1 概述

  整个过程主要包含了三个阶段。

    1、战术情报：主要通过kill chain的还原，描述了攻击的整个过程。

    2、战略情报：结合样本与威胁情报库，对攻击者、攻击工具、攻击手法等进行深入分析与画像。

    3、通过前面的分析，形成机读的IOC，进行信息共享，达到预警、预防、反制的目的。

  本文主要描述第二、第三阶段。即战略情报、机读的IOC。考虑到信息的敏感性，部分内容做了打码处理，屏蔽了一些信息。

  战略情报主要包括攻击者画像、受害者画像（整体受害者的损失和影响范围等）

2 攻击者之:工具画像

  对所捕获的webshell流量样本进行分析，可获得如下信息。包括文件名、MD5 hash、webshell密码、C2、action等。

  同时对样本进行了综合分析，得到样本的网络流量特征，以及具体的payload。可以作为样本的网络流量特征加到相关安全产品中进行检测。

3 攻击者之:身份画像

  根据工具的画像分析，对C2服务器进行进一步的分析可以得到相关的信息。

  根据所涉及的域名进行深入的关联反查，逐步获取攻击者的虚拟身份。

4 攻击者之:手法画像

  攻击者的主要手段总结如下图。

  具体截获的一些恶意程序，以及通讯恶意域名信息。

5 受害目标

  通过C2服务器的日志信息（HFS），可以发现恶意工具的下载者ip以及工具的上传着IP，这些下载的IP基本可以确定就是受害者。

  感谢大家关注“守望者实验室”！