近日，反病毒引擎和解決方案廠商安天發(fā)布了一篇名為《白象的舞步——來自南亞次大陸的網(wǎng)絡攻擊》的報告，披露了兩組針對我國多領域的高頻度APT攻擊事件。盡管安天尚未最終確定這兩個攻擊波的內(nèi)在關聯(lián)，但可以確定的是其具有相似的目的和同樣的國家背景，安天將其兩組攻擊統(tǒng)稱為——“白象行動”。

[[168631]]

2012年~2013年，安天陸續(xù)捕獲了來自白象組織的多次載荷投放，此后依托關聯(lián)信息同源分析，找到了數(shù)百個樣本，這些樣本多數(shù)投放的目標是巴基斯坦，少數(shù)則針對中國的高等院校和其他機構。2013年7月，安全廠商Norman所發(fā)布的報告，將這一攻擊稱為HangOver。在2014年的中國互聯(lián)網(wǎng)安全大會上，安天在題為《APT事件樣本集的度量》的公開報告中，對這個事件做了首次全面披露。2014年8月，安天完成了報告《白象的舞步——HangOver攻擊事件回顧及部分樣本分析》，并將這一攻擊組織中文命名為 “白象”。

為區(qū)分兩個不同的攻擊波，安天將2012~2013年高度活躍的這組攻擊，在本報告中稱之為“白象一代”。

白象一代攻擊

“白象一代”投放了至少近千個不同HASH的PE樣本，使用了超過500個C&C域名地址;其開發(fā)人員較多，開發(fā)團隊技能混雜，樣本使用了VC、VB、.net、Autoit等多種環(huán)境開發(fā)編譯;同時其未使用復雜的加密算法，也未發(fā)現(xiàn)使用0day漏洞和1day的漏洞，而更多的是采用被部分中國安全研究者稱為“亂扔EXE”的簡易社會工程學——魚叉式網(wǎng)絡釣魚攻擊。PE免殺處理是該攻擊組織所使用的主要技巧，這也是使這組攻擊中的PE載荷數(shù)量很大的原因之一。

白象二代攻擊

2015年年底，安天又發(fā)現(xiàn)一組來自“西南方向”的攻擊進一步活躍，通過持續(xù)跟蹤發(fā)現(xiàn)本次行動的攻擊主要目標依然為中國和巴基斯坦，通過安天監(jiān)控預警體系分析發(fā)現(xiàn)，中國的受攻擊者主要為教育、軍事、科研等領域。

第二攻擊波的行動擺脫了“白象一代”雜亂無章的攻擊手法，整體攻擊行動顯得更加“正規(guī)化”和“流程化”。第二攻擊波普遍使用了具有極高社工構造技巧的魚叉式釣魚郵件進行定向投放，至少使用了CVE-2014-4114和CVE-2015-1641等三個漏洞;其在傳播層上不再單純采用附件而轉為下載鏈接、部分漏洞利用采取了反檢測技術對抗;其相關載荷的HASH數(shù)量則明顯減少，其中使用了通過Autoit腳本語言和疑似由商業(yè)攻擊平臺MSF生成的ShellCode;同時其初步具備了更為清晰的遠程控制的指令體系。安天將這組攻擊稱為“白象二代”。

對比白象一代攻擊與白象二代攻擊

安天表示，目前尚無證據(jù)表明“白象一代”和“白象二代”組織間存在人員交叉。從整體上來看，“白象二代”相比“白象一代”的技術手段更為高級，其攻擊行動在整體性和技術能力上的提升，可能帶來攻擊成功率上的提升。而其采用的更加暴力和野蠻的投放方式，使其攻擊次數(shù)和影響范圍遠遠比“白象一代”更大。

“白象二代”的技術手法相比“白象一代”有質的提升，其更符合某些研究者對于APT攻擊的“技術定義”， 但安天始終要指出，APT的“A(高級)”是相對的，是否稱為APT攻擊，主要是分析攻擊的發(fā)起方與其動機和意志，而所謂技術水平則不是定性的主要因素。同時，無論是“白象一代”輕量級的攻擊，還是“白象二代”顯得更為高明的攻擊，對于中國龐大的信息體系，特別是針對高等院校等民用機構，構成了嚴重的威脅。

安天將“白象一代”和“白象二代”的部分要素通過表格的形式進行了對比，可以看出相關國家背景攻擊能力的發(fā)展：

大國網(wǎng)絡空間防御能力最終會由攻擊者和窺視者檢驗

在過去數(shù)年間，中國的信息系統(tǒng)和用戶遭遇了來自多方的網(wǎng)絡入侵的持續(xù)考驗，這些攻擊使用各種高級的(也包括看起來并不足夠高級的)攻擊技巧，以獲取機要信息、科研成果和其他秘密為對象。攻擊組織在關鍵基礎設施和關鍵信息系統(tǒng)中長期持久化，以竊密和獲取更多行動主動權為目的，其危害潛在之大、影響領域之深，絕非網(wǎng)站篡改涂鴉或傳統(tǒng)DDoS所能比擬。這些攻擊也隨實施方的戰(zhàn)略意圖、能力和關注點的不同，表現(xiàn)出不同的方法和特點。盡管中國用戶更多焦慮于那些上帝視角的攻擊，但從針對“白象”的分析可以看到，來自地緣利益競合國家與地區(qū)的網(wǎng)絡攻擊，同樣是中國信息化的重大風險和挑戰(zhàn)。

而且這些攻擊往往雖然顯得有些粗糙，但卻更為頻繁和直接，揮之不去。

對于類似白象這樣的攻擊組織，因缺少人脈和電磁能力作為掩護，其更多依賴類似電子郵件這樣的互聯(lián)網(wǎng)入口。從一個全景的防御視圖來看，這本來是一個可以收緊的入口，但對于基礎感知、檢測、防御能力不足的社會肌體來說，這種具有定向性的遠程攻擊是高度有效的，而且會淹沒在大量其他的非定向的安全事件中。

大國防御力，由設計所引導、以產(chǎn)業(yè)為基礎、與投入相輔相成，但最終其真實水平，要在與攻擊者和窺探者的真實對壘中來檢驗。

APT防御需要信息化基本環(huán)節(jié)和安全能力的共同完善

從“白象”系列攻擊中，我們首先能看到中國在信息化發(fā)展上的不足。在“白象二代”組織所投放的目標電子郵箱當中，其中很大比例是免費個人郵箱，在安天之前關于我國郵件安全的內(nèi)部報告中，就已經(jīng)指出國內(nèi)機構用戶有近一半的都使用免費個人信箱作為聯(lián)絡郵件這一問題。而國內(nèi)免費信箱的安全狀況已高度不容樂觀。在啟動信息高速公路建設二十年后，國內(nèi)依然沒有對官方機構和政務人員實現(xiàn)有效的安全電子郵件服務的覆蓋，這種企業(yè)、機構級信息化基礎設施的匱乏，包括互聯(lián)網(wǎng)服務商缺乏有效的安全投入，導致了可攻擊點高度離散，降低了攻擊門檻，提升了防御難度。

從“白象”系列攻擊中，我們還能看到中國大量基礎的信息安全環(huán)節(jié)和產(chǎn)品能力還不到位，“白象一代”曾被安天定性為輕量級APT攻擊，以免殺PE輔以有限的社會工程技巧，進行投放，但卻成功入侵了中國的高等學府。“白象二代”組織盡管在手法上有很大提高，但亦未見其具備0day儲備，其所使用的三個漏洞，在為“白象組織”使用時，微軟已經(jīng)將其修補，而其中兩個并未經(jīng)過免殺處理。而類似這樣的攻擊依然能夠大行其道，也是當前補丁、系統(tǒng)加固等基礎安全環(huán)節(jié)不到位、產(chǎn)品能力不足的體現(xiàn)。

相關攻擊亦說明，傳統(tǒng)的以單包檢測為核心的流量入侵檢測機制，實時檢測為訴求的邊界安全機制等需要得到有效補充和擴展，重要系統(tǒng)必須建立起在流量還原層面針對載荷投放的有效留存和異步深度檢測機制。流量還原與沙箱的組合，將成為重要系統(tǒng)的標配。沙箱不是簡單地補充行為分析能力，而是提升攻擊者預測防御方能力和手段的成本，而不進行能力改進，簡單漢化開源沙箱的做法，等于放棄了沙箱產(chǎn)品的“抗繞過”這一重要安全特性。沙箱絕非簡單的合規(guī)安全環(huán)節(jié)，當年部分IDS 簡單借鑒模仿開源SNORT就能夠有效發(fā)現(xiàn)問題的時代已經(jīng)過去。沙箱也不是簡單的擴展反病毒引擎的檢測能力，其核心價值在于有效的漏洞觸發(fā)能力和行為的揭示能力，這需要長期以來的安全積累實現(xiàn)工程能力轉化。而其單對象輸入，多向量輸出的產(chǎn)品特點，意味著這是必須依托網(wǎng)絡管理者和廠商支撐團隊的有效互動才能有效發(fā)揮價值的產(chǎn)品。

同時無論形態(tài)是PC、服務器或云，終端都是數(shù)據(jù)的基本載體，安全的終極戰(zhàn)場，網(wǎng)絡側的安全能力必須與終端側聯(lián)通，形成縱深防御體系。國產(chǎn)操作系統(tǒng)同樣需要安全手段和機制的保駕護航。任何期望御敵于網(wǎng)絡邊界或物理隔離的想象，任何“一招鮮，吃遍天”的打包票承諾，都只能是自我的心理安慰。

反APT是一種綜合的體系較量

反APT攻擊，要對抗攻擊者在人員、機構、裝備、工程體系方面的綜合投入，其必然是一場成本較量，今天我們看到的安全低于成本價中標等不正常的市場行為，最終都將傷害大國網(wǎng)絡空間安全的整體能力。

反APT攻擊，要對抗攻擊者堅定、持續(xù)的攻擊意志，而這同樣對于對抗APT的安全分析團隊提升了更高的要求，從安全廠商角度，是在感知分析工程體系支撐下的持續(xù)對抗;我們必須持續(xù)跟蹤攻擊者的技巧、意圖和路徑，將這些經(jīng)驗轉化為用戶側的防御改善和產(chǎn)品能力更新。安全分析團隊既要有曝光對手的勇銳，也要有戍邊十載、不為人知的意志與沉穩(wěn)。

此外，我們覺得遺憾的是， “白象”作為非?；钴S的APT攻擊行動，在過去數(shù)年都仿佛始終在國際大部分主流安全廠商的視野之外。因此，像安天過去的多篇報告一樣，本報告也將以中、英雙語發(fā)布，盡管我們不知道會有多少海外讀者，但我們希望告知世界關于中國所遭遇到的網(wǎng)絡攻擊的真實情況，“中國是網(wǎng)絡安全受害者”這一事實必然會戰(zhàn)勝某些人所制造的刻板偏見。

點擊下載完整《白象的舞步——來自南亞次大陸的網(wǎng)絡攻擊》報告。