近日，Forcepoint公司披露了一起針對巴基斯坦政府部門的APT攻擊事件。墨俠團隊通過對網絡基礎設施的關聯信息分析，得到了BITTER與APT 28組織很可能師出同門的結論。本文將對此次攻擊進行分析總結。

本報告中將詳細給出對本事件的分析步驟，僅作為交流作用，不存在任何指導意義。

1.對事件定性

APT攻擊和普通的無差異木馬傳播在某種角度上有技術重合部分，比如傳播方式都可以使用郵件的魚叉式攻擊，回傳數據都可能用到CC域名等。在對BITTER組織進行分析時，我們通過以下幾點將本次活動定義為APT攻擊。

1.1目標專一性

APT攻擊和木馬傳播行為最大的不同就是對目標的選擇，APT攻擊的目的是為了竊取目標的機密情報，所以目標都體現出相對的專一性，通常只是特定的行業，甚至行業內幾家相關公司或部委。而普通的傳馬行為通常在選擇目標上是無差異的，目標旨在獲得更多的“肉雞”供攻擊者完成其它用途，比如DDOS。

本次攻擊的發動者“BITTER”在選擇目標上就體現出了較強的專一性，據我們掌握的信息體現出，本次事件的被害者基本都集中在巴基斯坦的政府官員這一范圍內。從目標的選擇上看，符合APT攻擊的特性，但對于傳馬行為則這個范圍相對狹小。

之前由友商披露的“海蓮花”組織曾被質疑不是一起APT攻擊，質疑者的觀點之一就是，目標沒有專一性。報告原文指出“現已捕獲OceanLotus特種木馬樣本100余個，感染者遍布國內29個省級行政區和境外的36個國家。其中，92.3%的感染者在中國。北京、天津是國內感染者最多的兩個地區”如此龐大的目標范圍，需要來維護這次攻擊的成本是無法想象的，而且攻擊者的動機難以預料。所以目標的專一性是對一次攻擊定性的重要依據之一。

1.2工具專業性

APT攻擊之所以被稱為是“高級持續性威脅”，是因為“高級”主要體現在大費周章的收集目標的信息，精心構造的攻擊payload。從近年披露出的APT攻擊事件來看，攻擊者使用的工具也在飛速的進化，不光針對Windows，可用于Linux，Mac甚至移動端的攻擊工具相繼出現。因為攻擊目標的基數有限，所以攻擊者必須保證攻擊payload的高效性，所以APT攻擊中使用的工具也以功能復雜，免殺手段高端而體現“高級”。

“BITTER”組織使用了包含針對WindowsPC和安卓移動端的攻擊工具，并且在對樣本的分析過程中發現這批樣本設計的很精致，功能豐富，并且使用了了大量的加密和混淆分析的手段，保證樣本的存活。攻擊者所使用的釣魚郵件也是為目標專門定制的，體現出在前期的信息收集上，攻擊者也花費了相當的心思。

普通傳馬行為的釣魚郵件則沒有準確的針對性，可能包括實時新聞，夸張言論，甚至不可描述內容。由于目標面向所有可能被入侵的主機，目標基數較大，對種馬成功率的考慮則有所欠缺，所以對木馬結構的設計相對不夠嚴謹。

1.3攻擊持續性

APT攻擊意在長期潛伏在目標內部，源源不斷的獲取攻擊者感興趣的情報，所以一次攻擊的時間往往長達幾年，為了維持權限，攻擊者還可能具有后門的更新手段。

而普通的傳馬行為的目的就是獲得更多的“肉雞”加入到攻擊者的僵尸網絡中，一波攻擊過去再來一波，往往不會出現對攻擊目標長期監控的現象。

在本次事件當中“BITTER”組織使用的樣本最早出現在2013年11月，根據PassiveDNS技術所分析到的攻擊時間軸也基本符合這一時間點，說明該組織對目標的監控可能長達三年之久。

綜合以上幾點，可將本次由“BITTER”組織發起的攻擊定性為一起APT攻擊，進而有了深入分析的價值。

2.Whois信息利用

Whois是用來查詢域名的IP以及所有者等信息的傳輸協議，在威脅情報的分析過程當中，我們通常注意的是注冊者的姓名，注冊郵箱。利用這些信息與之前積累下的威脅情報資源關聯，嘗試找出與以往攻擊事件是否發生資源交叉利用的情況，為攻擊溯源提供強有力證據。

在實際的分析過程當中，自然不會如上說的那么理想化。隨著反威脅情報的發展，攻擊者在部署這些網絡基礎設施時也格外的注意隱藏自己的信息，在這個過程當中就需要分析人員從這些虛假信息中找出可能被我們利用的信息。

2.1 免費動態域名

網絡上有許多免費域名服務商，攻擊者只需要在其頂級域名下注冊一個二級域名，就可以獲得一個免費的網絡空間來部署CC服務器。這也是攻擊者最常見的利用手段。

在本次對BITTER的分析中發現，其使用了大量的這種域名來隱藏自己的信息。如果查詢這種域名的whois信息的話，分析者通常得到是對應的頂級域名，也就是域名提供商的相關信息。

2.2虛假信息

通過對整個事件的分析統計，BITTER組織的域名注冊郵箱統一使用Gmail格式的郵箱。在威脅情報庫內，未發現這些郵箱有重復利用的情況。

APT攻擊通常都伴有政治，軍事或者商業背景，在攻擊者部署網絡基礎設施時都會刻意隱藏有關自身的任何信息，防止安全廠商或者目標感知到威脅后對攻擊進行溯源。

雖然通過whois信息我們通常無法辨別真偽，可以全部造假使得分析人員得到的可用情報相對有限，但這些信息就毫無價值了嗎？暫不考慮whois信息的真實性，我們可以通過一些信息體現出的特征來作為溯源關聯的一些線索或者依據，比如在這次攻擊中，BITTER組織使用的域名基本都為“單詞”+“數字”的固定格式，如果在以后發現的威脅中發現有此類特征，至少可以給分析人員提供一個分析方向來尋找兩者之間更多的共性。這一點的可用性在之前的分析實例中被證明過，比如墨俠團隊在對threatconnect公司披露的“熊貓”系列與某組織進行關聯時發現，兩者注冊者信息部分習慣以“復仇者聯盟”中的角色和中國姓名格式命名，域名服務商均是godaddy.com等。其中任何一條單獨拿出來都可以說是巧合，但多個“巧合”組合起來就可以理解為“吻合”，再通過樣本，目標一致性，PDNS等證據就可以將兩個組織關聯起來。

所以，即使whois信息雖然在大多數情況下都是虛假的，分析人員依然可以通過這些信息得到攻擊者的行為特征來作為溯源線索甚至輔助證據。

3.PassiveDNS信息利用

近年來，隨著威脅情報一起火起來的一個詞就是“PassiveDNS”，被動DNS最初于2004年由FlorianWeimer發明，旨在對抗惡意軟件。根據其定義，遞歸域名服務器會響應其接收到的來自其它域名服務器的請求信息，然后對響應信息進行記錄并將日志數據復制到中央數據庫當中。

在整個威脅情報分析的過程當中，前期的威脅感知和后期的攻擊溯源PassiveDNS都發揮著舉足輕重的作用。在DNS服務器上部署被動DNS“傳感器”，定期對上傳數據進行審核，如果發現異常記錄即可進行深入分析，辨別請求目標是否為惡意鏈接。攻擊溯源時，我們可以查詢到某一域名曾經解析過的IP地址。即使這一域名已經從域名服務器中移除了，也可以查詢到相關的信息。這些信息對分析人員用來確定攻擊持續時間，網絡資源是否交叉利用等起著關鍵作用。

3.1 確定攻擊時間

PassiveDNS的每一條解析記錄都具有時間戳，這個時間戳可以了解到域名的出現時間和歷次的解析行為。通過這兩個信息再配合樣本的編譯時間大致可以確定一個攻擊行為可能的時間軸。再通過審計這段時間內的日志，評估造成的影響和損失。

在分析BITTER組織時，我們發現樣本的編譯時間最早出現在2013年，集中出現在2015年7月至2016年9月期間，再通過CC域名的PassiveDNS記錄可以確定此次攻擊大概從2015年初開始。

3.2網絡資源交叉使用

此部分信息作為事件關聯的最有利的證據，一直以來都是威脅情報分析中重要的分析步驟。PassiveDNS提供的解析記錄不僅可以提供域名的解析動作，也可以提供此IP上解析過哪些域名，如果兩個事件中涉及的CC域名都在同一時間段解析到同一IP上，那么這三者之間必然有一定的聯系，（當然還要判斷此IP的歸屬類型，后文會提到）。

在對BITTER所使用的CC域名進行分析時，經過篩選分析人員注意到一個域名“info2t.com”。PassiveDNS記錄如下

可以看到此域名于2016-10-25解析到IP130.211.96.168上，在對通對IP：130.211.96.168的分析我們得到了進一步的信息。有大量的惡意鏈接指向此IP，部分結果如下：

其中被標記出來的鏈接，形似仿冒合法網站的域名，此類域名經常被用來實施水坑攻擊。分析人員對這些域名進行逐一排查發現域名worldmilitarynews.org的PassiveDNS記錄如下。

可以看到該域名于2016-09-26同樣解析到IP 130.211.96.168上，通過對比兩個域名的PDNS記錄不難發現兩個域名幾乎在同一時間解析到同一IP上，至此只可以假設這兩個域名具有某種聯系，因為接下來還要確定此IP的有效性，還不能排除這個IP是不是安全廠商在檢測到惡意域名之后進行接管，將它們解析到自己的IP上。

3.3 可用的PassiveDNS信息

攻擊者通常不會在網絡上架設獨立的服務器用來控制后門，而更偏向于租賃云主機來保護自己的信息。所以我們在針對某事件的分析過程中經常會發現一個IP上解析了大量的域名。造成這種情況通常有兩個原因，一是在不同時間段由不同用戶解析上來并且被PDNS傳感器記錄到，二是上文提到的被安全廠商接管。

無論哪種情況都不能單獨作為攻擊溯源的證據進行事件關聯，比如第一種，可能五年前的一次攻擊事件中的CC域名解析過某個IP，五年后的新事件中又出現解析在此IP的域名，這可能就是攻擊者以“栽贓”為目的的情報混淆，因為很可能在五年前的攻擊被披露之后攻擊者就棄用了這些資源，而后來被其它攻擊者使用。如果沒考慮到這一層，很可能分析人員就會被誤導，從而得出“XXX組織時隔五年卷土重來”的結論。第二種情況就很明顯了，分析時會發現這個IP上有多個惡意域名用于不同的攻擊事件中，并且IP歸屬不是供應商的業務IP。

在本次事件中，墨俠團隊對IP 130.211.96.168進行了上述兩點的調查分析。第一點通過兩個域名的PDNS記錄可以看到兩個域名解析到此IP的時間基本重合。第二點對于IP的歸屬，分析人員得到如下信

可以看到IP的歸屬方為谷歌云計算，此IP的Hostname后綴顯示為bc.googleusercontent.com，這說明這臺服務器是谷歌云計算的業務主機。因為bc.googleusercontent.com后綴均屬于谷歌云計算GCP主機，說明此主機是業務主機，供他人租用的。

4.總結

經過在墨俠團隊的威脅情報庫中查詢，域名“worldmilitarynews.org”曾經是著名的APT組織APT 28在某次事件中使用的域名。關于“APT 28”，最早是由卡巴斯基披露了其針對烏克蘭，東歐等國的攻擊事件，從而出現在公眾的眼前。并且后續有多家安全廠商證明該組織屬于俄羅斯，并且背后很可能是莫斯科政府。

因為網絡資源的交叉利用，所以可以得到結論，本次事件的主角“BITTER”組織，很可能是受俄羅斯政府資助的一個實施APT攻擊的團隊。