12月8日，美國頂級安全公司火眼發(fā)布通告稱，公司網(wǎng)絡(luò)被“擁有一流網(wǎng)絡(luò)攻擊能力”的國家黑客組織所突破。攻擊組織利用前所未有的技術(shù)組合，滲透進(jìn)入火眼公司內(nèi)網(wǎng)，盜取了火眼的網(wǎng)絡(luò)武器庫——紅隊(duì)測試工具，可被用于在世界范圍內(nèi)入侵高價(jià)值的目標(biāo)。

　　《紐約時(shí)報(bào)》甚至將這一事件稱為：自2016年美國國家安全局（NSA）網(wǎng)絡(luò)武器被竊取以來，已發(fā)現(xiàn)的最大規(guī)模網(wǎng)絡(luò)武器盜竊事件。微軟安全架構(gòu)師也認(rèn)為此次事件堪比方程式組織被攻擊。

　　通過對火眼被攻擊事件的研究，奇安信CERT安全專家發(fā)現(xiàn)：除非另有隱情，這次的APT攻擊很可能是一場“賠本買賣”——這場國家級黑客組織花費(fèi)巨大技術(shù)成本進(jìn)行的APT攻擊，可能沒有達(dá)到獲取高價(jià)值信息的戰(zhàn)略目標(biāo)，不排除卷土重來的可能。

　　高成本的國家級黑客攻擊

　　對此次事件所展示的攻擊能力，火眼首席執(zhí)行官凱文·曼迪亞（Kevin Mandia）甚至用其25年所遭遇的頂級攻擊來形容：

　　從攻擊者的行為、操作的隱蔽性和使用的技術(shù)來看，整個(gè)過程可以說是對火眼公司量身定制，攻擊的背后無疑是國家背景的黑客組織。

　　在本輪攻擊中，黑客竭盡所能隱藏起自己的行跡：他們創(chuàng)建了數(shù)千個(gè)互聯(lián)網(wǎng)協(xié)議地址，其中不少是美國本土地址，而且此前從未被用于實(shí)際攻擊。利用這些地址，黑客幾乎可以徹底隱藏在燈影之下。

　　凱文·曼迪亞指出，攻擊方似乎在“攻擊行動”方面接受過嚴(yán)格的訓(xùn)練，表現(xiàn)出極強(qiáng)的“紀(jì)律性與專注度”。行動隱秘且使用了應(yīng)對安全工具和取證檢查的多種方法。谷歌、微軟及其他參與網(wǎng)絡(luò)安全調(diào)查的企業(yè)也表示，其中涉及不少此前從未出現(xiàn)過的技術(shù)。

　　此次攻擊引起了FBI的介入調(diào)查。FBI確認(rèn)稱此次黑客入侵確實(shí)屬于國家支持行動，但并沒有挑明具體是哪個(gè)國家。FBI網(wǎng)絡(luò)部門副主任Matt Gorham提到，“FBI正在介入調(diào)查。初步跡象表明，攻擊者的攻擊水平與技術(shù)成熟度堪與民族國家比肩。” 根據(jù)FBI隨后將案件移交給對俄專家的行為可以推測，攻擊方可能來自俄方。

　　黑客組織的戰(zhàn)略目標(biāo)可能并未實(shí)現(xiàn)

　　分析一場APT攻擊，至少分為戰(zhàn)略、戰(zhàn)術(shù)和技術(shù)三個(gè)層次，從技術(shù)和戰(zhàn)術(shù)層面來說，黑客組織投入了高額成本，也獲得了攻擊活動的勝利，但戰(zhàn)略意圖如果僅僅是為了竊取現(xiàn)在公開的這一網(wǎng)絡(luò)武器庫，顯得經(jīng)不起推敲。

　　與NSA泄露的專門網(wǎng)絡(luò)武器不同，此次火眼外泄的紅隊(duì)工具由惡意軟件構(gòu)成，主要包括用于自動偵察的簡單腳本，以及類似于 CobaltStrike 和 Metasploit 等公開技術(shù)的整個(gè)框架，供火眼進(jìn)行各類攻擊模擬，并沒有 0day 漏洞。

　　奇安信CERT安全專家發(fā)現(xiàn)：所泄露的工具包括從簡單的自動化腳本到復(fù)雜如 Cobalt Strike/Metasploit 的攻擊類框架。通過對火眼于 red_team_tool_countermeasures 倉庫中發(fā)布的各檢測規(guī)則文件與清單文件內(nèi)容進(jìn)行甄別發(fā)現(xiàn)：多數(shù)可明確識別的工具為開源工具（或其修改版本）及擁有常規(guī)功能的工具，未見明顯的高能力、高價(jià)值、高危險(xiǎn)性的私有工具、攻擊框架。所涉及的漏洞中，60%以上的漏洞，奇安信CERT均已發(fā)布過安全通報(bào)；剩余漏洞影響到的軟件、平臺在國內(nèi)較為罕見，其實(shí)際的威脅完全可以忽略。

　　奇安信威脅情報(bào)中心也基于火眼發(fā)布的文件，從奇安信樣本庫中進(jìn)行了掃描，發(fā)現(xiàn)火眼的紅隊(duì)會模仿其他APT組織的攻擊手法進(jìn)行攻擊。

　　奇安信CERT安全專家認(rèn)為，火眼本身在網(wǎng)絡(luò)威脅檢測、郵件威脅檢測、終端威脅檢測等領(lǐng)域具備世界頂級水平，入侵火眼公司的網(wǎng)絡(luò)顯然需要極高的技術(shù)成本。

　　作為服務(wù)大型企業(yè)、政府機(jī)構(gòu)和關(guān)鍵基礎(chǔ)設(shè)施的美國一流安全公司，火眼最有價(jià)值的信息包括客戶信息、威脅情報(bào)等核心技術(shù)資料，以及未公開的APT報(bào)告和證據(jù)，但根據(jù)火眼透露的信息：攻擊者試圖訪問“與某些政府客戶有關(guān)的信息”，但目前尚無證據(jù)證明客戶信息已被盜。

　　一個(gè)結(jié)論和三個(gè)假設(shè)

　　奇安信CERT安全專家認(rèn)為，從目前披露出的信息看，與黑客組織攻擊所付出的高昂成本相比，除非另有隱情，這場攻擊無疑是一樁賠本買賣，不能排除該黑客組織會卷土重來。

　　是否另有隱情？可能存在三種假設(shè)：

　　攻擊組織獲取了高價(jià)值信息，但火眼尚未發(fā)現(xiàn)或公開

　　攻擊活動被火眼發(fā)現(xiàn)并終止，及時(shí)止損

　　攻擊者僅僅掌握了一部分紅隊(duì)的行動機(jī)器，無法取得更大進(jìn)展。

　　無論是否另有隱情，火眼公司被成功入侵再次說明，沒有攻不破的網(wǎng)絡(luò)，在網(wǎng)絡(luò)攻擊面前，不存在絕對的安全。

　　奇安信威脅情報(bào)中心負(fù)責(zé)人表示，由于一些APT組織攻擊手法并不復(fù)雜，容易被其他攻擊者進(jìn)行模仿，這種假旗行為需要提防。

　　目前，基于奇安信威脅情報(bào)中心的威脅情報(bào)數(shù)據(jù)的全線產(chǎn)品，包括奇安信威脅情報(bào)平臺（TIP）、天擎、天眼高級威脅檢測系統(tǒng)、奇安信NGSOC等，都已經(jīng)支持對火眼紅隊(duì)樣本的精確檢測。（Ti.qianxin.com）

　　了解火眼紅隊(duì)測試工具的檢測規(guī)則及樣本分析，請點(diǎn)擊閱讀原文奇安信威脅情報(bào)中心詳細(xì)分析。