红蓝对抗之溯源

话说一开始的网络世界没有什么红蓝对抗，无非是有黑客攻击网络资产，资产所有者及其安全防护方见招拆招罢了，因为刚开始的黑客攻击简单粗暴直接，比如在你的网站种个马，埋个链啥的，不高兴了直接脱库删库，而防护方也是不厌其烦的删除这个马，干掉那个链，备份恢复下数据库，看上去很“和谐”！

但随着黑客的攻击技术手段的野蛮生长，渗透攻击呈多样化发展，同时，他们也不满足于攻击的“一锤子买卖”，故此黑客变换了策略，开始对一些高价值的网络资产进行持续的定向威胁攻击，同时运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且隐蔽性极强的威胁和攻击，这种攻击我们称之为APT攻击，这使得防护方越来越难以察觉和反制。

而近年来，网络攻击再一次升级，特别是斯诺登爆料的美国网络战使用的武器库，里面集成了大量的APT攻击载荷，使得网络攻击方的攻击能力空前强大，也使得世界诸国不得不重视起网络安全。

基于此，溯源的重要性就被推崇到了一定的高度，于是乎在13年后，应运而生出两个著名的溯源理论模型：杀伤链模型&钻石模型。

Anyway，这些复杂的模型因篇幅所限就不展开了，但是有一点，无论杀伤链模型还是钻石模型也好，溯源的根本动机就在于寻找这些模型每个节点之间的攻击路径可能留下的攻击者的痕迹，帮助安全防护方及早介入发现并处置危险的攻击行为，用以斩断每个攻击节点之间的逻辑链条，最大限度减少组织资产的损失。

溯源的方法其实说白了就三板斧：

攻击源的获取、甄别并不是一件易事，首先你得搞清楚自己的网络资产范围，我们很多组织，特别是类似我司这种组织架构庞杂，资产众多的企业，如果连基本的网络资产台账都没有，想要做溯源简直是南辕北辙，因此，一份精心梳理并时常维护的网络资产台账是溯源的前提条件。

其次，厘清自身的安全监测资源，包括有哪些安全设备，安全监测的环节是否完整，是否有相应的安全应急措施，以及相关的安全技术人员或支撑团队，有了这些，才可以说具备了捕获攻击源的能力和手段。

满足了上述两个条件，拿现在流行的词语说就是有效的识别了暴露面与攻击面，溯源算是有了眉目，一般有五大类攻击源捕获手段，分别是：

当然，这几种方法也不是孤立的，往往会整体去分析考量各种攻击面的有用信息，如果有条件的企业，在这里还建议上一些集成的安全分析和预警系统，比如我们常听到的SOC、态势感知、安全大脑这些玩意，通常他们都会有这方面的功能。

• 逆向类：Ida、JEB

• 文件编辑类：010 editor、Winhex

• 监控dump类：processmonitor、Wireshark、SRsniffer

• 固件类：Binwalk、BIN2BMP、PIXD

• 虚拟身份：ID、昵称、网名

• 真实身份：姓名、家庭/办公物理位置

• 联系方式：手机号、QQ/微信、邮箱

• 组织情况：单位名称、职位信息

最终效果示意：

为了形象的说明溯源整个流程，下面列举一个真实的邮件钓鱼溯源的案例，本案例来源于去年HVV行动的公开报告材料，部分删减脱敏。

案例过程如下：

威胁识别

某企业安全防护方收到疑似钓鱼邮件报告，技术人员查看后确认是钓鱼邮件，拿到钓鱼邮件样本，随即展开分析工作。

沙箱分析

通过云沙箱对样本进行分析，发现其为word 宏病毒。

宏代码分析

安全模式下打开文件观察其宏代码。分为 Od7aj7ii3yu和K946e0s3qiq0两部分宏代码，Od7aj7ii3yu函数为一个私有方法在文档打开时创建了6个字符串数组对象，为后续操作做准备；K946e0s3qiq0为恶意宏代码的主体程序，代码中使用字符串拼接作为字典，使用mid、trim、split函数偏移对无序字符串进行取值。

宏代码行为画像

进一步分析宏代码，目的是获取计算机环境信息，并调用powershell执行代码，同时还会释放出一个EXE文件。

分析释放的EXE文件

分析宏代码释放的EXE文件，在函数中发现了自定义的函数名称为 lhxXfY9mIrDZ，结合宏代码中的pizdec，过程中还发现该文件含有俄文，大概率来自俄罗斯，进一步调试发现该EXE会通过加载器拼接下载地址在本地下载木马核心。

木马暴露信息

在IDA中分析木马文件，发现木马作者忘记删去本机的调试路径，根据此路径为关键字搜索可以确定该钓鱼邮件的组织为Emotet！得到组织名称后，接下来我们目光转到另一个分支：宏代码调用powershell执行命令。看能否挖掘出其他有价值的信息。

Powershell隐藏信息

继续在安全环境中执行powershell，通过对执行中的 powershell 代码进行解码分析，得到源代码（部分源码示意）：

通过URL溯源

将捕获的URL丢在情报平台进行查看，发现都是来自德国和波兰的钓鱼网站，但最终锁定Emotet 的银行木马。

攻击者信息

Emotet组织是近年来相当活跃的APT组织，Emotet背后的运营团队是Mealybug，成员多来自俄罗斯，早期目标主要针对德国和奥地利的银行，近年已经改变了其商业模式，从针对欧洲的银行客户转变为了使用其基础设施为全球其他威胁行为者提供恶意软件包装和交付服务。此次钓鱼邮件攻击，就是针对于政府企业的一次APT攻击。下图展示了Emotet组织攻击痕迹：

处置措施

为了从整个攻击面中斩断逻辑链，针对此次钓鱼事件，安全防护方做了以下几点缓解措施：

1.企业内部再次强调防范钓鱼邮件，禁止点击未知链接，禁止打开未知附件。

2.通过终端防护系统下发策略，覆盖宏命令执行和powershell命令执行的终端防护。

3.将捕获的木马下载URL以及源码中解析的远端URL加入http/tcp协议黑名单。

4.将捕获的远端解析IP加入防火墙黑名单。