从金融黑客组织TA505和朝鲜国家队Lazarus思考钓鱼邮件分析

很多公司都有垃圾邮件网关，对一些伪造发件地址类的钓鱼，往往能很容易的拦截掉。还有一些钓鱼邮件附件是bot类的，这名字就意味着是大规模撒网的。对分析人员而言，也觉得此类样本是毫无意义的。果真如此么？

Lazarus攻击Sony影视案例

2014年10月，索尼影视被入侵。黑客窃取并公开了包括高管薪酬，索尼未发行电影的拷贝等。最终索尼影视取消了电影《刺杀金正恩》的上映。

2016年2月，孟加拉银行被入侵。被窃取8100万美金。

在美国法院公布的文档中，FBI认为Sony影视入侵事件和孟加拉银行被入侵是来自朝鲜国家队的Lazarus黑客组织所为。

这么逆天的APT组织，他们是怎么撕开Sony影视和孟加拉银行这样的巨型组织的口子的呢？他们是不是构造了特别精心的钓鱼？

在FBI对朝鲜黑客的起诉书当中，提到了有意思的一点，Lazarus对Sony影视的钓鱼邮件要么是伪造的发件地址，要么是从其他国家的邮件服务器上发来的。

伪造的发件地址，如果开了SPF校验，这种一般都会被拦截掉。这样没技术含量的钓鱼，竟然有国家级的APT组织使用，而且这个组织后面还黑了孟加拉银行！如果Sony影视或者孟加拉银行的安全人员例行分析这些没啥技术含量的钓鱼邮件，在里面提取出攻击用的恶意软件，分析相应的TTP，没准可以避免后面的悲剧。

TA505是一个攻击金融公司的黑客组织。它被有的安全公司认为是世界上最危险的金融黑客组织。历史上攻击了包括英国，加拿大，美国，韩国等金融机构。很多安全公司认为这个组织成员主要是彪悍的老毛子。

韩国_Financial Security Institute_ 认为Dridex， Locky 勒索软件, Flawed Ammyy远控和 Clop勒索软件都是这个组织的攻击工具。

在FSI公布的TA505的画像中提到：

该黑客组织使用Amadey Bot 来进行大规模传播，获取敏感信息。获取的信息之后用来进一步进行定向钓鱼。

在我们的印象里，botnet相比于APT攻击，属于特别低级的攻击。但某台机器被种了bot，也有可能是专业黑客组织打点前奏。

Trickbot是一种银行木马。这个木马功能包括窃取敏感信息，包括银行登录信息，邮箱登录信息，系统和网络信息等。

它同时也会通过发送垃圾邮件来进一步传播，据说已经攻陷了250,000,000邮箱账户。

看到这里，甲方公司觉得，如果员工电脑上没自动保存啥敏感信息，又或者登录口外界无法访问，这个bot也做不了多大的事情。

问题是，这个bot还会下载其他恶意软件，包括恶心的勒索软件Ryuk。

Proofpoint认为这个Trickbot也是TA505的“杰作”。

对甲方而言，如果内网有一台机器种了病毒，大部分甲方都是重装了事。但我们还得进一步思考这个病毒背后的意义。这个病毒是普通病毒还是啥病毒？功能是啥？

我们常常能在很多公司里面看到，有机器种了挖矿的bot。但问题是这些bot仅具有挖矿的功能么？这往往是我们所忽略掉的。这个bot会不会在暗网里面被租用用来部署勒索软件呢？

从对APT的防御而言，我们需要投入情报分析人员，来更多的分析包括那些失败的钓鱼邮件背后的信息，来挖掘某台种了bot的PC背后的情报。

这一点往往被大部分甲方有意无意的忽略掉了。

因为这块的工作看起来没有那么有价值，远没有打击了一个薅羊毛团伙带来的价值明显。

如何衡量这块工作的ROI，如何说服组织投入，这个是每个CISO需要思考的问题。当然，我们也可以蒙着眼，听天由命。