【注】文本转载自台湾的资安人。情报分析(Intelligence Analysis)是指对有用的信息进行分解、合成,通过逻辑推理得出有价值的结论。借助信息化的手段,当前的情报分析手段和工具被美国军方归纳出了14种,包括文中提及的“意图分析”,“文化分析”、“群聚分析”,等等。美国军方已经建立了这样的情报分析系统,但对于应用在APT识别上,却是一个比较新颖的想法,我很赞同。
近来,国际间出现不少APT(Advanced Persistent Threat)攻击事件,也因此造成这个话题的热门。不过,八月初将于第19届美国骇客年会Defcon发表「亚洲区APT攻击解密」的Xecure Lab团队说,APT攻击,其实常被误解。
例如过去就曾有某许姓立法委员召开记者会,收到行政院秘书室的病毒信,要求要彻查资安,而这起事件被认为是一起「病毒信」事件,Birdman说,其实这正APT攻击当中的一环,秘书的电脑往往要处理最多机敏的事情,所以往往是公级的目标。所以最错误的处理,就是将之当成单一的病毒事件,扫毒结束后便以为事件结束。
APT的攻击武器都是相当独特的,采取0 day漏洞再搭配客制化攻击,由于是针对高价值的政治、经济、高科技、军事目标,因此往往也都是运用国家级的资源来制作攻击武器。也因此,任何的攻击行动都有其背后的目的,例如发行签章的公司被攻破,真正目标是要运用签章来进行下一步的布署,目的是对某个防守严密的政府机关进行社交工程,对方一看到经过签章的信件,便信任的打开,这反而是最危险的安全认证。
Birdman说,他们透过国外搜集APT、恶意程式的专家Mila的样本(注)来做研究,取其242个APT样本,对样本进行静态分析,观察出八大族群,而这些族群虽然都运用八到九种不同的漏洞,在使用恶意程式的方式上倒有固定类型。
此外,台湾、美国与香港分别是被APT攻击的前三名,显示可能由于这些地方相对有着良好的网路环境以及许多的骇客攻击中继站(C&C, Control & Command Server),成为遭受APT攻击最多的地方。他们也透过这个研究,找到了APT攻击武器贩售商,并与之对话,透过骇客的观点来看资安,可以知道的是, 目前红极一时的Apple系统将会是骇客未来的攻击发展目标。
而这个研究方向,主要是希望可以透过分析APT样本的行动与武器特征,找出背后的骇客集团特征和习惯,Birdman认为最重要的关键在于,现在资安的研究还停留在单一样本的分析,做单一恶意程式行为的分析,视野不能提升就难以观察到骇客集团的趋势与计划。
他强调,未来的资安策略应该是「情资导向」的防护思维。当你了解到这个集团的领导者是谁?有可能采用什么恶意程式工具?找谁来当打手?就越可能运用一些自动化的情资分析系统,推演分析出对方的战略,而不是将对方的攻击战略中的一小步,当成普通的病毒事件来处理,扫扫毒就算危机解除。
网路黑社会都军事化了,我们还在拿棍棒练身体,岂不是自以为无敌的义和团?这些是人的问题,得靠人解决。
【参考】APT和实时威胁管理必读系列
