1. 概述

在當(dāng)前的網(wǎng)絡(luò)安全環(huán)境中，APT組織的活動(dòng)愈發(fā)頻繁，利用其高級(jí)技術(shù)和社會(huì)工程手段，針對(duì)全球范圍內(nèi)的政府、軍事和企業(yè)目標(biāo)發(fā)起了一系列復(fù)雜的網(wǎng)絡(luò)攻擊。在不斷升級(jí)的攻擊中，開源和商業(yè)工具憑借其靈活性、易用性和全球化攻擊能力等優(yōu)勢(shì)，逐漸成為一些APT組織的首選。然而，這些工具通常具備復(fù)雜的加密通信機(jī)制，使得對(duì)其流量特征的分析與研究尤為重要。本文將分析APT組織所使用的開源和商業(yè)工具，說(shuō)明它們?cè)跀?shù)據(jù)結(jié)構(gòu)、通信協(xié)議和加密方式等方面的獨(dú)特性，旨在為網(wǎng)絡(luò)安全防御者提供識(shí)別和防御APT攻擊的新視角。

1. 工具列表

工具	組織	協(xié)議	加密方法
CobaltStrike	海蓮花、APT29	HTTP、TLS1.2	AES、MASK、RSA
Remcos	摩訶草	TLS1.3	/
TinyShell	東亞方向	TCP	AES-128-CBC
Chisel	海蓮花	WebSocket	/
AsyncRAT	Earth Berberoka、APT29、MuddyWater等	TLS1.0	AES-256-CBC
Brute Ratel C4	摩訶草	TLS1.2	/

1. 流量特征分析

我們針對(duì)APT組織在不同攻擊階段所使用的開源和商業(yè)工具進(jìn)行了深入研究，著重分析這些工具的加密通信特征，為檢測(cè)發(fā)現(xiàn)相關(guān)APT組織活動(dòng)提供依據(jù)。

1. 1. CobaltStrike

由于 Cobalt Strike 擁有強(qiáng)大的命令與控制 （C2） 功能、豐富的后滲透模塊和靈活的腳本支持，使其成為安全評(píng)估和攻擊模擬的重要工具。近年，海蓮花組織頻繁使用這一工具。在使用 HTTP 協(xié)議進(jìn)行通信時(shí)，該組織采用了 MASK 掩碼的加密方式，隨機(jī)生成4字節(jié)密鑰，和數(shù)據(jù)進(jìn)行異或運(yùn)算形成密文。該加密方式通過(guò)對(duì)數(shù)據(jù)進(jìn)行特定規(guī)則的變換，使加密后的數(shù)據(jù)能夠更好的隱藏攻擊者的惡意行為。并且確保了相同的內(nèi)容在每次加密后，其密文都會(huì)不同。這些加密的數(shù)據(jù)通常會(huì)被隱藏在 Cookie、URL 和其他字段中進(jìn)行傳輸。見下圖。

圖 1 Cobalt Strike MASK加密流量

1. 1. Remcos

Remcos 作為遠(yuǎn)程控制程序被摩訶草組織頻繁使用。該工具使用 TLS 1.3 協(xié)議進(jìn)行通信。其加密通信有區(qū)別于正常TLS通信的地方：在兩次 TLS 握手中，ServerHello 消息中的 Random 字段值不變，如下圖所示。

圖 2 Remcos流量

載荷傳輸?shù)臄?shù)據(jù)由自定義的格式構(gòu)成，如下圖所示，數(shù)據(jù)由“4字節(jié)的固定魔術(shù)值+4字節(jié)的數(shù)據(jù)長(zhǎng)度+4字節(jié)的控制碼+數(shù)據(jù)”組成。

圖 3 數(shù)據(jù)結(jié)構(gòu)

1. 1. TinyShell

東亞方向某組織曾使用此工具，TinyShell是一款開源的Unix類后門shell工具，具備以下三個(gè)功能：通信加密；支持上傳、下載；正向連接和反彈shell。該工具使用自定義的TCP協(xié)議進(jìn)行通信，通信數(shù)據(jù)采用AES-128-CBC加密，并通過(guò)HMAC進(jìn)行驗(yàn)證。其通信特征表現(xiàn)為在建立TCP連接后，載荷長(zhǎng)度序列有一定規(guī)律[40, 52, 52, 36, 124]，反映了其固定的行為模式，見下圖。

圖 4 TinyShell流量

1. 1. Chisel

海蓮花組織使用過(guò)此工具，Chisel的通信流量特征包括在其WebSocket協(xié)議升級(jí)中包含隧道工具的版本信息“chisel-v3”，以及在WebSocket信道內(nèi)進(jìn)行SSH加密協(xié)商時(shí)的版本信息“SSH-chisel-v3-server”。并且此組織使用Chisel的時(shí)候服務(wù)器存在兩點(diǎn)特征：一是服務(wù)器的SSH是大端口，二是server host key中使用了較少見的算法套件ecdsa-sha2-nistp521。

圖 5 Chisel流量

圖 6 Chisel流量詳情

1. 1. AsyncRAT

AsyncRAT因其強(qiáng)大的遠(yuǎn)控功能和易用性，被多個(gè)APT組織用于實(shí)施遠(yuǎn)程控制和數(shù)據(jù)竊取。通信協(xié)議使用TLS1.0版本，加密載荷內(nèi)的通信數(shù)據(jù)采用AES-256-CBC進(jìn)行二次加密。該工具行為模式相對(duì)固定，存在明顯的心跳行為，時(shí)間間隔和心跳數(shù)據(jù)長(zhǎng)度均固定。

圖 7 AsyncRAT流量

AsyncRAT 使用的默認(rèn)證書中的證書序列號(hào)為“0f 39 39 39 39 31 32 33 31 32 33 35 39 35 39 5a”，見下圖。

圖 8 AsyncRAT證書特征

1. 1. Brute Ratel C4

近期研究發(fā)現(xiàn)，Patchwork組織進(jìn)行了較大的武器更新，首次使用了商業(yè)攻擊工具Brute RatelC4。該工具是由Mandiant和CrowdStrike的前紅隊(duì)隊(duì)員ChetanNayak發(fā)布的工具包，用以替代因使用廣泛而被安全公司重點(diǎn)防范的CobaltStrike框架。

該工具使用TLS協(xié)議進(jìn)行通信，流量中有明顯的心跳特征，并且心跳載荷長(zhǎng)度固定。將載荷進(jìn)行解密后，可以看到應(yīng)用層HTTP報(bào)文。HTTP通信采用POST方法，URL、User-Agent等字段均為監(jiān)聽器配置中設(shè)置的固定值，請(qǐng)求體Data部分有Base64編碼的數(shù)據(jù)，每次發(fā)送的心跳內(nèi)容保持不變。

圖 9 Brute Ratel C4 TLS流量

圖 10 Brute Ratel C4解密后流量

1. 檢測(cè)

觀成瞰云（ENS）-加密威脅智能檢測(cè)系統(tǒng)能夠?qū)PT組織使用的多種開源和商業(yè)攻擊武器進(jìn)行有效檢出，檢測(cè)結(jié)果見下圖。

圖 11 觀成瞰云（ENS）-加密威脅智能檢測(cè)系統(tǒng)Remcos檢測(cè)結(jié)果

圖 12 觀成瞰云（ENS）-加密威脅智能檢測(cè)系統(tǒng)Chisel檢測(cè)結(jié)果

圖 13 觀成瞰云（ENS）-加密威脅智能檢測(cè)系統(tǒng)CobaltStrike檢測(cè)結(jié)果

1. 總結(jié)

在分析 APT 組織使用的開源和商業(yè)工具的加密通信特征后，我們能夠更好的掌握這些工具的行為模式和通信特征，從而為APT攻擊的檢測(cè)提供新的線索。隨著網(wǎng)絡(luò)攻擊手段的不斷演變，我們的檢測(cè)和防御措施也必須持續(xù)改進(jìn)，在此過(guò)程中，對(duì)加密通信流量的分析將成為防御策略的核心，幫助我們應(yīng)對(duì)不斷變化的APT威脅。接下來(lái)，觀成科技安全研究團(tuán)隊(duì)將繼續(xù)追蹤和分析APT組織使用的開源和商業(yè)工具，以保持對(duì)最新威脅的警覺，并不斷優(yōu)化檢測(cè)方法，以適應(yīng)變化的攻擊手段，進(jìn)一步守護(hù)加密網(wǎng)絡(luò)空間的安全。