不惜一切代价进行攻击：为 APT 攻击定价

介绍

富裕的公司和政府的资产总是吸引着攻击者。这就是潜在目标投入大量资源来保护其信息的原因。Gartner估计，今年全球数字安全支出将超过 1240 亿美元。但攻击者很少会放弃目标，即使他们的第一次尝试不成功。据 FireEye统计，2018 年遭受攻击的公司中有 64% 在接下来的 19 个月内再次遭到攻击。

针对具有组织良好的保护系统的公司的网络攻击非常耗时、昂贵，并且需要特殊的知识和工具。针对特定行业或公司的多阶段、精心策划和有组织的攻击称为高级持续威胁 (APT)。为了进行此类攻击，黑客组建了犯罪集团，称为 APT 集团。

检测正在进行的 APT 攻击是极其困难的。在公司的基础设施中获得立足点后，犯罪分子可以在不被注意的情况下留在那里多年。例如，德国制药巨头拜耳的网络安全团队观察了一年多的恶意软件活动。根据 PT Expert Security Center (PT ESC) 的测量，攻击者在网络上存在时间最长的时间超过八年。然而，以利益为导向的网络犯罪分子更喜欢迅速采取行动。Cosmos 银行成为 Lazarus Group 网络攻击的受害者，该组织在短短三天内窃取了 1350 万美元。换句话说，犯罪分子的行为、技术和工具取决于他们的目标。

在这项研究中，我们将尝试评估用于 APT 攻击的工具的成本以及获取这些工具的难易程度。我们还将分析攻击者如何根据目标选择工具。我们希望我们的研究能够帮助安全决策者更好地保护他们的系统免受行业特定的攻击。

执行摘要

• 鱼叉式网络钓鱼是一种渗透公司内部网络的有效方式，90% 的 APT 组织都在使用这种方式。用于创建恶意附件的工具，不包括利用零日漏洞的成本，成本约为 2,000 美元。

• 渗透内部网络后，一半的 APT 组织使用合法的管理工具和商业渗透测试软件，成本从 8,000 美元到 40,000 美元不等。

• 据我们估计，银行攻击所需工具的成本最低为 55,000 美元。网络间谍活动的成本要高得多，至少需要 500,000 美元才能开始。

关于研究

我们分析了 29 个 APT 组织在过去两年中在全球范围内开展攻击活动并威胁政府、金融和工业公司等关键部门所使用的工具。

数据基于我们的事件响应专业知识和对企业基础设施安全事件的回顾性分析，以及 PT ESC 对活跃 APT 组织的持续监控。我们还参考了知名安全公司提供的关于 APT 组织的公开报告。

我们根据攻击动机确定了两大类 APT 组织。第一类包括以经济为动机的团体，它们攻击银行和其他组织以窃取资金。相比之下，网络间谍组织以有价值的信息为目标并寻求对基础设施的长期控制。

用于获得公司本地网络初始访问权限的工具与攻击后期使用的工具不同。然而，这两类群体在系统立足和横向移动时往往会使用相似的工具。因此，我们将 APT 工具分为两类：

• 用于闯入组织网络的工具（“初始访问”）

• 用于开发内部网络攻击的工具（“攻击开发”）

我们分析了 190 个暗网网站和场所中有关购买或销售 APT 工具以及自定义恶意软件开发的帖子。我们专注于论坛、专业市场和聊天。平均每个月有超过 7000 万人访问它们。

攻击工具

初始访问

初始妥协阶段的费用取决于攻击者如何将恶意软件传送到公司的基础设施。该方法取决于攻击者的动机和受害者的保护水平。

鱼叉式网络钓鱼是出于经济动机的攻击者的主要工具。为了进行网络钓鱼攻击，黑客准备了一份包含恶意软件和加载程序（投放程序）的文档。

包含恶意代码的文档可以使用称为漏洞生成器的特殊程序创建。这些程序会生成一个带有恶意代码的文件，该文件会在文件打开时运行。此代码下载并运行加载程序（负责下载主要恶意软件模块的小程序）。加载程序通常只使用一次：再次运行加载程序，即使它被混淆，也可以被防病毒软件检测到。

图 1. 网络钓鱼：恶意软件准备和传送到本地网络

用于创建恶意文档的工具的成本在很大程度上取决于恶意软件是否能够持续存在于目标系统上而不被防病毒软件检测到。恶意软件源代码的成本远高于即用型实用程序。例如，一个随时可用的加载器只需 25 美元，但源代码至少要 1,500 美元，再加上进一步修改的时间和费用。

Cobalt组织广泛使用鱼叉式网络钓鱼。该组织不断改进其技术以利用最新的漏洞。2017 年，Cobalt 获得了漏洞CVE-2017-0199的漏洞利用构建器，当时售价为 10,000 美元。如今，只需 400 美元即可购买该漏洞的开发工具。

图 2. 待售的漏洞利用构建器

图 3. 2017 年发现的漏洞利用价格

出于经济动机的 Silence 组织还使用鱼叉式网络钓鱼，利用CVE-2018-0802和CVE-2018-8174等漏洞。可以在暗网上以低至 1,600 美元的价格购买这些漏洞的漏洞。

急需现金的犯罪分子热衷于快速获利（平均而言，从发送消息到兑现之间只需一周到一个月的时间）。因此，他们愿意购买现成的工具，群发钓鱼邮件。

就像出于经济动机的攻击一样，网络间谍 APT 工作通常从网络钓鱼开始。但是，尽管普通犯罪分子可能会采取针对整个行业的漫无目的的方法，但网络间谍的行动却会进行精确和周密的准备。例如，在 PT ESC 调查的一次渗透尝试中，SongXY小组发送了一份文档，其中包含指向攻击者控制的服务器上的图像的链接。打开文档时会自动触发链接。这允许攻击者收集有关服务器配置的其他信息，包括正在使用的 Microsoft Office 版本，并选择具有破坏系统所需的正确利用的恶意文档。

网络间谍使用的漏洞构建器和加载器不会在暗网上出售。即使粗略估计此类工具的成本也几乎是不可能的。只能将它们与定制开发的价格进行比较。暗网犯罪分子愿意为单个工具的定制开发支付 20,000 美元或更多。

网络间谍 APT 组织可能会手工准备恶意电子邮件。他们确定自己的恶意代码不会被任何安全系统检测到，并且首先专注于绕过目标组织使用的保护工具。识别这些保护工具是攻击侦察阶段的关键任务之一。这些攻击者仔细选择邮件的布局和文本，使受害者很可能会打开附件。

为了进一步增加网络钓鱼成功的几率，网络间谍 APT 团体甚至可能攻击目标组织的合作伙伴和承包商，并在电子邮件中冒充他们。2019 年春季，黑客侵入IT 巨头 Wipro 的网络，向该公司的客户发送钓鱼邮件。

攻击者有时会进行水坑攻击。他们选择目标公司员工经常访问的网页，例如合作伙伴的网站或特定行业的门户网站。然后攻击者入侵这些网站并在其上安装恶意软件。如果目标员工随后访问受感染的网站，攻击者可能会渗透到公司的内部网络。

网络间谍组织不会吝啬对零日漏洞的昂贵利用，可以开发自己的工具，并进行多阶段攻击，利用其他组织达到最终目标。

图 4. 攻击者准备为零日漏洞支付的价格

攻击发展

在基础设施内部，攻击会经历几个阶段：入侵者在主机上执行代码、提升权限、收集数据、在主机之间移动以及创建命令和控制 (C2) 通道。APT 组织使用类似的工具对内部网络进行攻击开发。出于经济动机和网络间谍团体都更喜欢公开可用的合法软件，仅在必要时才使用自行开发的恶意软件或在暗网上购买实用程序。

Cobalt Strike 和 Metasploit Pro 是用于渗透测试的商业框架。但是，它们在安全专家和黑帽子中都很受欢迎。

图 5. 暗网上对 Cobalt Strike 的需求

Cobalt Strike 的开发人员意识到他们的产品具有潜在的邪恶吸引力，因此对潜在客户进行严格检查。因此，黑客定期在暗网上表示有兴趣获得被黑客入侵或非法获得的 Cobalt Strike 官方版本。

Metasploit Pro 也在暗网上出售。可用版本包括被黑（“破解”）的原始版本以及包含附加功能的修改版本。

在渗透公司的基础设施后，出于经济动机的犯罪分子会尝试快速识别感兴趣的主机，例如负责传出金融交易的任何计算机。这可以是用于银行间转账的银行工作站或普通公司会计师的计算机。为了识别这些主机，攻击者使用免费实用程序，如 nmap 或 nbtscan，或更方便的商业程序（例如，Cobalt 使用 SoftPerfect Network Scanner，官方价格为 3,000 美元）。大型组织庞大的网络非常复杂，拥有大量的服务器和工作站，这迫使犯罪分子获得处理此类网络的特殊工具。

图 6. 出售的隐藏 VNC

400 美元以上的现成银行机器人成本，基本配置（下载和执行任意文件）带有全套模块的 Smoke Bot 银行恶意软件成本为1,750 美元。

图 7. 出售的 Smoke Bot 银行恶意软件

就像出于经济动机的罪犯一样，网络间谍会在成功渗透到内部网络后试图在系统中盘踞并识别关键主机。他们对存储和处理有价值信息（包括商业机密和知识产权）的工作站和服务器很感兴趣。他们还针对高层管理人员和其他关键人员的计算机，或者可能是允许访问工业控制系统 (ICS) 网络的服务器。在收集敏感信息之前，网络间谍会研究目标公司的业务流程。为了不引起注意或引起怀疑，他们更喜欢使用合法的管理工具。例如，48% 的研究 APT 组使用Microsoft 的免费Sysinternals Suite 。

下一个重要步骤是提升操作系统权限。在暗网上，犯罪分子可以通过利用已知或零日漏洞来购买用于提升操作系统权限的漏洞。

图 8. 出售的提权漏洞

利用零日漏洞是网络间谍组织使用的一种行之有效的技术。在一个这样的案例中，TEMP.Reaper利用了 Adobe Flash 中的一个零日漏洞。该缺陷现在编目号为CVE-2018-4878，具有公开可用的漏洞。Adobe Flash 中的另一个零日漏洞 ( CVE-2018-15982 ) 在针对俄罗斯一家国营门诊诊所的网络间谍APT攻击中被利用。很难估计利用未知漏洞的成本。然而，在暗网上利用 Adobe Acrobat 的零日漏洞的成本相当高。

图 9. 出售的零日漏洞

攻击者可以利用零日漏洞来传播间谍软件木马。例如，一个 APT 组织利用 Adobe Flash Player ( CVE-2017-11292 ) 和 Microsoft .NET Framework ( CVE-2017-8759 )中的零日漏洞来传播 FinSpy 恶意软件。FinSpy 框架也称为 FinFisher，是一种监视软件，能够通过受感染计算机的网络摄像头和麦克风监视用户、捕获聊天消息和电子邮件，以及窃取密码和其他敏感数据。该木马被SandCat使用组织。除了强大的间谍能力外，FinSpy 还采用了多种反分析技术，包括代码混淆和虚拟机检测。所有这些都让防御者的工作变得更加困难，并解释了为什么该恶意软件耗资高达 150 万欧元。

黑客使用各种技术来绕过网络主机的保护机制。例如，他们可能会使用证书签署恶意代码，以便将其伪装成合法代码。暗网论坛上也提供即用型证书。

图 10. 使用合法证书签署恶意软件的广告

当黑客需要访问受特殊保护的网段时，例如 ICS 网络，他们可能更喜欢自行开发的工具。在一个这样的案例中，在针对工业公司的TRITON攻击中，恶意行为者使用了自定义工具，例如 SecHack（用于收集凭据）和 NetExec（用于在网络内部移动）。

用于防御工事和横向移动的工具集可能会使出于经济动机的团队花费 30,000 美元到 35,000 美元。然而，这些都是一次性费用。团体购买现成的工具集，然后在未来的许多攻击中使用它们，大大减少了经济损失。

一个零日漏洞的利用成本高达数万甚至数十万美元。高昂的漏洞利用价格并不能阻止网络间谍活动。除了购买漏洞，网络间谍还有办法开发自己的恶意软件，能够绕过防病毒软件并检测它何时在沙箱中运行。所有这些都使攻击者检测变得复杂，并迫使公司使用强大的安全工具和措施来保护敏感信息。当然，如果没有熟练的安全运营中心 (SOC) 的全天候监控，保护将不会有效。

APT 的成本是多少

除了已经讨论过的软件成本外，黑客还承担了许多其他运营费用：租用服务器、购买域名、托管网站和支付 VPN 服务费用，仅举几例。我们估计此类费用总计约为 1,000 美元，远低于攻击工具的成本。在本报告中，我们将分析网络犯罪分子的主要支出，并以数次实际APT攻击的数据进行说明。我们的结论是基于暗网上类似服务和软件的成本。

2019 年初，我们观察到以经济为动机的团体 Silence 卷土重来。让我们试着计算出执行该组织的一次攻击需要花费多少成本。如前所述，用于创建恶意附件的服务的每月订阅费用通常为 2,500 美元。Silence 使用免费的 Sysinternals Suite 加上一些自主开发的工具，包括 Silence 框架、Atmosphere ATM 盗窃工具包等。顺便说一句，我们的研究犯罪网络服务市场上的一项研究表明，针对 ATM 的恶意软件是暗网上最昂贵的现成恶意软件类别，平均价格约为 5,000 美元。在对暗网上提供的网络服务进行全面分析后，我们得出了 55,000 美元的大概数字，对于像 Silence 这样有经济动机的团体来说，全套工具的起始价格是 55,000 美元。

2018 年 7 月，黑客从俄罗斯 PIR 银行窃取了相当于 930,000 美元的资金。犯罪分子在袭击中投入了多少钱？在渗透阶段，他们发送钓鱼邮件。除了自行开发的恶意软件外，他们还积极使用 Metasploit Pro 和 Sysinternals Suite 在网络内部移动。为了监视银行员工，他们使用了自己的工具和合法的NirCmd实用程序。我们会为这套工具标价至少 66,000 美元。

通过 22 家银行的客户卡从 PIR 银行窃取资金；大部分被盗的钱是在袭击发生当晚兑现的。为了提取资金和兑现，犯罪分子通常会雇用所谓的钱骡。此类服务的总成本，包括对钱骡的赔偿和相关费用，占被盗总金额的 15% 至 50%。因此，在这种情况下，Silence 组织者支付了 140,000 美元至 465,000 美元以获得被盗现金。

评估网络间谍攻击的成本更加困难。零日漏洞在暗网上可能会花费数万甚至数百万美元。更重要的是，黑客有时会使用自行开发的恶意软件，这对每个群体来说都是独一无二的。我们不知道在每个特定案例中此类恶意软件是如何开发的，也不知道创建它需要多少时间和精力。因此，估算开发成本非常困难。为了降低成本，我们为在暗网上找到的最便宜的定制恶意软件开发做了一个广告。

FireEye 专家调查了另一个以利润为导向的组织 APT38 进行的攻击，发现它们类似于网络间谍活动。该组织的工具与 TEMP.Hermit 用于网络间谍活动的工具相同。APT38 在渗透阶段进行水坑攻击，平均潜入受害网络 155 天，这对于旨在窃取资金的攻击来说是非常长的时间。该组织的武器库包含 26 个独特的自定义恶意软件系列。我们估计此类工具的开发成本超过 500,000 美元。

结论和建议

黑客在 APT 攻击中使用的工具因动机而异。虽然一个出于经济动机的团体的攻击工具成本以数万美元衡量，但对于 APT 网络间谍团体来说，这个数字要高出一个数量级。同时，受害者的损失比APT组织的成本还要大很多倍。只需几次成功的攻击就足以支付购买或开发工具的“投资”

我们建议金融机构在行业层面积极共享有关网络攻击和妥协指标的信息。FS-ISAC 等资源显着降低了针对金融机构的网络攻击的成功率。快速识别基础设施中的攻击痕迹并持续监控网络是否存在异常活动也至关重要。这种意识使检测和调查新的未知攻击成为可能，并与业内其他人分享结果。

当今的网络间谍组织倾向于使用自行开发的恶意软件和零日漏洞利用程序。这些团体花时间进行侦察并准备独特的工具来绕过目标的保护。他们心中有特定的目标，最小的错误可能会导致整个行动失败。在当今的条件下，不可能在渗透到本地网络的阶段就检测到网络间谍攻击，也很难识别它何时在基础设施中站稳脚跟并蔓延开来。更糟糕的是，目标基础设施本身往往不利于检测攻击。

针对单个服务器或端点的开箱即用的保护解决方案无可救药地超越了它们。犯罪分子很久以前就想出了绕过防病毒软件、沙箱和入侵检测系统 (IDS) 的方法。公司需要清醒地了解现有的保护系统，以保护其关键资产。解决方案必须全面，限制犯罪分子的活动空间，并确保最大程度地覆盖系统日志、流量和网络对象上下文中的安全事件。对基础设施事件的全面了解是威胁搜寻链中用于检测 APT 团体行为的关键环节。

对网络流量的深入分析、安全事件的回顾性分析、用户行为分析以及对 RAM、进程和其他取证工件的访问可以显着减少基础设施停留时间，使攻击者更难实现他们的目标。当然，没有熟练的事件调查专家的支持，任何 APT 保护系统都不可能有效。

只有结合现代技术和工具的知识，准备好检测最常见的行业特定攻击方法，并了解攻击者的目标和动机，组织才能构建真正有效的保护系统，预测并领先于攻击者，消除威胁并减轻威胁关键风险。