藍隊的自我修養(yǎng)之事后溯源（歸因）| HVV 經(jīng)驗分享

1

背景

眾所周知，攻防演練過程中，攻擊者千方百計使用各種方法滲透目標(biāo)。一般情況下攻擊鏈包括：偵察、武器化、交付、利用、安裝、命令和控制、竊取目標(biāo)數(shù)據(jù)。在溯源中，安全人員對攻擊者某個階段的攻擊特點進行分析，再結(jié)合已掌握的威脅情報數(shù)據(jù)將攻擊特點和數(shù)據(jù)聚類，能夠有效掌握攻擊者的攻擊手法和 IP &域名資產(chǎn)等。前文（藍隊的自我修養(yǎng)之事中監(jiān)控）中講到了在攻防演練場景下如何從海量的告警日志中獲取高度疑似攻擊者的 IP，在發(fā)現(xiàn)有攻擊者之后，快速對其進行精準(zhǔn)地溯源反制，收集攻擊路徑和攻擊者身份信息，描繪出完整的攻擊者畫像。本文中筆者將對溯源的難點、目標(biāo)以及方法論展開討論。

2

難點

當(dāng)前，攻擊者溯源主要存在以下幾個難點：

• 安全分析人員經(jīng)驗缺乏，水平參差不齊；

• 安全分析人員易疏忽有利于溯源的關(guān)鍵點；

• 沒有具體的關(guān)聯(lián)點，無法自動化或者半自動的溯源。

3

目標(biāo)

通過攻防演練的實踐，我們總結(jié)出一套能夠有效溯源（歸因）攻擊者的方法。通過此方法我們可以將攻擊者信息有效聚類達到深度溯源的目的，預(yù)期的目標(biāo)包括：

• 掌握攻擊者的攻擊手法（例如：特定木馬、武器投遞方法）；

• 掌握攻擊者背后的 IP &域名資產(chǎn)（例如：木馬 C2、木馬存放站點、資產(chǎn)特點）；

• 掌握攻擊者的真實身份；

• 掌握攻擊者武器的檢測或發(fā)現(xiàn)方法，將捕獲的數(shù)據(jù)形成新的線索。

4

方法論

我們針對交付、利用、安裝、命令和控制四個階段捕獲到的數(shù)據(jù)做深度分析，聚類提取數(shù)據(jù)特點形成規(guī)則。將規(guī)則應(yīng)用于一些安全設(shè)備產(chǎn)出高可信度的告警用于防御，或者結(jié)合情報數(shù)據(jù)（如樣本信息、域名信息、IP 信息等），將深度溯源的情報（如身份信息、攻擊隊伍等）產(chǎn)出。   

1. 攻擊鏈部分可溯源關(guān)鍵點

下圖列舉攻擊鏈中部分可溯源的關(guān)鍵點：

2. 攻擊鏈利用階段可溯源方法及關(guān)鍵點

下圖是在攻擊鏈的利用階段可溯源的方法&關(guān)鍵點：

攻擊回溯的關(guān)鍵點主要分為兩類：

• 攻擊分類：根據(jù)攻擊者的漏洞利用數(shù)據(jù)包特點（如：字符串格式、特殊字符串）。
• 攻擊者信息：攻擊者使用其公司（個人）特有的漏洞利用工具時，可能會在請求包中存在公司（個人）信息。

3. 釣魚郵件可溯源方法及關(guān)鍵點

下圖是釣魚郵件中可溯源的方法&關(guān)鍵點：

• 發(fā)件 IP、發(fā)件賬號、郵件內(nèi)容（格式特點等）可用于將攻擊者投遞的郵件分類；
  

• 發(fā)件賬號中可能存在個人信息，如：“賬號@qq.com”、“昵稱@gmail.com” 等此類字符串，檢索該字符串可用于挖掘身份信息；
• 郵件內(nèi)容大致可分以下三類：
  - 投遞物（后門木馬、其他攻擊組件）
  - 釣魚網(wǎng)站，包含域名、IP 等信息
  - 其他，需要研究郵件中的字符串，郵件可能存在攻擊者的其他賬號（在真實場景中出現(xiàn)過）
• 發(fā)件 IP、發(fā)件服務(wù)器，屬攻擊者資產(chǎn)。
  
  

4. 后門木馬可溯源方法及關(guān)鍵點

下圖是后門木馬（需要對二進制后門、腳本后門進行分析）可溯源的方法&關(guān)鍵點 ：

• 代碼邏輯，由于人的惰性，紅隊開發(fā)者可能會復(fù)用以前的一些代碼。如代碼特點比較明顯，可用于分類和拓線。

• 字符串特點，用于將紅隊投遞的樣本分類和拓線更多的樣本，將檢索到的樣本再進行分析，分析歷史樣本（如測試階段的樣本）看是否會暴露出更多信息。
• 元數(shù)據(jù)（投遞的誘餌不同，得到的元數(shù)據(jù)不同。誘餌類型包括：LNK、EXE、DOCX等）。
  - EXE 文件：存在 PDB 信息，部分開發(fā)人員將項目存放在桌面，這會導(dǎo)致編譯信息帶入開發(fā)人員的終端名稱（極大可能為個人昵稱）。
  - LNK 文件：由于 LNK 文件在新建的時候會帶入計算機名稱，這可以用于樣本的拓線和分類，極少情況下可找到個人昵稱。
  - DOCX 文件：可能存在“最后編輯者名稱”。
• 回連 C2，屬攻擊者資產(chǎn)。

5. 攻擊者資產(chǎn)維度可溯源方法及關(guān)鍵點

攻擊者資產(chǎn)維度可溯源的方法及關(guān)鍵點，主要如下圖：

• 域名自身特點，如：昵稱字符串

• 搭建網(wǎng)站（通過圖中四種方法探測資產(chǎn)的現(xiàn)有數(shù)據(jù)和歷史數(shù)據(jù)）
  a. 網(wǎng)站可能存在紅隊的其他攻擊組件
  b. 網(wǎng)站存在個人昵稱、簡介等
  c. 網(wǎng)站備案信息
• Whois 信息，可能包含：注冊者郵箱、電話號碼等
• IP 信息需要考慮如下兩點：
  a. 是否定位到某個安全公司的地理位置
  b. 是否標(biāo)記為某個安全公司的網(wǎng)關(guān)

6. 命令和控制階段可產(chǎn)出的數(shù)據(jù)

下圖中是在命令和控制階段可產(chǎn)出的數(shù)據(jù)點，結(jié)合上述的方法進一步溯源。

• 用于防御，將掌握的流量規(guī)則部署在安全設(shè)備中

• 積累數(shù)據(jù)，掌握更多的木馬、資產(chǎn)，支撐上述中的各種溯源方法

7. 身份信息溯源方向

下圖中列舉身份信息的溯源方向：

虛擬身份

• 攻擊者資產(chǎn)暴露的信息，如：Whois 信息、個人網(wǎng)站簡介、GitHub 個人簡介
• 樣本暴露的信息，如：PDB 信息、個人昵稱、存放特馬的 Github 賬號
• 蜜罐捕獲，如：百度 ID、新浪 ID 等
• 利用密碼找回功能，如：阿里云IP找回、騰訊密碼找回、郵箱密碼找回

真實身份

• 社交平臺（如百度貼吧、QQ 空間、新浪微博等）暴露真實姓名、手機號碼
• 支付寶轉(zhuǎn)賬功能，搜索郵箱、手機號
• 已知的線索（郵箱、QQ、昵稱等）在招聘網(wǎng)站搜索
• 利用搜索引擎，如：手機號和真實姓名存放一起的 XXX 學(xué)校表格

公司信息

• IP資產(chǎn)定位、域名 Whois 信息
• 特有漏洞利用工具暴露的信息，如：User Agent、Cookie、Payload
• 社交平臺，如：釘釘、企業(yè)微信等
• 攻擊者個人簡歷中的工作經(jīng)歷

上述所列舉的框架圖中，基礎(chǔ)數(shù)據(jù)可自動化或者半自動化分析，提高溯源效率的同時還能減輕安全人員的運營成本，在溯源真實身份中則更傾向于安全人員使用谷歌或百度檢索的能力。需要注意的是，方法并非是固定流程或者固定邏輯的，需要靈活組合使用，從攻擊者的一個點覆蓋到面。

5

總結(jié)

在本文中，我們從攻擊手法、資產(chǎn)、樣本、流量四個維度提出追蹤溯源攻擊方的5個關(guān)鍵點，分別是：

1. 攻擊鏈利用階段可溯源方法及關(guān)鍵點
2. 釣魚郵件可溯源方法及關(guān)鍵點

3. 后門木馬可溯源方法及關(guān)鍵點

4. 攻擊者資產(chǎn)維度可溯源方法及關(guān)鍵點
5. 命令和控制階段

通過上述方案的實施，整個攻防演練期間，我們累計發(fā)現(xiàn)了多個攻擊者針對防守方公司數(shù)百位員工的魚叉式釣魚郵件攻擊。通過上述方法拓線關(guān)聯(lián)，掌握攻擊者更多資產(chǎn)情報，在防守中搶占了先機，相關(guān)攻擊均在第一時間得以攔截，并且運用上述的方法，多次溯源到紅隊攻擊者的真實身份信息，取得了很大的戰(zhàn)果！

- END -

RECOMMEND

推薦閱讀

藍隊的自我修養(yǎng)之事中監(jiān)控 | HVV 經(jīng)驗分享

閱讀全文

我們不差錢，就差一個你~

閱讀全文

關(guān)于微步在線研究響應(yīng)團隊

微步情報局，即微步在線研究響應(yīng)團隊，負責(zé)微步在線安全分析與安全服務(wù)業(yè)務(wù)，主要研究內(nèi)容包括威脅情報自動化研發(fā)、高級 APT 組織&黑產(chǎn)研究與追蹤、惡意代碼與自動化分析技術(shù)、重大事件應(yīng)急響應(yīng)等。

微步情報局由精通木馬分析與取證技術(shù)、Web 攻擊技術(shù)、溯源技術(shù)、大數(shù)據(jù)、AI 等安全技術(shù)的資深專家組成，并通過自動化情報生產(chǎn)系統(tǒng)、云沙箱、黑客畫像系統(tǒng)、威脅狩獵系統(tǒng)、追蹤溯源系統(tǒng)、威脅感知系統(tǒng)、大數(shù)據(jù)關(guān)聯(lián)知識圖譜等自主研發(fā)的系統(tǒng)，對微步在線每天新增的百萬級樣本文件、千萬級 URL、PDNS、Whois 數(shù)據(jù)進行實時的自動化分析、同源分析及大數(shù)據(jù)關(guān)聯(lián)分析。微步情報局自設(shè)立以來，累計率先發(fā)現(xiàn)了包括數(shù)十個境外高級 APT 組織針對我國關(guān)鍵基礎(chǔ)設(shè)施和金融、能源、政府、高科技等行業(yè)的定向攻擊行動，協(xié)助數(shù)百家各個行業(yè)頭部客戶處置了肆虐全球的 WannaCry 勒索事件、BlackTech 定向攻擊我國證券和高科技事件、海蓮花長期定向攻擊我國海事/高科技/金融的攻擊活動、OldFox 定向攻擊全國上百家手機行業(yè)相關(guān)企業(yè)的事件。

內(nèi)容轉(zhuǎn)載與引用

1. 內(nèi)容轉(zhuǎn)載，請微信后臺留言：轉(zhuǎn)載+轉(zhuǎn)載平臺

2. 內(nèi)容引用，請注明出處：以上內(nèi)容引自公眾號“微步在線研究響應(yīng)中心”

微步在線

研究響應(yīng)中心

-長按二維碼關(guān)注我們-

戳“閱讀原文”，查看更多職位詳情

↙↙↙