The Dukes原因
The Dukes系列是APT29最早的组织代号,早期的Dukes特马工具是在由卡巴斯基安全团队作为未知类型攻击组件进行命名披露的。对于The Dukes系列的归因,我们重点探讨如何将The Dukes归因至俄罗斯政府背景黑客组织,而对于如何将APT29关联到俄罗斯联邦对外情报局(SVR)不在本文讨论范围内。
WellMess原因
WellMess系列木马在由JPCERT作为一款独立的新型木马披露。,在对英美在内的全球COVID-19疫苗研制机构的网络间谍活动中出现了WellMess的身影,英国、美国、加拿大三国的国家情报机构(NCSC、NSA、CISA、CSE)联合发文将该系列攻击事件归因至具有俄罗斯联邦对外情报局背景的APT29,具体归因点并未披露。外界至今对于将WellMess归因至APT29仍然存在少许争议。
8月,英国普华永道安全咨询公司在“WellMess malware: analysis of its Command and Control (C2) server”一文中给出了部分归因证据,即WellMess与已知APT29 SeaDuke组件在关联,二者均存在使用攻击失陷的第三方网站作为C&C服务器,以及二者在网络通信中使用的数据加密协议较为相似。我们重点注意通信数据加密协议,二者在HTTP协议通信过程中,均会使用header部分的Cookie字段来传输C&C指令,并且在C&C指令的加密逻辑上较为相似。
Table 3 加密协议比较
分析对比二者HTTP通信中传输的自定义加密数据表现如下,二者非常相似。
图【24】 SeaDuke与WellMess通信流量
综上,考虑到SeaDuke和WellMess特有的应用层数据加密协议以及使用HTTP header部分Cookie字段传输加密数据的共同偏好,可将该关联点作为将WellMess归因至SeaDuke所属的APT29的强关联论据。
Nobelium原因
划分Nobelium分支的一个标志性事件是12月曝光的Solarwinds供应链攻击活动,该攻击活动的主要受害者为美国和欧洲国家的政府实体、科研、能源等机构。攻击活动发现之后,美方情报机构联合FireEye、Volexity等第三方安全公司对攻击活动进行深入调查分析。在已披露的调查报告中,其实并没有提供将Solarwinds事件归因至APT29的确切证据,各安全公司多采用私有命名对幕后攻击者进行归类,随后美方政府基于受害者立场下的国际政治局势因素将该事件归因至APT29。准确来讲,是将Solarwinds供应链攻击事件定性为俄罗斯政府背景支持的间谍活动。
微步情报局在深入总结已有情报信息之后,梳理了两条可用于归因的佐证线索:卡巴斯基披露的Sunburst木马(Solarwinds供应链攻击活动中植入的特马)与Kazaur木马(归属于俄罗斯背景的Turla组织的特马)的代码相似性,瑞士安全公司Prodaft在SilverFish组织的调查报告中攻击者背景分析。下面我们分别来论述:
Sunburst与Kazaur的代码相似性
Kazuar木马是PaloAltoNetworks 安全公司在 年首次报道的 .NET 后门,并将该特马归因至Turla APT组织。两款木马在C&C上线时均采用特定休眠算法实现数周时间的上线延时。二者计算休眠时间算法高度相似,均遵循下述逻辑。
Sunburst木马计算C&C上线延时的休眠时间算法实现如下,延时12到14天。
图【25】 Sunburst休眠时间算法
Kazuar木马计算C&C上线延时的休眠时间算法实现如下,延时14到28天。
图【26】 Kazuar休眠时间算法
其次,Sunburst和Kazuar特马运行过程中都采用动态方式获取核心函数,通过计算遍历获取的Windows API名称摘要与硬编码值比较来判定,二者均采用自定义修改的FNV-1a哈希算法。FNV哈希算法全名为Fowler-Noll-Vo算法,是以三位发明人Glenn Fowler、Landon Curt Noll、Phong Vo的名字来命名的,最早在1991年提出。FNV-1a摘要算法的标准实现逻辑如下,算法中包含两个初始向量:初始哈希种子offset_basis,迭代相乘的种子FNV_prime。简单描述其逻辑为:从待计算字符串中取出指定步长数据,将取出数据先与初始哈希向量做异或运算,然后将结果与初始乘法种子做乘法运算,将计算结果赋值为初始哈希向量,然后取待计算字符串后续单位数据迭代上述过程,最终得到计算结果。
Sunburst和Kazuar在使用FNV-1a算法时均进行了相同的修改:增加一个新的硬编码key,将标准FNV-1a计算后的哈希最后与该key进行异或运算。
二者在代码层实现如下:
图【27】 Sunburst改变后的FNV-1a算法
图【28】 Kazuar改变后的FNV-1a算法
在计算当前PC机器UID标识序列时,Sunburst和Kazuar均采用相同算法(MD5+XOR),即通过既定字符串计算MD5摘要,然后将该散列值与出初始四字节逐字节异或得到最终UID序列。
Sunburst中UID生成算法如下:
图【29】 Sunburst GUID生成算法
Kazuar中GUID生成算法如下:
图【30】Kazuar GUID生成算法
客观来看待上述几种加密算法的相似性,其实并不能作为强有力的关联证据,尤其是FNV-1a算法的改编和UID生成算法,因为上述算法相对较为简单,而且对于标准算法的微调存在较大的偶然性。对此,卡巴斯基在披露文章中表述了一个客观的论证前提:基于已有的海量恶意样本库,满足上述算法指纹的样本主要出现在Sunburst和Kazuar特马中,特别是使用NextDouble函数的自定义休眠时间算法。
SilverFish调查报告
SilverFish是瑞士安全公司Prodaft对包括Solarwinds供应链攻击事件在内的一系列攻击活动的背后组织的私有命名。在“SilverFish GroupThreat Actor Report”一文中,Prodaft公司PTI威胁情报团队基于成功反制木马主控端后台对Solarwinds供应链攻击活动中的受害者、攻击组织背景、主控端后台资产、攻击者操作日志等进行深入分析披露。该报告也是迄今为止将Solarwinds事件归因至俄罗斯政府的最直接论据来源。本节我们侧重于梳理总结报告中提及的Solarwinds事件归因点。
总结归因点之前,先回顾一下Prodaft成功渗入Solarwinds事件木马主控端后台的流程,这一步也是调查过程中最为关键的一步,虽然过程存在非常大的运气成分。Prodaft团队调查之初,重点分析当时还处于存活状态的攻击者资产“”,该域名解析至5.252.177.21,在该主机上的2304端口存在PowerMTA邮件服务,同时通过URL路径暴力访问发现存在名为“example.php”的资源文件,基于2304端口的PowerMTA服务和IP:2304/ example.php特征进行网络空间搜索并排除掉无关站点,发现新的攻击者资产81.4.122.203,继续进行同C段的子网调查,分析人员发现81.4.122.101站点存在疑似木马控制端登录页面信息,爆破登录该主机后,经分析验证为Solarwinds事件控制端后台。其流程图绘制如下:
图【31】Prodaft渗入Solarwinds事件木马主控端后台的流程
接下来我们将逐一梳理该调查报告中将Solarwinds事件归因至俄罗斯黑客组织的细节:
C&C后台源代码中携带的开发者ID
在C&C后台的PHP源代码中静态包含14个人的昵称和ID,多数ID曾在俄语地下论团中活跃。该线索可以初步证明攻击者拥有浏览俄语黑客团队的习惯。
图【32】摘自Prodaft报告,含黑客ID的PHP代码
C&C后台关于中马机器的俄语信息备注
C&C后台面板中上线机器一栏均存在名为“Comment”的信息单元格,此位置用于后台操作人员填写关于受控机器信息,当前已存在的备注信息多采用俄语俚语或白话,如“dno”、“pidori”、“poeben”、“poebotina”、“psihi”、“hernya”、“xyeta”、“gavno”。该线索说明C&C后台操作人员具有俄语背景。
流量重定向代码过滤CIS独联体国家受害者
基于当前C&C后台拓线的其他失陷类型C&C站点上存在用于流量重定向的PHP代码,该代码会过滤掉包含阿塞拜疆、亚美尼亚、白俄罗斯、哈萨克斯坦、吉尔吉斯斯坦、摩尔多瓦、俄罗斯、塔吉克斯坦、土库曼斯坦、乌兹别克斯坦、乌克兰、格鲁吉亚在内的CIS独联体国家的受害者机器回连流量,其中还设置了俄语、乌克兰语等在内的语种过滤条件,对于美国和加拿大不予过滤。代码中使用注释语句为俄语。考虑到Solarwinds供应链攻击事件受害者遍布全球,攻击者在受害者回连流量重定向代码中主动过滤掉非目标的俄语系国家,该行为可作为将Solarwinds供应链攻击事件归因至俄罗斯背景黑客组织的强归因论据。
图【34】摘自Prodaft报告,重定向流量过滤代码
关注我,持续更新更多网络安全技术知识!!!
