理論基礎

溯源分析就是在通過現象去發掘惡意攻擊者背后的故事，沒有固定的套路可循，在分析過程中，要像偵探破案一樣，大膽心細，不放過任何細枝末節，是一場人與人之間斗智斗勇的過程。

惡意樣本溯源分析的前提是針對樣本，然后進行對樣本做逆向分析、網絡行為分析、日志行為分析。挖掘出惡意樣本的攻擊者或者團隊的意圖。

網絡攻擊追蹤溯源旨在利用各種手段追蹤網絡攻擊的發起者。相關技術提供了定位攻擊源和攻擊路徑，針對性反制或抑制網絡攻擊，以及網絡取證能力，其在網絡安全領域具有非常重要的價值。

惡意樣本溯源思路

對惡意樣本溯源分析一般需要結合動態調試和靜態調試分析，樣本分析過程中還需要結合網絡抓包數據分析，獲取到攻擊者的域名信息。

在對惡意樣本分析過程中通常需要關注：惡意樣本中是誰發動攻擊、攻擊的 目的是什么、惡意樣本的作者是誰、采用了哪些攻擊技術、攻擊的實現流程是怎樣的。

針對惡意樣本的溯源分析可以從同源分析、家族溯源、作者溯源這三方面作為突破點進行分析。

同源分析：通過利用惡意樣本間的同源關系，挖掘出可溯源痕跡，并根據它們出現的前后關系判定變體來源。惡意代碼同源性分析，其目的是判斷不同的惡意代碼是否源自同一套惡意代碼或是否由同一個作者、團隊編寫，其是否具有內在關聯性、相似性。從溯源目標上來看，可分為惡意代碼家族溯源及作者溯源。

家族溯源：惡意樣本的家族變體是已有惡意代碼在不斷的對抗或功能進化中生成的新型惡意樣本，針對變體的家族溯源是通過提取其特征數據及代碼片段，分析它們與已知樣本的同源關系，進而推測可疑惡意樣本的家族。例如，Kinable等人提取惡意代碼的系統調用圖，采用圖匹配的方式比較惡意代碼的相似性，識別出同源樣本，進行家族分類。

作者溯源：惡意樣本的作者溯源就是通過分析和提取惡意樣本中的相關特征，定位出惡意樣本作者相關特征，揭示出樣本間的同源關系，進而溯源到已知的作者或組織。例如，Gostev等通過分析Stu.NET與Duqu所用的驅動文件在編譯平臺、時間、代碼等方面的同源關系，實現了對它們作者的溯源。

在分析惡意樣本的時候可以參考借鑒下面的幾個在線沙箱

網絡攻擊溯源思路

網絡攻擊溯源可以細分為追蹤溯源攻擊主機、追蹤溯源攻擊控制主機、追蹤溯源攻擊者、追蹤溯源攻擊組織機構。

常用溯源分析方法包括域名/IP地址分析、入侵日志監測、全流量分析、同源分析、攻擊模型分析等。

通過查詢域名的whois信息，可以關聯到攻擊者部分信息，注冊名，注冊郵箱，注冊地址，電話，注冊時間，服務商等。

溯源的一般會獲取到幾個相關信息:攻擊時間、攻擊IP、攻擊類型、惡意文件、受攻擊的IP或域名。其中攻擊IP、攻擊類型、惡意文件、攻擊詳情是溯源分析的入手點。

通過攻擊類型分析攻擊詳情的請求包，驗證是否額可以獲取到攻擊者相關信息，然后通過相關特征進行威脅情報查詢來判斷所用IP具體是代理的IP還是真實IP地址。

（圖片來源網絡）

溯源分析 步驟流程

在獲取到可進行溯源的載體后，我們就可以進行對這載體進行溯源分析。針對溯源分析可以由如下四個步驟流程組成。

1、信息查詢：針對可溯源的IP或域名通過網絡上開放威脅情報平臺進行查詢

//ip查域名

//IP定位

//查詢郵箱或手機注冊過的網站

2、定位目標：利用精準IP定位，進行IP目標位置的確定

3、收集互聯網信息側的用戶ID

可以通過利用：微博、貼吧、知乎、豆瓣、脈脈、QQ、微信等社交平臺進行對信息收集。如果獲取到手機號碼可以基于支付方式的支付寶信息、微信信息等支付渠道的信息。

4、進入跳板機收集信息

如果有能力控制了紅隊的跳板機，則可進入跳板機進行信息收集，查看命令執行的歷史記錄與日志等

郵件釣魚攻擊溯源場景分析

釣魚郵件攻擊通常分為兩種：一種帶有附件的word宏病毒，一種是引導受害者進入釣魚網站來獲取受害者的敏感信息。

攻防場景：攻擊者利用社會工程學技巧偽造正常郵件內容，繞過郵件網關的查殺，成功投遞到目標郵箱，誘騙用戶點擊郵件鏈接或下載附件文件。

信息收集：通過查看郵件原文，獲取發送方IP地址、域名后綴郵箱、釣魚網站或惡意附件樣本等信息。

溯源方式：

第一種，可以通過相關聯的域名/IP進行追蹤；

第二種，對釣魚網站進行反向滲透獲取權限，進一步收集攻擊者信息；

第三種，通過對郵件惡意附件進行分析，利用威脅情報數據平臺尋找同源樣本獲取信息，也能進一步對攻擊者的畫像進行勾勒。

web入侵溯源

攻防場景：攻擊者通過NDAY和0DAY漏洞滲入服務器網段，Webshell 觸發安全預警或者威脅檢測阻斷了C&C域名的通訊。

溯源方式：隔離webshell樣本，使用Web日志還原攻擊路徑，找到安全漏洞位置進行漏洞修復，從日志可以找到攻擊者的IP地址，但攻擊者一般都會使用代理服務器或匿名網絡（例如Tor）來掩蓋其真實的IP地址。

在入侵過程中，使用反彈shell、遠程下載惡意文件、端口遠程轉發等方式，也容易觸發威脅阻斷，而這個域名/IP，提供一個反向信息收集和滲透測試的路徑。

惡意樣本溯源

提取樣本特征、用戶名、ID、郵箱、C2服務器等信息—同源分析

溯源方式：樣本分析過程中，發現攻擊者的個人ID和QQ，成功定位到攻擊者。

小結

溯源分析最終一般需要分析出攻擊者畫像信息：姓名、照片、攻擊者IP、地理位置、QQ、微信、Github、郵箱、手機號碼、支付寶、IP地址關聯域名、IP地址所屬公司、以及其他相關的社交賬號信息。

通過基于溯源技術挖掘出黑客攻擊者背后的真面目，讓真相浮出水面?。。?/strong>