01 背景

攻防的視角里，進(jìn)攻方往往會(huì)占據(jù)比較多的主動(dòng)性，而防守方則略顯被動(dòng)。因?yàn)榉朗胤胶茈y預(yù)知下次一攻擊會(huì)在什么時(shí)候發(fā)生，而攻擊者滲透目標(biāo)的方式卻有千百種。一般情況下攻擊鏈包括：偵察、武器化、交付、利用、安裝、命令和控制、竊取目標(biāo)數(shù)據(jù)等。如果防守方能在發(fā)現(xiàn)有入侵者后能夠快速由守轉(zhuǎn)攻，進(jìn)行精準(zhǔn)地溯源反制，利用收集攻擊路徑和攻擊者身份信息勾勒出相對(duì)完整的攻擊者畫(huà)像，將會(huì)極大提升應(yīng)急響應(yīng)工作的效率和準(zhǔn)確性，達(dá)到事半功倍的效果。

在溯源工作中，安全人員依據(jù)攻擊事件獲取的信息越多，攻擊者的攻擊畫(huà)像就會(huì)越全面。對(duì)攻擊者某個(gè)階段的攻擊特點(diǎn)進(jìn)行分析后，再結(jié)合已掌握的威脅情報(bào)數(shù)據(jù)將攻擊特點(diǎn)和數(shù)據(jù)聚類(lèi)，能夠有效掌握攻擊者的攻擊手法和IP&域名資產(chǎn)等。

因此如何在發(fā)現(xiàn)有攻擊者之后快速對(duì)其進(jìn)行精準(zhǔn)地溯源反制，收集攻擊路徑和攻擊者身份信息，描繪出完整的攻擊者畫(huà)像是溯源工作的重難點(diǎn)。本文將對(duì)溯源的目標(biāo)，方法來(lái)分享溯源工作中的技巧和經(jīng)驗(yàn)。

02 溯源目標(biāo)

在溯源工作中首先要明確我們溯源的目標(biāo)是什么，以及如何通過(guò)現(xiàn)有信息挖掘出更多有價(jià)值的線(xiàn)索，便于后期更清晰的描繪攻擊者畫(huà)像，通常情況，溯源的主要目標(biāo)如下：

攻擊者的攻擊手法（特定木馬、武器投遞方法）；

攻擊者背后的 IP &域名資產(chǎn)（木馬 C2、木馬存放站點(diǎn)、資產(chǎn)特點(diǎn)）；

攻擊者的真實(shí)身份；

攻擊者武器的檢測(cè)或發(fā)現(xiàn)方法，將捕獲的數(shù)據(jù)形成新的線(xiàn)索。

03 溯源方法

3.1 漏洞利用可溯源的思路

在攻擊者通過(guò)已有漏洞攻擊成功的安全事件中，通過(guò)回溯攻擊可以獲得一些有效信息，主要可以分為以下幾類(lèi)：

攻擊分類(lèi)：根據(jù)攻擊者的漏洞利用數(shù)據(jù)包特點(diǎn)（字符串格式、特殊字符串）。

攻擊者信息：攻擊者使用其公司（個(gè)人）特有的漏洞利用工具時(shí)，可能會(huì)在請(qǐng)求包中存在公司（個(gè)人）信息。

3.2 釣魚(yú)郵件可溯源的思路

在攻擊者通過(guò)郵件釣魚(yú)攻擊成功的安全事件中，通過(guò)分析釣魚(yú)郵件可以獲得一些有效信息，主要可以分為以下幾類(lèi)：

發(fā)件 IP、發(fā)件賬號(hào)、郵件內(nèi)容（格式特點(diǎn)）可用于將攻擊者投遞的郵件分類(lèi)；

發(fā)件賬號(hào)中可能存在個(gè)人信息，如：“賬號(hào)@qq.com”、“昵稱(chēng)@gmail.com” 等此類(lèi)字符串，檢索賬號(hào)或昵稱(chēng)ID可用于挖掘身份信息；

郵件內(nèi)容大致可分以下三類(lèi)：投遞物（后門(mén)木馬、其他攻擊組件）；釣魚(yú)網(wǎng)站，包含域名、IP 等信息；其他，需要研究郵件中的字符串，郵件可能存在攻擊者的其他賬號(hào)；

發(fā)件 IP、發(fā)件服務(wù)器（此類(lèi)屬攻擊者資產(chǎn)）。

3.3 后門(mén)木馬可溯源的思路

后門(mén)木馬及攻擊組件也是重要的溯源線(xiàn)索，在已有信息有限的情況下，分析遺留的攻擊文件往往可以取得不錯(cuò)的效果，主要思路如下：

代碼邏輯：由于人天生的惰性，紅隊(duì)開(kāi)發(fā)者可能會(huì)復(fù)用以前的一些代碼。如果代碼特點(diǎn)比較明顯，可依此進(jìn)行分類(lèi)拓線(xiàn)。

字符串特點(diǎn)：字符串特點(diǎn)用于將紅隊(duì)投遞的樣本分類(lèi)及拓線(xiàn)出更多的樣本，將檢索到的樣本再進(jìn)行分析并分析歷史樣本（如測(cè)試階段的樣本）查找更多暴露信息。

元數(shù)據(jù)：（投遞的誘餌不同，得到的元數(shù)據(jù)不同。誘餌類(lèi)型包括：LNK、EXE、DOCX等）。EXE 文件：存在 PDB 信息，部分開(kāi)發(fā)人員會(huì)將項(xiàng)目存放在桌面，這會(huì)導(dǎo)致編譯信息帶入開(kāi)發(fā)人員的終端名稱(chēng)（極大可能為個(gè)人昵稱(chēng)）；LNK 文件：由于 LNK 文件在新建的時(shí)候會(huì)帶入計(jì)算機(jī)名稱(chēng)，這可以用于樣本的拓線(xiàn)和分類(lèi)，極少情況下可找到個(gè)人昵稱(chēng)；DOCX 文件：可能存在“最后編輯者名稱(chēng)”。

回連 C2：C2屬攻擊者資產(chǎn)。

3.4 攻擊者資產(chǎn)可溯源的思路

域名自身特點(diǎn)（昵稱(chēng)字符串）；

搭建網(wǎng)站（通過(guò)圖中四種方法探測(cè)資產(chǎn)的現(xiàn)有數(shù)據(jù)和歷史數(shù)據(jù)）。網(wǎng)站可能存在紅隊(duì)的其他攻擊組件；網(wǎng)站存在個(gè)人昵稱(chēng)、簡(jiǎn)介等；網(wǎng)站備案信息；

Whois 信息，可能包含：注冊(cè)者郵箱、電話(huà)號(hào)碼等；

IP 信息需要考慮如下兩點(diǎn)：是否定位到某個(gè)安全公司的地理位置；是否標(biāo)記為某個(gè)安全公司的網(wǎng)關(guān)。

04 溯源技巧

攻擊IP，攻擊類(lèi)型，惡意文件，攻擊詳情等信息都是溯源的切入點(diǎn)，通過(guò)攻擊類(lèi)型來(lái)分析攻擊詳情的請(qǐng)求包可以查找有沒(méi)有攻擊特征遺留，對(duì)IP地址進(jìn)行威脅情報(bào)查詢(xún)可以判斷對(duì)方所用的IP是否為代理IP，以便于進(jìn)步一追溯攻擊者信息。

攻擊流量中的攻擊IP位置：

內(nèi)網(wǎng)穿透工具配置文件中的攻擊IP位置：

獲取到的IP線(xiàn)索可以在各種威脅情報(bào)共享站點(diǎn)進(jìn)行查詢(xún)，但獲取到的信息需要進(jìn)行二次驗(yàn)證，如查看域名解析，進(jìn)行whois查詢(xún)等。在實(shí)戰(zhàn)過(guò)程中，我們大部分反查IP的域名都獲取不到有效信息，此時(shí)需要耐心細(xì)心，通過(guò)查詢(xún)歷史注冊(cè)域名等方式不斷反查來(lái)尋找更多有效線(xiàn)索。

在獲取到目標(biāo)手機(jī)號(hào)之后，接下來(lái)可以通過(guò)該手機(jī)號(hào)近一步確認(rèn)是否為網(wǎng)安從業(yè)者，搜索關(guān)聯(lián)QQ或者微信進(jìn)行輔助驗(yàn)證，獲取到目標(biāo)姓名之后可以利用支付寶付款輔助驗(yàn)證，或者通過(guò)該功能?chē)L試反查目標(biāo)姓名。

05 總結(jié)

溯源作為安全事件發(fā)生后應(yīng)急響應(yīng)工作的重要組成部分，通過(guò)對(duì)受害資產(chǎn)和流量包進(jìn)行分析一定程度上可以還原攻擊者的攻擊路徑與攻擊手法，有助于修復(fù)漏洞與風(fēng)險(xiǎn)避免二次事件的發(fā)生，且其攻擊思路可以轉(zhuǎn)化為防御優(yōu)勢(shì)。如果安全運(yùn)營(yíng)人員能夠從攻擊事件中不斷積累和強(qiáng)化防御經(jīng)驗(yàn)，能夠做到積極主動(dòng)且有預(yù)見(jiàn)性，那么應(yīng)急響應(yīng)工作就能有更大的發(fā)揮空間來(lái)幫助我們構(gòu)造更堅(jiān)固的安全防線(xiàn)。