近期,法国大选遭受俄罗斯黑客攻击的报道甚嚣尘上,各路安全专家和威胁情报公司纷纷聚焦,晒分析找证据,马克龙团队9G资料被窃取、APT28 Metadata分析……,使得去年涉嫌干扰美国大选,具有俄罗斯军情机构背景的APT28再次处于风口浪尖之上。从趋势科技到ThreatConnect都调查认为证据充分,APT28真的攻击了马克龙竞选团队了吗?我看未必,在此,我就来演示一下如何伪装APT28进行假冒攻击。

如何伪装成APT28进行假冒攻击-RadeBit瑞安全

创建虚假-元数据标识(Metadata)

只需要安装一个俄语版的Windows系统,然后添加一个名为Дмитрий(德米特里)的俄语账户,安装Microsoft Office程序,打开一个新文档,好吧,接下来你编辑或创建的任何文档,看似都出自莫斯科且用户名为德米特里的系统,而在该系统中用Visual Studio进行程序或恶意软件编写都会带有与此相同的属性特征。

如何伪装成APT28进行假冒攻击-RadeBit瑞安全

接下来,我们就对原始钓鱼文档中的元数据进行修改。以random.docx文档为例,把其后缀更改为.zip后成为random.zip,解压该文件,其docProps目录下的文件core.xml中就包含了时间、作者等元数据信息,好吧,随你所想,改成你所希望伪装的信息吧!RadeBit

如何伪装成APT28进行假冒攻击-RadeBit瑞安全

模仿攻击

对于当前的一些高级APT技术,病毒分析人员和安全厂商都会在报告里或多或少给出了相关的TTPs特征。所以,利用这些TTPs特征形成的攻击方法去冒充一个已知的APT组织是完全可行的,而且,在这之前,我们也观察到了类似的假冒攻击行为。RadeBit瑞安全

攻击架构重用和伪造虚假DNS数据

各个APT组织在攻击活动中都有自己的一系列惯用域名,这些域名信息可以从一些安全公司发布的分析报告中找到。而有些安全分析人员甚至会通过域名抢注方式,接管控制一些APT组织使用的域名,以追踪APT组织的动向。通过这种方式,我发现了APT28在2014年使用过的域名asisonlline[.]org、bostondyn[.]com、cublc[.]com,当前是可注册状态,任何人都可以通过注册它们来假冒攻击或迷惑分析。

ThreatConnect近期对APT28攻击干扰法国大选的取证分析中,认为攻击者使用了邮箱johnpinch@mail[.]com注册了用来进行钓鱼攻击的域名onedrive-en-marche[.]fr,另外,还披露了其它详细的注册信息,包括地址、联系电话、姓名等线索。如下所示:

如何伪装成APT28进行假冒攻击-RadeBit瑞安全

在此,为了伪装得更像一点,我使用了这些相同的注册信息注册了我自己设置的域名:totally-legit-cloud.email,因为在域名注册过程中,所有注册信息都不会被要求验证,因此,任何人都可以据此进行假冒,伪装利用他人信息。看看是不是很像啊:RadeBit

如何伪装成APT28进行假冒攻击-RadeBit瑞安全

按照某些开源威胁情报分析工具(OSINT)的关联分析结论来看,现在,我的域名已经正式和APT28的攻击架构关联在一起了。现在,我就是APT28组织成员了,可以发起攻击了!RadeBit瑞安全

如何伪装成APT28进行假冒攻击-RadeBit瑞安全

那到底是谁击入侵攻击了法国大选的呢?RadeBit

到目前为止我们也只能做出假设。现在,大家都知道存在虚假信标攻击了,APT28的策略专家可能会继续进行攻击,但肯定不会利用这么一个明显的,连白痴都知道的指纹信息。因为任何人都能利用这些指纹信息进行假冒攻击,而一些安全公司为什么还这么肯定呢?为什么就不能改改你们的TTPs分析结果呢?因此,也有一些安全分析师可能会说“这也太明显了,不可能是俄罗斯人干的吧”。可能是,也或不是。但到底是或不是,我想只有那些情报机构才真正知晓,当然了,俄罗斯人的网络攻击技术能力也是不可否认的。

在威胁情报分析中,所有的元数据信息(Metadata)都只能反映一种线索可能性,必须要与其它来源信息进行共同映证才能形成可靠证据,否则,这种片面的分析结果将会南辕北辙。

只凭Metadata信息是得不到准确溯源调查(Attribution)结果的

相较于以往,现在任何字节的代码都能被假冒或进行伪装,众所周知,从最近泄露的机密文档可知,就连CIA和NSA都采用这种方法,使用特定工具来进行隐匿自身,假冒攻击,从而嫁祸他国。比如在方程式组织(EquationGroup)被曝光的NSA武器库中,就有一款名为ELECTRICSLIDE的工具,通过伪装成中国用户浏览器发出HTTP请求:

如何伪装成APT28进行假冒攻击-RadeBit瑞安全

在未来的网络攻击活动中,根本不可能进行准确的网络溯源追踪,因为那些精明的APT组织都会有训练有素的支持团队对一些别国的网络利用工具(CNE)进行二次开发利用。

另外,有些人也可能会意识到,大多数国家间的APT对抗组织,其IoC威胁指标都是机密信息或只保存于限制性报告中,仅限政府CERT应急响应组织和相关机构才能合法获取到这些信息。就像英国GCHQ在招募网络工程师进行网络防防御和攻击时,必须要求工程师同时具备网络攻防技能,因为,一些隐蔽的网络利用工具(CNE)将会被广泛应用于未来的网络战中,未知攻,焉知防,只有知己知彼,方能百战不殆。

外交因素

除此之外,我们必须承认现代黑客技术也是一种释放信息的手段。我们大胆地YY或假设一下,也或许这就是俄罗斯向下届法国总统的一种侧面表态,“看看吧,我们能轻轻松松地入侵攻击你,你不喜欢普京可以,但千万别惹我们”,呵呵,这在军事上叫耀武扬威。新上任的马克龙肯定会记得,他和他的竞选团队曾被黑客成功入侵过,就像有人在暗中时刻用狙击步枪的激光瞄准器指着你,永远都是一种威胁。这也是网络攻击可以作为震慑手段的一种体现。

总结

作为网络世界的个体,我们不要被那些表面的报道或技术证据所蒙蔽所误导。因为网络攻击溯源调查并不是那么简单容易的事,攻击事件的意义是什么,攻击者的意图又是什么,我们或许都并不清楚。只有那些真正高度可信并且可以相互映证的信息线索,才能拨开网络攻击的迷雾,揭露网络攻击的真凶。那些站不住脚,经不起推敲的分析、假设或线索都是苍白且毫无根据的。

RadeBit瑞安全