近期,法國大選遭受俄羅斯黑客攻擊的報道甚囂塵上,各路安全專家和威脅情報公司紛紛聚焦,曬分析找證據,馬克龍團隊9G資料被竊取、APT28 Metadata分析……,使得去年涉嫌干擾美國大選,具有俄羅斯軍情機構背景的APT28再次處于風口浪尖之上。從趨勢科技到ThreatConnect都調查認為證據充分,APT28真的攻擊了馬克龍競選團隊了嗎?我看未必,在此,我就來演示一下如何偽裝APT28進行假冒攻擊。
創建虛假-元數據標識(Metadata)
只需要安裝一個俄語版的Windows系統,然后添加一個名為Дмитрий(德米特里)的俄語賬戶,安裝Microsoft Office程序,打開一個新文檔,好吧,接下來你編輯或創建的任何文檔,看似都出自莫斯科且用戶名為德米特里的系統,而在該系統中用Visual Studio進行程序或惡意軟件編寫都會帶有與此相同的屬性特征。
接下來,我們就對原始釣魚文檔中的元數據進行修改。以random.docx文檔為例,把其后綴更改為.zip后成為random.zip,解壓該文件,其docProps目錄下的文件core.xml中就包含了時間、作者等元數據信息,好吧,隨你所想,改成你所希望偽裝的信息吧!
模仿攻擊
對于當前的一些高級APT技術,病毒分析人員和安全廠商都會在報告里或多或少給出了相關的TTPs特征。所以,利用這些TTPs特征形成的攻擊方法去冒充一個已知的APT組織是完全可行的,而且,在這之前,我們也觀察到了類似的假冒攻擊行為。
攻擊架構重用和偽造虛假DNS數據
各個APT組織在攻擊活動中都有自己的一系列慣用域名,這些域名信息可以從一些安全公司發布的分析報告中找到。而有些安全分析人員甚至會通過域名搶注方式,接管控制一些APT組織使用的域名,以追蹤APT組織的動向。通過這種方式,我發現了APT28在2014年使用過的域名asisonlline[.]org、bostondyn[.]com、cublc[.]com,當前是可注冊狀態,任何人都可以通過注冊它們來假冒攻擊或迷惑分析。
ThreatConnect近期對APT28攻擊干擾法國大選的取證分析中,認為攻擊者使用了郵箱johnpinch@mail[.]com注冊了用來進行釣魚攻擊的域名onedrive-en-marche[.]fr,另外,還披露了其它詳細的注冊信息,包括地址、聯系電話、姓名等線索。如下所示:
在此,為了偽裝得更像一點,我使用了這些相同的注冊信息注冊了我自己設置的域名:totally-legit-cloud.email,因為在域名注冊過程中,所有注冊信息都不會被要求驗證,因此,任何人都可以據此進行假冒,偽裝利用他人信息。看看是不是很像啊:
按照某些開源威脅情報分析工具(OSINT)的關聯分析結論來看,現在,我的域名已經正式和APT28的攻擊架構關聯在一起了。現在,我就是APT28組織成員了,可以發起攻擊了!
那到底是誰擊入侵攻擊了法國大選的呢?
到目前為止我們也只能做出假設。現在,大家都知道存在虛假信標攻擊了,APT28的策略專家可能會繼續進行攻擊,但肯定不會利用這么一個明顯的,連白癡都知道的指紋信息。因為任何人都能利用這些指紋信息進行假冒攻擊,而一些安全公司為什么還這么肯定呢?為什么就不能改改你們的TTPs分析結果呢?因此,也有一些安全分析師可能會說“這也太明顯了,不可能是俄羅斯人干的吧”。可能是,也或不是。但到底是或不是,我想只有那些情報機構才真正知曉,當然了,俄羅斯人的網絡攻擊技術能力也是不可否認的。
在威脅情報分析中,所有的元數據信息(Metadata)都只能反映一種線索可能性,必須要與其它來源信息進行共同映證才能形成可靠證據,否則,這種片面的分析結果將會南轅北轍。
只憑Metadata信息是得不到準確溯源調查(Attribution)結果的
相較于以往,現在任何字節的代碼都能被假冒或進行偽裝,眾所周知,從最近泄露的機密文檔可知,就連CIA和NSA都采用這種方法,使用特定工具來進行隱匿自身,假冒攻擊,從而嫁禍他國。比如在方程式組織(EquationGroup)被曝光的NSA武器庫中,就有一款名為ELECTRICSLIDE的工具,通過偽裝成中國用戶瀏覽器發出HTTP請求:
在未來的網絡攻擊活動中,根本不可能進行準確的網絡溯源追蹤,因為那些精明的APT組織都會有訓練有素的支持團隊對一些別國的網絡利用工具(CNE)進行二次開發利用。
另外,有些人也可能會意識到,大多數國家間的APT對抗組織,其IoC威脅指標都是機密信息或只保存于限制性報告中,僅限政府CERT應急響應組織和相關機構才能合法獲取到這些信息。就像英國GCHQ在招募網絡工程師進行網絡防防御和攻擊時,必須要求工程師同時具備網絡攻防技能,因為,一些隱蔽的網絡利用工具(CNE)將會被廣泛應用于未來的網絡戰中,未知攻,焉知防,只有知己知彼,方能百戰不殆。
外交因素
除此之外,我們必須承認現代黑客技術也是一種釋放信息的手段。我們大膽地YY或假設一下,也或許這就是俄羅斯向下屆法國總統的一種側面表態,“看看吧,我們能輕輕松松地入侵攻擊你,你不喜歡普京可以,但千萬別惹我們”,呵呵,這在軍事上叫耀武揚威。新上任的馬克龍肯定會記得,他和他的競選團隊曾被黑客成功入侵過,就像有人在暗中時刻用狙擊步槍的激光瞄準器指著你,永遠都是一種威脅。這也是網絡攻擊可以作為震懾手段的一種體現。
總結
作為網絡世界的個體,我們不要被那些表面的報道或技術證據所蒙蔽所誤導。因為網絡攻擊溯源調查并不是那么簡單容易的事,攻擊事件的意義是什么,攻擊者的意圖又是什么,我們或許都并不清楚。只有那些真正高度可信并且可以相互映證的信息線索,才能撥開網絡攻擊的迷霧,揭露網絡攻擊的真兇。那些站不住腳,經不起推敲的分析、假設或線索都是蒼白且毫無根據的。
| 
