當前位置:
首頁 > 新聞 > 看我如何偽裝成APT28進行假冒攻擊

看我如何偽裝成APT28進行假冒攻擊



近期,法國大選遭受俄羅斯黑客攻擊的

報道

甚囂塵上,各路安全專家和威脅情報公司紛紛聚焦,曬分析找證據,馬克龍團隊

9G資料

被竊取、APT28 Metadata分析……,使得去年涉嫌干擾美國大選,具有俄羅斯軍情機構背景的APT28再次處於風口浪尖之上。從

趨勢科技

到T

hreatConnect

都調查認為證據充分,APT28真的攻擊了馬克龍競選團隊了嗎?我看未必,在此,我就來演示一下如何偽裝APT28進行假冒攻擊。


作者 | clouds

創建虛假-元數據標識


只需要安裝一個俄語版的Windows系統,然後添加一個名為Дмитрий(德米特里)的俄語賬戶,安裝Microsoft Office程序,打開一個新文檔,好吧,接下來你編輯或創建的任何文檔,看似都出自莫斯科且用戶名為德米特里的系統,而在該系統中用Visual Studio進行程序或惡意軟體編寫都會帶有與此相同的屬性特徵。



接下來,我們就對原始釣魚文檔中的元數據進行修改。以random.docx文檔為例,把其後綴更改為.zip後成為random.zip,解壓該文件,其docProps目錄下的文件core.xml中就包含了時間、作者等元數據信息,好吧,隨你所想,改成你所希望偽裝的信息吧!


模仿攻擊


對於當前的一些高級APT技術,病毒分析人員和安全廠商都會在報告里或多或少給出了相關的TTPs特徵。所以,利用這些TTPs特徵形成的攻擊方法去冒充一個已知的APT組織是完全可行的,而且,在這之前,我們也

觀察到了

類似的假冒攻擊行為。


攻擊架構重用和偽造虛假DNS數據


各個APT組織在攻擊活動中都有自己的一系列慣用域名,這些域名信息可以從一些安全公司發布的分析報告中找到。而有些安全分析人員甚至會通過域名搶注方式,接管控制一些APT組織使用的域名,以追蹤APT組織的動向。通過這種方式,我發現了APT28在2014年

使用過的域名

asisonlline[.]org、bostondyn[.]com、cublc[.]com,當前是可註冊狀態,任何人都可以通過註冊它們來假冒攻擊或迷惑分析。


ThreatConnect近期對APT28攻擊干擾法國大選的

取證分析

中,認為攻擊者使用了郵箱johnpinch@mail[.]com註冊了用來進行釣魚攻擊的域名onedrive-en-marche[.]fr,另外,還披露了其它詳細的註冊信息,包括地址、聯繫電話、姓名等線索。如下所示:


在此,為了偽裝得更像一點,我使用了這些相同的註冊信息註冊了我自己設置的域名:

totally-legit-cloud.email

,因為在域名註冊過程中,所有註冊信息都不會被要求驗證,因此,任何人都可以據此進行假冒,偽裝利用他人信息。看看是不是很像啊:



按照某些開源威脅情報分析工具(OSINT)的

關聯分析

結論來看,現在,我的域名已經正式和APT28的攻擊架構關聯在一起了。現在,我就是APT28組織成員了,可以發起攻擊了!


到底是誰擊入侵攻擊了法國大選


到目前為止我們也只能做出假設。現在,大家都知道存在虛假信標攻擊了,APT28的策略專家可能會繼續進行攻擊,但肯定不會利用這麼一個明顯的,連白痴都知道的指紋信息。因為任何人都能利用這些指紋信息進行假冒攻擊,而一些安全公司為什麼還這麼肯定呢?為什麼就不能改改你們的TTPs分析結果呢?因此,也有一些安全分析師可能會說「這也太明顯了,不可能是俄羅斯人乾的吧」。可能是,也或不是。但到底是或不是,我想只有那些情報機構才真正知曉,當然了,俄羅斯人的網路攻擊技術能力也是不可否認的。


在威脅情報分析中,所有的元數據信息(Metadata)都只能反映一種線索可能性,必須要與其它來源信息進行共同映證才能形成可靠證據,否則,這種片面的分析結果將會南轅北轍。



只憑Metadata信息是得不到準確溯源調查(Attribution)結果的


相較於以往,現在任何位元組的代碼都能被假冒或進行偽裝,眾所周知,從最近泄露的機密文檔可知,就連CIA和NSA都採用這種方法,使用特定工具來進行隱匿自身,假冒攻擊,從而嫁禍他國。比如在方程式組織(EquationGroup)被曝光的NSA武器庫中,就有一款名為ELECTRICSLIDE的工具,通過偽裝成中國用戶瀏覽器發出HTTP請求:



在未來的網路攻擊活動中,根本不可能進行準確的網路溯源追蹤,因為那些精明的APT組織都會有訓練有素的支持團隊對一些別國的網路利用工具(CNE)進行二次開發利用。


另外,有些人也可能會意識到,大多數國家間的APT對抗組織,其IoC威脅指標都是機密信息或只保存於限制性報告中,僅限政府CERT應急響應組織和相關機構才能合法獲取到這些信息。就像英國GCHQ在

招募網路工程師

進行網路防防禦和攻擊時,必須要求工程師同時具備網路攻防技能,因為,一些隱蔽的網路利用工具(CNE)將會被廣泛應用於未來的網路戰中,未知攻,焉知防,只有知己知彼,方能百戰不殆。

外交因素


除此之外,我們必須承認現代黑客技術也是一種釋放信息的手段。我們大膽地YY或假設一下,也或許這就是俄羅斯向下屆法國總統的一種側面表態,「看看吧,我們能輕輕鬆鬆地入侵攻擊你,你不喜歡普京可以,但千萬別惹我們」,呵呵,這在軍事上叫耀武揚威。新上任的馬克龍肯定會記得,他和他的競選團隊曾被黑客成功入侵過,就像有人在暗中時刻用狙擊步槍的激光瞄準器指著你,永遠都是一種威脅。這也是網路攻擊可以作為震懾手段的一種體現。



總結


作為網路世界的個體,我們不要被那些表面的報道或技術證據所蒙蔽所誤導。因為網路攻擊溯源調查並不是那麼簡單容易的事,攻擊事件的意義是什麼,攻擊者的意圖又是什麼,我們或許都並不清楚。只有那些真正高度可信並且可以相互映證的信息線索,才能撥開網路攻擊的迷霧,揭露網路攻擊的真兇。那些站不住腳,經不起推敲的分析、假設或線索都是蒼白且毫無根據的。


*參考來源:x0rz,freebuf小編clouds編譯,轉載請註明來自FreeBuf.com


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 FreeBuf 的精彩文章:

暗鏈隱藏的N種姿勢
T-Pot多蜜罐平台:讓蜜罐實現更簡單
pwnable.tw刷題之dubblesort

TAG:FreeBuf |

您可能感興趣

NASA摺疊機翼成功進行縮比飛行試驗
單創APP如何進行購物?
美軍進行AGM-158C遠程隱身反艦導彈第六次試射,性能如何?
如何設計sgRNA,構建載體,對靶基因進行敲除
如何使用RDP中間人攻擊進行橫向滲透
OTT保有量達2億,OTT巨頭們是如何進行營銷的?
「ME TOO」運動在韓如火如荼進行
NASA開始進行「火星2020號」探測器的發射前組裝
NASA:TESS發射推遲到周四 對多系統進行進一步分析
美軍OH-58D組成空前編隊進行告別飛行
MWC2018上華為發布的5G CPE是什麼?我們對它這樣進行了一些解釋
AI落地進行時 創維2018CITE傾力打造AI新體驗
40年前發射的空間探測器,沒有CCD是如何進行圖像傳輸的?
「預售」APM |FUN.CRAZY.LOVE系列預售火熱進行中,26號萬象城我們瘋狂相遇,限量禮品快戳
蘋果將在iOS 11.3推出ARKit 1.5版本,對ARKit進行重磅升級
Zen CPU存在13處安全隱患,AMD就此進行了回復
NASA計劃針對近地小行星進行核攻擊 避免對地球造成危險
蘋果正準備對AirPods進行升級 將來可以防水
蘋果可能開始對2018 iPhone系列產品進行試生產 以避免出現瓶頸
專家析12架轟6K同時出動:可對敵進行毀滅性打擊