楔子:“凡有接触,必留痕迹”(Every contact leaves a trace,Edmond Locard)
回顾往年的攻击事件,有报道称韩国平昌冬奥会APT攻击事件导致了奥运会网站的宕机和网络中断。
根据开源情报,该事件攻击者的归属问题,至今未有定论。在事件中攻击者使用的植入载荷Olympic Destroyer,其相关代码与Lazarus曾使用的载荷有部分相似,而美国部份媒体则声称该事件为俄罗斯情报机构实施并嫁祸给朝鲜。
该事件再一次展现了APT攻击者利用和模仿其他组织的攻击技术和手法特点,制造false flag以迷惑安全分析人员并误导其做出错误的攻击来源归属的判断。
网络攻击者,其手法随着不同的组织、个人的能力以及外部环境而多变,是否有一种通用的方法来进行综合分析,作为归因分析的指导呢?
狡猾的狐狸总是懂得隐藏自己,甚至嫁祸于他人。然而,“凡有接触,必留痕迹”,判断一起攻击所属的国家、地区、组织、黑客团体,通常需要所结合已知知识(威胁情报)和具体的攻击细节进行对比分析,最后做出结论。以下介绍几个常用的分析切入点:
IP类常见资源
如果攻击手段相对简单,通过对网络流量的分析,截取攻击者的IP地址,利用威胁情报进行查询,即可获得攻击者信息。通常,攻击者所采用的C2 IP是具有一定生命周期的。
当然,也会有出现使用跳板IP进行攻击的现象,甚至是多跳,利用执法黑洞逃避追踪。而“肉鸡”还有可能出现被多个攻击者入侵并互相争夺的情况。上述场景,都会造成追踪和分析难度增大,需要具体情况具体分析。
Tips:利用威胁情报之IOC关联
难度:低
域名欺骗
利用动态生成的域名,并极力隐藏注册者信息,缩短域名生命周期,一旦完成指令下达后即弃用。
域名是无法直接用于网络连接的,因此在使用域名连接时,必然留下域名解析到IP地址的信息。而IP地址通常能够进行身份对应,即使时利用移动通信技术,绝大多数的动态IP地址,也可以通过历史数据进行分析。
Tips:利用安全情报之DNS历史数据
难度:中
语言欺骗
由于不同国家的语言有差别,甚至是同一语言的不同地区对某些事物的描述也有差别。因此,检查攻击过程中的工具、通讯以及可能出现的采用语言进行沟通的一切细节,是可以匹配到一个团队的语言习惯的。例如:同样是地铁,英、美的表述是不同的。(彩蛋:英、美对Operational Threat Intelligence和Tactical Threat Intelligence的层级定义是不同的)
Tips:文化分析
难度:高
时间欺骗
时间欺骗的方法通常被用于嫁祸,仿冒被嫁祸对象的工作时间,仅在预设的时间进行攻击。攻击者会仿冒被嫁祸对象时区、工作时间设定、节假日等习惯。
然而,细心的猎人一定能发现其中的一些攻击波动。利用不同国家的文化差异,进行分析。
Tips:文化分析
难度:中+
设备指纹
所有的设备都有自己的指纹,并且被攻击端也可以采用一定的方法获得部分这些指纹信息。为了避免追查,攻击者使用虚拟机、采用网络常见的license(例如:广泛流传的某破解版Windows XP)等手段尽力隐藏自己。
Tips:设备指纹记录
难度:中+
工具欺骗
现象1:某些机构和个人具备制造攻击工具的能力,然而无论是机构还是个人,其知识范围总是具有一定的特征可循,因此利用现代统计算法,能够为判别工具出处或分类提供可能性。例如:朴素贝叶斯、随机森林、KNN等算法在攻击工具分类上经过调校后都可以高比例的正确分类。
Tips:统计学、流程识别等
难度:高
现象2:盗用工具
既然我们已经来到了复杂的分析领域,对于盗用工具,需要综合其他信息进行特征识别,包括攻击模式分析、可观测数据分析,以及获取尽可能多的历史事件,进行特征分析。而针对这些多维数据,进行分类、降维都将是高难度挑战。
Tips:大数据、ML、AI、逆向……
难度:高+++
结语
“只有在人为失误,没有找到、研究、理解它时,它才会失去价值”( Only human failure to find it, study and understand it can diminish its value.,Paul L. Kirk)[1]
[1] “Wherever he steps, whatever he touches, whatever he leaves, even unconsciously, will serve as a silent witness against him. Not only his fingerprints or his footprints, but his hair, the fibres from his clothing, the glass he breaks, the tool mark he leaves, the paint he scratches, the blood or semen he deposits or collects. All of these and more bear mute witness against him. This is evidence that does not forget. It is not confused by the excitement of the moment. It is not absent because human witnesses are. It is factual evidence. Physical evidence cannot be wrong, it cannot perjure itself, and it cannot be wholly absent. Only its interpretation can err. Only human failure to find it, study and understand it can diminish its value.” (Paul L. Kirk)