<input id="0qass"><u id="0qass"></u></input>
  • <input id="0qass"><u id="0qass"></u></input>
  • <menu id="0qass"><u id="0qass"></u></menu>

    [網絡安全提高班] 一〇一.網絡攻防溯源普及和醫療數據安全總結

    當您閱讀到該篇文章時,作者已經將“網絡安全自學篇”設置成了收費專欄,首先說聲抱歉。感謝這一年來大家的閱讀和陪伴,這100篇安全文章記錄了自己從菜雞到菜鳥的成長史,該部分知識也花了很多精力去學習和總結。由于在外讀書且需要養娃,所以按最低價9.9元設置成了收費專欄,賺點奶粉錢,感謝您的抬愛。當然,如果您還是一名在讀學生或經濟拮據,可以私聊我給你每篇文章開白名單,也可以去github下載對應的免費文章,更希望您能進步,一起加油喔!

    接下來我會接著之前的內容繼續分享,“網絡安全提高班”新的100篇文章即將開啟,包括Web滲透、內網滲透、靶場搭建、CVE復現、攻擊溯源、實戰及CTF總結,它將更加聚焦,更加深入,也是作者的慢慢成長史。換專業確實挺難的,Web滲透也是塊硬骨頭,但我也試試,看看自己未來四年究竟能將它學到什么程度,漫漫長征路,偏向虎山行。享受過程,一起加油~

    本文是“網絡安全提高篇”第一篇文章,將帶領大家了解網絡安全攻防知識點,并以醫療數據安全為基礎進行總結,具體內容包括:

    • 一.網絡空間安全與溯源
    • 二.網絡安全攻防技巧
    • 三.APT攻擊經典案例
    • 四.醫療數據安全防護

    作者作為網絡安全的小白,分享一些自學基礎教程給大家,主要是關于安全工具和實踐操作的在線筆記,希望您們喜歡。同時,更希望您能與我一起操作和進步,后續將深入學習網絡安全和系統安全知識并分享相關實驗??傊?#xff0c;希望該系列文章對博友有所幫助,寫文不易,大神們不喜勿噴,謝謝!如果文章對您有幫助,將是我創作的最大動力,點贊、評論、私聊均可,一起加油喔~

    聲明:本人堅決反對利用教學方法進行犯罪的行為,一切犯罪行為必將受到嚴懲,綠色網絡需要我們共同維護,更推薦大家了解它們背后的原理,更好地進行防護。

    提高篇:
    [網絡安全提高班] 一〇一.網絡空間安全普及和醫療數據安全防護總結

    自學篇(建議直接跳轉到正文):
    [網絡安全自學篇] 一.入門筆記之看雪Web安全學習及異或解密示例
    [網絡安全自學篇] 二.Chrome瀏覽器保留密碼功能滲透解析及登錄加密入門筆記
    [網絡安全自學篇] 三.Burp Suite工具安裝配置、Proxy基礎用法及暴庫示例
    [網絡安全自學篇] 四.實驗吧CTF實戰之WEB滲透和隱寫術解密
    [網絡安全自學篇] 五.IDA Pro反匯編工具初識及逆向工程解密實戰
    [網絡安全自學篇] 六.OllyDbg動態分析工具基礎用法及Crakeme逆向
    [網絡安全自學篇] 七.快手視頻下載之Chrome瀏覽器Network分析及Python爬蟲探討
    [網絡安全自學篇] 八.Web漏洞及端口掃描之Nmap、ThreatScan和DirBuster工具
    [網絡安全自學篇] 九.社會工程學之基礎概念、IP獲取、IP物理定位、文件屬性
    [網絡安全自學篇] 十.論文之基于機器學習算法的主機惡意代碼
    [網絡安全自學篇] 十一.虛擬機VMware+Kali安裝入門及Sqlmap基本用法
    [網絡安全自學篇] 十二.Wireshark安裝入門及抓取網站用戶名密碼(一)
    [網絡安全自學篇] 十三.Wireshark抓包原理(ARP劫持、MAC泛洪)及數據流追蹤和圖像抓取(二)
    [網絡安全自學篇] 十四.Python攻防之基礎常識、正則表達式、Web編程和套接字通信(一)
    [網絡安全自學篇] 十五.Python攻防之多線程、C段掃描和數據庫編程(二)
    [網絡安全自學篇] 十六.Python攻防之弱口令、自定義字典生成及網站暴庫防護
    [網絡安全自學篇] 十七.Python攻防之構建Web目錄掃描器及ip代理池(四)
    [網絡安全自學篇] 十八.XSS跨站腳本攻擊原理及代碼攻防演示(一)
    [網絡安全自學篇] 十九.Powershell基礎入門及常見用法(一)
    [網絡安全自學篇] 二十.Powershell基礎入門及常見用法(二)
    [網絡安全自學篇] 二十一.GeekPwn極客大賽之安全攻防技術總結及ShowTime
    [網絡安全自學篇] 二十二.Web滲透之網站信息、域名信息、端口信息、敏感信息及指紋信息收集
    [網絡安全自學篇] 二十三.基于機器學習的惡意請求識別及安全領域中的機器學習
    [網絡安全自學篇] 二十四.基于機器學習的惡意代碼識別及人工智能中的惡意代碼檢測
    [網絡安全自學篇] 二十五.Web安全學習路線及木馬、病毒和防御初探
    [網絡安全自學篇] 二十六.Shodan搜索引擎詳解及Python命令行調用
    [網絡安全自學篇] 二十七.Sqlmap基礎用法、CTF實戰及請求參數設置(一)
    [網絡安全自學篇] 二十八.文件上傳漏洞和Caidao入門及防御原理(一)
    [網絡安全自學篇] 二十九.文件上傳漏洞和IIS6.0解析漏洞及防御原理(二)
    [網絡安全自學篇] 三十.文件上傳漏洞、編輯器漏洞和IIS高版本漏洞及防御(三)
    [網絡安全自學篇] 三十一.文件上傳漏洞之Upload-labs靶場及CTF題目01-10(四)
    [網絡安全自學篇] 三十二.文件上傳漏洞之Upload-labs靶場及CTF題目11-20(五)
    [網絡安全自學篇] 三十三.文件上傳漏洞之繞狗一句話原理和繞過安全狗(六)
    [網絡安全自學篇] 三十四.Windows系統漏洞之5次Shift漏洞啟動計算機
    [網絡安全自學篇] 三十五.惡意代碼攻擊溯源及惡意樣本分析
    [網絡安全自學篇] 三十六.WinRAR漏洞復現(CVE-2018-20250)及惡意軟件自啟動劫持
    [網絡安全自學篇] 三十七.Web滲透提高班之hack the box在線靶場注冊及入門知識(一)
    [網絡安全自學篇] 三十八.hack the box滲透之BurpSuite和Hydra密碼爆破及Python加密Post請求(二)
    [網絡安全自學篇] 三十九.hack the box滲透之DirBuster掃描路徑及Sqlmap高級注入用法(三)
    [網絡安全自學篇] 四十.phpMyAdmin 4.8.1后臺文件包含漏洞復現及詳解(CVE-2018-12613)
    [網絡安全自學篇] 四十一.中間人攻擊和ARP欺騙原理詳解及漏洞還原
    [網絡安全自學篇] 四十二.DNS欺騙和釣魚網站原理詳解及漏洞還原
    [網絡安全自學篇] 四十三.木馬原理詳解、遠程服務器IPC$漏洞及木馬植入實驗
    [網絡安全自學篇] 四十四.Windows遠程桌面服務漏洞(CVE-2019-0708)復現及詳解
    [網絡安全自學篇] 四十五.病毒詳解及批處理病毒制作(自啟動、修改密碼、定時關機、藍屏、進程關閉)
    [網絡安全自學篇] 四十六.微軟證書漏洞CVE-2020-0601 (上)Windows驗證機制及可執行文件簽名復現
    [網絡安全自學篇] 四十七.微軟證書漏洞CVE-2020-0601 (下)Windows證書簽名及HTTPS網站劫持
    [網絡安全自學篇] 四十八.Cracer第八期——(1)安全術語、Web滲透流程、Windows基礎、注冊表及黑客常用DOS命令
    [網絡安全自學篇] 四十九.Procmon軟件基本用法及文件進程、注冊表查看
    [網絡安全自學篇] 五十.虛擬機基礎之安裝XP系統、文件共享、網絡快照設置及Wireshark抓取BBS密碼
    [網絡安全自學篇] 五十一.惡意樣本分析及HGZ木馬控制目標服務器
    [網絡安全自學篇] 五十二.Windows漏洞利用之棧溢出原理和棧保護GS機制
    [網絡安全自學篇] 五十三.Windows漏洞利用之Metasploit實現棧溢出攻擊及反彈shell
    [網絡安全自學篇] 五十四.Windows漏洞利用之基于SEH異常處理機制的棧溢出攻擊及shell提取
    [網絡安全自學篇] 五十五.Windows漏洞利用之構建ROP鏈繞過DEP并獲取Shell
    [網絡安全自學篇] 五十六.i春秋老師分享小白滲透之路及Web滲透技術總結
    [網絡安全自學篇] 五十七.PE文件逆向之什么是數字簽名及Signtool簽名工具詳解(一)
    [網絡安全自學篇] 五十八.Windows漏洞利用之再看CVE-2019-0708及Metasploit反彈shell
    [網絡安全自學篇] 五十九.Windows漏洞利用之MS08-067遠程代碼執行漏洞復現及shell深度提權
    [網絡安全自學篇] 六十.Cracer第八期——(2)五萬字總結Linux基礎知識和常用滲透命令
    [網絡安全自學篇] 六十一.PE文件逆向之數字簽名詳細解析及Signcode、PEView、010Editor、Asn1View等工具用法(二)
    [網絡安全自學篇] 六十二.PE文件逆向之PE文件解析、PE編輯工具使用和PE結構修改(三)
    [網絡安全自學篇] 六十三.hack the box滲透之OpenAdmin題目及蟻劍管理員提權(四)
    [網絡安全自學篇] 六十四.Windows漏洞利用之SMBv3服務遠程代碼執行漏洞(CVE-2020-0796)復現及詳解
    [網絡安全自學篇] 六十五.Vulnhub靶機滲透之環境搭建及JIS-CTF入門和蟻劍提權示例(一)
    [網絡安全自學篇] 六十六.Vulnhub靶機滲透之DC-1提權和Drupal漏洞利用(二)
    [網絡安全自學篇] 六十七.WannaCry勒索病毒復現及分析(一)Python利用永恒之藍及Win7勒索加密
    [網絡安全自學篇] 六十八.WannaCry勒索病毒復現及分析(二)MS17-010利用及病毒解析
    [網絡安全自學篇] 六十九.宏病毒之入門基礎、防御措施、自發郵件及APT28樣本分析
    [網絡安全自學篇] 七十.WannaCry勒索病毒復現及分析(三)蠕蟲傳播機制分析及IDA和OD逆向
    [網絡安全自學篇] 七十一.深信服分享之外部威脅防護和勒索病毒對抗
    [網絡安全自學篇] 七十二.逆向分析之OllyDbg動態調試工具(一)基礎入門及TraceMe案例分析
    [網絡安全自學篇] 七十三.WannaCry勒索病毒復現及分析(四)蠕蟲傳播機制全網源碼詳細解讀
    [網絡安全自學篇] 七十四.APT攻擊檢測溯源與常見APT組織的攻擊案例
    [網絡安全自學篇] 七十五.Vulnhub靶機滲透之bulldog信息收集和nc反彈shell(三)
    [網絡安全自學篇] 七十六.逆向分析之OllyDbg動態調試工具(二)INT3斷點、反調試、硬件斷點與內存斷點
    [網絡安全自學篇] 七十七.惡意代碼與APT攻擊中的武器(強推Seak老師)
    [網絡安全自學篇] 七十八.XSS跨站腳本攻擊案例分享及總結(二)
    [網絡安全自學篇] 七十九.Windows PE病毒原理、分類及感染方式詳解
    [網絡安全自學篇] 八十.WHUCTF之WEB類解題思路WP(代碼審計、文件包含、過濾繞過、SQL注入)
    [網絡安全自學篇] 八十一.WHUCTF之WEB類解題思路WP(文件上傳漏洞、冰蝎蟻劍、反序列化phar)
    [網絡安全自學篇] 八十二.WHUCTF之隱寫和逆向類解題思路WP(文字解密、圖片解密、佛語解碼、冰蝎流量分析、逆向分析)
    [網絡安全自學篇] 八十三.WHUCTF之CSS注入、越權、csrf-token竊取及XSS總結
    [網絡安全自學篇] 八十四.《Windows黑客編程技術詳解》之VS環境配置、基礎知識及DLL延遲加載詳解
    [網絡安全自學篇] 八十五.《Windows黑客編程技術詳解》之注入技術詳解(全局鉤子、遠線程鉤子、突破Session 0注入、APC注入)
    [網絡安全自學篇] 八十六.威脅情報分析之Python抓取FreeBuf網站APT文章(上)
    [網絡安全自學篇] 八十七.惡意代碼檢測技術詳解及總結
    [網絡安全自學篇] 八十八.基于機器學習的惡意代碼檢測技術詳解
    [網絡安全自學篇] 八十九.PE文件解析之通過Python獲取時間戳判斷軟件來源地區
    [網絡安全自學篇] 九十.遠控木馬詳解及APT攻擊中的遠控
    [網絡安全自學篇] 九十一.阿里云搭建LNMP環境及實現PHP自定義網站IP訪問 (1)
    [網絡安全自學篇] 九十二.《Windows黑客編程技術詳解》之病毒啟動技術創建進程API、突破SESSION0隔離、內存加載詳解(3)
    [網絡安全自學篇] 九十三.《Windows黑客編程技術詳解》之木馬開機自啟動技術(注冊表、計劃任務、系統服務)
    [網絡安全自學篇] 九十四.《Windows黑客編程技術詳解》之提權技術(令牌權限提升和Bypass UAC)
    [網絡安全自學篇] 九十五.利用XAMPP任意命令執行漏洞提升權限(CVE-2020-11107)


    一.網絡空間安全與溯源

    1.網絡空間安全

    近年來,網絡安全事件和惡意代碼攻擊層出不窮,它們給國家、社會和個人帶來了嚴重的危害,如分布式拒絕服務攻擊(DDoS)、基于僵尸網絡(Botnet)的攻擊、勒索病毒WannaCry、高級可持續威脅(APT)攻擊、利用遠程控制木馬的信息竊取等。

    2017年以來,惡意代碼數量依然呈上升的趨勢,尤其是新型惡意代碼,其數量始終呈逐年遞增狀態,這對網絡空間安全造成了極大的威脅。在這些惡意代碼攻擊中, 攻擊者會向目標主機(受害主機),發送特定的攻擊數據包或執行惡意行為。如果能追蹤這些攻擊數據包的來源,定位攻擊者的真實位置,受害主機不但可以采用應對措施,如在合適位置過濾攻擊數據包,而且可以對攻擊者采取法律手段。因此在網絡取證和安全防御領域,網絡攻擊溯源一直是一個熱點問題。

    下圖展示了APT組織Lazarus(APT38)的重大攻擊時間線。如果某次攻擊發生時或發生前,我們能夠追蹤溯源到是某個組織發起的,那是不是就能有效避免一次安全攻擊呢?

    在這里插入圖片描述

    網絡攻擊追蹤溯源旨在利用各種手段追蹤網絡攻擊的發起者。相關技術提供了定位攻擊源和攻擊路徑,針對性反制或抑制網絡攻擊,以及網絡取證能力,其在網絡安全領域具有非常重要的價值。當前,網絡空間安全形勢日益復雜,入侵者的攻擊手段不斷提升,其躲避追蹤溯源的手段也日益先進,如匿名網絡、網絡跳板、AN網、網絡隱蔽信道、隱寫術等方法在網絡攻擊事件中大量使用,這些都給網絡攻擊行為的追蹤溯源工作帶來了巨大的技術挑戰。攻擊鏈通常分為七個階段:

    • 偵查目標(Reconnaissance):偵查目標,充分利用社會工程學了解目標網絡。
    • 制作工具(Weaponization):主要是指制作定向攻擊工具,例如帶有惡意代碼的pdf文件或office文件。
    • 傳送工具(Delivery):輸送攻擊工具到目標系統上,常用的手法包括郵件的附件、網站(掛馬)、U盤等。
    • 觸發工具(Exploitation):利用目標系統的應用或操作系統漏洞,在目標系統觸發攻擊工具運行。
    • 安裝木馬(Installation):遠程控制程序(特馬)的安裝,使得攻擊者可以長期潛伏在目標系統中。
    • 建立連接(Command and Control):與互聯網控制器服務器建立一個C2信道。
    • 執行攻擊(Actions on Objectives):執行所需要得攻擊行為,例如偷取信息、篡改信息等。

    在這里插入圖片描述

    傳統的惡意代碼攻擊溯源方法是通過單個組織的技術力量,獲取局部的攻擊相關信息,無法構建完整的攻擊鏈條,一旦攻擊鏈中斷,往往會使得前期大量的溯源工作變得毫無價值。同時,面對可持續、高威脅、高復雜的大規模網絡攻擊,沒有深入分析攻擊組織之間的關系,缺乏利用深層次惡意代碼的語義知識,后續學術界和企業界也提出了一些解決措施。下圖展示了一個經典的溯源案例。

    在這里插入圖片描述

    為了進一步震懾黑客組織與網絡犯罪活動,目前學術界和產業界均展開了惡意代碼溯源分析與研究工作。其基本思路是:

    • 同源分析:利用惡意樣本間的同源關系發現溯源痕跡,并根據它們出現的前后關系判定變體來源。惡意代碼同源性分析,其目的是判斷不同的惡意代碼是否源自同一套惡意代碼或是否由同一個作者、團隊編寫,其是否具有內在關聯性、相似性。從溯源目標上來看,可分為惡意代碼家族溯源及作者溯源。
    • 家族溯源:家族變體是已有惡意代碼在不斷的對抗或功能進化中生成的新型惡意代碼,針對變體的家族溯源是通過提取其特征數據及代碼片段,分析它們與已知樣本的同源關系,進而推測可疑惡意樣本的家族。例如,Kinable等人提取惡意代碼的系統調用圖,采用圖匹配的方式比較惡意代碼的相似性,識別出同源樣本,進行家族分類。
    • 作者溯源: 惡意代碼作者溯源即通過分析和提取惡意代碼的相關特征,定位出惡意代碼作者特征,揭示出樣本間的同源關系,進而溯源到已知的作者或組織。例如,Gostev等通過分析Stuxnet與Duqu所用的驅動文件在編譯平臺、時間、代碼等方面的同源關系,實現了對它們作者的溯源。2015年,針對中國的某APT攻擊采用了至少4種不同的程序形態、不同編碼風格和不同攻擊原理的木馬程序,潛伏3年之久,最終360天眼利用多維度的“大數據”分析技術進行同源性分析,進而溯源到“海蓮花”黑客組織。

    網絡攻擊追蹤溯源按照追蹤的深度和精準度可分為:

    • 追蹤溯源攻擊主機
    • 追蹤溯源攻擊控制主機
    • 追蹤溯源攻擊者
    • 追蹤溯源攻擊組織機構

    常用方法包括域名/IP地址分析、入侵日志監測、全流量分析、同源分析、攻擊模型分析等。為了進一步防御網絡犯罪活動和威懾黑客組織,目前學術界和產業界均展開了惡意代碼溯源分析與研究工作。網絡追蹤溯源常用工具包括:

    • 磁盤和數據捕獲工具
    • 文件查看器
    • 文件分析工具
    • 注冊表分析工具
    • 互聯網分析工具
    • 電子郵件分析工具
    • 移動設備分析工具
    • 網絡流量取證工具
    • 數據庫取證工具
    • 逆向分析工具

    在這里插入圖片描述


    2.學術界溯源

    學術界旨在采用靜態或動態的方式獲取惡意代碼的特征信息,通過對惡意代碼的特征學習,建立不同類別惡意代碼的特征模型,通過計算待檢測惡意代碼針對不同特征類別的相似性度量,指導惡意代碼的同源性判定。常見的惡意代碼溯源主要包括4個階段:特征提取、特征預處理、相似性計算、同源判定,各階段間的流程關系如下圖所示。

    • 推薦宋老師:《惡意代碼演化與溯源技術研究》

    在這里插入圖片描述
    上圖是將溯源對象Windows平臺的PE惡意文件或Android平臺的APK惡意文件輸入溯源系統,經過特征提取、特征預處理、相似性計算、同源分析獲取溯源結果,最終判定攻擊家族或作者。

    (1) 特征提取
    特征提取是溯源分析過程的基礎,具有同源性的惡意代碼是通過它們的共有特征與其他代碼區分開來的。所提取的特征既要反映出惡意代碼的本質和具有同源性惡意代碼之間的相似性,又要滿足提取的有效性。

    依據溯源目的,溯源特征提取包括溯源家族的特征提取和溯源作者的特征提取。Faruki等在字節碼級別提取統計性強的序列特征,包括指令、操作碼、字節碼、API代碼序列等。Perdisci R等通過n-gram提取字節碼序列作為特征。Ki Y等提出了捕獲運行過程中的API序列作為特征,利用生物基因序列檢測工具ClustalX對API序列進行相似性分析,得到惡意代碼的同源性判定。DNADroid使用PDG作為特征,DroidSim是一種基于組件的CFG來表示相似性代碼特征,與早期的方法相比,該系統檢測代碼重用更準確。

    下圖展示了行為特征提取過程,它從用戶態到核心態文件處理,再到核心態磁盤處理,有一系列的函數進行Hooking和InlineHooking進行整體的行為監控,可以幫助我們進行溯源工作。

    在這里插入圖片描述


    (2) 特征預處理
    特征提取過程中會遇到不具有代表性、不能量化的原始特征,特征預處理針對這一問題進行解決,以提取出適用于相似性計算的代表性特征。特征預處理一方面對初始特征進行預處理,另一方面為相似性計算提供基礎數據。常見的特征類型包括序列特征和代碼結構特征。

    • 序列特征預處理:包括信息熵評估、正則表達式轉換、N-grams序列、序列向量化、權重量化法等,序列特征預處理會將初始特征中冗余特征消除、特征語義表達式增強、特征量化等以便于進行相似性計算。L. Wu通過分析惡意軟件敏感API操作以及事件等,將API序列特征轉換為正則表達式,并在發生類似的正則表達式模式時檢測惡意代碼。IBM研究小組先將N-gram方法應用于惡意軟件分析中,使用N-gram的統計屬性預測給定序列中下個子序列,從而進行相似度計算。Kolosnjaji等提出對API調用序列進行N-gram處理獲取子序列,采用N-gram方法將API調用序列轉換為N-gram序列,實現過程下圖所示。

    在這里插入圖片描述

    • 代碼結構特征預處理: 在相似度比較時存在邊、節點等匹配問題即子圖同構算法復雜性,同時代碼結構特征中存在冗余結構,因此除去冗余、保留與惡意操作相關的代碼結構是預處理的主要目的。常見的方法包括API調用圖預處理、CFG圖預處理、PDG圖預處理等。

    在這里插入圖片描述


    (3) 相似性計算
    溯源旨在通過分析樣本的同源性定位到家族或作者,樣本的同源性可以通過分析代碼相似性來獲取。相似性計算旨在衡量惡意代碼間相似度,具體為采用一種相似性模型對惡意代碼的特征進行運算。根據預處理特征類型的不同以及溯源需求、效率、準確性等差異,采用不同的相似性運算方法。

    目前比較流行的相似性計算方法主要集中在對集合、序列、向量、圖等特征表現形式的處理。Qiao等基于集合計算相似性,在不同惡意樣本API集合的相似性比較中采用了Jaccard系數方法,將為A、B兩個集合的交集在并集中所占的比例作為相似度,比例值越大,證明越相似,如公式所示。

    在這里插入圖片描述

    Faruki等提出了采用SDhash相似性散列技術構建樣本的簽名序列,并采用漢明距離法對序列進行相似性計算,從而識別同源性樣本。Suarez-Tangil 等用數據挖掘算法中向量空間模型展示家族的惡意代碼特征形式,將同家族提取出來的具有代表性的CFG元素作為特征中維度,采用余弦算法對不同家族的向量空間模型進行相似度計算,根據余弦值來判斷它們的相似性,從而識別出相似性樣本,進而歸屬到對應的家族。用于比較向量的余弦相似度反映了惡意代碼間的相似性,其具體公式如公式所示。

    在這里插入圖片描述

    Cesare等提出了最小距離匹配度量法,比較不同樣本的CFG圖特征的相似性。Kinable等通過靜態分析惡意代碼的系統調用圖,采用圖匹配的方式計算圖相似性得分,該得分近似于圖的編輯距離。利用該得分比較樣本的相似性,采用聚類算法將樣本進行聚類,實現家族分類。


    (4) 同源分析
    學術界常見的同源判定方法主要包括基于聚類算法的同源判定、基于神經網絡的同源判定等。Kim等采用DBSCAN算法對基于調用圖聚類,發現類似的惡意軟件。Feizollah等提出采用層聚類算法,構建家族間演化模型,進而發掘家族功能的演化。Niu等提出了層次聚類和密度聚類算法結合的快速聚類算法對操作碼序列特征進行聚類,以識別惡意軟件變體,該方法識別變體效率較高。

    在這里插入圖片描述

    神經網絡是一種多層網絡的機器學習算法,可以處理多特征以及復雜特征的同源判定?;舅枷霝?#xff1a;將樣本特征作為輸入層數據,然后不斷調整神經網絡參數,直到輸出的樣本與該樣本是一種同源關系未為止。它會將惡意代碼特征送輸入層,即可判斷惡意代碼的同源性.。趙炳麟等提出了基于神經網絡的同源判定方法,其整體實現框架如下圖所示。

    在這里插入圖片描述


    3.企業界溯源

    產業界除了采用與學術界類似的同源判定方法之外,還會通過關聯的方法對惡意代碼進行溯源。產業界的溯源意圖除了溯源出編寫惡意代碼作者、惡意代碼家族之外,還要挖掘出攻擊者及攻擊者背后的真正意圖,從而遏制攻擊者的進一步行動。

    產業界與學術界溯源方法的差異主要表現在特征提取和同源判定兩個方面:在特征提取上,產業界更傾向于從代碼結構、攻擊鏈中提取相似性特征;在同源判定上,除了采用與已有的歷史樣本進行相似度聚類分析之外,產業界還會采用一些關聯性分析方法。相比學術界溯源特征,產業界溯源特征更加詳細全面,信息復雜度大。因此,學術界的同源判定方法并不能完全用于產業界各類特征的相似性分析中,常見產業界溯源方法分類如下表所示。

    (1) 惡意攻擊流程及溯源方法
    惡意樣本溯源追蹤主要去了解攻擊者或者團隊的意圖。惡意攻擊的活動大概有如下7步驟:

    • Reconnaissance:偵查,充分的社會工程學了解目標。
    • Weaponization:定向攻擊工具的制作。常見的工具交付形態是帶有惡意代碼的pdf文件或office文件。
    • Delivery:把攻擊工具輸送到目標系統上。APT攻擊者最常用這三種來傳送攻擊工具,包括郵件附件、網站(掛馬)、USB等移動存儲。
    • Exploitation:攻擊代碼在目標系統觸發,利用目標系統的應用或操作系統漏洞控制目標。
      Installation:遠程控制程序的安裝。使得攻擊者可以長期潛伏在目標系統中。
    • Command and Control (C2) :被攻破的主機一般會與互聯網控制器服務器建立一個C2信道,即與C2服務器建立連接。
    • Actions on Objectives:經過前面六個過程,攻擊者后面主要的行為包括:偷取目標系統的信息,破壞信息的完整性及可用性等。進一步以控制的機器為跳轉攻擊其它機器,擴大戰果。

    在這里插入圖片描述

    惡意樣本的追蹤溯源需要以當前的惡意樣本為中心,通過對靜態特征和動態行為的分析,解決如下問題:

    • 誰發動的攻擊?
    • 攻擊背景是什么?
    • 攻擊的意圖是什么?
    • 誰編寫的樣本?
    • 樣本使用了哪些攻擊技術?
    • 攻擊過程中使用了那些攻擊工具?
    • 整個攻擊過程路徑是怎樣的?

    企業界惡意樣本追蹤溯源可以采取如下方法:

    • 全流量分析
    • 同源分析
    • 入侵日志
    • 域名/IP
    • 攻擊模型/攻擊框架

    在這里插入圖片描述


    (2) 域名/IP
    這種溯源方法是最基本的方法,通過對攻擊者使用的域名和IP地址進行分析,挖掘攻擊源頭。查詢域名的whois信息,可以關聯到攻擊者部分信息,如注冊名、注冊郵箱、注冊地址、電話、注冊時間、服務商等。

    在這里插入圖片描述

    案例分析
    Checkpoint經過細致分析后,最終歸納出一個首要攻擊者,即昵稱為“Nexxus Zeta”的一個hacker,原因在于攻擊者在注冊僵尸網絡的某個C&C域名(nexusiotsolutions.net)時,所使用的郵箱地址包含相關信息。

    該郵件地址(nexuszeta1337@gmail.com)與C&C域名有一些交集,因此懷疑這個地址并不是一次性郵件地址,可以根據該地址來揭曉攻擊者的真實身份。當搜索Nexus Zeta 1337時,在HackForums上找到了一個活躍的成員,該成員的用戶昵稱為“Nexus Zeta”,自2015年8月起已經是HackForums的一份子。雖然這個人在這種論壇上活躍度很低,但他發表了幾篇帖子,從這些帖子中并沒有發現他的專業水平有多高。不過有趣的是,他最近關注了如何建立起類似Mirai的IoT僵尸網絡。

    在這里插入圖片描述
    NexusZeta在社交媒體上也頗為活躍,主要是在Twitter以及Github上,他在這兩個平臺上都公布了自己的IoT僵尸網絡項目。實際上,這個人還將其Github賬戶關聯到前面提到的那個惡意域名(nexusiotsolutions.net)。分析人員也找到了他所使用的Skype以及SoundCloud賬戶,使用人名為Caleb Wilson(caleb.wilson37 / Caleb Wilson 37),因此溯源到該作者,但遺憾的是無法確定這個名字是否就是其真實姓名。

    在這里插入圖片描述
    在這里插入圖片描述


    (3) 入侵日志
    這種溯源分析方法偏向于主機取證分析,攻擊者在入侵到主機后的行為分析。對攻擊者留下的大量操作日志進行分析后,可以提取相關攻擊者的信息,包括:

    • 連接服務器使用VPS信息。
    • 登陸主機后,一般為了維持對主機的訪問權限,會嘗試創建自己的賬號及密碼。
    • 攻擊者為了偷取數據,使用的ftp或者數據服務器信息。
    • 通過對攻擊者的登陸時間進行分析,可以基本定位所在大區域(北半球,南半球)。
    • 登陸主機后的操作模型,不同的攻擊者,入侵成功后進行的行為有差異,每個人都有自己的行為指紋特征。

    簡單舉個例子,不少攻擊者習慣使用自動化的工具,去提取主機上的敏感信息(網站,郵箱,比特幣,網銀等賬號密碼),入侵成功后(釣魚,社工,水坑攻擊等),會在受害者機器上安裝間諜軟件,進行主機行為監控,并且定時將截獲的敏感信息上傳到服務上。大多使用三種通信方式竊取敏感信息:ftp、smtp、http。

    案例分析
    通過分析入侵日志,最終分析其預置的監控程序。該樣本中攻擊者使用加密的smtp服務器竊取敏感信息,在樣本分析過程中可以獲取到郵箱的用戶名與密碼:

    在這里插入圖片描述
    接著利用獲取到的登陸憑證可成功登陸攻擊者郵箱:

    在這里插入圖片描述
    在郵件內容中,發現了攻擊者的真實郵箱,之后通過進一步溯源分析,定位到了攻擊者。下圖是攻擊者真實的twitter賬號:

    在這里插入圖片描述


    (4) 全流量分析
    某些攻擊者或者組織的反跟蹤意識非常強,基本上不會留下任何痕跡,在達成入侵目的之后(竊取數據),會完全清除入侵痕跡,或者干脆銷毀主機硬盤。

    例如,2015年烏克蘭電廠遭受攻擊之后,攻擊者利用killdisk組件銷毀了全部數據。當然有些也不會留下在主機上的任何操作痕跡,部分勒索軟件也是通過同樣的手段進行痕跡擦除。這類案例也非常多,基本上在受害者機器上找不到任何痕跡,這時進行全流量分析溯源就相當有效了。

    案例分析
    這里以2017年Flareon 4th逆向挑戰賽最后一題為例。

    在這里插入圖片描述
    它描述了一個APT攻擊場景,需要通過分析數據包及PE文件,還原整個攻擊過程。從網絡下載加密的惡意代碼在本地進行解密:

    在這里插入圖片描述
    解密后的內容為一個遠控端,其和主控端的通訊流量通過了全加密,網絡傳輸數據格式如下:

    在這里插入圖片描述
    相關的加解密及功能模塊如下:

    在這里插入圖片描述
    過流量分析發現攻擊者入侵行為如下:

    • 黑客入侵到168.221.91后,先獲取了屏幕截圖(內容包含了一個密碼)。
    • 查看c:\work\FlareOn2017\Challenge_10\TODO.txt,發現larry相關提示(根據前期信息收集結果,可以知道johnson主機名)。
    • 通過ping命令獲取到內網johnson主機IP地址(192.168.221.105)。
    • 使用psexec在johnson的主機上安裝后門srv2.exe(監聽本地16452端口)。
    • 之后通過內網代理連接該后門,通過代理插件上傳加密模塊到了johnson的主機上c:\staging\cf.exe。
    • 利用加密程序(exe)對lab10的文件進行加密,之后將原始文件刪除,并且通過代理傳到了黑客手里。

    該案例中僅通過全流量分析,最終還原整個入侵過程、黑客攻擊行為以及竊取的內容,而在真實的環境中需要結合入侵日志進一步對惡意樣本攻擊進行追蹤溯源。


    (5) 同源分析
    該方法主要為在獲取到惡意樣本后,很難第一時間關聯到攻擊者或者惡意樣本提供者的信息,但是可以通過和歷史惡意代碼進行相似度分析,獲得歷史攻擊事件,從而關聯到相應的組織或團體。這種溯源方法多用于定位APT組織或者某些知名的黑客團體(方程式)的行動,需要投入大量的人力,時間去完成溯源跟蹤分析。

    APT組織或者知名黑客團隊,一般都有各自的工具定制開發部門,負責各類工具的開發,以及漏洞利用工具的量產(從今年4月份泄露的方程式組織內部的工具以及CIA泄露的部分文檔就可以看出端倪)。其部分劃分組織架構都非常清晰,有專門負責工具開發的部門,例如:遠控開發部門、硬件研究部門、漏洞挖掘部門、漏洞利用工具編寫的部門等。常用方法包括:

    • 設計思路溯源
    • 編程特征溯源
    • 通訊協議溯源
    • 數字證書溯源

    案例分析
    通過設計思路溯源。每個程序員在軟件實現的時候,會使用自己比較熟悉的一套代碼風格和實現算法,每個團伙或者組織在攻擊目標時也會有一套自己特有的攻擊方法,針對惡意樣本可以通過行為日志的相似度、代碼混淆風格以及相關的實現算法進行同源判定。下圖展示了安天利用“破殼”漏洞投放的6個Bot具有同源性。

    在這里插入圖片描述


    (6) 攻擊框架
    這種溯源方法主要見于某些專業化程度比較高的個人或者組織,他們有自己的攻擊常規套路,并且長期專注于一個領域的攻擊。比如,在一次應急響應中通過取證分析,了解到攻擊使用的攻擊模型如下:

    • 注冊域名,根據攻擊目標選擇有意義的域名。
    • 在GitHub上注冊一個新賬戶和創建一個開源項目。
    • 編譯源碼后捆綁惡意軟件,一般選擇advanced installer作為捆綁打包器(還有AutoIt,NSIS)。
    • 發布到搭建的網站上。
    • 在互聯網上發布推廣其軟件。
    • 竊取用戶敏感數據(賬號密碼)。
    • 進行數據直接套現,或者通過信息倒賣平臺間接變現。

    之后利用該攻擊模型對樣本庫中的文件進行篩選,定位到另外3套與該模型完全匹配的案例,進一步分析匹配到的樣本后,首先確認了該4套樣本出于同一開發團隊,經過溯源分析準確定位到了攻擊者。

    在這里插入圖片描述

    “天網恢恢疏而不漏”,溯源分析旨在通過現象去發掘樣本背后的故事,沒有固定的套路可循,在分析過程中,要像偵探破案一樣,大膽心細,不放過任何細枝末節,是一場人與人之間斗智斗勇的過程。同時,企業針對APT溯源提出了不同的框架,比較經典的框架包括:

    • ATT&CKhttps://attack.mitre.org/
      從視覺角度來看,MITRE ATT&CK矩陣按照一種易于理解的格式將所有已知的戰術和技術進行排列。攻擊戰術展示在矩陣頂部,每列下面列出了單獨的技術。一個攻擊序列按照戰術,至少包含一個技術,并且通過從左側(初始訪問)向右側(影響)移動,就構建了一個完整的攻擊序列。一種戰術可能使用多種技術。例如,攻擊者可能同時嘗試魚叉式網絡釣魚攻擊中的釣魚附件和釣魚鏈接。

    在這里插入圖片描述

    • 安天智甲框架
      智甲將安天自主先進的威脅檢測引擎與驅動級主防有效結合,依托動態防護策略可幫助用戶有效應對層出不窮的新威脅。

    在這里插入圖片描述

    • Threatcrowd
      一個威脅搜索引擎,能讓用戶搜索和調查與IP、網站或機構相關的威脅。它也提供了API,利用ThreatCrowd API你可以搜索域名、IP地址、郵件地址、文件哈希、殺軟檢測等。它會從virustotal和malwr.com上獲取信息,它也提供了MALTEGO轉換,方便分析和關聯數據。

    在這里插入圖片描述

    在這里插入圖片描述


    4.無處不在的網絡威脅

    “沒有網絡安全就沒有國家安全”。自全球第一個計算機病毒出現后,網絡威脅無處不在。同樣,人們通過與病毒長期的斗爭,積累了大量反病毒經驗,掌握了大量實用的反病毒技術,并研制出一系列優秀的反病毒產品,主要用于病毒的防護、檢測及其清除等。

    在這里插入圖片描述

    惡意代碼的檢測是將檢測對象與惡意代碼特征(檢測標準)進行對比分析,定位病毒程序或代碼,或檢測惡意行為。常見的檢測技術包括特征值檢測技術、校驗和檢測技術、啟發式掃描技術、虛擬機檢測技術、主動防御技術,以及新興的云查殺技術、深度學習檢測等。

    下面介紹幾個比較經典的安全事件,也希望讀者通過這篇文章對網絡空間安全有一定的了解。

    • 心臟滴血漏洞
      2014年4月7號谷歌工程師NeelMehta發現了名為“心臟滴血”的OpenSSL漏洞,該漏洞在互聯網界引發了腥風血雨,讓很多世界知名互聯網公司為之一顫。在黑客社區,它被命名為“心臟滴血”,表明網絡上出現了“致命內傷”。利用該漏洞,黑客可以獲取約30%的https開頭網址的用戶登錄賬號密碼,其中包括購物、網銀、社交、門戶等類型的知名網站。

    在這里插入圖片描述

    • WannaCry勒索病毒
      2017年5月12日,WannaCry蠕蟲通過NSA永恒之藍MS17-010漏洞(445端口)在全球范圍大爆發,感染大量計算機。WannaCry勒索病毒全球大爆發,至少150個國家、30萬名用戶中招,造成損失達80億美元,已影響金融、能源、醫療、教育等眾多行業,造成嚴重的危害。下圖是作者之前復現的效果。

    在這里插入圖片描述

    • 斯諾登與“棱鏡”計劃
      “棱鏡”竊聽計劃始于2007年的小布什時期,棱鏡包括兩個項目:監ting民眾電話的通話記錄,監shi民眾的網絡活動。包括對中國三大運營商的短信竊取,對中國六大骨干網之一的教育科研網總節點如清華大學的入侵等。同時,棱鏡(PRISM)還只是美國NSA眾多項目中的一個,還比如星風項目(STELLARWIND)、核子項目(NUCLEON)、主管道項目、碼頭項目等。

    在這里插入圖片描述

    • 震網(Stuxnet)事件
      震網病毒(Stuxnet)是一種Windows平臺上的計算機蠕蟲,這是有史以來第一個包含PLC Rootkit的電腦蠕蟲,也是已知的第一個以關鍵工業基礎設施為目標的蠕蟲。它借助美國與以色列的QB機構之手,癱瘓了伊朗的核設施,對全球工業系統的造成了巨大的風險。

    在這里插入圖片描述

    • SolarWinds供應鏈攻擊事件
      2020年12月13日,美國網絡安全公司FireEye發布分析報告稱,SolarWinds 旗下的Orion基礎設施管理平臺的發布環境遭到黑客組織入侵,黑客對文件SolarWinds.OrionCore. BusinessLayer.dll的源碼進行篡改添加了后門代碼,該文件具有合法數字簽名會伴隨軟件更新下發。后門代碼偽裝成Orion OIP協議的流量進行通信,將其惡意行為融合到SolarWinds合法行為中。FireEye稱已在全球多個地區檢測到攻擊活動,包括北美、歐洲、亞洲和中東的一些機構、咨詢、技術公司。

    在這里插入圖片描述


    二.網絡安全攻防技巧

    1.網絡安全技術路線

    網絡安全(Web滲透)是通過模擬惡意黑客的攻擊,來評估計算機網絡系統安全的一種評估方法。滲透測試主要分為黑盒測試和白盒測試兩種方式。不同的人有不同的框架,下面從企業界和學術界介紹兩種技術路線。

    (1) 企業網絡安全技術路線

    • 基礎知識: Web發展簡史、計算機網絡、域名系統、HTTP標準、代碼審計、WAF
    • 信息收集: 域名信息、 站點信息、端口信息、其它
    • 內網滲透: Windows信息收集、持久化、Linux信息收集、痕跡清理、內網信息收集、工作組和域、橫向擴展和縱向擴展
    • 常見漏洞: SQL注入、XSS、CSRF、SSRF、命令注入、文件讀取、文件上傳、文件包含、XXE、模版注入、Xpath注入、 邏輯漏洞 、業務漏洞、配置安全、中間件、Web欺騙攻擊
    • 語言與框架: PHP、Python、Java、JavaScript、Ruby、C\C++、C#
    • 防御技術: 總體思路、 團隊建設、威脅情報、風險控制、加固檢查、蜜罐技術、入侵檢測、應急響應、溯源分析
    • 工具與資源: 工具列表、推薦資源、爆破工具、下載工具、流量相關、嗅探工具、SQLMap、BurpSuite、MetaSploit、Cobalt Strike
    • 其他: 認證方式、拒絕服務攻擊、DNS劫持、Docker
    • 紅藍對抗

    在這里插入圖片描述

    (2) 學術界網絡空間安全知識體系

    • 應用安全技術知識
    • 系統安全理論與技術
    • 網絡安全理論與技術
    • 網絡空間全基礎理論
    • 密碼學基礎知識

    在這里插入圖片描述


    2.網絡安全基礎案例普及

    (1) 電信ZP和一碼多用
    當我們收到一些電話或短信時,可能會去點擊按鍵或鏈接,這類釣魚操作會導致我們的個人隱私泄露。2013年某公司泄露了海量用戶數據,其原理是黑客進行脫庫(數據庫)操作,脫庫之后他們還會繼續挖掘用戶的隱私信息。用戶在使用購物或系統門戶網站時,很可能會設置相同或相近的用戶名、密碼,通過撞庫能獲取更多有價值的信息,他們再賣這些數據謀求利益。

    • 安全建議:密碼設置盡量有變換,不要輕易點擊惡意鏈接或惡意郵件

    在這里插入圖片描述


    (2) 弱口令攻擊
    通常認為容易被別人猜測到或被PJ工具破解的口令均為弱口令。弱口令指的是僅包含簡單數字和字母的口令,例如“123”、“abc”、“qwe”等,因為這樣的口令很容易被別人破解,從而使用戶的計算機面臨風險,因此不推薦用戶使用。常見弱口令有:數字或字母連排或混排,鍵盤字母連排;生日,姓名+生日;短語密碼等。

    在這里插入圖片描述

    密碼管理器NordPass公布了2020年最常用密碼TOP200榜單,可以說,這是2020年最糟糕的200個密碼。排名靠前的幾個密碼,相信大多數人都非常熟悉:如123456、123456789、password、111111、123123、qwerty、000000等等,看來全球用戶都“青睞”數字。而這些密碼被弱口令攻擊都不需要1秒鐘。

    在這里插入圖片描述

    • 安全建議:第一時間更換初始密碼,內部電腦密鑰需要單獨設置,專人保管,尤其注意弱口攻擊及社會工程學

    (3) 偽基站、Wifi探針或魚叉式釣魚郵件攻擊
    偽基站是指移動小型基站,可以定位你的GPS位置,再發送欺騙短信或電話。比如,騙子偽裝成95588,利用偽基站向手機發送短信,當用戶按照短信提示登錄釣魚網址時,他的銀行卡號和密碼就會被泄露。除了詐騙,還會建立聯盟調查信息庫,可以查看到開房記錄、上網記錄、常住暫住人口信息。

    在這里插入圖片描述

    Wifi探針是當用戶手機無線局域網處理打開狀態時,會向周圍發出尋找無線網絡的信號,探針盒子發現這個信號,就能迅速識別出用戶手機的MAC地址。而MAC地址可以轉換成IMEI號,再轉換成手機號碼。為了獲取更多用戶個人信息,一些公司將這個小白盒子放在商場、超市、便利店、寫字樓等,在用戶毫不知情的情況下,搜集個人信息。

    同時,某些手機APP惡意收集用戶隱私信息 ,并生成用戶畫像,通過電話、短信、微信、QQ等發送個性化廣告。APP安裝時,需要同意權限才能安裝,此時它能讀取用戶信息,比如315晚會曝光的墨跡天氣APP隱私泄露案例。

    • 安全建議:陌生或不熟悉的Wifi不要輕易鏈接,惡意請求不要輕易點擊。APP盡量下載熟悉的軟件且不要開啟太多系統權限

    在這里插入圖片描述


    (4) 企業非法競爭
    某個藥業公司需要研發一種藥,想對用戶人群的需求和購買力做個評估,但是做調研的時間成本和人力成本太大了,他們就會想一些“捷徑”。找到黑客,讓其進某醫院的病例數據庫,把病例數據復制下來直接分析。再比如某網站為驚醒大家注意攝像頭安全,實現如下左圖所示直播功能(Network live IP video cameras),右圖新冠檢測系統用戶數據被非法出售。

    在這里插入圖片描述


    (5) 利用漏洞植入木馬
    利用漏洞或惡意軟件實施攻擊,常見功能包括:捕獲屏幕、攝像頭、語音通話、遠程連接、鍵盤記錄、獲取Webshell(管理員權限)、數據庫脫庫等。

    • 安全建議:部署適當的安全防護軟件,防止釣魚郵件攻擊,劃分子網及內網不訪問互聯網

    在這里插入圖片描述


    (6) 商業隱私保護
    前面介紹了很多軟件及互聯網相關的安全,那么物理設備存在嗎?當前,通過物理設備實施商業相關的物理攻擊也很常見,商業隱私案件中有60%與員工離職有關,兩類高危人群分別是高管和特殊職位員工。同時各種隱秘的攝像頭越來越多,都需要大家注意,如下圖所示的插板、衣架螺絲中都切入了隱秘的微型攝像頭,甚至有通過向會議室玻璃窗發射激光獲取音頻信息的案例。

    • 安全建議:涉及商業的文件重點保護,加強人員安全教育,離職更換密鑰,重置系統權限,提升個人的安全意識。

    在這里插入圖片描述


    (7) 供應鏈攻擊與硬件安全
    通過供應鏈采購實時惡意軟件植入,同時通過硬件設備竊取信息的案例也越來越多。如下圖所示的HACKUSB(數據線&支持快充)、BadUSB(惡意代碼隱藏的USB)、惡意移動充電寶等。

    • 安全建議:加強移動硬盤、U盤、光盤安全,設置密鑰;未知Wifi和外部設備不要連接我們的電腦。同時,建立網絡隔離機制,做好數據使用記錄。

    在這里插入圖片描述


    (8) 社會工程學
    社會工程學(Social Engineering) 是一種通過人際交流的方式獲得信息的非技術滲透手段。這種手段非常有效,而且應用效率極高。事實上,社會工程學已是企業安全最大的威脅之一。通過社工攻擊手段,篩選和整理你的個人信息、家庭狀況、興趣愛好、婚姻狀況,以及你在網上留下的一切痕跡,再進行滲透。這是一種無需依托任何黑客軟件,更注重研究人性弱點的黑客技術。

    • 基于人的社工:搭載、偽造身份、偷聽、竊肩、反社工、垃圾桶工程
    • 基于計算機的社工:彈出窗口、釣魚郵件、短信詐騙、內網攻擊
    • 安全建議:嚴防社工工程學攻擊

    在這里插入圖片描述


    (9) 0day漏洞和1day漏洞利用
    利用漏洞實時攻擊,如下圖所示,WannaCry蠕蟲通過NSA永恒之藍MS17-010漏洞(445端口)在全球范圍大爆發,感染大量計算機。

    • 安全建議:安裝合適的殺毒軟件,系統和軟件的漏洞補丁及時修復。

    在這里插入圖片描述


    (10) 內網滲透
    什么是內網?比如大家連在同一個WIFI下,就可以稱為內網。換句話說,從外部網絡不能直接訪問的網絡就稱之為內網。比如,在公司文件服務器搭建了一些資源,外部互聯網的人是不能直接訪問這些資源的。

    首先,我們來看一張網絡拓撲圖,最常見的企業網絡。由圖可知,一個企業網絡對外通常會存在一個防火墻,防火墻中有個路由器,路由器接入很多電腦,包括三塊區域(DMZ區、核心業務區、辦公區),DMZ區放置一些對安全性不高的服務器,比如郵件、門戶網站服務器等;核心業務區存放企業核心數據庫、OA系統、ERP系統;辦公區是企業員工辦公網絡。

    • 安全建議:獨立使用專網,配置虛擬機、防火墻;授權安全公司進行內網滲透測試,給出安全建議及保護措施;結合之前的安全意識進行保護。

    在這里插入圖片描述

    假設現在一名白帽子需要攻擊測試這個內部網絡,想直接訪問核心業務區的數據庫是不可能的,而公司在DMZ區提供了對外的Web服務器,能夠讓你直接在互聯網里面訪問。

    • 第一步,信息收集及技術性弱點識別,通過技術性手段拿下公司DMZ區的門戶網站這臺服務器。
    • 第二步,通過門戶網站服務器進入到公司的內部網絡,我們稱之為跳板。接著進行權限的維持和提升,下次再進行攻擊時不需要重新收集信息,以門戶網站作為據點,對內網進行滲透。
    • 第三步,內網滲透并橫縱向擴展獲取相關信息。

    下面介紹一個內網滲透案例,該案例均是授權情況下進行的滲透測試,切勿進行非法滲透或攻擊。由該網絡拓撲圖可知,正常訪問時會通過CDN(內容分發轉網絡)、WAF(應用防護系統)等安全軟件,從而過濾并保護我們企業的網絡安全。白帽子需要想一個辦法:能不能讓我們的訪問不經過CDN和WAF呢?

    在這里插入圖片描述
    答案是可以的。
    第一步,全面收集信息
    通過全面信息收集,找到與目標相關的信息網站。
    第二步,尋找有用線索
    深入分析并發現網站源碼內存在真實IP泄露。

    在這里插入圖片描述
    第三步,進一步搜集和利用有用信息
    針對真實IP開展端口掃描,找到對應的端口和服務BBS。該網站存在一個信息泄露的漏洞,通過目錄掃描找到泄露的賬號密碼,即在BBS的日志內搜索并成功解密出用戶賬號和密碼信息。

    在這里插入圖片描述
    第四步,利用有用信息進入內網
    登錄BBS系統,發現并利用跟帖上傳處漏洞,上傳shell(網頁后門)成功拿下該服務器system權限,進入內網。system權限是最高權限,該案例免去了權限維持與提升步驟。

    在這里插入圖片描述
    第五步,內網橫向擴展
    通過弱口令、歷史漏洞等方式,成功拿下內網多臺服務器權限,并從中找到了1個涉及多個目標服務器的密碼本,此時已成功進入了目標網絡的核心業務網段。結合前期收集到的信息,成功登錄目標重大項目庫的源碼服務器,針對源碼進行深入分析,從配置文件中找到了系統運維郵件賬號和密碼,并成功進入運維郵箱。

    第六步,作為白帽子,立刻告訴該網站管理員并對網站進行維護,提升安全等級及修復漏洞補丁。


    下面對常見的惡意軟件威脅進行簡單總結:

    • 修改或破壞已有軟件的功能
      惡意軟件運行之后,可以對同一運行環境中的其他軟件進行干擾和破壞,從而修改或者破壞其他軟件的行為。
    • 竊取目標系統中的重要數據
      數據庫、文檔、口令等(灰鴿子、上興、Flame)
    • 監視目標系統中的用戶行為
      對目標系統進行屏幕監視、視頻監視、語音監聽等
    • 控制目標系統
      Shell、屏幕控制、跳板等
    • 加密數據進行勒SUO
      PC&mobile,比特幣
    • 情報獲取設備
      如NSA的水蝮蛇(COTTONMOUTH-I),通過USB與主機植入數據網絡竊取信息;出軌吉普(DROPOUTJEEP),通過植入蘋果iPhone的惡意軟件,提供專門的情報收集功能;WannaCry是一種“蠕蟲式”的勒索病毒軟件等。

    在這里插入圖片描述


    3.Web滲透技巧簡單總結

    技巧一:Google Hacking
    Google提供了強大的搜索功能,可以獲取精準的結果。如果訪問不了,也可以通過Bing或百度獲取相關內容,但是結果沒有谷歌精準。常見方法如下:

    在這里插入圖片描述


    技巧二:Whois收集
    采集網站、IP、機構、郵箱、個人、國家等信息??梢詤⒖甲髡咧啊熬W絡安全自學篇”文章。

    • Whois站長之家查詢:http://whois.chinaz.com/
    • Whois Lookup 查找目標網站所有者的信息:http://whois.domaintools.com/
    • Robtex DNS 查詢顯示關于目標網站的全面的DNS信息:https://www.robtex.com/
    • 其他推薦:he.bgp.net、https://scan.top15.cn/web/

    在這里插入圖片描述


    技巧三:CMS指紋識別 (網站架構、網站目錄)
    參考作者之前“網絡安全自學篇”文章。

    • 在線工具:http://whatweb.bugscaner.com/look/
    • 本地工具:御劍Web指紋識別程序、大禹CMS識別程序

    在這里插入圖片描述


    技巧四:端口掃描
    參考作者之前“網絡安全自學篇”文章,包括網站開放端口、旁站等。

    • Nmap采集、masscan采集、Kali系統
    • ThreatScan在線網站:https://scan.top15.cn/web/
    • 常見端口及對應服務,旁站注入(主站現在大公司維護,入侵艱難)

    在這里插入圖片描述


    技巧五:IP物理定位

    • IP物理定位:三大運營商數據、Wifi、基站、GPS、社交網絡、視頻
    • https://www.opengps.cn/Data/IP/ipplus.aspx
    • http://www.gpsspg.com/maps.htm
    • 手機APP獲取物理地址(QQ漫游定位)
      URL、QQ => IP地址 => 經緯度 => 物理位置

    在這里插入圖片描述


    技巧六:社會工程學
    社會工程學(Social Engineering) 是一種通過人際交流的方式獲得信息的非技術滲透手段。這種手段非常有效,而且應用效率極高。事實上,社會工程學已是企業安全最大的威脅之一。

    • 社工三大法寶:網絡釣魚、電話釣魚、偽裝模擬
    • 狹義三大法寶:谷歌、社工庫、QQ

    在這里插入圖片描述

    同時,郵件反查可以結合社會工程學進行信息收集。

    在這里插入圖片描述

    再比如通過密碼找回功能獲取部分手機號信息(開頭182、結尾47)。由于我國手機號碼為11位,各段有不同的編碼方向:前3位為網絡識別號;第4-7位為地區編碼;第8-11位為用戶號碼。號碼也就是所謂的MDN號碼,即本網移動用戶作被叫時,主叫用戶所需撥的號碼,它采取E.164編碼方式;存儲在HLR和VLR中,在MAP接口上傳送。通過社會工程學結合Python自定義詞典可以對電話進行獲取。

    在這里插入圖片描述


    技巧七:手機號碼查找
    通過各大網站已知有價值的ID獲取其他信息(如電話號碼、QQ、微信),通過電話或QQ獲取用戶的登錄賬號,也是常見的社會工程學手段。同時,通過某些網站獲取三大運營商不同城市的手機號段。

    • www.reg007.com
    • www.zhaohuini.com
    • http://www.guisd.com/ss/

    在這里插入圖片描述


    技巧八:驗證碼生成器

    • http://lothelper.com/cn

    在這里插入圖片描述


    技巧九:照片信息泄露、Office信息泄露
    智能手機拍照時,Exif包括位置信息。如果不經過處理,這些Exif參數會一直存在。在拍照的時候軟件調用了Exif中的GPS全球定位系統數據。同時,經過各種美圖軟件處理過的照片都會在相冊中顯示位置信息,而且不少美顏軟件都自帶定位功能。

    在這里插入圖片描述


    三.醫療數據安全防護

    1.醫療數據安全

    通過之前的分析我們看到了無處不在的網絡安全,那么,醫療衛生行業或ZF部門面臨著怎樣的安全風險呢?下面我們開始分享。醫療行業信息系統面臨的安全風險主要包括:

    • 一是數據泄露。由于行業本身的特殊性,本身保存了大量的個人信息、財務信息和健康信息等多種敏感數據,一旦泄露容易引發很嚴重的后果。
    • 二是網絡安全漏洞風險。攻擊者可以通過某些漏洞控制醫療行業的網絡系統,進而可以實施勒索等行為。
    • 三是勒索軟件。加密貨幣的火熱刺激了大量挖礦木馬的產生,醫療信息系統也受到了一定的波及和影響。

    在這里插入圖片描述

    由于醫療系統的行業特殊性,對安全存在更高的要求,無論是從政策法規,還是從維護醫療服務體系的正常運轉來看,守護醫療信息系統和醫療數據的網絡安全勢在必行。

    在YQ這種“戰時”狀態,醫療數據的威力更是顯而易見,醫療數據安全更重要的是涉及大量人體真實數據。大數據背景下的數據泄露直接關系到我們的生命財產安全、生物安全等,被惡意獲取后的醫療數據,可以實現對人種、群體生命信息的精準分析,掌握國家的人才信息乃至國家人口發展戰略、政策和生命安全。

    YQ期間,以美國、印度為首的西方國家,不遺余力獲取我國的醫療相關數據,包括實驗、Yi苗、數據等多方面,手段包括木馬攻擊、公開情報搜集、魚叉式釣魚攻擊、針對醫療和科研行業重點人員實施社工攻擊行為等等,無所不用其極。這些危害往往是不可逆,損失無法估量。因此,在戰略上,醫療數據安全直接關系國家和人民的安全!

    2020年4月,匯醫慧影兩個月研發的AI輔助系統和積累的訓練數據被黑客竊取。以4比特幣(約21萬人民幣)的價格在A網上公開出售,給我們國家醫療資源代碼巨大損失。其出售數據包括150M的實驗室研究信息,1GB技術信息及其源代碼和1.5M的用戶數據。

    在這里插入圖片描述

    傳統的網絡攻擊主要以金錢和利益為主,目前逐漸向有組織的APT攻擊發展。那么,什么是APT攻擊呢?

    在這里插入圖片描述


    2.什么是APT攻擊

    APT攻擊(Advanced Persistent Threat,高級持續性威脅)是利用先進的攻擊手段對特定目標進行長期持續性網絡攻擊的攻擊形式。APT攻擊也稱為定向威脅攻擊,指某組織對特定對象展開的持續有效的攻擊活動。這種攻擊活動具有極強的隱蔽性和針對性,通常會運用受感染的各種介質、供應鏈和社會工程學等多種手段實施先進的、持久的且有效的威脅和攻擊。

    360威脅情報中心結合2018年全年國內外各個安全研究機構、安全廠商披露的重大APT攻擊事件,以及近幾年來披露的高級持續性威脅活動信息,并基于這些重大APT攻擊事件的危害程度、攻擊頻度、攻擊技術等,評選出2018年全球十大APT攻擊事件。參考:https://www.secrss.com/articles/7530

    • 韓國平昌冬奧會APT攻擊事件(攻擊組織Hades)
    • VPNFilter:針對烏克蘭IOT設備的惡意代碼攻擊事件(疑似APT28)
    • APT28針對歐洲、北美地區的一系列定向攻擊事件
    • 藍寶菇APT組織針對中國的一系列定向攻擊事件
    • 海蓮花APT組織針對我國和東南亞地區的定向攻擊事件
    • 蔓靈花APT組織針對中國、巴基斯坦的一系列定向攻擊事件
    • APT38針對全球范圍金融機構的攻擊事件
    • 疑似DarkHotel APT組織利用多個IE 0day“雙殺”漏洞的定向攻擊事件
    • 疑似APT33使用Shamoon V3針對中東地區能源企業的定向攻擊事件
    • Slingshot:一個復雜的網絡攻擊活動

    在這里插入圖片描述

    長期被國家級APT組織盯上,隨時面臨一國網絡癱瘓的風險。針對我國境內實施攻擊活動的活躍APT組織如下:

    • 海蓮花(APT32):越南
    • 摩訶草(APT-C-09):印度
    • 蔓靈花(T-APT-17):印度
    • Darkhotel(APT-C-06):韓國
    • 藍寶菇(APT-C-12):中國臺灣
    • 毒云藤(APT-C-01):中國臺灣
    • Lazarus(T-APT-15):朝鮮

    APT攻擊主要針對ZF機構、科研工作者、醫療行業、高校教師、JS愛好者、企業高管等。

    在這里插入圖片描述

    典型的APT攻擊手段如下:

    • 魚叉式釣魚郵件
      釣魚關鍵字包括培訓、績效、監察等,內容如帶有惡意宏文件的xls文件、捆綁型惡意代碼、構造誘餌文件欺騙用戶點擊
    • 水坑攻擊
    • 社會工程學攻擊
    • CHM誘餌、白加黑誘餌、惡意Ink
    • 0DAY漏洞
      利用CVE漏洞,如CVE-2018-20250綁定壓縮包
    • 宏病毒攻擊
      帶有VBA宏病毒的Office文檔
    • 專用木馬、后門、蠕蟲
      如Denis家族、CobalStrike、Gh0st、WannaCry
    • 執行惡意PowerShell腳本收集信息
    • DNS劫持
    • hta樣本解密并加載后續的附加數據
    • C&C域名通信
    • 使用帶有誘餌文檔通過點擊下載托管于GitHub上的downloader樣本
    • 對抗樣本、人工智能(AI)攻擊

    在這里插入圖片描述


    四.APT攻擊醫療行業經典案例

    下面介紹典型針對醫療數據的APT攻擊案例。

    1.白象

    印度背景的APT組織代號為APT-C-09,又名摩訶草、白象、PatchWork、angOver、VICEROY TIGER、The Dropping Elephan。主要針對中國、巴基斯坦等亞洲地區國家進行網絡攻擊活動,以采集敏感信息為主。至今非?;钴S。在針對中國地區的攻擊中,該組織以ZF機構、醫療衛生、科研教育領域為主。

    2020.2月初,白象APT組織通過投遞帶有惡意宏文件的xls文件(誘餌文檔),該誘餌文檔名叫“武漢旅行信息收集申請表.xlsm”“收集健康準備信息的申請表.xlsm”,并且偽裝成衛生部的文件攻擊我國醫療部門。

    在這里插入圖片描述

    此次攻擊所使用的后門程序與之前360安全大腦在南亞地區APT活動總結中已披露的已知的印度組織專屬后門cnc_client相似,通過進一步對二進制代碼進行對比分析,其通訊格式功能等與cnc_client后門完全一致。非??梢源_定,攻擊者來源于印度的白象APT組織。

    在這里插入圖片描述

    同時,白象偽裝成我國衛生主管部門域名,借助YQ話題,偽造相關文件,對我國醫療機構發動APT攻擊。如冒充國家衛健委官網網站 nhc-gov.com,真實網站 nhc.gov.cn。

    在這里插入圖片描述

    安全建議:注意保護文件(格式)以及電子公章,文檔包含“啟用宏”勿點擊;牢記常用網站的域名,防止DNS劫持及網站冒充。


    2.海蓮花

    海蓮花(OceanLotus)是一個據稱越南背景的APT組織,又稱APT32、OceanLotus。該組織最早于2015年5月被天眼實驗室所揭露并命名,其攻擊活動最早可追溯到2012年4月,攻擊目標包括中國海事機構、海域建設部門、科研院所和航運企業,后擴展到幾乎所有重要的組織機構,并持續活躍至今。

    該組織針對不同的機器下發不同的惡意模塊,使得即便惡意文件被安全廠商捕捉到,也因為無相關機器特征而無法解密最終的Payload,無法知曉后續的相關活動?;顒鱼@石模型如下:

    在這里插入圖片描述

    下圖展示了通過惡意文件投遞的魚叉攻擊,惡意文件投遞的方式依然是最常用的魚叉攻擊的方式,釣魚關鍵字包括YQ、干部培訓、績效、工作方向等,相關的郵件如下。此外,投遞釣魚郵件的賬號有網易郵箱,包括126郵箱和163郵箱,賬號樣式為:名字拼音+數字@163(126).com,如:Sun**@126.com、reny**@163.com等。

    在這里插入圖片描述

    2019至2020年投遞的惡意誘餌類型眾多,包括白加黑、lnk、doc文檔、帶有WinRARACE(CVE-2018-20250)漏洞的壓縮包等,之后的攻擊中還新增了偽裝為word圖標的可執行文件、chm文件等。

    • 帶有宏的doc文檔
      帶有宏的文檔的投遞是該組織比較常用的惡意誘餌,如推特上安全同仁曝光該組織的誘餌。執行宏后,首先會復制原始文檔到%temp%下,命名為隨機名文件,然后解密出一個新的VBA宏。接著寫入注冊表,把解密后的新VBA宏添加進去,接著啟動VBA宏函數x_N0th1ngH3r3。解密出來的新VBA宏目的是將shellcode解密并加載執行。Shellcode解密出一個DLL文件,并在內存中加載,執行DllEntry函數。DllEntry函數先會提取資源文件,并解密出來,解密出來的內容包括最終rat和相關配置信息。最后配置C&C使用https進行通信連接,實施攻擊。

    在這里插入圖片描述

    • 帶有WinRAR ACE(CVE-2018-20250)漏洞的壓縮包。
      作者之前分享過該CVE漏洞,當我們解壓文件時,它會自動加載惡意程序至C盤自啟動目錄并運行。

    在這里插入圖片描述

    • 白加黑
      白加黑同樣是該組織常用的誘餌類型,并且在實際攻擊過程中,還多次使用。病毒偽裝成一個DLL文件,偽裝為Word圖標的可執行文件啟動的同時,病毒DLL也會被加載啟動(也叫DLL劫持)。使用DLL側加載(DLL Side-Loading)技術來執行載荷,通俗的講就是我們常說的白加黑執行。其基本流程如下圖所示:

    在這里插入圖片描述

    在這里插入圖片描述

    安全建議:異常郵件、鏈接、短信不要點擊,先電話確認郵件真實來源,再下載文件或壓縮包;重要文件切勿互聯網傳播,查閱或編輯盡量在內網或斷網條件下執行(防止C&C)。


    3.Darkhotel

    Darkhotel(APT-C-06)是一個長期針對企業高管、GF工業、電子工業等重要機構實施網絡攻擊活動的APT組織。2014年11月,卡巴斯基實驗室的安全專家首次發現了Darkhotel APT組織,并聲明該組織至少從2010年就已經開始活躍。360威脅情報中心對該團伙的活動一直保持著持續跟蹤,而在最近幾個月我們再次跟蹤到該團伙發起的新的攻擊活動。

    雙星”漏洞已被活躍近十余年的半島APT組織Darkhotel(APT-C-06)所利用,并瞄準我國商貿、醫療相關的政府機構發動攻擊。該APT組織的攻擊手法陰險、刁滑、狡詐。

    • CVE-2019-17026(火狐)
    • CVE-2020-0674(IE)

    在這里插入圖片描述

    騰訊御見威脅情報中心曾發布《DarkHotel APT組織揭秘:針對高端商務人士、政要人物的精準攻擊已持續8年》,分析報告提到的后門程序SYSCON/SANNY是專門針對朝鮮半島相關目標進行攻擊的惡意文件,其主要攻擊目標為朝鮮半島相關的重要人物或部門,偶爾也會針對東南亞等國進行攻擊。通過分析發現,該后門跟DarkHotel的TTPs相吻合,因此我們把該后門歸結為DarkHotel(黑店)APT組織。

    騰訊御見威脅情報中心對該后門進行了長期跟蹤,發現該后門一直以來的特色就是使用FTP協議進行C&C通信,并且有很強的躲避技術和繞UAC技術。 而最新版本的后門采用了多階段執行、云控、繞最新UAC等技術,使得攻擊更加的隱蔽和難以發現。攻擊流程如下圖所示:

    在這里插入圖片描述

    安全建議:針對漏洞利用攻擊,內網電腦切勿連接互聯網,外網電腦及時更新信息中心的補丁(如WannaCry)。


    4.藍寶菇

    360公司在2018年7月5日首次對外公開了一個從2011年開始持續近8年針對我國行政機構、科研、金融、教育等重點單位和部門進行攻擊的高級攻擊組織藍寶菇(APT-C-12),英文名BlueMushroom,該組織的活動在近年呈現非?;钴S的狀態。比如,通過向163郵箱發送魚叉郵件,釣魚郵件仿冒博鰲亞洲論壇向攻擊對象發邀請函。攻擊者通過誘導攻擊對象打開魚叉郵件云附件中的LNK文件,一旦攻擊對象被誘導打開LNK快捷方式文件,會執行文件中附帶的PowerShell惡意腳本來收集上傳用戶電腦中的重要文件,并安裝持久化后門程序長期監控用。

    在這里插入圖片描述

    攻擊方式:

    • 在郵件中植入惡意附件
    • 郵件正文插入惡意鏈接,誘導受害者點擊。通過誘導打開魚叉郵件云附件,如仿冒博鰲亞洲論壇邀請函(boaostaff[@]163.com),然后執行PowerShell惡意腳本收集用戶電腦中的敏感文件,并安裝持久化后門程序長期監控目標

    在這里插入圖片描述

    所以,APT攻擊離我們并不遙遠,網絡安全就在我們身邊,需要大家共同維護。


    五.防御措施

    1.醫療數據安全防護

    “沒有網絡安全就沒有國家安全”,每一個公民都應該樹立正確的安全意識,同時做好相關保護工作。具體包括:

    • 增強人員安全意識及教育,防止弱口令(復雜口令)、社會工程學現象
    • 建立安全物理環境,部署安全設備(WAF),安全劃分子網
    • 重要文件切勿互聯網傳播,查閱或編輯要在內網或斷網條件下執行(防止C&C)
    • 異常郵件、鏈接、短信不要點擊,先電話確認真實來源,再下載文件或壓縮包,防止釣魚郵件
    • 注意保護重要文件(格式)以及電子公章,文檔包含“啟用宏”勿點擊,防止宏病毒攻擊
    • 建議對郵件排查是否存在木馬、病毒、后門程序、釣魚鏈接,嚴控服務端安全
    • 網站系統和業務滿足合規要求(https加密數據傳輸,防止信息泄露)
    • 加強對病毒和入侵事件的有效感知,系統補丁按照要求及時更新
    • 上網不SM,SM不上網,做好數據脫敏處理
    • 加強移動硬盤、U盤、光盤安全,設置密鑰;未知Wifi和外部設備不要連接計算機
    • 涉及商業的文件重點保護,加強人員安全教育,離職更換密鑰
    • 文件傳輸實現文件與密鑰分離傳輸
    • 建立安全管理制度
    • 做好文檔數據記錄工作,加強網絡審計措施,監測記錄系統運行狀態、日常操作
    • 異常行為管理(快速查詢指定賬號的異常行為)
    • 流量監控管理(發現異常流量時通知管理員)
    • 通過安全公司進行定期的滲透檢測

    在這里插入圖片描述

    同時,中國軟件測評中心發布了《醫療行業網絡安全白皮書(2020年)》,其架構如下圖所示。

    在這里插入圖片描述


    2.威脅情報防御

    溯源意圖除了溯源出編寫惡意代碼作者、惡意代碼家族之外,還要挖掘出攻擊者及攻擊者背后的真正意圖,從而遏制攻擊者的進一步行動。360威脅情報中心將基于每個APT攻擊事件的背景信息、攻擊組織、相關TTPs(Tactics, Techniques and Procedures,戰術、技術與步驟)進行描述及重大攻擊事件溯源。在溯源過程中,越往上溯源越難,尤其是如何定位APT組織的人員。

    在這里插入圖片描述

    威脅情報防御包括縱深保護、實時聯動,基于大數據提供動態變化的威脅情報,應用多種創新技術手段加強抵御外部不斷變化的高級威脅,包括預測、防御、響應和檢測。舉個例子,我們本地看到一個IP,我不知道它是好是壞,但是我把這個IP傳到云端,云端通過龐大的威脅校驗機制判斷該IP來自哪個國家、曾經攻擊過哪個企業、IP關聯的黑客家族、文件樣本等。云端把IP信息告訴本地設備,從而確定該IP有害并加入黑名單,通過本地設備和云端實時互聯,提高威脅情報檢測能力。

    各大安全廠商都有自己的威脅情報防御,包括360、安天、奇安信、深信服、綠盟、騰訊、阿里、瑞星、啟明星辰等。下圖展示了深信服提出了“網絡+終端+云端”的體系化建設思路。通過網絡終端實現縱深保護,云端和本地結合可視化展現風險及快速處置,并升級能力進行有效保護。日志可以統一發送給云端平臺,云端再進行日志分析洞悉威脅,定位位置并給出處理建議。

    • 響應:聯動EDR清除終端病毒、聯動封鎖攻擊源
    • 檢測:黑鏈檢測、Webshell后門檢測、失陷主機檢測模
    • 防御:Web應用防護、入侵防御模塊IPS、SAVE防病毒引擎、URL過濾及應用特征識別、ARP欺騙防御及DDoS防御
    • 預防:誤配置、弱口令、漏洞檢查、資產梳理、端口開放檢查

    在這里插入圖片描述


    3.APT溯源

    APT溯源推薦作者的文章 “APT攻擊檢測溯源與常見APT組織的攻擊案例”,下面簡單進行總結:

    (1) 溯源取證

    • 溯源、取證與樣本抽取,釣魚、社工
    • 分組行動、相互配合
    • 鎖定特征碼
    • 大數據關聯分析,感知未發現的攻擊行為
    • 代碼逆向組、流量分析組與網絡調研組

    (2) 美國應急響應中心溯源方法

    • 對被入侵的主機進行還原取證
    • 對木馬樣本進行代碼的逆向分析與解密
    • 對流經國家的數據在傳輸層進行特征碼布控
    • 存儲至少半年的流經數據流量,以便還原攻擊
    • 對VPS代理服務提供商與正常網絡服務提供商,兩者有能力區分,并能落地VPS代理服務提供商的用戶背后真實IP地址
    • 分辨攻擊事件背后的組織,并判定組織的來源、分工、資源狀況、人員構成、行動目標等要素

    (3) 應急響應中心常見的異常網絡行為

    • 端口與協議不匹配,如使用443端口傳輸明文協議
    • 邊界VPN撥入的IP地址不在企業用戶VPN常用IP地址之列
    • 利用VPS服務提供商的代理IP地址訪問企業用的邊界VPN撥入內網
    • Windows事件日志中的特殊ID編號,如ID 5140通常是PSEXEC(內網hash傳遞工具)日志
    • 對于特殊協議要記錄訪問主機IP、目的主機IP,如SMB協議(永恒之藍)要倍加防范

    (4)溯源內容
    惡意樣本的追蹤溯源需要以當前的惡意樣本為中心,通過對靜態特征和動態行為的分析,解決如下問題:

    • 誰發動的攻擊?
    • 攻擊背景是什么?
    • 攻擊的意圖是什么?
    • 誰編寫的樣本?
    • 樣本使用了哪些攻擊技術?
    • 攻擊過程中使用了那些攻擊工具?
    • 整個攻擊過程路徑是怎樣的?

    (5) 溯源方法
    惡意樣本追蹤溯源除了前面介紹的全流量分析、同源分析、入侵日志、域名/IP、攻擊模型外,常見的方法還包括:

    • 時區溯源案例(白象)
    • 關聯分析案例(Darkhotel APT-C-06)
    • 特征相似溯源(摩訶草)
    • 0day漏洞溯源(Lazarus T-APT-15)
    • 蜜罐溯源
    • 基于機器學習和深度學習的APT溯源

    下圖展示了通過時區對白象APT溯源的過程。

    在這里插入圖片描述


    六.總結

    嚴峻的網絡安全對抗和博弈形勢,使得對惡意代碼的演化與溯源技術的研究價值凸顯,學術界、產業界近年來分別從攻擊和防護兩個方面展開了深入的研究。目前,學術界和產業界在惡意代碼溯源技術方面取得了較大的進步,在追蹤惡意代碼組織、黑客組織(攻擊者)、發現未知惡意代碼方面取得了部分研究成果,例如海蓮花、白象、方程式組織等典型 APT 攻擊計劃和黑客團隊的不斷曝光,但依然存在不足和挑戰。

    寫到這里,這篇文章就介紹完畢,希望您喜歡這篇文章?!熬W絡安全提高班”第一篇文章,花費了我4個小時撰寫,近3萬文字,只希望對您有幫助。這篇文章中如果存在一些不足,還請海涵。作者作為網絡安全初學者的慢慢成長路吧!希望未來能更透徹撰寫相關文章。同時非常感謝參考文獻中的安全廠商和大佬們的文章分享,深知自己很菜,得努力前行。

    歡迎大家討論,是否覺得這系列文章幫助到您!如果存在不足之處,還請海涵。任何建議都可以評論告知讀者,共勉~

    2020年8月18新開的“娜璋AI安全之家”,主要圍繞Python大數據分析、網絡空間安全、人工智能、Web滲透及攻防技術進行講解,同時分享CCF、SCI、南核北核論文的算法實現。娜璋之家會更加系統,并重構作者的所有文章,從零講解Python和安全,寫了近十年文章,真心想把自己所學所感所做分享出來,還請各位多多指教,真誠邀請您的關注!謝謝。

    在這里插入圖片描述

    (By:Eastmount 2021-01-15 l凌晨夜于武漢 http://www.gifted-edu.com/eastmount/ )


    已標記關鍵詞 清除標記
    ??2020 CSDN 皮膚主題: 書香水墨 設計師:CSDN官方博客 返回首頁
    實付 9.90元
    使用余額支付
    點擊重新獲取
    掃碼支付
    錢包余額 0

    抵扣說明:

    1.余額是錢包充值的虛擬貨幣,按照1:1的比例進行支付金額的抵扣。
    2.余額無法直接購買下載,可以購買VIP、C幣套餐、付費專欄及課程。

    余額充值
    多乐彩