理論基礎(chǔ)
溯源分析就是在通過現(xiàn)象去發(fā)掘惡意攻擊者背后的故事,沒有固定的套路可循,在分析過程中,要像偵探破案一樣,大膽心細(xì),不放過任何細(xì)枝末節(jié),是一場人與人之間斗智斗勇的過程。
惡意樣本溯源分析的前提是針對(duì)樣本,然后進(jìn)行對(duì)樣本做逆向分析、網(wǎng)絡(luò)行為分析、日志行為分析。挖掘出惡意樣本的攻擊者或者團(tuán)隊(duì)的意圖。
網(wǎng)絡(luò)攻擊追蹤溯源旨在利用各種手段追蹤網(wǎng)絡(luò)攻擊的發(fā)起者。相關(guān)技術(shù)提供了定位攻擊源和攻擊路徑,針對(duì)性反制或抑制網(wǎng)絡(luò)攻擊,以及網(wǎng)絡(luò)取證能力,其在網(wǎng)絡(luò)安全領(lǐng)域具有非常重要的價(jià)值。
惡意樣本溯源思路
對(duì)惡意樣本溯源分析一般需要結(jié)合動(dòng)態(tài)調(diào)試和靜態(tài)調(diào)試分析,樣本分析過程中還需要結(jié)合網(wǎng)絡(luò)抓包數(shù)據(jù)分析,獲取到攻擊者的域名信息。
在對(duì)惡意樣本分析過程中通常需要關(guān)注:惡意樣本中是誰發(fā)動(dòng)攻擊、攻擊的 目的是什么、惡意樣本的作者是誰、采用了哪些攻擊技術(shù)、攻擊的實(shí)現(xiàn)流程是怎樣的。
針對(duì)惡意樣本的溯源分析可以從同源分析、家族溯源、作者溯源這三方面作為突破點(diǎn)進(jìn)行分析。
同源分析:通過利用惡意樣本間的同源關(guān)系,挖掘出可溯源痕跡,并根據(jù)它們出現(xiàn)的前后關(guān)系判定變體來源。惡意代碼同源性分析,其目的是判斷不同的惡意代碼是否源自同一套惡意代碼或是否由同一個(gè)作者、團(tuán)隊(duì)編寫,其是否具有內(nèi)在關(guān)聯(lián)性、相似性。從溯源目標(biāo)上來看,可分為惡意代碼家族溯源及作者溯源。
家族溯源:惡意樣本的家族變體是已有惡意代碼在不斷的對(duì)抗或功能進(jìn)化中生成的新型惡意樣本,針對(duì)變體的家族溯源是通過提取其特征數(shù)據(jù)及代碼片段,分析它們與已知樣本的同源關(guān)系,進(jìn)而推測可疑惡意樣本的家族。例如,Kinable等人提取惡意代碼的系統(tǒng)調(diào)用圖,采用圖匹配的方式比較惡意代碼的相似性,識(shí)別出同源樣本,進(jìn)行家族分類。
作者溯源:惡意樣本的作者溯源就是通過分析和提取惡意樣本中的相關(guān)特征,定位出惡意樣本作者相關(guān)特征,揭示出樣本間的同源關(guān)系,進(jìn)而溯源到已知的作者或組織。例如,Gostev等通過分析Stu.NET與Duqu所用的驅(qū)動(dòng)文件在編譯平臺(tái)、時(shí)間、代碼等方面的同源關(guān)系,實(shí)現(xiàn)了對(duì)它們作者的溯源。
在分析惡意樣本的時(shí)候可以參考借鑒下面的幾個(gè)在線沙箱
網(wǎng)絡(luò)攻擊溯源思路
網(wǎng)絡(luò)攻擊溯源可以細(xì)分為追蹤溯源攻擊主機(jī)、追蹤溯源攻擊控制主機(jī)、追蹤溯源攻擊者、追蹤溯源攻擊組織機(jī)構(gòu)。
常用溯源分析方法包括域名/IP地址分析、入侵日志監(jiān)測、全流量分析、同源分析、攻擊模型分析等。
通過查詢域名的whois信息,可以關(guān)聯(lián)到攻擊者部分信息,注冊名,注冊郵箱,注冊地址,電話,注冊時(shí)間,服務(wù)商等。
溯源的一般會(huì)獲取到幾個(gè)相關(guān)信息:攻擊時(shí)間、攻擊IP、攻擊類型、惡意文件、受攻擊的IP或域名。其中攻擊IP、攻擊類型、惡意文件、攻擊詳情是溯源分析的入手點(diǎn)。
通過攻擊類型分析攻擊詳情的請求包,驗(yàn)證是否額可以獲取到攻擊者相關(guān)信息,然后通過相關(guān)特征進(jìn)行威脅情報(bào)查詢來判斷所用IP具體是代理的IP還是真實(shí)IP地址。
(圖片來源網(wǎng)絡(luò))
溯源分析 步驟流程
在獲取到可進(jìn)行溯源的載體后,我們就可以進(jìn)行對(duì)這載體進(jìn)行溯源分析。針對(duì)溯源分析可以由如下四個(gè)步驟流程組成。
1、信息查詢:針對(duì)可溯源的IP或域名通過網(wǎng)絡(luò)上開放威脅情報(bào)平臺(tái)進(jìn)行查詢
//ip查域名
//IP定位
//查詢郵箱或手機(jī)注冊過的網(wǎng)站
2、定位目標(biāo):利用精準(zhǔn)IP定位,進(jìn)行IP目標(biāo)位置的確定
3、收集互聯(lián)網(wǎng)信息側(cè)的用戶ID
可以通過利用:微博、貼吧、知乎、豆瓣、脈脈、QQ、微信等社交平臺(tái)進(jìn)行對(duì)信息收集。如果獲取到手機(jī)號(hào)碼可以基于支付方式的支付寶信息、微信信息等支付渠道的信息。
4、進(jìn)入跳板機(jī)收集信息
如果有能力控制了紅隊(duì)的跳板機(jī),則可進(jìn)入跳板機(jī)進(jìn)行信息收集,查看命令執(zhí)行的歷史記錄與日志等
郵件釣魚攻擊溯源場景分析
釣魚郵件攻擊通常分為兩種:一種帶有附件的word宏病毒,一種是引導(dǎo)受害者進(jìn)入釣魚網(wǎng)站來獲取受害者的敏感信息。
攻防場景:攻擊者利用社會(huì)工程學(xué)技巧偽造正常郵件內(nèi)容,繞過郵件網(wǎng)關(guān)的查殺,成功投遞到目標(biāo)郵箱,誘騙用戶點(diǎn)擊郵件鏈接或下載附件文件。
信息收集:通過查看郵件原文,獲取發(fā)送方IP地址、域名后綴郵箱、釣魚網(wǎng)站或惡意附件樣本等信息。
溯源方式:
第一種,可以通過相關(guān)聯(lián)的域名/IP進(jìn)行追蹤;
第二種,對(duì)釣魚網(wǎng)站進(jìn)行反向滲透獲取權(quán)限,進(jìn)一步收集攻擊者信息;
第三種,通過對(duì)郵件惡意附件進(jìn)行分析,利用威脅情報(bào)數(shù)據(jù)平臺(tái)尋找同源樣本獲取信息,也能進(jìn)一步對(duì)攻擊者的畫像進(jìn)行勾勒。
web入侵溯源
攻防場景:攻擊者通過NDAY和0DAY漏洞滲入服務(wù)器網(wǎng)段,Webshell 觸發(fā)安全預(yù)警或者威脅檢測阻斷了C&C域名的通訊。
溯源方式:隔離webshell樣本,使用Web日志還原攻擊路徑,找到安全漏洞位置進(jìn)行漏洞修復(fù),從日志可以找到攻擊者的IP地址,但攻擊者一般都會(huì)使用代理服務(wù)器或匿名網(wǎng)絡(luò)(例如Tor)來掩蓋其真實(shí)的IP地址。
在入侵過程中,使用反彈shell、遠(yuǎn)程下載惡意文件、端口遠(yuǎn)程轉(zhuǎn)發(fā)等方式,也容易觸發(fā)威脅阻斷,而這個(gè)域名/IP,提供一個(gè)反向信息收集和滲透測試的路徑。
惡意樣本溯源
提取樣本特征、用戶名、ID、郵箱、C2服務(wù)器等信息—同源分析
溯源方式:樣本分析過程中,發(fā)現(xiàn)攻擊者的個(gè)人ID和QQ,成功定位到攻擊者。
小結(jié)
溯源分析最終一般需要分析出攻擊者畫像信息:姓名、照片、攻擊者IP、地理位置、QQ、微信、Github、郵箱、手機(jī)號(hào)碼、支付寶、IP地址關(guān)聯(lián)域名、IP地址所屬公司、以及其他相關(guān)的社交賬號(hào)信息。
通過基于溯源技術(shù)挖掘出黑客攻擊者背后的真面目,讓真相浮出水面!!!
