APT组织归属分析参考书,兼谈SolarWinds事件的溯源

APT攻击的Attribution分析的核心是在发现强关联节点,而节点的发现依赖对于细节的挖掘,除非技术点本身有足够的独特性,泛泛地对整个攻击链所使用到技术点的堆积去对比往往得不到有效的结论。

APT归属分析电子书

前两天阿里鸟哥在群里分享了一本书,Attribution of Advanced Persistent Threats - How to Identify the Actors Behind Cyber-Espionage,一个德国人写的,下载链接:https://pan.baidu.com/share/init?surl=9bKFNK8IMW_edRHNMno7OA (提取码:iz03)。

APT组织归属分析参考书,兼谈SolarWinds事件的溯源

花了些时间粗粗滚了一遍,什么印象呢?很浓的学术味道,内容丰富结构清晰,对APT组织的归属分析技术做了个非常完整的综述性总结,但基本都是基于公开的资料,从分析的入手点提出一个MICTIC框架。

APT组织归属分析参考书,兼谈SolarWinds事件的溯源

一个字母一个维度的分析面,每个维度提供了一系列关注项:

APT组织归属分析参考书,兼谈SolarWinds事件的溯源

如果能把这书及每章后面所有的参考资料都啃一遍,到外面讲APT充专家铁定够了,推荐有志于高级威胁分析的同学们阅读。这书的缺陷在于作者很可能不是一线的分析或应急响应人员,内部来源的实际处理过的案例和经验分享不足。我们要想完成从PPT专家到现场专家的跨越,中间还差1000个样本和1000个PCAP流量包的搬砖分析磨出来的老茧。

SolarWinds事件归属研究

昨天,安全厂商Recordedfuture发了一个文章:

SOLARWINDS ATTRIBUTION: Are We Getting Ahead of Ourselves?

An Analysis of UNC2452 Attribution

https://go.recordedfuture.com/hubfs/reports/pov-2020-1230.pdf

从标题就能看出想聊些什么,通篇读下来实话说没太大营养价值,只不过列举了些事实(值得了解),也没形成什么有用的结论。作者尝试用ATT&CK框架做归属分析,遭到了意料之中的失败。正如我之前所说的,APT攻击的Attribution分析的核心是在发现强关联节点,而节点的发现依赖对于细节的挖掘,除非技术点本身有足够的独特性,泛泛地对整个攻击链所使用到技术点的堆积去对比往往得不到有效的结论。

我对文章里提到的一些信息点的评论:

1、厂商基于自己视野内数据对于攻击者的ATT&CK技术点画像其实非常受限,文章里的例子就是FireEye和微软总结了各自的发现,整合多家(包括Volexity)的信息无疑对了解对手非常有帮助。

2、即使我们对攻击者在整个流程的所有技术点在ATT&CK框架里有了较完整的映射,作者尝试对两个候选对象APT29和APT41的行为进行比较,发现仅从技术点覆盖度的相似性上形成不了有足够信心的结论。

3、即便FireEye那样有更全数据视野经验极丰富的安全厂商,在初期的时候也无法一下子把涉及事件的两个后门SUNBURST和SUPERNOVA(一个很高大上的词用在了这么Low的Webshell)归属到不同的对手去,更别提其他对细节并不怎么了解细节的所谓安全厂商了。

4、APT41之所以被拉进来作为幕后候选主要是因为那个事件利用到过CCleaner的供应链攻击,但是只要分析过后门代码,有经验的分析人员基本立刻会感觉到SUNBURST与CCleaner所体现出的能力与目标的巨大差异,反而可能得到不会是同一组织的结论。

还是那句话,APT攻击的归属分析上,细节和元数据决定一切。

声明:本文来自随看随记随说,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。

版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/180.html

发表评论

登录后才能评论
跳至工具栏