APT35 的策略、技术和流程:他们的运作方式以及如何保护 Windows

  • APT35 因其可信的鱼叉式网络钓鱼、凭证窃取和在 Windows 上的持久性而脱颖而出。
  • APT 将入侵、横向移动和伪装撤离与隐蔽的 C2 相结合。
  • EDR/XDR、分段、补丁和网络/端点遥测是关键障碍。
Pablo

11分钟

APT35 Windows 网络安全

在当今的威胁形势下,很少有对手像 APT35 那样坚持不懈且隐蔽。 这位演员,也被称为 Helix Kitten 或 Charming Kitten[公司名称] 因其精心策划的定向网络钓鱼活动、身份盗窃以及在企业环境中的长期持续攻击而臭名昭著。如果您在组织中使用 Windows 系统,那么了解其策略、技术和流程 (TTP) 对[运营安全]至关重要。 减少攻击面 并及时做出反应。

虽然人们常常认为高级持续性威胁是“电影般的”攻击,但它并非科幻小说。 它们是有条不紊、多层次且需要耐心的操作。这些攻击旨在渗透系统,不被发现,并在合适的时机窃取有价值的数据。APT35 符合这一特征:发起看似可信的鱼叉式网络钓鱼攻击,构建伪装的指挥控制基础设施,并能随着受害者加强防御而迅速调整攻击策略。

什么是 APT?为什么 APT35 对 Windows 系统来说尤其值得关注?

高级持续性威胁是指攻击者持续发起的长时间攻击,在这种攻击中,攻击者会…… 获取未经授权的访问权限并保守秘密 他们会窃取信息、监控运营或在必要时制造混乱。与“批量”恶意软件不同,APT 组织不会大规模攻击;它们会针对特定目标,并在行动前了解其所处环境。

在Windows系统上,APT35通常利用社会工程学手段打开安全大门: 精心设计的鱼叉式网络钓鱼邮件克隆的凭证页面伪造会议或学术活动邀请函,以及诱骗受害者运行代码或交出令牌的骗局。一旦入侵成功,攻击者便会着重于持久化:植入后门、滥用凭证以及隐蔽的横向移动。

APT的幕后黑手是谁?APT35又扮演着怎样的角色?

高级持续性威胁(APT)通常由组织严密的行动者支持。 我们可以区分出三个主要部分。国家支持的组织、有组织犯罪集团和黑客行动主义团体都参与了攻击。据多位分析人士称,APT35与伊朗利益相关,其攻击目标涵盖航空航天、电信、金融、能源、化工和酒店等行业,并带有经济、军事和政治目的。

在国有企业中,一些知名案例尤为突出: 拉撒路(朝鲜)参与了包括索尼事件在内的金融盗窃和犯罪活动; APT28/花式熊和 APT29/舒适熊(俄罗斯)针对政府、外交和选举目标开展运动; APT40这些行动与针对大学和国防的网络间谍活动有关。这些行动表明了APT组织策划的周密程度。

在有组织犯罪中,经济利益至上。 卡巴纳克/FIN7 攻击了银行业和零售业; 阴暗面 他因殖民地输油管道事件而声名鹊起。而黑客行动主义者则出于意识形态或政治动机而行动: 匿名叙利亚电子军 这些都是具有实际影响的抗议行动和宣传的例子。

这些对手,包括那些与国家有关联的对手, 他们追求利润或战略优势。 通过窃取知识产权、敲诈勒索(勒索软件)或访问关键系统。

他们的运作方式:关键策略、技巧和程序

典型的APT由多个层组成: 入侵、攀爬和侧向移动以及渗出在入侵过程中,APT35 会利用用户心理诱使用户点击第一个链接,并在可能的情况下,通过漏洞利用程序或未打补丁的软件渗透系统。在 Windows 系统中,常见的做法是在文档中植入恶意宏,添加指向虚假登录页面的链接,并利用系统工具来逃避检测。

一旦进入系统,攻击者就会与其命令和控制(C2)基础设施建立通信。 这种通信可以伪装成合法流量。从简单的 HTTP(S) 请求到公共服务支持的更具创意的渠道(曾出现过滥用社交网络或云文档的 TTP),稳定的通信使得资产发现和横向转移成为可能。

防御者必须牢记,现代高级渗透测试(APT) 利用公开的后渗透框架和工具 (例如,知名框架)以及自定义组件。有时,攻击者会将代码加载到内存中以避免在磁盘上留下痕迹,并依赖于诸如 DLL 侧加载之类的技术。

在数据外泄过程中,数据会以滴灌或分批的方式泄露出来。 被网络噪声掩盖 或者采用封装方式(压缩文件、通用协议、隐蔽通道)。如果受害者检测到异常,APT 攻击者可以制造诸如 DDoS 攻击之类的干扰,以掩盖真正的泄露。

APT攻击的各个步骤

  1. 专业认证他们会收集电子邮件地址、公开资料、使用的技术(有时会在招聘信息中透露)以及其他任何有用的细节。对于维权人士来说,这是一个静默的阶段。
  2. 入侵鱼叉式网络钓鱼 漏洞利用弱密码或文档中嵌入的恶意软件可能构成重大风险。在 Windows 系统中,仅仅打开“错误”的附件通常就足以执行恶意代码。
  3. 身份盗窃他们搜索有效的凭证(cookie、令牌、密码),并使用合法用户的身份访问数十个系统。 规避基于签名的控制.
  4. 实用程序安装它们集成了用于秘密管理、密码窃取、监控等的工具。 小型植入物或脚本 它可以作为承载更大重量的跳板。
  5. 后门和特权他们会创建后门、隐藏账户或修改配置。如果他们获得了域管理员凭据, 他们掌握着王国的钥匙。 横向移动。
  6. 渗漏他们使用 HTTP/FTP 或其他通道将电子邮件、文件和数据库打包到中间服务器或云存储中。 他们还可以滥用DNS隧道 如果环境允许的话。
  7. 坚持不懈即使部分被发现,他们也会试图留下。 这种固执是APT的标志性特征。停留时间长达数月。

高级预防性攻击正在进行中的指标和迹象

交通高峰期或 内部设备向外部的异常流量 这些都是危险信号。同样,在非工作时间或从不寻常的地点登录也表明凭证可能已被盗用。

反复发生的恶意软件感染 后门程序在“清理”后重新打开并再次出现,表明其具有持久性。此外,如果出现公司很少使用的格式的大型或压缩文件,则有必要进行调查。

高管或敏感人员收到异常电子邮件,这是典型的鱼叉式网络钓鱼攻击。 它们通常是APT攻击链的第一步。另一个线索:大容量数据库中的异常活动。

有些服务提供商会记录电子邮件的打开位置或 IP 地址;观察异常访问或拦截通信可能表明[某些事情]。 入侵者审查通信内容在终端层面,攻击者会探索策略和合规性漏洞,以利用这些漏洞。

通过客观实例和示例阐述APT的类型

  • 破坏或干扰高度复杂的操作,能够在不惊动受害者的情况下操纵工业流程。典型案例: Stuxnet的这影响了伊朗的离心机。
  • 敲诈以获取经济利益为目的的攻击活动,例如勒索软件攻击。 Ryuk 它以针对性攻击而著称,这些攻击会加密关键资产并索要高额赎金。
  • 渗漏和渗出目标是持续不断地提取数据。活动已归因于 APT32 y APT37 用于经济和政治间谍活动。
  • 供应链供应商致力于触达客户。媒体的例子是…… SolarWinds的 (论坛上有人将其归咎于 APT29), NotPetya 它通过一次被篡改的系统更新传播开来,造成了全球性的破坏。

从真实案例中汲取教训

进攻 使用 RAM 刮刀进行目标操作 他利用供应商的弱点入侵了其生态系统。该攻击者潜入销售点终端数周,窃取信用卡数据, 一次性排出大量液体.

研究人员发现了一个小组发起的活动 拉撒路 他们修改了著名的 DTrack 恶意软件,并使用了 Maui 勒索软件。 内存加载是在 Windows 系统上执行的。DTrack 收集了系统数据和浏览器历史记录,停留时间长达数月。

幸运老鼠 部署了 Mimi 消息服务的木马变种,用于在 macOS、Windows 和 Linux 系统上植入后门。 与台湾和菲律宾的组织合作它展现了 APT 典型的跨平台兼容性。

本组 海宝与俄罗斯利益相关的组织,多年来在欧洲从事间谍活动。 利用鱼叉式网络钓鱼攻击获取 OneDrive 和 LinkedIn 的访问权限。对合法云服务的滥用使检测变得更加复杂。

TTP 的最新趋势:哪些在变化,哪些没有变化

在最近的夏季季度中,分析师观察到球员之间存在明显的差异:一些球员 他们逐步将工具包发展成模块化框架。 非常坚持不懈,而其他人则通过长期感染链实现了目标,这表明“简单有效”的方法仍然有效。

其中一项最引人注目的发现是通过以下途径感染的: 引导套件 UEFI这是被称为马赛克退化器的分阶段框架的一部分,这使得植入物非常耐用且难以清除。 UEFI至关重要感染后,病毒会在操作系统底层持续存在。

也被看过 隐写技术 通过侧载:据信由 Ke3chang 发起的一项活动使用了 Okrum 后门的一个版本,该版本利用已签名的 Windows Defender 二进制文件来隐藏主要有效载荷。 保持有效的数字签名 降低检测率。

其他团体,例如 浑水他们已经迭代了多阶段框架,而 DTrack 它整合了执行更多类型有效载荷的新功能。与此同时, 潜行者 它维持着简单但高度专注的链条,旨在逃避检测,这表明复杂程度并非成功所必需的。

APT35 聚焦:特征性 TTP 和靶点

APT35 以……而闻名 高度可信的鱼叉式网络钓鱼邮件和伪造文件 它模仿学术邀请函或机构的通知。常见的攻击手段包括登录欺骗、滥用短链接以及创建外观完美的凭证窃取页面。

在Windows系统中,这个组往往 依赖原生脚本和工具 为了不被发现,需要建立控制服务器并横向移动。这需要结合社会工程学和对未打补丁软件漏洞的伺机攻击。 解释了其高成功率 缺乏足够的行为和分割控制。

如何保护 Windows 系统免受 APT35 和其他 APT 攻击

EDR 和 XDR。 现代解决方案能够实时检测异常行为。它们提供进程、网络和内存的遥测数据,并允许快速响应(隔离设备、终止进程、撤销更改)。

修补和加固。 更新视窗浏览器和办公套件它应用了减少表面面积的规则,限制了 PowerShell,默认情况下禁用了宏,并控制了未签名二进制文件的执行。

应用程序和域控制。 允许列表 降低风险但这需要严格的更新策略和持续的审查:即使是“受信任的”域名也可能被攻破。

WAF和应用安全。 Web应用程序防火墙 它有助于隔离应用层的攻击,阻止 RFI 或 SQL 注入尝试;监控内部流量可以发现异常模式。

访问和数据治理。 对网络进行分段,并应用最小权限原则。它增强了多因素身份验证 (MFA) 功能,并监控对敏感资源的访问。它控制文件共享,并在可能的情况下阻止可移动设备访问。

遥测和DNS。 留意指向 DNS 隧道的模式。 或其他隐蔽的数据泄露途径;对异常压缩和大量数据传输发出警报。

要有意识,但不要盲目信仰。训练会有帮助。 即使是训练有素的人员也可能失职它还辅以技术控制、监视名单和行为检测。

如何应对:从最初的迹象到持续改进

  • 识别与评估。 使用高级监控和取证分析工具 事件和文件分析。通过审查日志和相关文件,确定实际范围、传播途径和受影响的帐户。
  • 遏制。 隔离受损系统立即撤销会话和令牌,更改凭据,并进行数据分段。阻止攻击者继续移动或窃取数据。
  • 根除与恢复。 移除攻击工具,修复漏洞 y 从已知备份中恢复 保持完整。继续加强监测,以检测残留活性。
  • 分析与改进。 记录事件,更新政策调整检测规则并与利益相关者进行透明沟通。此阶段有助于降低未来数据泄露的成本。

工具和智慧:什么才是关键所在

基于人工智能的方法,可在恶意软件和勒索软件二进制文件执行前检测到它们。 主动威胁搜寻服务 通过 MDR 每日加强 SOC 是保持领先于新兴 TTP 的关键杠杆。

具有访问权限的威胁情报门户 近乎实时的技术和背景信息 它们使您能够预测攻击活动、更新检测结果并填充监视列表。它们与端点和网络传感器上的 EDR/XDR 功能相辅相成,实现全面覆盖。

Windows 系统中常见的安全漏洞迹象,不容忽视

  • 非工作时间登录次数居高不下 在高权限账户中;数据峰值与远程访问之间存在相关性。
  • 反复出现的演员或后门的再次出现:在所谓的“清理”之后再次出现的木马克隆程序。
  • 邮件拦截 或者奇怪的邮箱登录;专门针对高管或财务部门的鱼叉式网络钓鱼。
  • 其他异常:服务器运行异常缓慢、注册表发生更改、创建未知帐户或启动时出现奇怪的服务。

成本与动机:为什么公寓式酒店不需要巨额预算

虽然这可能会让你感到惊讶, 某些APT攻击活动的运营成本可能不高。商业渗透测试工具和一些基础设施服务占了很大一部分支出,但攻击者获得的收益(经济或战略收益)通常足以证明这笔投资的合理性。

常见问题

  • APT 和“高级定向攻击”(ATA)有什么区别? 实际上,ATA描述的是成熟组织所使用的攻击方法;当这种攻击活动持续进行,并不断调整和适应时,我们就称之为APT。它们的区别在于策略、基础设施、代码重用和目标类型。
  • APT35的典型目标和作案手法是什么? 他们往往将目标锁定在战略部门和学术界, 非常可信的鱼叉式网络钓鱼。凭证窃取、滥用云服务以及使用本地工具和伪装的 C2 在 Windows 中实现持久化。
  • 如何检测几乎不留痕迹的高级渗透测试程序 (APT)? 搜索 异常行为:异常登录、大型压缩文件、奇怪的出站流量、进程发起不寻常的连接以及清除后恶意软件再次出现。
  • 杀毒软件和培训就足够了吗? 序号 您需要EDR/XDR、遥测、分段。应用控制和协调响应。提高意识固然重要,但自动化和可视性才是关键。

加强 Windows 系统抵御 APT35 和其他 APT 攻击需要结合监控、技术和流程。 凭借强大的访问控制、EDR/XDR、威胁情报和完善的响应机制即使对手抢先一步点击,你也可以大幅缩短对手的攻击机会窗口,并将影响降到最低。

相关文章:
在 Windows 中进行增量备份的完整指南