想象一下，有一個(gè)團(tuán)伙，一直在監(jiān)視你，你在明他在暗，他長(zhǎng)期潛伏，收集關(guān)鍵情報(bào)，只為找準(zhǔn)機(jī)會(huì)，對(duì)你發(fā)起“襲擊”……害怕嗎?在網(wǎng)絡(luò)世界里，這種事情在默默上演，受害者可能是個(gè)人、可能是組織、可能是企業(yè)，而后果可能是“致命”的……怎么辦?你只能一籌莫展?當(dāng)然不是!

10月23日，在第五屆看雪安全開發(fā)者峰會(huì)(2021 SDC)中，深信服藍(lán)軍高級(jí)威脅攻防研究員閆忠進(jìn)行了主題為《多維度視角下APT挖掘?qū)嵺`》的分享，以追蹤海蓮花APT組織攻擊活動(dòng)的實(shí)戰(zhàn)經(jīng)驗(yàn)為例，詳細(xì)分析了反向追蹤APT組織的實(shí)戰(zhàn)思路。

2021 SDC現(xiàn)場(chǎng)：深信服藍(lán)軍高級(jí)威脅攻防研究員閆忠

　　惡意文件的挖掘是反向追蹤APT攻擊者的關(guān)鍵

閆忠在分享時(shí)提到，APT 整個(gè)攻擊鏈中，存留時(shí)間最長(zhǎng)的數(shù)字類型證據(jù)是惡意文件，惡意文件在整個(gè)網(wǎng)絡(luò)安全領(lǐng)域里存留時(shí)間最長(zhǎng)，且因外因變化而改變的概率小，不易被篡改。因此，在反向追蹤APT攻擊者的過程中，惡意文件的挖掘是關(guān)鍵。

在惡意文件的挖掘中，可以充分利用 PE 文件元數(shù)據(jù)來追蹤APT攻擊者的更多樣本，然后再對(duì)APT攻擊者的樣本進(jìn)行研究擴(kuò)展，從而遞歸找到APT攻擊者更多的惡意文件與 IOC 情報(bào)。閆忠提到，可以從文件名、imphash 值、Rich header 哈希值、數(shù)字證書、模糊哈希(SSDEEP、TLSH、VHASH)等多個(gè)維度，挖掘到更多所屬攻擊者的惡意文件。

　　實(shí)戰(zhàn)!一步步反向追蹤并成功阻斷海蓮花APT攻擊

據(jù)深信服發(fā)布的《2020年網(wǎng)絡(luò)安全態(tài)勢(shì)洞察報(bào)告》，2020年，海蓮花主要對(duì)東南亞地區(qū)相關(guān)國(guó)家以及本國(guó)海內(nèi)外異見人士進(jìn)行攻擊與信息監(jiān)聽，十分活躍，因此其也成為深信服藍(lán)軍高級(jí)威脅攻防研究團(tuán)隊(duì)監(jiān)控的主要目標(biāo)之一。

通過對(duì)海蓮花在文件側(cè)與網(wǎng)絡(luò)側(cè)進(jìn)行多維度挖掘?qū)嵺`，深信服藍(lán)軍高級(jí)威脅攻防研究團(tuán)隊(duì)挖掘到了海蓮花大量文件側(cè)與網(wǎng)絡(luò)側(cè)的 IOC 情報(bào)，從而發(fā)現(xiàn)并阻斷了好幾起海蓮花組織的攻擊事件……

文件側(cè)：深信服藍(lán)軍高級(jí)威脅攻防研究團(tuán)隊(duì)充分利用 PE 文件元數(shù)據(jù)以及樣本獨(dú)特的特征來追蹤海蓮花的更多樣本，并在更高維度采用了代碼同源性分析來挖掘更多樣本。

網(wǎng)絡(luò)側(cè)：因?yàn)閺亩ㄖ苹墓魳颖局?，無法挖掘到海蓮花組織的更多情報(bào)，深信服藍(lán)軍高級(jí)威脅攻防研究團(tuán)隊(duì)為了突破這個(gè)限制，將以網(wǎng)絡(luò)資產(chǎn)為核心的挖掘作為新的拓展方向。

捕獲海蓮花網(wǎng)絡(luò)資產(chǎn)方式1：異常數(shù)據(jù)分析

通過深信服藍(lán)軍高級(jí)威脅攻防研究團(tuán)隊(duì)的持續(xù)觀察，對(duì)大量控制命令服務(wù)器網(wǎng)絡(luò)交互數(shù)據(jù) Server 字段的查看，“Apache/2.4.34 (Red Hat) OpenSSL/1.0.2k-fips”引起了研究人員的注意，因?yàn)檫@組數(shù)據(jù)的標(biāo)題為“Welcome to nginx!”，依據(jù)這個(gè)異常數(shù)據(jù)，深信服藍(lán)軍高級(jí)威脅攻防研究團(tuán)隊(duì)挖掘到一批網(wǎng)絡(luò)資產(chǎn)，確定了其中屬于海蓮花組織的網(wǎng)絡(luò)資產(chǎn)。

捕獲海蓮花網(wǎng)絡(luò)資產(chǎn)方式2：多個(gè)特征結(jié)合關(guān)聯(lián)

除了上述提到的方法，依據(jù) SSL 證書的強(qiáng)關(guān)聯(lián)特性，深信服藍(lán)軍高級(jí)威脅攻防研究團(tuán)隊(duì)發(fā)現(xiàn)海蓮花組織的 C&C 服務(wù)器往往采用自簽名證書，通過“篩查自簽名證書的網(wǎng)絡(luò)資產(chǎn)，限定選擇返回的數(shù)據(jù)長(zhǎng)度 501 字節(jié)，且服務(wù)端組件為‘nginx 1.8.0’”的方式，深信服藍(lán)軍高級(jí)威脅攻防研究團(tuán)隊(duì)又發(fā)現(xiàn)了其中屬于海蓮花組織的網(wǎng)絡(luò)資產(chǎn)。

　　捕獲海蓮花網(wǎng)絡(luò)資產(chǎn)方式3：利用掌握的運(yùn)營(yíng)特征指紋擴(kuò)大戰(zhàn)果

此外，深信服藍(lán)軍高級(jí)威脅攻防研究團(tuán)隊(duì)結(jié)合從文件側(cè)挖掘到的惡意攻擊文件，提取到屬于海蓮花的網(wǎng)絡(luò)資產(chǎn)，發(fā)現(xiàn)國(guó)內(nèi)失陷主機(jī)，這些IP資產(chǎn)成為了海蓮花攻擊的跳板，深信服藍(lán)軍高級(jí)威脅攻防研究團(tuán)隊(duì)利用掌握的運(yùn)營(yíng)特征指紋，再次關(guān)聯(lián)到其他國(guó)內(nèi)失陷主機(jī)，從而擴(kuò)大了戰(zhàn)果。依據(jù)這些特征，針對(duì)海蓮花組織，深信服藍(lán)軍高級(jí)威脅攻防研究團(tuán)隊(duì)在幾個(gè)月的時(shí)間里，最終挖掘到了海蓮花大量文件側(cè)與網(wǎng)絡(luò)側(cè)的 IOC 情報(bào)。

一直以來，以情報(bào)搜集、破壞、或經(jīng)濟(jì)利益為目的APT攻擊，是深信服藍(lán)軍高級(jí)威脅攻防研究團(tuán)隊(duì)重點(diǎn)關(guān)注的領(lǐng)域，因?yàn)锳PT組織的每一次動(dòng)作，都將可能給個(gè)人、企業(yè)、社會(huì)機(jī)構(gòu)甚至是國(guó)家安全帶來嚴(yán)重影響。通過攻擊和防御雙方的視角，從多維度分析和解決網(wǎng)絡(luò)安全問題，未來，深信服將不斷提高專業(yè)技術(shù)造詣，深度洞察網(wǎng)絡(luò)安全威脅，持續(xù)為網(wǎng)絡(luò)安全賦能。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）