thiết kế để ăn cắp lượng khổng lồ sở hữu trí tuệ. Họ bắt đầu với phishing xiên cắm hung hăng, được xử lý để triển khai các vũ khí số tùy biến, và kết thúc bằng việc xuất khẩu hàng đống tệp được nén cho Trung Quốc - trước khi bắt đầu cái chu kỳ đó một lần nữa. Họ sử dụng tốt tiếng Anh - với tiếng lóng có thể chấp nhận - trong các thư điện tử có kỹ thuật xã hội của họ. Họ đã tiến hóa các vũ khí số của họ hơn 7 năm qua, tạo ra những nâng cấp liên tục như một phần chu kỳ phát hành phần mềm của riêng họ. Khả năng của họ tùy biến thích nghi cho môi trường của họ và lan truyền khắp các hệ thống làm cho chúng có hiệu quả trong các môi trường chuyên nghiệp với các mối quan hệ tin cậy. Các cuộc tấn công đó khớp với một mẫu hoạt động tuần hoàn theo chu kỳ mà chúng tôi sẽ mô tả trong phần này trong khung mô hình Vòng đời Tấn công của Mandiant. Trong từng giai đoạn chúng tôi sẽ thảo luận các kỹ thuật đặc thù của APT1 để minh họa cho sự thường trực dai dẳng của chúng và phạm vi mà ở đó chúng hoạt động. (Xem Phụ lục B: “APT và Vòng đời Tấn công” để có được tổng quan mức cao về các bước mà hầu hết các nhóm APT tiến hành trong mỗi giai đoạn của Vòng đời Tấn công).
Hình 14: Mô hình Vòng đời Tấn công của Mandiant
Tổn thương ban đầu
Tổn thương Ban đầu đại diện cho các phương pháp mà những kẻ thâm nhập trái phép sử dụng để trước hết thâm nhập được vào mạng của một tổ chức đích. Như với hầu hết các nhóm APT, làm phishing xiên cắm là kỹ thuật được sử dụng phổ biến nhất của APT1. Các thư điện tử phishing xiên cắm hoặc có chứa tệp gắn kèm độc hại hoặc một đường siêu liên kết tới một tệp độc hại. Dùng chủ đề và văn bản trong thân của thư điện tử thường là phù hợp với người nhận. APT1 cũng tạo ra các
tài khoản webmail bằng việc sử dụng các tên người có thật - các tên mà quen với người nhận, như một đồng nghiệp, một lãnh đạo công ty, và một nhân viên phòng CNTT, hoặc cố vấn của công ty - và sử dụng các tài khoản đó để gửi đi các thư điện tử. Như là một ví dụ của thế giới thực, đây là một thư điện tử mà APT1 đã gửi đi cho các nhân viên của Mandiant:
Date: Wed, 18 Apr 2012 06:31:41 -0700
From: Kevin Mandia <kevin.mandia@rocketmail.com> Subject: Internal Discussion on the Press Release Hello,
Shall we schedule a time to meet next week? We need to finalize the press release. Details click here.
Kevin Mandia
Ngày tháng: Thứ tư, ngày 18/04/2012 06:31:41 -0700 Từ: Kevin Mandia <kevin.mandia@rocketmail.com> Chủ đề: Thảo luận Nội bộ về Thông cáo báo chí Hello,
Liệu chúng ta có đặt lịch được về thời gian gặp gỡ vào tuần sau được không?
Chúng ta cần hoàn tất thông cáo báo chí. Các chi tiết hãy nháy vào đây.
Kevin Mandia
Hình 15: Thư điện tử phishing xiên cắm của APT1
Mới thoáng qua, thư điện tử đó dường như là từ CEO của Mandiant, Kevin Mandia. Tuy nhiên, soi xét kỹ hơn chỉ ra rằng thư điện tử đó không phải được gửi đi từ một tài khoản thư điện tử của Mandiant, mà từ “kevin.mandia@rocketmail.com”. Rocketmail là một dịch vụ webmail tự do. Tài khoản “kevin.mandia@rocketmail.com” không thuộc về ông Mandia. Thay vào đó, một tác nhân của APT1 có khả năng đã ký cho tài khoản đó một cách đặc biệt cho sự kiện phishing xiên cắm này. Nếu ai đó đã nháy vào đường liên kết vào ngày đó (mà đã không ai làm thế, may thay), thì máy tính của họ có thể đã tải về “Internal_Discussion_Press_Release_In_Next_Week8.zip”, là tên của một tệp ZIP độc hại. Tệp độc hại này có khả năng thực thi được, cài một cửa hậu tùy biến của APT1 mà chúng tôi gọi là WEBC2-TABLE.
Dù các tệp mà các tác nhân của APT1 gắn vào hoặc liên kết tới các thư điện tử phishing xiên cắm không phải luôn ở định dạng ZIP, thì điều này là xu thế vượt trội mà chúng tôi đã quan sát thấy trong vài năm gần đây. Bên dưới là ví dụ các tên tệp mà APT1 đã sử dụng với các tệp ZIP độc hại:
2012ChinaUSAviationSymposium.zip Employee-Benefit-and-Overhead-Adjustment-Keys.zip MARKET-COMMENT-Europe-Ends-Sharply-Lower-On-Data-Yields-Jump.zip Negative_Reports_Of_Turkey.zip New_Technology_For_FPGA_And_Its_Developing_Trend.zip North_Korean_launch.zip Oil-Field-Services-Analysis-And-Outlook.zip POWER_GEN_2012.zip
Proactive_Investors_One2One_Energy_Investor_Forum.zip Social-Security-Reform.zip South_China_Sea_Security_Assessment_Report.zip Telephonics_Supplier_Manual_v3.zip The_Latest_Syria_Security_Assessment_Report.zip Updated_Office_Contact_v1.zip Updated_Office_Contact_v2.zip Welfare_Reform_and_Benefits_Development_Plan.zip
Các tên tệp, ví dụ, bao gồm các chủ đề quân sự, kinh tế và ngoại giao, gợi ý dải rộng lớn các nền công nghiệp mà APT1 ngắm tới. Một số tên cũng là chung (như, “updated_office_contact_v1.zip”) và có thể được sử dụng cho các mục tiêu trong bất kỳ nền công nghiệp nào. Trong một số trường hợp, những người nhận thư điện tử mà không có nghi ngờ gì đã trả lời các thông điệp phishing xuyên cắm, tin tưởng họ đang giao tiếp với những người quen của họ. Trong một trường hợp một người đã trả lời, “Tôi không chắc liệu điều này có là hợp pháp, nên tôi đã không mở nó”. Trong vòng 20 phút, ai đó tại APT1 đã trả lời với một thư điện tử súc tích: “Nó là hợp pháp” (“It's legit”).
Liệu bạn có nháy vào nó không?
Một số tác nhân APT1 đã tạo ra các phần mềm độc hại bên trong các tệp ZIP của họ trông giống như các tệp PDF của Adobe bên dưới. Đây là một ví dụ:
Đây không phải là một tệp PDF. Nó trông giống như tên tệp có phần mở rộng PDF nhưng tên tệp thực sự bao gồm 119 khoảng trống sau “.pdf” đi theo sau “.exe” - phần mở rộng thực sự của tệp đó. APT1 đã làm cho biểu tượng của tệp thực thi thành biểu tượng của Adobe để hoàn tất mưu mẹo đó. Tuy nhiên, tệp này thực sự là một ống nhỏ giọt cho một cửa hậu APT1 tùy biến mà chúng tôi gọi là WEBC2-QBP.
Thiết lập chỗ đứng
Việc thiết lập chỗ đứng có liên quan tới các hành động đảm bảo sự kiểm soát các hệ thống mạng đích từ bên ngoài mạng đó. APT1 thiết lập một chỗ đứng một khi những người nhận thư điện tử mở một tệp độc hại và một cửa hậu được cài đặt vào sau đó. Một cửa hậu là phần mềm mà cho phép một kẻ thâm nhập trái phép gửi đi các lệnh tới hệ thống đó từ ở xa. Trong hầu hết các trường hợp, các cửa hậu APT khởi tạo các kết nối đi ra ngoài tới máy chủ “chỉ huy và kiểm soát” - C2 (Command and Control) của kẻ thâm nhập trái phép. Những kẻ thâm nhập trái phép của APT sử dụng chiến thuật này vì trong khi các tường lửa mạng thường giỏi trong việc giữ cho các phần mềm độc hại bên ngoài mạng không khởi xướng được sự giao tiếp với các hệ thống bên trong mạng, thì lại ít tin cậy hơn trong việc giữ cho phần mềm độc hại đã nằm sẵn ở bên trong mạng rồi không giao tiếp được với các hệ thống bên ngoài.
Hình 17: Các cửa hậu được cài đặt trong các hệ thống bị tổn thương thường khởi xướng các kết nối với các máy chủ C2
Trong khi những kẻ thâm nhập trái phép của APT1 thỉnh thoảng sử dụng các cửa hậu có sẵn một cách công khai như Poison Ivy và Gh0st RAT, thì đa số lớn các lần chúng sử dụng những gì dường như là các cửa hậu tùy biến của riêng chúng. Chúng tôi đã ghi lại 42 họ các cửa hậu trong “Phụ lục
C: Kho vũ khí Phần mềm độc hại” mà APT1 sử dụng mà chúng tôi tin là không sẵn sàng một cách công khai. Hơn nữa chúng tôi đã đưa ra 1.007 hàm băm MD5 có liên quan tới phần mềm độc hại APT1 trong Phụ lục E. Chúng tôi sẽ mô tả các cửa hậu của APT1 trong 2 chủng loại: “Các cửa hậu đầu cầu đổ bộ” và “Các cửa hậu tiêu chuẩn”.
Các cửa hậu đầu cầu đổ bộ
Các cửa hậu đầu cầu đổ bộ thường được đặc trưng tối thiểu. Chúng đưa ra cho kẻ tấn công một nơi đặt chân để thực hiện các tác vụ đơn giản như truy xuất các tệp, thu thập thông tin hệ thống cơ bản và làm bật dậy nhanh sự thực thi của các khả năng đáng kể khác hơn so với một cửa hậu tiêu chuẩn.
Các cửa hậu đầu cầu đổ bộ của APT1 thường là những gì mà chúng tôi gọi là cửa hậu WEBC2. Các cửa hậu WEBC2 là dạng cửa hậu APT1 có lẽ được biết tới nhiều nhất, và là lý do vì sao một số công ty an ninh tham chiếu tới APT1 như là “Comment Crew” (Đội bình luận). Một cửa hậu WEBC2 được thiết kế để trích xuất một trang web từ một máy chủ C2. Nó mong đợi trang web đó có chứa các thẻ HTML đặc biệt; cửa hậu đó sẽ cố gắng dịch các dữ liệu giữa các thẻ như là các lệnh. Các phiên bản cũ hơn của WEBC2 đọc các dữ liệu giữa các bình luận HTML, dù qua thời gian thì các biến thể WEBC2 đã tiến hóa để đọc được các dữ liệu có bên trong
các dạng thẻ khác. Từ sự quan sát trực tiếp, chúng tôi có thể khẳng định rằng APT1 từng sử dụng các cửa hậu WEBC2 từ tháng 07/2006. Tuy nhiên, thời gian biên dịch đầu tiên35 mà chúng tôi có đối với WEBC2-KT3 là 23/01/2004, gợi ý là APT1 từng tạo ra các cửa hậu WEBC2 từ đầu năm 2004. Dựa vào hơn 400 mẫu các biến thể WEBC2 mà chúng tôi đã tích cóp được, dường như là APT1 có sự truy cập trực tiếp tới các lập trình viên mà đã thường xuyên phát hành các biến thể WEBC2 mới hơn 6 năm qua.
Ví dụ, 2 đường dẫn được xây dựng ở đây, đã bị phát hiện trong các ví dụ WEBC2-TABLE, giúp minh họa cách mà APT1 đã và đang xây dựng rồi các biến thể WEBC2 mới như một phần của một qui trình phát triển liên tục:
35 “Biên dịch” tham chiếu tới qui trình biến đổi mã nguồn của một lập trình viên thành một tệp mà một máy tính có thể hiểu và thực thi. Ngày biên dịch truy cập được dễ dàng trong đầu đề PE của tệp thực thi kết quả trừ phi kẻ thâm nhập trái phép thực hiện các bước bổ sung để làm mờ nó.
Họ phần mềm độc hại là gì?
Một họ phần mềm độc hại là một bộ sưu tập các phần mềm độc hại trong đó từng mẫu chia sẻ một số lượng đáng kể mã với tất cả các mẫu khác. Để giúp minh họa điều này, hãy xem xét ví dụ sau từ thế giới vật lý. Bây giờ có một dải khổng lồ các máy tính bảng đang được bán. Chúng bao gồm iPad của Apple, Galaxy Tab của Samsung và Surface của Microsoft. Dù chúng tất cả đều là các máy tính bảng, “dưới các cái mũ” đó, thì chúng là hoàn toàn khác nhau. Tuy nhiên, người ta có thể mong đợi là một chiếc iPad 1 và một chiếc iPad 2 chia sẻ một số thành phần đáng kể - nhiều hơn nhiều so với, ví dụ, một chiếc iPad 1 và một chiếc Surface của Microsoft. Vì thế có ý nghĩa để tham chiếu tới “họ” các máy iPad và “họ” các máy Surface.
Khi nói về các chương trình máy tính, nói chung nếu chúng chia sẻ nhiều hơn 80% mã y hệt thì chúng ta coi chúng là một phần của cùng một họ. Có những ngoại lệ: ví dụ, một số tệp có chứa các thư viện mã công khai và tiêu chuẩn mà chúng tôi không tính tới khi tiến hành xác định một họ.
Ví dụ mẫu A MD5: d7aa32b7465f55c368230bb52d52d885 Ngày biên dịch: 23/02/2012 \work\code\2008-7-8muma\mywork\winInet_ winApplication2009-8-7\mywork\ aaaaaaa2012-2-23\Release\aaaaaaa.pdb Ví dụ mẫu B MD5: c1393e77773a48b1eea117a302138554 Ngày biên dịch: 07/08/2009 D:\work\code\2008-7- 8muma\mywork\winInet_ winApplication2009- 8-7\mywork\aaaaaaa\ Release\ aaaaaaa.pdb Các họ WEBC2 WEBC2-AUSOV WEBC2-KT3 WEBC2-ADSPACE WEBC2-QBP WEBC2-BOLID WEBC2-RAVE WEBC2-CLOVER WEBC2-TABLE WEBC2-CSON WEBC2-TOCK WEBC2-DIV WEBC2-UGX WEBC2-GREENCAT WEBC2-YAHOO WEBC2-HEAD WEBC2-Y21K
… và nhiều họ vẫn còn chưa được phân loại
Một “đường dẫn được xây dựng” mở ra thư mục từ đó lập trình viên xây dựng và biên dịch mã nguồn của anh ta. Các ví dụ đó, được biên soạn hơn 2.5 năm, đã được biên soạn trong một thư mục có tên là “work\code\...\mywork”. Các trường hợp “làm việc” gợi ý rằng làm việc trong WEBC2 là công việc hàng ngày của ai đó và không phải là dự án phụ hoặc sở thích riêng. Hơn nữa, chuỗi được xây dựng trong Mẫu A bao gồm “2012-2-23” (ngày 23/02/2012) - nó khớp với ngày tháng biên soạn của Mẫu A. Chuỗi được xây dựng trong Mẫu B thiếu “2012-2-23” nhưng bao gồm “2009-8-7” (ngày 07/08/2009) - nó cũng khớp với ngày tháng biên soạn của Mẫu B. Điều này gợi ý rằng mã được sử dụng để biên soạn Mẫu A từng được sửa đổi từ mã mà đã được sử dụng để biên soạn Mẫu B từ 2.5 năm trước đó. Sự tồn tại của “2008-7-8” (Ngày 08/07/2008) gợi ý rằng mã cho cả 2 mẫu từng được sửa đổi từ một phiên bản đã tồn tại vào tháng 07/2008, một năm trước khi Mẫu B được tạo ra. Loạt ngày tháng này chỉ ra rằng việc phát triển và sửa đổi cửa hậu WEBC2 là qui trình dài hạn và được lặp đi lặp lại. Các cửa hậu WEBC2 thường trao cho những kẻ tấn công của APT1 một tập hợp ngắn gọn và sơ bộ các lệnh để phát tới các hệ thống của nạn nhân, bao gồm:
• Mở một trình biên dịch shell lệnh tương tác (thường là cmd.exe của Windows)
• Tải về và thực thi một tệp
• Ngủ (như, giữ là không tích cực) trong một lượng thời gian được chỉ định cho các cửa hậu WEBC2 thường được đóng gói với các thư điện tử phishing xiên cắm.
Một khi được cài đặt, những kẻ thâm nhập trái phép của APT1 có lựa
chọn của họ. Các cửa hậu WEBC2 làm việc vì mục tiêu được kỳ vọng của chúng, nhưng chúng thường có ít các tính năng hơn so với “Các cửa hậu tiêu chuẩn” được mô tả bên dưới.
Các cửa hậu tiêu chuẩn
Cửa hậu tiêu chuẩn, không phải WEBC2 của APT1 thường giao tiếp bằng việc sử dụng giao thức HTTP (để trộn với giao thông web hợp pháp) hoặc một giao thức tùy biến mà các tác giả của phần mềm độc hại đã tự họ thiết kế. Các cửa hậu đó trao cho những kẻ thâm nhập trái phép của APT một danh sách các cách thức trà đi xát lại để kiểm soát các hệ thống của nạn nhân, bao gồm:
• Tạo/sửa/xóa/thực thi các chương trình
• Tải về/tải lên các tệp
• Tạo/xóa các thư mục
• Liệt kê/khởi tạo/dừng các qui trình
• Sửa đổi đăng ký hệ thống
• Chụp các ảnh màn hình của người sử dụng
• Chộp các gõ bàn phím
• Chộp chuyển động của chuột
• Khởi tạo một trình biên dịch lệnh shell tương tác
• Tạo một giao diện (như, đồ họa) cho Remote Desktop
• Thu thập các mật khẩu
• Đếm những người sử dụng
• Đếm các hệ thống khác trong mạng
• Ngủ (như, không tích cực) trong một khoảng thời gian được chỉ định
• Đăng xuất cho người sử dụng hiện hành
• Tắt hệ thống
Cửa hậu BISCUIT (được gọi tên như vậy vì lệnh “bdkzt”) là một ví dụ minh họa dải các lệnh mà APT1 đã xây dựng trong các cửa hậu “tiêu chuẩn” của nó. APT1 đã sử dụng và sửa đổi BISCUIT kể từ đầu năm 2007 và tiếp tục sử dụng nó hiện nay.
Bảng 4: Một tập con của các lệnh BISCUIT
Lệnh Mô tả
bdkzt Khởi tạo một trình biên dịch lệnh shell
ckzjqk Lấy thông tin hệ thống
Tải về <tệp> Truyền một tệp từ máy chủ C2
exe <tệp> <người sử dụng> Khởi tạo một chương trình như một người sử dụng đặc biệt
exit Đóng kết nối và ngủ
lists <dạng> Liệt kê các máy chủ trong một mạng Windows
ljc Đếm các tiến trình đang chạy và xác định chủ sở hữu của chúng. Sjc <PID>|<TÊN> Kết thúc một tiến trình, hoặc bằng ID hoặc bằng tên của tiến trình. upload <tệp> Gửi đi một tệp tới máy chủ C2