從紅隊角度看 MITRE ATT&CKR-了解 APT Group與自動化模擬攻擊 BAS

<文章摘要>
從第一篇了解 ATT&CK® 的基本介紹與官網的操作方式，再從第二篇了解如何分析 Techniques 後設計一套給紅隊的 Windows 學習流程。本篇則介紹以 APT 組織出發，分析 APT 組織的攻擊手法與攻擊行為，分析完畢之後，再來介紹企業如何透過 ATT&CK® 進行自動化模擬攻擊增加企業安全性。
ATT&CK® 的資料中多為「開源情資」整理而成，官方網站也會附上來源做為讀者參考。

APT-16
從 2015 年 11 月 26日到 2015 年 12 月 01日，來自中國的 APT 組織，代號 APT-16，針對日本和台灣的高科技、政府、媒體、金融業進行「魚叉式網路釣魚攻擊」。
針對日本的信件
2015 年 11 月 26 日，惡意攻擊者針對日本、高科技公司發送日本國防政策為主題的釣魚信件，每一個釣魚信件都有惡意的 Word 附件。


針對日本國防政策為主題的魚叉式信件的 SMTP 標頭（圖片來源：FIREEYE）


釣魚信件
釣魚信件內的惡意 Word 附件，該惡意檔案利用Microsoft Office EPS 漏洞（CVE-2015–2545）和 Windows 提升權限的漏洞（CVE-2015–1701），進入受害者主機後，進行提升權限並部署 IRONHALO 下載器（Downloader）或 ELMER 後門。
IRONHALO
透過 HTTP 協定與 C2 伺服器進行連線，而指令進行 Base64 編碼後以路徑的方式傳輸，有效的指令被寫入到暫存檔內，並隱藏該檔案後解碼執行，最後複製到受害者的「啟動」資料夾內。有些變種的 IRONHALO 下載器，甚至將 HTTP 請求發送到合法的網站，惡意攻擊者可能破壞或入侵合法網站，將已被入侵的合法網站做為第二階段的 C2 伺服器。
針對台灣的信件
第一封魚叉式信件於 2015 年 12 月 1 日發送，受害者群眾針對台灣政府人員，內容為擷取拍賣網站的流程圖，誘使受害者開啟惡意檔案。
第二封信件於 12 月針對台灣的新聞媒體組織，主題以政黨為主軸，更新聯絡資訊的信件。


針對台灣政府為主題的魚叉式信件和 SMTP 標頭（圖片來源：FIREEYE）

ELMER 後門
以 Delphi 的語言寫的 HTTP 後門，可以上傳、下載檔案、執行指令、查看 處理程序與目錄列表。ELMER 透過 HTTP GET 的請求發送到 C2 伺服器，並解析從 C2 伺服器回傳 HTTP 的封包，取得指令與字串。

對應 ATT&CK® 的 Techniques
T1591：Gather Victim Org Information
收集受害者組織的資訊，此次事件中收集日本與台灣政治資訊。

T1566.001：Phishing: Spearphishing Attachment
透過魚叉式附件夾在惡意檔案，誘使受害者開啟。

T1584.004：Compromise Infrastructure: Server
破壞或入侵合法網站，並受害網站做為第二階段的 C2 伺服器。

S0064：ELMER
受害平台為 Windows，並利用 Delphi 撰寫而成的，非持續性、可感知代理的 HTTP 後門。

T1071.001 Application Layer Protocol: Web Protocols
該惡意程式使用 HTTP 進行命令與控制

T1083 File and Directory Discovery
該惡意程式可以列舉檔案或目錄

T1057 Process Discovery
該惡意程式可以列舉處理程序

小結
此次事件可以看出惡意攻擊者，針對性的進行攻擊，事前了解受害目標地的政治文化，並構造釣魚信件內容進行攻擊。


APT-C-36
從 2018 年 04 月開始有攻擊行為，來自南美洲的 APT 組織，代號 APT-C-36，又名 Blind Eagle。
在 ATT&CK®