-
-
[原创]我对APT的想法
-
发表于:
2021-4-16 20:43
4498
-
题目是我对APT的想法,其实更贴切的是我对安全的理解与想法,毕竟也工作快三年了,之前是从事Web安全相关的,后来在安全大类里换了一个方向。确实成长了不少,认知也不断地在更新中。
以下文字起源于最近参加的一个大活动,自己主动申请的,也是想通过实践来学点东西与经验,所以最终来到了北京出差。北京的天气可真奇怪呀,刚下飞机的时候虽然天气APP里气温显示很低,但是却不像家里那般冷,自己着实震惊,也许是因为湿冷与干冷的区别吧。一个星期后又遇到了北京的沙尘暴,外出后身上会有灰尘,也是人生里第一次真实感受到这种极端天气。
回到现在,今年举办的这个活动实在是太火热了,就连一些专业的企业都没法全部预测到发展脉络,某威胁情报企业的用户社区网站也没想到会成为了同行们日常灌水发帖的BBS闲聊板块。确实,自己很理解这种原因,人的生活里不仅仅只有对大部分人来说枯燥的技术与难题与压力,还有一些对生活的调侃与释放要充斥其中,因为这才是生活,有苦涩也有甜蜜。这不由得让我想起来人对于事物的发展其实是完全无法预测的,始终保持谦虚谨慎,不耻下问是完全需要的。有时候就如我这会写的文字一般,也许多年以后回过头会发现其实很多想法又有点不对,也会好奇想起我这会休息完睡醒时突然想码字的念头到底由何而来。
回到标题,APT这个词其实很好理解的,这里千万不要真的把现实错当成了电影情节,由于艺术是可以无限想象的,在这种假设下人的能力也会被无限放大,而现实往往是受限的,所以对于高级持续性威胁(英文名称首字母拼接便是APT的由来)一定要深刻理解这一点。同样的这个名称的最早来源也是由于一些政府机构需要对项目进行保密,但是为了让人们知道这个事情而对其产生重视,并凸显机构对于该类事件处理的重要程度,所以在这种两难的抉择中便诞生了这个词汇。高级意味着确实比日常见到的一些事件特殊一些,但是并不是无限制夸大。持续性很好理解,意味着对目标的重视时间很长,具体多长也是看个人理解,通常也许几个月,也许几年。威胁这个词也非常好理解,对于不同于平常的行为都是可以归属到这个范畴。
图片来源于美剧《黑客军团》,影视里主人公一个人可以做出很多事情,但是现实由于存在受限条件,无法达到。
同样的这个词的出现其实也是很泛的,让人迷惑且存在问题的,并没有给出一些“标准”来让人去判断到底是不是APT,这个刚刚也写过了,最初的源头就是因为需要保密但是又需要对外输出证明发现的东西比较奇特,所以才导致了这个词的出现。
关于保密这个事情,其实还可以举一个观点。比如研究卫星安全的研究员,到底真的是否会有很大影响,结论是不好定论的。因为自然是没法与真正从事该行的人进行讨论并争论的,原因也是很容易理解的,所以保持怀疑的同时也要遵循客观因素。一旦理解了这个词的由来,确实会让人对APT的理解多增进一些,所谓的万事万物要从源头探索才能也是这个道理。
其实再回到今年的这个活动,如果真的按照高级持续性威胁这三个不同维度来去对比的话,还是能发现一些符合点的,比如我接下写的这些。
由于保密协议,以下内容都去敏了。不过国内同行对于保密还是执行力度不够,外泄了很多他们自己从攻击中拿到的样本。而我最近拿到的样本,免杀都很好,很厉害,当然这是出于从外部的检测以及对历年的活动进行对比而得出的结论,这里千万不要较真。其中一个样本互斥量是某个团队名,而域名是某个企业名。这其实很让人一脸懵逼……但往往这也是经常出现在APT研究挖掘中会遇到的一种情况,那就是互联网信息公开后都是人人可访问与研究的,所以人人都可伪装便成了自然而然的产物,如果理解到这点,那么对APT的理解与后续研究也会起到醍醐灌顶的效果。当然拿到的样本中也有文件名是某个企业软件名,而图标是另一个企业logo,有时候由于客观因素下对于产出投入需要符合,所以有些奇奇怪怪或者不怎么完善的东西输出这也是正常的。比如也有兄弟当天写马当天使用,前后拿到也就几十分钟,这种情况通过对事件背景的分析其实也能理解。值得注意的是当前个人水平只能发现这些了,肯定还有更厉害的兄弟在默默的潜伏着,因为人外有人,天外有天,每个人都有自己的限定区域,这个请不要纠结,所以只能是以当前视角去阐明一些道理。
今年遇到的比较奇怪的事情,也让人感觉有点惊奇。主要吧,文章打假的大部分的文章一看是之前我写的,要说突然冷不丁看到打假文章后,作为作者心里一点事没有那肯定是假的,主要是震惊,之前我还关注了对方的推特,认为对方确实也是同行,发布的消息也还不错,至于说个人的一些想法是什么?以下内容都是了。不过本着有则改之无则加勉的态度,只要内心是向着正确的方法并愿意使用正确的方法论指导自己的工作与认知便不会受到任何影响。
这里我也写写自己的观点,互联网公开的报告只是一种公司层面的商业pr,对于实质影响自身客户侧的报告都是不公开的,因为保密协议,所以实在忍不住要与人争辩还是省省吧,毕竟只是普通的打工人,除非是客户允许,所以各个公司安全人员的思路是差不多的,自然对于公开数据挖掘的时候有时候拿到的样本是一致的,因为数据源来源就这么多,并不存在绝对性的技术能力碾压。至于输出时间,得看具体团队的时间分配了,毕竟涉及到内部审稿以及是否涉敏发布。
举个例子,每个安全公司都会发布一些年度报告或者季度报告,通过近期某威胁情报企业发布的APT年终研究报告就能看出,PDF文件里截图里的很多攻击样本是未在公开数据里发现的,只能是来自于客户单方面的寻求帮助与支持,所以根本就接触不到(除去那些相关用户外泄的,不过那些都是一点点的片段),还是很羡慕有这种机会的,不过一旦想到这些仅仅是工作,便没有那么多想法会觉得遗憾,除了工作,在生活里还有很多乐趣值得去实践呀,就写到这里吧。
持续学习,我也只是个菜鸟,不仅仅是技术,工作与生活一定要分开。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)