现各类APT威胁攻击在非法控制阶段的线索事件。

从历年来APT攻击中所使用的恶意代码的攻击原理和特点来看，特种木马需要与外联的服务端进行实时通信，才能达到窃取敏感信息的目的。那么在通信的过程中，在网络内肯定存在外联的活跃行为，抗APT系统可通过强大的木马通信行为库，基于多手段的流量行为分析检测技术，检测已植入内网的未知威胁，包括：动态域名、协议异常、心跳检测、非常见端口、规律域名统计、URL访问统计、流量异常等通过多种通信行为的复合权值，在网络层对未知APT恶意代码的网络通信行为进行实时监控、预警、分析。

从近几年被曝光的APT攻击组织样本来看，其所使用的特种木马、间谍木马等恶意代码，会使用自定义或者加密的协议建立隐蔽通信信道，用以绕过防火墙、IDS等传统安全设备的检测。针对网络流量中的隐蔽信道进行深度分析，通过分析隐蔽信道通信中的流量特征和行为特征，构建相应的检测模型，能够把隐蔽传输的数据从复合流量中分离出来，从而发现一些未知的攻击行为。

分析阶段

分析阶段是需要从检测阶段发现的各种威胁攻击事件/线索中，分析抽取可用于关联分析的元数据，然后再通过基于威胁情报知识库的同源性分析，将威胁事件/线索与已知APT组织进行快速关联比对。

这类最常用且有效的关联分析方法可以分为以下两种方法：

1）攻击资源同源性分析

通过分析攻击投递、非法控制两个阶段中攻击者采用的攻击载具，抽取相应的元数据，然后通过搜索引擎或威胁情报检测类产品，与各APT组织战术类威胁情报中的IOC指标进行快速匹配。

攻击载具可抽取的元数据包括但不限于：攻击者邮箱、攻击者邮件发送源IP、恶意代码模块下载地址、恶意代码家族、恶意代码文件模块HASH、PDB路径、文件签名、C&C服务器域名/IP等。通过这些元数据与APT组织情报进行关联，就能够快速分析出事件高概率所属的APT组织。

2）恶意代码同源性分析

由于APT组织会经常变换C2服务器，使得利用威胁情报的可能性大大缩小。但对于长期存在的APT组织来说，虽然其使用的恶意代码会经常版本迭代，但很多基础代码和关键函数很少变动，经常能找到关键的关联特征。

本战法就可以采用模糊HASH算法、AI算法（聚类算法）等模型匹配的方式，或者采用人工逆向分析的方式，来比对恶意代码样本的代码与已知APT组织常用恶意代码的相似性。

判研阶段

基于以上检测和分析的结果，需要威胁分析人员对已发现的信息威胁源进行研判，对攻击技术、工具、过程进行综合刻画，判断攻击威胁体现的技术实力。然后再综合攻击者、受害者、动机、攻击后果四个维度进行攻击意图研判。

通过以上研判，最终尝试确定攻击事件的性质：间谍组织、涉政组织、暴恐组织等已知APT组织，或黑/灰产组织等已知其他攻击组织。如有需要，还要确定进一步溯源策略，例如反制C&C服务器、尝试线上线下身份挖掘等。

案例分析     

一则案例是在2019年4月间，APT34组织的武器泄密事件中，东巽科技对其常用武器做了一个详细的分析。其中DNS隐蔽隧道就是该组织常用的技术，隐蔽隧道技术可以躲避常规流量的检测，利用DNS协议与服务器通信，传输数据。

（参考链接：https://www.freebuf.com/articles/database/202303.html）

APT34常用武器中使用的DNS隐蔽隧道

APT34是一个来自于伊朗的APT组织，自2014年起，持续对中东及亚洲等地区发起APT攻击，涉猎行业主要包含政府、金融、能源、电信等。多年来，攻击武器库不断升级，攻击手法也不断推陈出新，并且攻击行为不会因为被曝光而终止。在本战法实际运用过程中，通过攻击资源同源性（采用相同C&C服务器）关联到APT组织的案例非常多，这里就不再赘述。

另外一则是分析一个通过攻击载荷代码同源性来研判APT攻击的案例：

（参考链接：https://www.freebuf.com/articles/paper/174328.html）

海莲花（OceanLotus、APT32）是一个具有越南背景的黑客组织。启明星辰金睛安全研究团队发现了一起该组织的鱼叉钓鱼网络攻击事件。在该事件中，关键确认APT攻击的同源关系有：

1) 攻击者所使用的恶意代码包含一个VBS脚本，其下载的shellcode的编写技巧，与以往海莲花组织所使用的shellcode手法几乎一致。

2) 本次攻击事件中最后释放的远控恶意代码，与在以往披露的海莲花组织报告中（详见《2017网络安全态势观察报告》），无论是回传特征，还是代码结构都几乎一致，甚至连伪装成amazon的host主机也一致。

由此基本可以确认，本次攻击的确为海莲花组织发起，并且该组织仍然在沿用以往的武器。

战法点评     

本战法优点是能够让一般分析人员清晰的快速实现对已知APT组织攻击事件的关联确认，且大量成熟产品可以有效辅助该战法的实现。

本战法也有一定的局限性，大量APT组织的战术类和战略类威胁情报并未公开曝光，可关联情报不足也会导致无法关联匹配。