當您閱讀到該篇文章時,作者已經將“網路安全自學篇”設定成了收費專欄,首先說聲抱歉,感謝這一年來大家的閱讀和陪伴,這100篇安全文章記錄了自己從菜雞到菜鳥的成長史,該部分知識也花了很多精力去學習和總結,由于在外讀書且需要養娃,所以按最低價9.9元設定成了收費專欄,賺點奶粉錢,感謝您的抬愛,當然,如果您還是一名在讀學生或經濟拮據,可以私聊我給你每篇文章開白名單,也可以去github下載對應的免費文章,更希望您能進步,一起加油喔!
接下來我會接著之前的內容繼續分享,“網路安全提高班”新的100篇文章即將開啟,包括Web滲透、內網滲透、靶場搭建、CVE復現、攻擊溯源、實戰及CTF總結,它將更加聚焦,更加深入,也是作者的慢慢成長史,換專業確實挺難的,Web滲透也是塊硬骨頭,但我也試試,看看自己未來四年究竟能將它學到什么程度,漫漫長征路,偏向虎山行,享受程序,一起加油~
本文是“網路安全提高篇”第一篇文章,將帶領大家了解網路安全攻防知識點,并以醫療資料安全為基礎進行總結,具體內容包括:
- 一.網路空間安全與溯源
- 二.網路安全攻防技巧
- 三.APT攻擊經典案例
- 四.醫療資料安全防護
作者作為網路安全的小白,分享一些自學基礎教程給大家,主要是關于安全工具和實踐操作的在線筆記,希望您們喜歡,同時,更希望您能與我一起操作和進步,后續將深入學習網路安全和系統安全知識并分享相關實驗,總之,希望該系列文章對博友有所幫助,寫文不易,大神們不喜勿噴,謝謝!如果文章對您有幫助,將是我創作的最大動力,點贊、評論、私聊均可,一起加油喔~
- 自學篇文章:https://github.com/eastmountyxz/CSDNBlog-Security-Based
- 自學篇工具:https://github.com/eastmountyxz/NetworkSecuritySelf-study
- 系統安全:https://github.com/eastmountyxz/SystemSecurity-ReverseAnalysis
宣告:本人堅決反對利用教學方法進行犯罪的行為,一切犯罪行為必將受到嚴懲,綠色網路需要我們共同維護,更推薦大家了解它們背后的原理,更好地進行防護,
文章目錄
- 一.網路空間安全與溯源
- 1.網路空間安全
- 2.學術界溯源
- 3.企業界溯源
- 4.無處不在的網路威脅
- 二.網路安全攻防技巧
- 1.網路安全技術路線
- 2.網路安全基礎案例普及
- 3.Web滲透技巧簡單總結
- 三.醫療資料安全防護
- 1.醫療資料安全
- 2.什么是APT攻擊
- 四.APT攻擊醫療行業經典案例
- 1.白象
- 2.海蓮花
- 3.Darkhotel
- 4.藍寶菇
- 五.防御措施
- 1.醫療資料安全防護
- 2.威脅情報防御
- 3.APT溯源
- 六.總結
提高篇:
[網路安全提高班] 一〇一.網路空間安全普及和醫療資料安全防護總結
自學篇(建議直接跳轉到正文):
[網路安全自學篇] 一.入門筆記之看雪Web安全學習及異或解密示例
[網路安全自學篇] 二.Chrome瀏覽器保留密碼功能滲透決議及登錄加密入門筆記
[網路安全自學篇] 三.Burp Suite工具安裝配置、Proxy基礎用法及暴庫示例
[網路安全自學篇] 四.實驗吧CTF實戰之WEB滲透和隱寫術解密
[網路安全自學篇] 五.IDA Pro反匯編工具初識及逆向工程解密實戰
[網路安全自學篇] 六.OllyDbg動態分析工具基礎用法及Crakeme逆向
[網路安全自學篇] 七.快手視頻下載之Chrome瀏覽器Network分析及Python爬蟲探討
[網路安全自學篇] 八.Web漏洞及埠掃描之Nmap、ThreatScan和DirBuster工具
[網路安全自學篇] 九.社會工程學之基礎概念、IP獲取、IP物理定位、檔案屬性
[網路安全自學篇] 十.論文之基于機器學習演算法的主機惡意代碼
[網路安全自學篇] 十一.虛擬機VMware+Kali安裝入門及Sqlmap基本用法
[網路安全自學篇] 十二.Wireshark安裝入門及抓取網站用戶名密碼(一)
[網路安全自學篇] 十三.Wireshark抓包原理(ARP劫持、MAC泛洪)及資料流追蹤和影像抓取(二)
[網路安全自學篇] 十四.Python攻防之基礎常識、正則運算式、Web編程和套接字通信(一)
[網路安全自學篇] 十五.Python攻防之多執行緒、C段掃描和資料庫編程(二)
[網路安全自學篇] 十六.Python攻防之弱口令、自定義字典生成及網站暴庫防護
[網路安全自學篇] 十七.Python攻防之構建Web目錄掃描器及ip代理池(四)
[網路安全自學篇] 十八.XSS跨站腳本攻擊原理及代碼攻防演示(一)
[網路安全自學篇] 十九.Powershell基礎入門及常見用法(一)
[網路安全自學篇] 二十.Powershell基礎入門及常見用法(二)
[網路安全自學篇] 二十一.GeekPwn極客大賽之安全攻防技術總結及ShowTime
[網路安全自學篇] 二十二.Web滲透之網站資訊、域名資訊、埠資訊、敏感資訊及指紋資訊收集
[網路安全自學篇] 二十三.基于機器學習的惡意請求識別及安全領域中的機器學習
[網路安全自學篇] 二十四.基于機器學習的惡意代碼識別及人工智能中的惡意代碼檢測
[網路安全自學篇] 二十五.Web安全學習路線及木馬、病毒和防御初探
[網路安全自學篇] 二十六.Shodan搜索引擎詳解及Python命令列呼叫
[網路安全自學篇] 二十七.Sqlmap基礎用法、CTF實戰及請求引數設定(一)
[網路安全自學篇] 二十八.檔案上傳漏洞和Caidao入門及防御原理(一)
[網路安全自學篇] 二十九.檔案上傳漏洞和IIS6.0決議漏洞及防御原理(二)
[網路安全自學篇] 三十.檔案上傳漏洞、編輯器漏洞和IIS高版本漏洞及防御(三)
[網路安全自學篇] 三十一.檔案上傳漏洞之Upload-labs靶場及CTF題目01-10(四)
[網路安全自學篇] 三十二.檔案上傳漏洞之Upload-labs靶場及CTF題目11-20(五)
[網路安全自學篇] 三十三.檔案上傳漏洞之繞狗一句話原理和繞過安全狗(六)
[網路安全自學篇] 三十四.Windows系統漏洞之5次Shift漏洞啟動計算機
[網路安全自學篇] 三十五.惡意代碼攻擊溯源及惡意樣本分析
[網路安全自學篇] 三十六.WinRAR漏洞復現(CVE-2018-20250)及惡意軟體自啟動劫持
[網路安全自學篇] 三十七.Web滲透提高班之hack the box在線靶場注冊及入門知識(一)
[網路安全自學篇] 三十八.hack the box滲透之BurpSuite和Hydra密碼爆破及Python加密Post請求(二)
[網路安全自學篇] 三十九.hack the box滲透之DirBuster掃描路徑及Sqlmap高級注入用法(三)
[網路安全自學篇] 四十.phpMyAdmin 4.8.1后臺檔案包含漏洞復現及詳解(CVE-2018-12613)
[網路安全自學篇] 四十一.中間人攻擊和ARP欺騙原理詳解及漏洞還原
[網路安全自學篇] 四十二.DNS欺騙和釣魚網站原理詳解及漏洞還原
[網路安全自學篇] 四十三.木馬原理詳解、遠程服務器IPC$漏洞及木馬植入實驗
[網路安全自學篇] 四十四.Windows遠程桌面服務漏洞(CVE-2019-0708)復現及詳解
[網路安全自學篇] 四十五.病毒詳解及批處理病毒制作(自啟動、修改密碼、定時關機、藍屏、行程關閉)
[網路安全自學篇] 四十六.微軟證書漏洞CVE-2020-0601 (上)Windows驗證機制及可執行檔案簽名復現
[網路安全自學篇] 四十七.微軟證書漏洞CVE-2020-0601 (下)Windows證書簽名及HTTPS網站劫持
[網路安全自學篇] 四十八.Cracer第八期——(1)安全術語、Web滲透流程、Windows基礎、注冊表及黑客常用DOS命令
[網路安全自學篇] 四十九.Procmon軟體基本用法及檔案行程、注冊表查看
[網路安全自學篇] 五十.虛擬機基礎之安裝XP系統、檔案共享、網路快照設定及Wireshark抓取BBS密碼
[網路安全自學篇] 五十一.惡意樣本分析及HGZ木馬控制目標服務器
[網路安全自學篇] 五十二.Windows漏洞利用之堆疊溢位原理和堆疊保護GS機制
[網路安全自學篇] 五十三.Windows漏洞利用之Metasploit實作堆疊溢位攻擊及反彈shell
[網路安全自學篇] 五十四.Windows漏洞利用之基于SEH例外處理機制的堆疊溢位攻擊及shell提取
[網路安全自學篇] 五十五.Windows漏洞利用之構建ROP鏈繞過DEP并獲取Shell
[網路安全自學篇] 五十六.i春秋老師分享小白滲透之路及Web滲透技術總結
[網路安全自學篇] 五十七.PE檔案逆向之什么是數字簽名及Signtool簽名工具詳解(一)
[網路安全自學篇] 五十八.Windows漏洞利用之再看CVE-2019-0708及Metasploit反彈shell
[網路安全自學篇] 五十九.Windows漏洞利用之MS08-067遠程代碼執行漏洞復現及shell深度提權
[網路安全自學篇] 六十.Cracer第八期——(2)五萬字總結Linux基礎知識和常用滲透命令
[網路安全自學篇] 六十一.PE檔案逆向之數字簽名詳細決議及Signcode、PEView、010Editor、Asn1View等工具用法(二)
[網路安全自學篇] 六十二.PE檔案逆向之PE檔案決議、PE編輯工具使用和PE結構修改(三)
[網路安全自學篇] 六十三.hack the box滲透之OpenAdmin題目及蟻劍管理員提權(四)
[網路安全自學篇] 六十四.Windows漏洞利用之SMBv3服務遠程代碼執行漏洞(CVE-2020-0796)復現及詳解
[網路安全自學篇] 六十五.Vulnhub靶機滲透之環境搭建及JIS-CTF入門和蟻劍提權示例(一)
[網路安全自學篇] 六十六.Vulnhub靶機滲透之DC-1提權和Drupal漏洞利用(二)
[網路安全自學篇] 六十七.WannaCry勒索病毒復現及分析(一)Python利用永恒之藍及Win7勒索加密
[網路安全自學篇] 六十八.WannaCry勒索病毒復現及分析(二)MS17-010利用及病毒決議
[網路安全自學篇] 六十九.宏病毒之入門基礎、防御措施、自發郵件及APT28樣本分析
[網路安全自學篇] 七十.WannaCry勒索病毒復現及分析(三)蠕蟲傳播機制分析及IDA和OD逆向
[網路安全自學篇] 七十一.深信服分享之外部威脅防護和勒索病毒對抗
[網路安全自學篇] 七十二.逆向分析之OllyDbg動態除錯工具(一)基礎入門及TraceMe案例分析
[網路安全自學篇] 七十三.WannaCry勒索病毒復現及分析(四)蠕蟲傳播機制全網原始碼詳細解讀
[網路安全自學篇] 七十四.APT攻擊檢測溯源與常見APT組織的攻擊案例
[網路安全自學篇] 七十五.Vulnhub靶機滲透之bulldog資訊收集和nc反彈shell(三)
[網路安全自學篇] 七十六.逆向分析之OllyDbg動態除錯工具(二)INT3斷點、反除錯、硬體斷點與記憶體斷點
[網路安全自學篇] 七十七.惡意代碼與APT攻擊中的武器(強推Seak老師)
[網路安全自學篇] 七十八.XSS跨站腳本攻擊案例分享及總結(二)
[網路安全自學篇] 七十九.Windows PE病毒原理、分類及感染方式詳解
[網路安全自學篇] 八十.WHUCTF之WEB類解題思路WP(代碼審計、檔案包含、過濾繞過、SQL注入)
[網路安全自學篇] 八十一.WHUCTF之WEB類解題思路WP(檔案上傳漏洞、冰蝎蟻劍、反序列化phar)
[網路安全自學篇] 八十二.WHUCTF之隱寫和逆向類解題思路WP(文字解密、圖片解密、佛語解碼、冰蝎流量分析、逆向分析)
[網路安全自學篇] 八十三.WHUCTF之CSS注入、越權、csrf-token竊取及XSS總結
[網路安全自學篇] 八十四.《Windows黑客編程技術詳解》之VS環境配置、基礎知識及DLL延遲加載詳解
[網路安全自學篇] 八十五.《Windows黑客編程技術詳解》之注入技術詳解(全域鉤子、遠執行緒鉤子、突破Session 0注入、APC注入)
[網路安全自學篇] 八十六.威脅情報分析之Python抓取FreeBuf網站APT文章(上)
[網路安全自學篇] 八十七.惡意代碼檢測技術詳解及總結
[網路安全自學篇] 八十八.基于機器學習的惡意代碼檢測技術詳解
[網路安全自學篇] 八十九.PE檔案決議之通過Python獲取時間戳判斷軟體來源地區
[網路安全自學篇] 九十.遠控木馬詳解及APT攻擊中的遠控
[網路安全自學篇] 九十一.阿里云搭建LNMP環境及實作PHP自定義網站IP訪問 (1)
[網路安全自學篇] 九十二.《Windows黑客編程技術詳解》之病毒啟動技術創建行程API、突破SESSION0隔離、記憶體加載詳解(3)
[網路安全自學篇] 九十三.《Windows黑客編程技術詳解》之木馬開機自啟動技術(注冊表、計劃任務、系統服務)
[網路安全自學篇] 九十四.《Windows黑客編程技術詳解》之提權技術(令牌權限提升和Bypass UAC)
[網路安全自學篇] 九十五.利用XAMPP任意命令執行漏洞提升權限(CVE-2020-11107)
一.網路空間安全與溯源
1.網路空間安全
近年來,網路安全事件和惡意代碼攻擊層出不窮,它們給國家、社會和個人帶來了嚴重的危害,如分布式拒絕服務攻擊(DDoS)、基于僵尸網路(Botnet)的攻擊、勒索病毒WannaCry、高級可持續威脅(APT)攻擊、利用遠程控制木馬的資訊竊取等,
2017年以來,惡意代碼數量依然呈上升的趨勢,尤其是新型惡意代碼,其數量始終呈逐年遞增狀態,這對網路空間安全造成了極大的威脅,在這些惡意代碼攻擊中, 攻擊者會向目標主機(受害主機),發送特定的攻擊資料包或執行惡意行為,如果能追蹤這些攻擊資料包的來源,定位攻擊者的真實位置,受害主機不但可以采用應對措施,如在合適位置過濾攻擊資料包,而且可以對攻擊者采取法律手段,因此在網路取證和安全防御領域,網路攻擊溯源一直是一個熱點問題,
下圖展示了APT組織Lazarus(APT38)的重大攻擊時間線,如果某次攻擊發生時或發生前,我們能夠追蹤溯源到是某個組織發起的,那是不是就能有效避免一次安全攻擊呢?
- 強推這篇文章:APT組織Lazarus的攻擊歷程 - Freebuf深信服團隊
網路攻擊追蹤溯源旨在利用各種手段追蹤網路攻擊的發起者,相關技術提供了定位攻擊源和攻擊路徑,針對性反制或抑制網路攻擊,以及網路取證能力,其在網路安全領域具有非常重要的價值,當前,網路空間安全形勢日益復雜,入侵者的攻擊手段不斷提升,其躲避追蹤溯源的手段也日益先進,如匿名網路、網路跳板、AN網、網路隱蔽信道、隱寫術等方法在網路攻擊事件中大量使用,這些都給網路攻擊行為的追蹤溯源作業帶來了巨大的技術挑戰,攻擊鏈通常分為七個階段:
- 偵查目標(Reconnaissance):偵查目標,充分利用社會工程學了解目標網路,
- 制作工具(Weaponization):主要是指制作定向攻擊工具,例如帶有惡意代碼的pdf檔案或office檔案,
- 傳送工具(Delivery):輸送攻擊工具到目標系統上,常用的手法包括郵件的附件、網站(掛馬)、U盤等,
- 觸發工具(Exploitation):利用目標系統的應用或作業系統漏洞,在目標系統觸發攻擊工具運行,
- 安裝木馬(Installation):遠程控制程式(特馬)的安裝,使得攻擊者可以長期潛伏在目標系統中,
- 建立連接(Command and Control):與互聯網控制器服務器建立一個C2信道,
- 執行攻擊(Actions on Objectives):執行所需要得攻擊行為,例如偷取資訊、篡改資訊等,
傳統的惡意代碼攻擊溯源方法是通過單個組織的技術力量,獲取區域的攻擊相關資訊,無法構建完整的攻擊鏈條,一旦攻擊鏈中斷,往往會使得前期大量的溯源作業變得毫無價值,同時,面對可持續、高威脅、高復雜的大規模網路攻擊,沒有深入分析攻擊組織之間的關系,缺乏利用深層次惡意代碼的語意知識,后續學術界和企業界也提出了一些解決措施,下圖展示了一個經典的溯源案例,
為了進一步震懾黑客組織與網路犯罪活動,目前學術界和產業界均展開了惡意代碼溯源分析與研究作業,其基本思路是:
- 同源分析:利用惡意樣本間的同源關系發現溯源痕跡,并根據它們出現的前后關系判定變體來源,惡意代碼同源性分析,其目的是判斷不同的惡意代碼是否源自同一套惡意代碼或是否由同一個作者、團隊撰寫,其是否具有內在關聯性、相似性,從溯源目標上來看,可分為惡意代碼家族溯源及作者溯源,
- 家族溯源:家族變體是已有惡意代碼在不斷的對抗或功能進化中生成的新型惡意代碼,針對變體的家族溯源是通過提取其特征資料及代碼片段,分析它們與已知樣本的同源關系,進而推測可疑惡意樣本的家族,例如,Kinable等人提取惡意代碼的系統呼叫圖,采用圖匹配的方式比較惡意代碼的相似性,識別出同源樣本,進行家族分類,
- 作者溯源: 惡意代碼作者溯源即通過分析和提取惡意代碼的相關特征,定位出惡意代碼作者特征,揭示出樣本間的同源關系,進而溯源到已知的作者或組織,例如,Gostev等通過分析Stuxnet與Duqu所用的驅動檔案在編譯平臺、時間、代碼等方面的同源關系,實作了對它們作者的溯源,2015年,針對中國的某APT攻擊采用了至少4種不同的程式形態、不同編碼風格和不同攻擊原理的木馬程式,潛伏3年之久,最終360天眼利用多維度的“大資料”分析技術進行同源性分析,進而溯源到“海蓮花”黑客組織,
網路攻擊追蹤溯源按照追蹤的深度和精準度可分為:
- 追蹤溯源攻擊主機
- 追蹤溯源攻擊控制主機
- 追蹤溯源攻擊者
- 追蹤溯源攻擊組織機構
常用方法包括域名/IP地址分析、入侵日志監測、全流量分析、同源分析、攻擊模型分析等,為了進一步防御網路犯罪活動和威懾黑客組織,目前學術界和產業界均展開了惡意代碼溯源分析與研究作業,網路追蹤溯源常用工具包括:
- 磁盤和資料捕獲工具
- 檔案查看器
- 檔案分析工具
- 注冊表分析工具
- 互聯網分析工具
- 電子郵件分析工具
- 移動設備分析工具
- 網路流量取證工具
- 資料庫取證工具
- 逆向分析工具
2.學術界溯源
學術界旨在采用靜態或動態的方式獲取惡意代碼的特征資訊,通過對惡意代碼的特征學習,建立不同類別惡意代碼的特征模型,通過計算待檢測惡意代碼針對不同特征類別的相似性度量,指導惡意代碼的同源性判定,常見的惡意代碼溯源主要包括4個階段:特征提取、特征預處理、相似性計算、同源判定,各階段間的流程關系如下圖所示,
- 推薦宋老師:《惡意代碼演化與溯源技術研究》
上圖是將溯源物件Windows平臺的PE惡意檔案或Android平臺的APK惡意檔案輸入溯源系統,經過特征提取、特征預處理、相似性計算、同源分析獲取溯源結果,最終判定攻擊家族或作者,
(1) 特征提取
特征提取是溯源分析程序的基礎,具有同源性的惡意代碼是通過它們的共有特征與其他代碼區分開來的,所提取的特征既要反映出惡意代碼的本質和具有同源性惡意代碼之間的相似性,又要滿足提取的有效性,
依據溯源目的,溯源特征提取包括溯源家族的特征提取和溯源作者的特征提取,Faruki等在位元組碼級別提取統計性強的序列特征,包括指令、操作碼、位元組碼、API代碼序列等,Perdisci R等通過n-gram提取位元組碼序列作為特征,Ki Y等提出了捕獲運行程序中的API序列作為特征,利用生物基因序列檢測工具ClustalX對API序列進行相似性分析,得到惡意代碼的同源性判定,DNADroid使用PDG作為特征,DroidSim是一種基于組件的CFG來表示相似性代碼特征,與早期的方法相比,該系統檢測代碼重用更準確,
下圖展示了行為特征提取程序,它從用戶態到核心態檔案處理,再到核心態磁盤處理,有一系列的函式進行Hooking和InlineHooking進行整體的行為監控,可以幫助我們進行溯源作業,
(2) 特征預處理
特征提取程序中會遇到不具有代表性、不能量化的原始特征,特征預處理針對這一問題進行解決,以提取出適用于相似性計算的代表性特征,特征預處理一方面對初始特征進行預處理,另一方面為相似性計算提供基礎資料,常見的特征型別包括序列特征和代碼結構特征,
- 序列特征預處理:包括資訊熵評估、正則運算式轉換、N-grams序列、序列向量化、權重量化法等,序列特征預處理會將初始特征中冗余特征消除、特征語意運算式增強、特征量化等以便于進行相似性計算,L. Wu通過分析惡意軟體敏感API操作以及事件等,將API序列特征轉換為正則運算式,并在發生類似的正則運算式模式時檢測惡意代碼,IBM研究小組先將N-gram方法應用于惡意軟體分析中,使用N-gram的統計屬性預測給定序列中下個子序列,從而進行相似度計算,Kolosnjaji等提出對API呼叫序列進行N-gram處理獲取子序列,采用N-gram方法將API呼叫序列轉換為N-gram序列,實作程序下圖所示,
- 代碼結構特征預處理: 在相似度比較時存在邊、節點等匹配問題即子圖同構演算法復雜性,同時代碼結構特征中存在冗余結構,因此除去冗余、保留與惡意操作相關的代碼結構是預處理的主要目的,常見的方法包括API呼叫圖預處理、CFG圖預處理、PDG圖預處理等,
(3) 相似性計算
溯源旨在通過分析樣本的同源性定位到家族或作者,樣本的同源性可以通過分析代碼相似性來獲取,相似性計算旨在衡量惡意代碼間相似度,具體為采用一種相似性模型對惡意代碼的特征進行運算,根據預處理特征型別的不同以及溯源需求、效率、準確性等差異,采用不同的相似性運算方法,
目前比較流行的相似性計算方法主要集中在對集合、序列、向量、圖等特征表現形式的處理,Qiao等基于集合計算相似性,在不同惡意樣本API集合的相似性比較中采用了Jaccard系數方法,將為A、B兩個集合的交集在并集中所占的比例作為相似度,比例值越大,證明越相似,如公式所示,
Faruki等提出了采用SDhash相似性散列技術構建樣本的簽名序列,并采用漢明距離法對序列進行相似性計算,從而識別同源性樣本,Suarez-Tangil 等用資料挖掘演算法中向量空間模型展示家族的惡意代碼特征形式,將同家族提取出來的具有代表性的CFG元素作為特征中維度,采用余弦演算法對不同家族的向量空間模型進行相似度計算,根據余弦值來判斷它們的相似性,從而識別出相似性樣本,進而歸屬到對應的家族,用于比較向量的余弦相似度反映了惡意代碼間的相似性,其具體公式如公式所示,
Cesare等提出了最小距離匹配度量法,比較不同樣本的CFG圖特征的相似性,Kinable等通過靜態分析惡意代碼的系統呼叫圖,采用圖匹配的方式計算圖相似性得分,該得分近似于圖的編輯距離,利用該得分比較樣本的相似性,采用聚類演算法將樣本進行聚類,實作家族分類,
(4) 同源分析
學術界常見的同源判定方法主要包括基于聚類演算法的同源判定、基于神經網路的同源判定等,Kim等采用DBSCAN演算法對基于呼叫圖聚類,發現類似的惡意軟體,Feizollah等提出采用層聚類演算法,構建家族間演化模型,進而發掘家族功能的演化,Niu等提出了層次聚類和密度聚類演算法結合的快速聚類演算法對操作碼序列特征進行聚類,以識別惡意軟體變體,該方法識別變體效率較高,
神經網路是一種多層網路的機器學習演算法,可以處理多特征以及復雜特征的同源判定,基本思想為:將樣本特征作為輸入層資料,然后不斷調整神經網路引數,直到輸出的樣本與該樣本是一種同源關系未為止,它會將惡意代碼特征送輸入層,即可判斷惡意代碼的同源性.,趙炳麟等提出了基于神經網路的同源判定方法,其整體實作框架如下圖所示,
3.企業界溯源
產業界除了采用與學術界類似的同源判定方法之外,還會通過關聯的方法對惡意代碼進行溯源,產業界的溯源意圖除了溯源出撰寫惡意代碼作者、惡意代碼家族之外,還要挖掘出攻擊者及攻擊者背后的真正意圖,從而遏制攻擊者的進一步行動,
產業界與學術界溯源方法的差異主要表現在特征提取和同源判定兩個方面:在特征提取上,產業界更傾向于從代碼結構、攻擊鏈中提取相似性特征;在同源判定上,除了采用與已有的歷史樣本進行相似度聚類分析之外,產業界還會采用一些關聯性分析方法,相比學術界溯源特征,產業界溯源特征更加詳細全面,資訊復雜度大,因此,學術界的同源判定方法并不能完全用于產業界各類特征的相似性分析中,常見產業界溯源方法分類如下表所示,
- 推薦綠盟李東宏老師文章:http://blog.nsfocus.net/trace-source/
(1) 惡意攻擊流程及溯源方法
惡意樣本溯源追蹤主要去了解攻擊者或者團隊的意圖,惡意攻擊的活動大概有如下7步驟:
- Reconnaissance:偵查,充分的社會工程學了解目標,
- Weaponization:定向攻擊工具的制作,常見的工具交付形態是帶有惡意代碼的pdf檔案或office檔案,
- Delivery:把攻擊工具輸送到目標系統上,APT攻擊者最常用這三種來傳送攻擊工具,包括郵件附件、網站(掛馬)、USB等移動存盤,
- Exploitation:攻擊代碼在目標系統觸發,利用目標系統的應用或作業系統漏洞控制目標,
Installation:遠程控制程式的安裝,使得攻擊者可以長期潛伏在目標系統中, - Command and Control (C2) :被攻破的主機一般會與互聯網控制器服務器建立一個C2信道,即與C2服務器建立連接,
- Actions on Objectives:經過前面六個程序,攻擊者后面主要的行為包括:偷取目標系統的資訊,破壞資訊的完整性及可用性等,進一步以控制的機器為跳轉攻擊其它機器,擴大戰果,
惡意樣本的追蹤溯源需要以當前的惡意樣本為中心,通過對靜態特征和動態行為的分析,解決如下問題:
- 誰發動的攻擊?
- 攻擊背景是什么?
- 攻擊的意圖是什么?
- 誰撰寫的樣本?
- 樣本使用了哪些攻擊技術?
- 攻擊程序中使用了那些攻擊工具?
- 整個攻擊程序路徑是怎樣的?
企業界惡意樣本追蹤溯源可以采取如下方法:
- 全流量分析
- 同源分析
- 入侵日志
- 域名/IP
- 攻擊模型/攻擊框架
(2) 域名/IP
這種溯源方法是最基本的方法,通過對攻擊者使用的域名和IP地址進行分析,挖掘攻擊源頭,查詢域名的whois資訊,可以關聯到攻擊者部分資訊,如注冊名、注冊郵箱、注冊地址、電話、注冊時間、服務商等,
案例分析
Checkpoint經過細致分析后,最終歸納出一個首要攻擊者,即昵稱為“Nexxus Zeta”的一個hacker,原因在于攻擊者在注冊僵尸網路的某個C&C域名(nexusiotsolutions.net)時,所使用的郵箱地址包含相關資訊,
該郵件地址(nexuszeta1337@gmail.com)與C&C域名有一些交集,因此懷疑這個地址并不是一次性郵件地址,可以根據該地址來揭曉攻擊者的真實身份,當搜索Nexus Zeta 1337時,在HackForums上找到了一個活躍的成員,該成員的用戶昵稱為“Nexus Zeta”,自2015年8月起已經是HackForums的一份子,雖然這個人在這種論壇上活躍度很低,但他發表了幾篇帖子,從這些帖子中并沒有發現他的專業水平有多高,不過有趣的是,他最近關注了如何建立起類似Mirai的IoT僵尸網路,
NexusZeta在社交媒體上也頗為活躍,主要是在Twitter以及Github上,他在這兩個平臺上都公布了自己的IoT僵尸網路專案,實際上,這個人還將其Github賬戶關聯到前面提到的那個惡意域名(nexusiotsolutions.net),分析人員也找到了他所使用的Skype以及SoundCloud賬戶,使用人名為Caleb Wilson(caleb.wilson37 / Caleb Wilson 37),因此溯源到該作者,但遺憾的是無法確定這個名字是否就是其真實姓名,
- 參考文獻:https://research.checkpoint.com/good-zero-day-skiddie/
(3) 入侵日志
這種溯源分析方法偏向于主機取證分析,攻擊者在入侵到主機后的行為分析,對攻擊者留下的大量操作日志進行分析后,可以提取相關攻擊者的資訊,包括:
- 連接服務器使用VPS資訊,
- 登陸主機后,一般為了維持對主機的訪問權限,會嘗試創建自己的賬號及密碼,
- 攻擊者為了偷取資料,使用的ftp或者資料服務器資訊,
- 通過對攻擊者的登陸時間進行分析,可以基本定位所在大區域(北半球,南半球),
- 登陸主機后的操作模型,不同的攻擊者,入侵成功后進行的行為有差異,每個人都有自己的行為指紋特征,
簡單舉個例子,不少攻擊者習慣使用自動化的工具,去提取主機上的敏感資訊(網站,郵箱,位元幣,網銀等賬號密碼),入侵成功后(釣魚,社工,水坑攻擊等),會在受害者機器上安裝間諜軟體,進行主機行為監控,并且定時將截獲的敏感資訊上傳到服務上,大多使用三種通信方式竊取敏感資訊:ftp、smtp、http,
案例分析
通過分析入侵日志,最終分析其預置的監控程式,該樣本中攻擊者使用加密的smtp服務器竊取敏感資訊,在樣本分析程序中可以獲取到郵箱的用戶名與密碼:
接著利用獲取到的登陸憑證可成功登陸攻擊者郵箱:
在郵件內容中,發現了攻擊者的真實郵箱,之后通過進一步溯源分析,定位到了攻擊者,下圖是攻擊者真實的twitter賬號:
(4) 全流量分析
某些攻擊者或者組織的反跟蹤意識非常強,基本上不會留下任何痕跡,在達成入侵目的之后(竊取資料),會完全清除入侵痕跡,或者干脆銷毀主機硬碟,
例如,2015年烏克蘭電廠遭受攻擊之后,攻擊者利用killdisk組件銷毀了全部資料,當然有些也不會留下在主機上的任何操作痕跡,部分勒索軟體也是通過同樣的手段進行痕跡擦除,這類案例也非常多,基本上在受害者機器上找不到任何痕跡,這時進行全流量分析溯源就相當有效了,
案例分析
這里以2017年Flareon 4th逆向挑戰賽最后一題為例,
它描述了一個APT攻擊場景,需要通過分析資料包及PE檔案,還原整個攻擊程序,從網路下載加密的惡意代碼在本地進行解密:
解密后的內容為一個遠控端,其和主控端的通訊流量通過了全加密,網路傳輸資料格式如下:
相關的加解密及功能模塊如下:
過流量分析發現攻擊者入侵行為如下:
- 黑客入侵到168.221.91后,先獲取了螢屏截圖(內容包含了一個密碼),
- 查看c:\work\FlareOn2017\Challenge_10\TODO.txt,發現larry相關提示(根據前期資訊收集結果,可以知道johnson主機名),
- 通過ping命令獲取到內網johnson主機IP地址(192.168.221.105),
- 使用psexec在johnson的主機上安裝后門srv2.exe(監聽本地16452埠),
- 之后通過內網代理連接該后門,通過代理插件上傳加密模塊到了johnson的主機上c:\staging\cf.exe,
- 利用加密程式(exe)對lab10的檔案進行加密,之后將原始檔案洗掉,并且通過代理傳到了黑客手里,
該案例中僅通過全流量分析,最侄訓原整個入侵程序、黑客攻擊行為以及竊取的內容,而在真實的環境中需要結合入侵日志進一步對惡意樣本攻擊進行追蹤溯源,
(5) 同源分析
該方法主要為在獲取到惡意樣本后,很難第一時間關聯到攻擊者或者惡意樣本提供者的資訊,但是可以通過和歷史惡意代碼進行相似度分析,獲得歷史攻擊事件,從而關聯到相應的組織或團體,這種溯源方法多用于定位APT組織或者某些知名的黑客團體(方程式)的行動,需要投入大量的人力,時間去完成溯源跟蹤分析,
APT組織或者知名黑客團隊,一般都有各自的工具定制開發部門,負責各類工具的開發,以及漏洞利用工具的量產(從今年4月份泄露的方程式組織內部的工具以及CIA泄露的部分檔案就可以看出端倪),其部分劃分組織架構都非常清晰,有專門負責工具開發的部門,例如:遠控開發部門、硬體研究部門、漏洞挖掘部門、漏洞利用工具撰寫的部門等,常用方法包括:
- 設計思路溯源
- 編程特征溯源
- 通訊協議溯源
- 數字證書溯源
案例分析
通過設計思路溯源,每個程式員在軟體實作的時候,會使用自己比較熟悉的一套代碼風格和實作演算法,每個團伙或者組織在攻擊目標時也會有一套自己特有的攻擊方法,針對惡意樣本可以通過行為日志的相似度、代碼混淆風格以及相關的實作演算法進行同源判定,下圖展示了安天利用“破殼”漏洞投放的6個Bot具有同源性,
- “破殼”漏洞相關惡意代碼樣本分析報告_V1.9 - 安天
(6) 攻擊框架
這種溯源方法主要見于某些專業化程度比較高的個人或者組織,他們有自己的攻擊常規套路,并且長期專注于一個領域的攻擊,比如,在一次應急回應中通過取證分析,了解到攻擊使用的攻擊模型如下:
- 注冊域名,根據攻擊目標選擇有意義的域名,
- 在GitHub上注冊一個新賬戶和創建一個開源專案,
- 編譯原始碼后捆綁惡意軟體,一般選擇advanced installer作為捆綁打包器(還有AutoIt,NSIS),
- 發布到搭建的網站上,
- 在互聯網上發布推廣其軟體,
- 竊取用戶敏感資料(賬號密碼),
- 進行資料直接套現,或者通過資訊倒賣平臺間接變現,
之后利用該攻擊模型對樣本庫中的檔案進行篩選,定位到另外3套與該模型完全匹配的案例,進一步分析匹配到的樣本后,首先確認了該4套樣本出于同一開發團隊,經過溯源分析準確定位到了攻擊者,
“天網恢恢疏而不漏”,溯源分析旨在通過現象去發掘樣本背后的故事,沒有固定的套路可循,在分析程序中,要像偵探破案一樣,大膽心細,不放過任何細枝末節,是一場人與人之間斗智斗勇的程序,同時,企業針對APT溯源提出了不同的框架,比較經典的框架包括:
- ATT&CK:https://attack.mitre.org/
從視覺角度來看,MITRE ATT&CK矩陣按照一種易于理解的格式將所有已知的戰術和技術進行排列,攻擊戰術展示在矩陣頂部,每列下面列出了單獨的技術,一個攻擊序列按照戰術,至少包含一個技術,并且通過從左側(初始訪問)向右側(影響)移動,就構建了一個完整的攻擊序列,一種戰術可能使用多種技術,例如,攻擊者可能同時嘗試魚叉式網路釣魚攻擊中的釣魚附件和釣魚鏈接,
- 安天智甲框架
智甲將安天自主先進的威脅檢測引擎與驅動級主防有效結合,依托動態防護策略可幫助用戶有效應對層出不窮的新威脅,
- Threatcrowd
一個威脅搜索引擎,能讓用戶搜索和調查與IP、網站或機構相關的威脅,它也提供了API,利用ThreatCrowd API你可以搜索域名、IP地址、郵件地址、檔案哈希、殺軟檢測等,它會從virustotal和malwr.com上獲取資訊,它也提供了MALTEGO轉換,方便分析和關聯資料,
- 常用在線沙箱
– https://virusshare.com/
– https://app.any.run/
– https://www.virustotal.com/gui/d
– https://s.threatbook.cn/
4.無處不在的網路威脅
“沒有網路安全就沒有國家安全”,自全球第一個計算機病毒出現后,網路威脅無處不在,同樣,人們通過與病毒長期的斗爭,積累了大量反病毒經驗,掌握了大量實用的反病毒技術,并研制出一系列優秀的反病毒產品,主要用于病毒的防護、檢測及其清除等,
惡意代碼的檢測是將檢測物件與惡意代碼特征(檢測標準)進行對比分析,定位病毒程式或代碼,或檢測惡意行為,常見的檢測技術包括特征值檢測技術、校驗和檢測技術、啟發式掃描技術、虛擬機檢測技術、主動防御技術,以及新興的云查殺技術、深度學習檢測等,
下面介紹幾個比較經典的安全事件,也希望讀者通過這篇文章對網路空間安全有一定的了解,
- 心臟滴血漏洞
2014年4月7號谷歌工程師NeelMehta發現了名為“心臟滴血”的OpenSSL漏洞,該漏洞在互聯網界引發了腥風血雨,讓很多世界知名互聯網公司為之一顫,在黑客社區,它被命名為“心臟滴血”,表明網路上出現了“致命內傷”,利用該漏洞,黑客可以獲取約30%的https開頭網址的用戶登錄賬號密碼,其中包括購物、網銀、社交、門戶等型別的知名網站,
- WannaCry勒索病毒
2017年5月12日,WannaCry蠕蟲通過NSA永恒之藍MS17-010漏洞(445埠)在全球范圍大爆發,感染大量計算機,WannaCry勒索病毒全球大爆發,至少150個國家、30萬名用戶中招,造成損失達80億美元,已影響金融、能源、醫療、教育等眾多行業,造成嚴重的危害,下圖是作者之前復現的效果,
- 斯諾登與“棱鏡”計劃
“棱鏡”竊聽計劃始于2007年的小布什時期,棱鏡包括兩個專案:監ting民眾電話的通話記錄,監shi民眾的網路活動,包括對中國三大運營商的短信竊取,對中國六大骨干網之一的教育科研網總節點如清華大學的入侵等,同時,棱鏡(PRISM)還只是美國NSA眾多專案中的一個,還比如星風專案(STELLARWIND)、核子專案(NUCLEON)、主管道專案、碼頭專案等,
- 震網(Stuxnet)事件
震網病毒(Stuxnet)是一種Windows平臺上的計算機蠕蟲,這是有史以來第一個包含PLC Rootkit的電腦蠕蟲,也是已知的第一個以關鍵工業基礎設施為目標的蠕蟲,它借助美國與以色列的QB機構之手,癱瘓了伊朗的核設施,對全球工業系統的造成了巨大的風險,
- SolarWinds供應鏈攻擊事件
2020年12月13日,美國網路安全公司FireEye發布分析報告稱,SolarWinds 旗下的Orion基礎設施管理平臺的發布環境遭到黑客組織入侵,黑客對檔案SolarWinds.OrionCore. BusinessLayer.dll的原始碼進行篡改添加了后門代碼,該檔案具有合法數字簽名會伴隨軟體更新下發,后門代碼偽裝成Orion OIP協議的流量進行通信,將其惡意行為融合到SolarWinds合法行為中,FireEye稱已在全球多個地區檢測到攻擊活動,包括北美、歐洲、亞洲和中東的一些機構、咨詢、技術公司,
二.網路安全攻防技巧
1.網路安全技術路線
網路安全(Web滲透)是通過模擬惡意黑客的攻擊,來評估計算機網路系統安全的一種評估方法,滲透測驗主要分為黑盒測驗和白盒測驗兩種方式,不同的人有不同的框架,下面從企業界和學術界介紹兩種技術路線,
(1) 企業網路安全技術路線
- 基礎知識: Web發展簡史、計算機網路、域名系統、HTTP標準、代碼審計、WAF
- 資訊收集: 域名資訊、 站點資訊、埠資訊、其它
- 內網滲透: Windows資訊收集、持久化、Linux資訊收集、痕跡清理、內網資訊收集、作業組和域、橫向擴展和縱向擴展
- 常見漏洞: SQL注入、XSS、CSRF、SSRF、命令注入、檔案讀取、檔案上傳、檔案包含、XXE、模版注入、Xpath注入、 邏輯漏洞 、業務漏洞、配置安全、中間件、Web欺騙攻擊
- 語言與框架: PHP、Python、Java、JavaScript、Ruby、C\C++、C#
- 防御技術: 總體思路、 團隊建設、威脅情報、風險控制、加固檢查、蜜罐技術、入侵檢測、應急回應、溯源分析
- 工具與資源: 工具串列、推薦資源、爆破工具、下載工具、流量相關、嗅探工具、SQLMap、BurpSuite、MetaSploit、Cobalt Strike
- 其他: 認證方式、拒絕服務攻擊、DNS劫持、Docker
- 紅藍對抗
(2) 學術界網路空間安全知識體系
- 應用安全技術知識
- 系統安全理論與技術
- 網路安全理論與技術
- 網路空間全基礎理論
- 密碼學基礎知識
2.網路安全基礎案例普及
(1) 電信ZP和一碼多用
當我們收到一些電話或短信時,可能會去點擊按鍵或鏈接,這類釣魚操作會導致我們的個人隱私泄露,2013年某公司泄露了海量用戶資料,其原理是黑客進行脫庫(資料庫)操作,脫庫之后他們還會繼續挖掘用戶的隱私資訊,用戶在使用購物或系統門戶網站時,很可能會設定相同或相近的用戶名、密碼,通過撞庫能獲取更多有價值的資訊,他們再賣這些資料謀求利益,
- 安全建議:密碼設定盡量有變換,不要輕易點擊惡意鏈接或惡意郵件
(2) 弱口令攻擊
通常認為容易被別人猜測到或被PJ工具破解的口令均為弱口令,弱口令指的是僅包含簡單數字和字母的口令,例如“123”、“abc”、“qwe”等,因為這樣的口令很容易被別人破解,從而使用戶的計算機面臨風險,因此不推薦用戶使用,常見弱口令有:數字或字母連排或混排,鍵盤字母連排;生日,姓名+生日;短語密碼等,
密碼管理器NordPass公布了2020年最常用密碼TOP200榜單,可以說,這是2020年最糟糕的200個密碼,排名靠前的幾個密碼,相信大多數人都非常熟悉:如123456、123456789、password、111111、123123、qwerty、000000等等,看來全球用戶都“青睞”數字,而這些密碼被弱口令攻擊都不需要1秒鐘,
- 安全建議:第一時間更換初始密碼,內部電腦密鑰需要單獨設定,專人保管,尤其注意弱口攻擊及社會工程學
(3) 偽基站、Wifi探針或魚叉式釣魚郵件攻擊
偽基站是指移動小型基站,可以定位你的GPS位置,再發送欺騙短信或電話,比如,騙子偽裝成95588,利用偽基站向手機發送短信,當用戶按照短信提示登錄釣魚網址時,他的銀行卡號和密碼就會被泄露,除了詐騙,還會建立聯盟調查資訊庫,可以查看到開房記錄、上網記錄、常住暫住人口資訊,
Wifi探針是當用戶手機無線局域網處理打開狀態時,會向周圍發出尋找無線網路的信號,探針盒子發現這個信號,就能迅速識別出用戶手機的MAC地址,而MAC地址可以轉換成IMEI號,再轉換成手機號碼,為了獲取更多用戶個人資訊,一些公司將這個小白盒子放在商場、超市、便利店、寫字樓等,在用戶毫不知情的情況下,搜集個人資訊,
同時,某些手機APP惡意收集用戶隱私資訊 ,并生成用戶畫像,通過電話、短信、微信、QQ等發送個性化廣告,APP安裝時,需要同意權限才能安裝,此時它能讀取用戶資訊,比如315晚會曝光的墨跡天氣APP隱私泄露案例,
- 安全建議:陌生或不熟悉的Wifi不要輕易鏈接,惡意請求不要輕易點擊,APP盡量下載熟悉的軟體且不要開啟太多系統權限
(4) 企業非法競爭
某個藥業公司需要研發一種藥,想對用戶人群的需求和購買力做個評估,但是做調研的時間成本和人力成本太大了,他們就會想一些“捷徑”,找到黑客,讓其進某醫院的病例資料庫,把病例資料復制下來直接分析,再比如某網站為驚醒大家注意攝像頭安全,實作如下左圖所示直播功能(Network live IP video cameras),右圖新冠檢測系統用戶資料被非法出售,
(5) 利用漏洞植入木馬
利用漏洞或惡意軟體實施攻擊,常見功能包括:捕獲螢屏、攝像頭、語音通話、遠程連接、鍵盤記錄、獲取Webshell(管理員權限)、資料庫脫庫等,
- 安全建議:部署適當的安全防護軟體,防止釣魚郵件攻擊,劃分子網及內網不訪問互聯網
(6) 商業隱私保護
前面介紹了很多軟體及互聯網相關的安全,那么物理設備存在嗎?當前,通過物理設備實施商業相關的物理攻擊也很常見,商業隱私案件中有60%與員工離職有關,兩類高危人群分別是高管和特殊職位員工,同時各種隱秘的攝像頭越來越多,都需要大家注意,如下圖所示的插板、衣架螺絲中都切入了隱秘的微型攝像頭,甚至有通過向會議室玻璃窗發射激光獲取音頻資訊的案例,
- 安全建議:涉及商業的檔案重點保護,加強人員安全教育,離職更換密鑰,重置系統權限,提升個人的安全意識,
(7) 供應鏈攻擊與硬體安全
通過供應鏈采購實時惡意軟體植入,同時通過硬體設備竊取資訊的案例也越來越多,如下圖所示的HACKUSB(資料線&支持快充)、BadUSB(惡意代碼隱藏的USB)、惡意移動充電寶等,
- 安全建議:加強移動硬碟、U盤、光碟安全,設定密鑰;未知Wifi和外部設備不要連接我們的電腦,同時,建立網路隔離機制,做好資料使用記錄,
(8) 社會工程學
社會工程學(Social Engineering) 是一種通過人際交流的方式獲得資訊的非技術滲透手段,這種手段非常有效,而且應用效率極高,事實上,社會工程學已是企業安全最大的威脅之一,通過社工攻擊手段,篩選和整理你的個人資訊、家庭狀況、興趣愛好、婚姻狀況,以及你在網上留下的一切痕跡,再進行滲透,這是一種無需依托任何黑客軟體,更注重研究人性弱點的黑客技術,
- 基于人的社工:搭載、偽造身份、偷聽、竊肩、反社工、垃圾桶工程
- 基于計算機的社工:彈出視窗、釣魚郵件、短信詐騙、內網攻擊
- 安全建議:嚴防社工工程學攻擊
(9) 0day漏洞和1day漏洞利用
利用漏洞實時攻擊,如下圖所示,WannaCry蠕蟲通過NSA永恒之藍MS17-010漏洞(445埠)在全球范圍大爆發,感染大量計算機,
- 安全建議:安裝合適的殺毒軟體,系統和軟體的漏洞補丁及時修復,
(10) 內網滲透
什么是內網?比如大家連在同一個WIFI下,就可以稱為內網,換句話說,從外部網路不能直接訪問的網路就稱之為內網,比如,在公司檔案服務器搭建了一些資源,外部互聯網的人是不能直接訪問這些資源的,
- 參考:i春秋YOU老師分享的小白滲透之路
首先,我們來看一張網路拓撲圖,最常見的企業網路,由圖可知,一個企業網路對外通常會存在一個防火墻,防火墻中有個路由器,路由器接入很多電腦,包括三塊區域(DMZ區、核心業務區、辦公區),DMZ區放置一些對安全性不高的服務器,比如郵件、門戶網站服務器等;核心業務區存放企業核心資料庫、OA系統、ERP系統;辦公區是企業員工辦公網路,
- 安全建議:獨立使用專網,配置虛擬機、防火墻;授權安全公司進行內網滲透測驗,給出安全建議及保護措施;結合之前的安全意識進行保護,
假設現在一名白帽子需要攻擊測驗這個內部網路,想直接訪問核心業務區的資料庫是不可能的,而公司在DMZ區提供了對外的Web服務器,能夠讓你直接在互聯網里面訪問,
- 第一步,資訊收集及技術性弱點識別,通過技術性手段拿下公司DMZ區的門戶網站這臺服務器,
- 第二步,通過門戶網站服務器進入到公司的內部網路,我們稱之為跳板,接著進行權限的維持和提升,下次再進行攻擊時不需要重新收集資訊,以門戶網站作為據點,對內網進行滲透,
- 第三步,內網滲透并橫縱向擴展獲取相關資訊,
下面介紹一個內網滲透案例,該案例均是授權情況下進行的滲透測驗,切勿進行非法滲透或攻擊,由該網路拓撲圖可知,正常訪問時會通過CDN(內容分發轉網路)、WAF(應用防護系統)等安全軟體,從而過濾并保護我們企業的網路安全,白帽子需要想一個辦法:能不能讓我們的訪問不經過CDN和WAF呢?
答案是可以的,
第一步,全面收集資訊
通過全面資訊收集,找到與目標相關的資訊網站,
第二步,尋找有用線索
深入分析并發現網站原始碼記憶體在真實IP泄露,
第三步,進一步搜集和利用有用資訊
針對真實IP開展埠掃描,找到對應的埠和服務BBS,該網站存在一個資訊泄露的漏洞,通過目錄掃描找到泄露的賬號密碼,即在BBS的日志內搜索并成功解密出用戶賬號和密碼資訊,
第四步,利用有用資訊進入內網
登錄BBS系統,發現并利用跟帖上傳處漏洞,上傳shell(網頁后門)成功拿下該服務器system權限,進入內網,system權限是最高權限,該案例免去了權限維持與提升步驟,
第五步,內網橫向擴展
通過弱口令、歷史漏洞等方式,成功拿下內網多臺服務器權限,并從中找到了1個涉及多個目標服務器的密碼本,此時已成功進入了目標網路的核心業務網段,結合前期收集到的資訊,成功登錄目標重大專案庫的原始碼服務器,針對原始碼進行深入分析,從組態檔中找到了系統運維郵件賬號和密碼,并成功進入運維郵箱,
第六步,作為白帽子,立刻告訴該網站管理員并對網站進行維護,提升安全等級及修復漏洞補丁,
下面對常見的惡意軟體威脅進行簡單總結:
- 修改或破壞已有軟體的功能
惡意軟體運行之后,可以對同一運行環境中的其他軟體進行干擾和破壞,從而修改或者破壞其他軟體的行為, - 竊取目標系統中的重要資料
資料庫、檔案、口令等(灰鴿子、上興、Flame) - 監視目標系統中的用戶行為
對目標系統進行螢屏監視、視頻監視、語音監聽等 - 控制目標系統
Shell、螢屏控制、跳板等 - 加密資料進行勒SUO
PC&mobile,位元幣 - 情報獲取設備
如NSA的水蝮蛇(COTTONMOUTH-I),通過USB與主機植入資料網路竊取資訊;出軌吉普(DROPOUTJEEP),通過植入蘋果iPhone的惡意軟體,提供專門的情報收集功能;WannaCry是一種“蠕蟲式”的勒索病毒軟體等,
3.Web滲透技巧簡單總結
技巧一:Google Hacking
Google提供了強大的搜索功能,可以獲取精準的結果,如果訪問不了,也可以通過Bing或百度獲取相關內容,但是結果沒有谷歌精準,常見方法如下:
技巧二:Whois收集
采集網站、IP、機構、郵箱、個人、國家等資訊,可以參考作者之前“網路安全自學篇”文章,
- Whois站長之家查詢:http://whois.chinaz.com/
- Whois Lookup 查找目標網站所有者的資訊:http://whois.domaintools.com/
- Robtex DNS 查詢顯示關于目標網站的全面的DNS資訊:https://www.robtex.com/
- 其他推薦:he.bgp.net、https://scan.top15.cn/web/
技巧三:CMS指紋識別 (網站架構、網站目錄)
參考作者之前“網路安全自學篇”文章,
- 在線工具:http://whatweb.bugscaner.com/look/
- 本地工具:御劍Web指紋識別程式、大禹CMS識別程式
技巧四:埠掃描
參考作者之前“網路安全自學篇”文章,包括網站開放埠、旁站等,
- Nmap采集、masscan采集、Kali系統
- ThreatScan在線網站:https://scan.top15.cn/web/
- 常見埠及對應服務,旁站注入(主站現在大公司維護,入侵艱難)
技巧五:IP物理定位
- IP物理定位:三大運營商資料、Wifi、基站、GPS、社交網路、視頻
- https://www.opengps.cn/Data/IP/ipplus.aspx
- http://www.gpsspg.com/maps.htm
- 手機APP獲取物理地址(QQ漫游定位)
URL、QQ => IP地址 => 經緯度 => 物理位置
技巧六:社會工程學
社會工程學(Social Engineering) 是一種通過人際交流的方式獲得資訊的非技術滲透手段,這種手段非常有效,而且應用效率極高,事實上,社會工程學已是企業安全最大的威脅之一,
- 社工三大法寶:網路釣魚、電話釣魚、偽裝模擬
- 狹義三大法寶:谷歌、社工庫、QQ
同時,郵件反查可以結合社會工程學進行資訊收集,
再比如通過密碼找回功能獲取部分手機號資訊(開頭182、結尾47),由于我國手機號碼為11位,各段有不同的編碼方向:前3位為網路識別號;第4-7位為地區編碼;第8-11位為用戶號碼,號碼也就是所謂的MDN號碼,即本網移動用戶作被叫時,主叫用戶所需撥的號碼,它采取E.164編碼方式;存盤在HLR和VLR中,在MAP介面上傳送,通過社會工程學結合Python自定義詞典可以對電話進行獲取,
技巧七:手機號碼查找
通過各大網站已知有價值的ID獲取其他資訊(如電話號碼、QQ、微信),通過電話或QQ獲取用戶的登錄賬號,也是常見的社會工程學手段,同時,通過某些網站獲取三大運營商不同城市的手機號段,
- www.reg007.com
- www.zhaohuini.com
- http://www.guisd.com/ss/
技巧八:驗證碼生成器
- http://lothelper.com/cn
技巧九:照片資訊泄露、Office資訊泄露
智能手機拍照時,Exif包括位置資訊,如果不經過處理,這些Exif引數會一直存在,在拍照的時候軟體呼叫了Exif中的GPS全球定位系統資料,同時,經過各種美圖軟體處理過的照片都會在相冊中顯示位置資訊,而且不少美顏軟體都自帶定位功能,
三.醫療資料安全防護
1.醫療資料安全
通過之前的分析我們看到了無處不在的網路安全,那么,醫療衛生行業或ZF部門面臨著怎樣的安全風險呢?下面我們開始分享,醫療行業資訊系統面臨的安全風險主要包括:
- 一是資料泄露,由于行業本身的特殊性,本身保存了大量的個人資訊、財務資訊和健康資訊等多種敏感資料,一旦泄露容易引發很嚴重的后果,
- 二是網路安全漏洞風險,攻擊者可以通過某些漏洞控制醫療行業的網路系統,進而可以實施勒索等行為,
- 三是勒索軟體,加密貨幣的火熱刺激了大量挖礦木馬的產生,醫療資訊系統也受到了一定的波及和影響,
由于醫療系統的行業特殊性,對安全存在更高的要求,無論是從政策法規,還是從維護醫療服務體系的正常運轉來看,守護醫療資訊系統和醫療資料的網路安全勢在必行,
在YQ這種“戰時”狀態,醫療資料的威力更是顯而易見,醫療資料安全更重要的是涉及大量人體真實資料,大資料背景下的資料泄露直接關系到我們的生命財產安全、生物安全等,被惡意獲取后的醫療資料,可以實作對人種、群體生命資訊的精準分析,掌握國家的人才資訊乃至國家人口發展戰略、政策和生命安全,
YQ期間,以美國、印度為首的西方國家,不遺余力獲取我國的醫療相關資料,包括實驗、Yi苗、資料等多方面,手段包括木馬攻擊、公開情報搜集、魚叉式釣魚攻擊、針對醫療和科研行業重點人員實施社工攻擊行為等等,無所不用其極,這些危害往往是不可逆,損失無法估量,因此,在戰略上,醫療資料安全直接關系國家和人民的安全!
2020年4月,匯醫慧影兩個月研發的AI輔助系統和積累的訓練資料被黑客竊取,以4位元幣(約21萬人民幣)的價格在A網上公開出售,給我們國家醫療資源代碼巨大損失,其出售資料包括150M的實驗室研究資訊,1GB技術資訊及其源代碼和1.5M的用戶資料,
傳統的網路攻擊主要以金錢和利益為主,目前逐漸向有組織的APT攻擊發展,那么,什么是APT攻擊呢?
2.什么是APT攻擊
APT攻擊(Advanced Persistent Threat,高級持續性威脅)是利用先進的攻擊手段對特定目標進行長期持續性網路攻擊的攻擊形式,APT攻擊也稱為定向威脅攻擊,指某組織對特定物件展開的持續有效的攻擊活動,這種攻擊活動具有極強的隱蔽性和針對性,通常會運用受感染的各種介質、供應鏈和社會工程學等多種手段實施先進的、持久的且有效的威脅和攻擊,
360威脅情報中心結合2018年全年國內外各個安全研究機構、安全廠商披露的重大APT攻擊事件,以及近幾年來披露的高級持續性威脅活動資訊,并基于這些重大APT攻擊事件的危害程度、攻擊頻度、攻擊技術等,評選出2018年全球十大APT攻擊事件,參考:https://www.secrss.com/articles/7530
- 韓國平昌冬奧會APT攻擊事件(攻擊組織Hades)
- VPNFilter:針對烏克蘭IOT設備的惡意代碼攻擊事件(疑似APT28)
- APT28針對歐洲、北美地區的一系列定向攻擊事件
- 藍寶菇APT組織針對中國的一系列定向攻擊事件
- 海蓮花APT組織針對我國和東南亞地區的定向攻擊事件
- 蔓靈花APT組織針對中國、巴基斯坦的一系列定向攻擊事件
- APT38針對全球范圍金融機構的攻擊事件
- 疑似DarkHotel APT組織利用多個IE 0day“雙殺”漏洞的定向攻擊事件
- 疑似APT33使用Shamoon V3針對中東地區能源企業的定向攻擊事件
- Slingshot:一個復雜的網路攻擊活動
長期被國家級APT組織盯上,隨時面臨一國網路癱瘓的風險,針對我國境內實施攻擊活動的活躍APT組織如下:
- 海蓮花(APT32):越南
- 摩訶草(APT-C-09):印度
- 蔓靈花(T-APT-17):印度
- Darkhotel(APT-C-06):韓國
- 藍寶菇(APT-C-12):中國臺灣
- 毒云藤(APT-C-01):中國臺灣
- Lazarus(T-APT-15):朝鮮
- …
APT攻擊主要針對ZF機構、科研作業者、醫療行業、高校教師、JS愛好者、企業高管等,
典型的APT攻擊手段如下:
- 魚叉式釣魚郵件
釣魚關鍵字包括培訓、績效、監察等,內容如帶有惡意宏檔案的xls檔案、捆綁型惡意代碼、構造誘餌檔案欺騙用戶點擊 - 水坑攻擊
- 社會工程學攻擊
- CHM誘餌、白加黑誘餌、惡意Ink
- 0DAY漏洞
利用CVE漏洞,如CVE-2018-20250系結壓縮包 - 宏病毒攻擊
帶有VBA宏病毒的Office檔案 - 專用木馬、后門、蠕蟲
如Denis家族、CobalStrike、Gh0st、WannaCry - 執行惡意PowerShell腳本收集資訊
- DNS劫持
- hta樣本解密并加載后續的附加資料
- C&C域名通信
- 使用帶有誘餌檔案通過點擊下載托管于GitHub上的downloader樣本
- 對抗樣本、人工智能(AI)攻擊
四.APT攻擊醫療行業經典案例
下面介紹典型針對醫療資料的APT攻擊案例,
1.白象
印度背景的APT組織代號為APT-C-09,又名摩訶草、白象、PatchWork、angOver、VICEROY TIGER、The Dropping Elephan,主要針對中國、巴基斯坦等亞洲地區國家進行網路攻擊活動,以采集敏感資訊為主,至今非常活躍,在針對中國地區的攻擊中,該組織以ZF機構、醫療衛生、科研教育領域為主,
2020.2月初,白象APT組織通過投遞帶有惡意宏檔案的xls檔案(誘餌檔案),該誘餌檔案名叫“武漢旅行資訊收集申請表.xlsm”“收集健康準備資訊的申請表.xlsm”,并且偽裝成衛生部的檔案攻擊我國醫療部門,
- 推薦文章:摩訶草APT組織的攻擊活動 - GCOW團隊
此次攻擊所使用的后門程式與之前360安全大腦在南亞地區APT活動總結中已披露的已知的印度組織專屬后門cnc_client相似,通過進一步對二進制代碼進行對比分析,其通訊格式功能等與cnc_client后門完全一致,非常可以確定,攻擊者來源于印度的白象APT組織,
同時,白象偽裝成我國衛生主管部門域名,借助YQ話題,偽造相關檔案,對我國醫療機構發動APT攻擊,如冒充國家衛健委官網網站 nhc-gov.com,真實網站 nhc.gov.cn,
安全建議:注意保護檔案(格式)以及電子公章,檔案包含“啟用宏”勿點擊;牢記常用網站的域名,防止DNS劫持及網站冒充,
2.海蓮花
海蓮花(OceanLotus)是一個據稱越南背景的APT組織,又稱APT32、OceanLotus,該組織最早于2015年5月被天眼實驗室所揭露并命名,其攻擊活動最早可追溯到2012年4月,攻擊目標包括中國海事機構、海域建設部門、科研院所和航運企業,后擴展到幾乎所有重要的組織機構,并持續活躍至今,
- 推薦文章:“海蓮花”(OceanLotus)2019年針對中國攻擊活動匯總 - 騰訊
該組織針對不同的機器下發不同的惡意模塊,使得即便惡意檔案被安全廠商捕捉到,也因為無相關機器特征而無法解密最終的Payload,無法知曉后續的相關活動,活動鉆石模型如下:
下圖展示了通過惡意檔案投遞的魚叉攻擊,惡意檔案投遞的方式依然是最常用的魚叉攻擊的方式,釣魚關鍵字包括YQ、干部培訓、績效、作業方向等,相關的郵件如下,此外,投遞釣魚郵件的賬號有網易郵箱,包括126郵箱和163郵箱,賬號樣式為:名字拼音+數字@163(126).com,如:Sun**@126.com、reny**@163.com等,
2019至2020年投遞的惡意誘餌型別眾多,包括白加黑、lnk、doc檔案、帶有WinRARACE(CVE-2018-20250)漏洞的壓縮包等,之后的攻擊中還新增了偽裝為word圖示的可執行檔案、chm檔案等,
- 帶有宏的doc檔案
帶有宏的檔案的投遞是該組織比較常用的惡意誘餌,如推特上安全同仁曝光該組織的誘餌,執行宏后,首先會復制原始檔案到%temp%下,命名為隨機名檔案,然后解密出一個新的VBA宏,接著寫入注冊表,把解密后的新VBA宏添加進去,接著啟動VBA宏函式x_N0th1ngH3r3,解密出來的新VBA宏目的是將shellcode解密并加載執行,Shellcode解密出一個DLL檔案,并在記憶體中加載,執行DllEntry函式,DllEntry函式先會提取資源檔案,并解密出來,解密出來的內容包括最終rat和相關配置資訊,最后配置C&C使用https進行通信連接,實施攻擊,
- 帶有WinRAR ACE(CVE-2018-20250)漏洞的壓縮包,
作者之前分享過該CVE漏洞,當我們解壓檔案時,它會自動加載惡意程式至C盤自啟動目錄并運行,
- 白加黑
白加黑同樣是該組織常用的誘餌型別,并且在實際攻擊程序中,還多次使用,病毒偽裝成一個DLL檔案,偽裝為Word圖示的可執行檔案啟動的同時,病毒DLL也會被加載啟動(也叫DLL劫持),使用DLL側加載(DLL Side-Loading)技術來執行載荷,通俗的講就是我們常說的白加黑執行,其基本流程如下圖所示:
安全建議:例外郵件、鏈接、短信不要點擊,先電話確認郵件真實來源,再下載檔案或壓縮包;重要檔案切勿互聯網傳播,查閱或編輯盡量在內網或斷網條件下執行(防止C&C),
3.Darkhotel
Darkhotel(APT-C-06)是一個長期針對企業高管、GF工業、電子工業等重要機構實施網路攻擊活動的APT組織,2014年11月,卡巴斯基實驗室的安全專家首次發現了Darkhotel APT組織,并宣告該組織至少從2010年就已經開始活躍,360威脅情報中心對該團伙的活動一直保持著持續跟蹤,而在最近幾個月我們再次跟蹤到該團伙發起的新的攻擊活動,
雙星”漏洞已被活躍近十余年的半島APT組織Darkhotel(APT-C-06)所利用,并瞄準我國商貿、醫療相關的政府機構發動攻擊,該APT組織的攻擊手法陰險、刁滑、狡詐,
- CVE-2019-17026(火狐)
- CVE-2020-0674(IE)
騰訊御見威脅情報中心曾發布《DarkHotel APT組織揭秘:針對高端商務人士、政要人物的精準攻擊已持續8年》,分析報告提到的后門程式SYSCON/SANNY是專門針對朝鮮半島相關目標進行攻擊的惡意檔案,其主要攻擊目標為朝鮮半島相關的重要人物或部門,偶爾也會針對東南亞等國進行攻擊,通過分析發現,該后門跟DarkHotel的TTPs相吻合,因此我們把該后門歸結為DarkHotel(黑店)APT組織,
- 推薦文章:DarkHotel(黑店)APT組織針對朝鮮半島的精確打擊行動
騰訊御見威脅情報中心對該后門進行了長期跟蹤,發現該后門一直以來的特色就是使用FTP協議進行C&C通信,并且有很強的躲避技術和繞UAC技術, 而最新版本的后門采用了多階段執行、云控、繞最新UAC等技術,使得攻擊更加的隱蔽和難以發現,攻擊流程如下圖所示:
安全建議:針對漏洞利用攻擊,內網電腦切勿連接互聯網,外網電腦及時更新資訊中心的補丁(如WannaCry),
4.藍寶菇
360公司在2018年7月5日首次對外公開了一個從2011年開始持續近8年針對我國行政機構、科研、金融、教育等重點單位和部門進行攻擊的高級攻擊組織藍寶菇(APT-C-12),英文名BlueMushroom,該組織的活動在近年呈現非常活躍的狀態,比如,通過向163郵箱發送魚叉郵件,釣魚郵件仿冒博鰲亞洲論壇向攻擊物件發邀請函,攻擊者通過誘導攻擊物件打開魚叉郵件云附件中的LNK檔案,一旦攻擊物件被誘導打開LNK快捷方式檔案,會執行檔案中附帶的PowerShell惡意腳本來收集上傳用戶電腦中的重要檔案,并安裝持久化后門程式長期監控用,
- 推薦文章:藍寶菇(APT-C-12)針對性攻擊技術細節揭秘
攻擊方式:
- 在郵件中植入惡意附件
- 郵件正文插入惡意鏈接,誘導受害者點擊,通過誘導打開魚叉郵件云附件,如仿冒博鰲亞洲論壇邀請函(boaostaff[@]163.com),然后執行PowerShell惡意腳本收集用戶電腦中的敏感檔案,并安裝持久化后門程式長期監控目標
所以,APT攻擊離我們并不遙遠,網路安全就在我們身邊,需要大家共同維護,
五.防御措施
1.醫療資料安全防護
“沒有網路安全就沒有國家安全”,每一個公民都應該樹立正確的安全意識,同時做好相關保護作業,具體包括:
- 增強人員安全意識及教育,防止弱口令(復雜口令)、社會工程學現象
- 建立安全物理環境,部署安全設備(WAF),安全劃分子網
- 重要檔案切勿互聯網傳播,查閱或編輯要在內網或斷網條件下執行(防止C&C)
- 例外郵件、鏈接、短信不要點擊,先電話確認真實來源,再下載檔案或壓縮包,防止釣魚郵件
- 注意保護重要檔案(格式)以及電子公章,檔案包含“啟用宏”勿點擊,防止宏病毒攻擊
- 建議對郵件排查是否存在木馬、病毒、后門程式、釣魚鏈接,嚴控服務端安全
- 網站系統和業務滿足合規要求(https加密資料傳輸,防止資訊泄露)
- 加強對病毒和入侵事件的有效感知,系統補丁按照要求及時更新
- 上網不SM,SM不上網,做好資料脫敏處理
- 加強移動硬碟、U盤、光碟安全,設定密鑰;未知Wifi和外部設備不要連接計算機
- 涉及商業的檔案重點保護,加強人員安全教育,離職更換密鑰
- 檔案傳輸實作檔案與密鑰分離傳輸
- 建立安全管理制度
- 做好檔案資料記錄作業,加強網路審計措施,監測記錄系統運行狀態、日常操作
- 例外行為管理(快速查詢指定賬號的例外行為)
- 流量監控管理(發現例外流量時通知管理員)
- 通過安全公司進行定期的滲透檢測
同時,中國軟體測評中心發布了《醫療行業網路安全白皮書(2020年)》,其架構如下圖所示,
2.威脅情報防御
溯源意圖除了溯源出撰寫惡意代碼作者、惡意代碼家族之外,還要挖掘出攻擊者及攻擊者背后的真正意圖,從而遏制攻擊者的進一步行動,360威脅情報中心將基于每個APT攻擊事件的背景資訊、攻擊組織、相關TTPs(Tactics, Techniques and Procedures,戰術、技術與步驟)進行描述及重大攻擊事件溯源,在溯源程序中,越往上溯源越難,尤其是如何定位APT組織的人員,
威脅情報防御包括縱深保護、實時聯動,基于大資料提供動態變化的威脅情報,應用多種創新技術手段加強抵御外部不斷變化的高級威脅,包括預測、防御、回應和檢測,舉個例子,我們本地看到一個IP,我不知道它是好是壞,但是我把這個IP傳到云端,云端通過龐大的威脅校驗機制判斷該IP來自哪個國家、曾經攻擊過哪個企業、IP關聯的黑客家族、檔案樣本等,云端把IP資訊告訴本地設備,從而確定該IP有害并加入黑名單,通過本地設備和云端實時互聯,提高威脅情報檢測能力,
各大安全廠商都有自己的威脅情報防御,包括360、安天、奇安信、深信服、綠盟、騰訊、阿里、瑞星、啟明星辰等,下圖展示了深信服提出了“網路+終端+云端”的體系化建設思路,通過網路終端實作縱深保護,云端和本地結合可視化展現風險及快速處置,并升級能力進行有效保護,日志可以統一發送給云端平臺,云端再進行日志分析洞悉威脅,定位位置并給出處理建議,
- 回應:聯動EDR清除終端病毒、聯動封鎖攻擊源
- 檢測:黑鏈檢測、Webshell后門檢測、失陷主機檢測模
- 防御:Web應用防護、入侵防御模塊IPS、SAVE防病毒引擎、URL過濾及應用特征識別、ARP欺騙防御及DDoS防御
- 預防:誤配置、弱口令、漏洞檢查、資產梳理、埠開放檢查
3.APT溯源
APT溯源推薦作者的文章 “APT攻擊檢測溯源與常見APT組織的攻擊案例”,下面簡單進行總結:
(1) 溯源取證
- 溯源、取證與樣本抽取,釣魚、社工
- 分組行動、相互配合
- 鎖定特征碼
- 大資料關聯分析,感知未發現的攻擊行為
- 代碼逆向組、流量分析組與網路調研組
(2) 美國應急回應中心溯源方法
- 對被入侵的主機進行還原取證
- 對木馬樣本進行代碼的逆向分析與解密
- 對流經國家的資料在傳輸層進行特征碼布控
- 存盤至少半年的流經資料流量,以便還原攻擊
- 對VPS代理服務提供商與正常網路服務提供商,兩者有能力區分,并能落地VPS代理服務提供商的用戶背后真實IP地址
- 分辨攻擊事件背后的組織,并判定組織的來源、分工、資源狀況、人員構成、行動目標等要素
(3) 應急回應中心常見的例外網路行為
- 埠與協議不匹配,如使用443埠傳輸明文協議
- 邊界VPN撥入的IP地址不在企業用戶VPN常用IP地址之列
- 利用VPS服務提供商的代理IP地址訪問企業用的邊界VPN撥入內網
- Windows事件日志中的特殊ID編號,如ID 5140通常是PSEXEC(內網hash傳遞工具)日志
- 對于特殊協議要記錄訪問主機IP、目的主機IP,如SMB協議(永恒之藍)要倍加防范
(4)溯源內容
惡意樣本的追蹤溯源需要以當前的惡意樣本為中心,通過對靜態特征和動態行為的分析,解決如下問題:
- 誰發動的攻擊?
- 攻擊背景是什么?
- 攻擊的意圖是什么?
- 誰撰寫的樣本?
- 樣本使用了哪些攻擊技術?
- 攻擊程序中使用了那些攻擊工具?
- 整個攻擊程序路徑是怎樣的?
(5) 溯源方法
惡意樣本追蹤溯源除了前面介紹的全流量分析、同源分析、入侵日志、域名/IP、攻擊模型外,常見的方法還包括:
- 時區溯源案例(白象)
- 關聯分析案例(Darkhotel APT-C-06)
- 特征相似溯源(摩訶草)
- 0day漏洞溯源(Lazarus T-APT-15)
- 蜜罐溯源
- 基于機器學習和深度學習的APT溯源
下圖展示了通過時區對白象APT溯源的程序,
六.總結
嚴峻的網路安全對抗和博弈形勢,使得對惡意代碼的演化與溯源技術的研究價值凸顯,學術界、產業界近年來分別從攻擊和防護兩個方面展開了深入的研究,目前,學術界和產業界在惡意代碼溯源技術方面取得了較大的進步,在追蹤惡意代碼組織、黑客組織(攻擊者)、發現未知惡意代碼方面取得了部分研究成果,例如海蓮花、白象、方程式組織等典型 APT 攻擊計劃和黑客團隊的不斷曝光,但依然存在不足和挑戰,
寫到這里,這篇文章就介紹完畢,希望您喜歡這篇文章,“網路安全提高班”第一篇文章,花費了我4個小時撰寫,近3萬文字,只希望對您有幫助,這篇文章中如果存在一些不足,還請海涵,作者作為網路安全初學者的慢慢成長路吧!希望未來能更透徹撰寫相關文章,同時非常感謝參考文獻中的安全廠商和大佬們的文章分享,深知自己很菜,得努力前行,
歡迎大家討論,是否覺得這系列文章幫助到您!如果存在不足之處,還請海涵,任何建議都可以評論告知讀者,共勉~
2020年8月18新開的“娜璋AI安全之家”,主要圍繞Python大資料分析、網路空間安全、人工智能、Web滲透及攻防技術進行講解,同時分享CCF、SCI、南核北核論文的演算法實作,娜璋之家會更加系統,并重構作者的所有文章,從零講解Python和安全,寫了近十年文章,真心想把自己所學所感所做分享出來,還請各位多多指教,真誠邀請您的關注!謝謝,
(By:Eastmount 2021-01-15 l凌晨夜于武漢 http://blog.csdn.net/eastmount/ )
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/249424.html
標籤:其他
下一篇:Java 單例模式 探究