[系统安全] 三十九.APT系列APT攻防溯源普及和医疗数据安全防御总结

Posted 2021-12-18 Eastmount

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了[系统安全] 三十九.APT系列APT攻防溯源普及和医疗数据安全防御总结相关的知识，希望对你有一定的参考价值。

您可能之前看到过我写的类似文章，为什么还要重复撰写呢？只是想更好地帮助初学者了解病毒逆向分析和系统安全，更加成体系且不破坏之前的系列。因此，我重新开设了这个专栏，准备系统整理和深入学习系统安全、逆向分析和恶意代码检测，“系统安全”系列文章会更加聚焦，更加系统，更加深入，也是作者的慢慢成长史。换专业确实挺难的，逆向分析也是块硬骨头，但我也试试，看看自己未来四年究竟能将它学到什么程度，漫漫长征路，偏向虎山行。享受过程，一起加油~

前文带大家学习了安天科技集团首席架构师肖新光老师（Seak）的分享，介绍恶意代码与APT攻击中的武器，包括A2PT的攻击武器、普通APT组织的自研恶意代码、商用恶意代码、无恶意代码作业、开源和免费工具等。本文是“网络安全提高篇”第一篇文章，将带领大家了解网络安全攻防知识点，并以医疗数据安全为基础进行总结，具体内容包括：

一.网络空间安全与溯源
二.网络安全攻防技巧
三.APT攻击经典案例
四.医疗数据安全防护

希望这些基础原理能更好地帮助大家做好防御和保护，基础性文章，希望对您有所帮助。作者作为网络安全的小白，分享一些自学基础教程给大家，主要是在线笔记，希望您们喜欢。同时，更希望您能与我一起操作和进步，后续将深入学习网络安全和系统安全知识并分享相关实验。总之，希望该系列文章对博友有所帮助，写文不易，大神们不喜勿喷，谢谢！如果文章对您有帮助，将是我创作的最大动力，点赞、评论、私聊均可，一起加油喔！

作者的github资源：

逆向分析：https://github.com/eastmountyxz/SystemSecurity-ReverseAnalysis
网络安全：https://github.com/eastmountyxz/NetworkSecuritySelf-study

从2019年7月开始，我来到了一个陌生的专业——网络空间安全。初入安全领域，是非常痛苦和难受的，要学的东西太多、涉及面太广，但好在自己通过分享100篇“网络安全自学”系列文章，艰难前行着。感恩这一年相识、相知、相趣的安全大佬和朋友们，如果写得不好或不足之处，还请大家海涵！

接下来我将开启新的安全系列，叫“系统安全”，也是免费的100篇文章，作者将更加深入的去研究恶意样本分析、逆向分析、内网渗透、网络攻防实战等，也将通过在线笔记和实践操作的形式分享与博友们学习，希望能与您一起进步，加油~

推荐前文：网络安全自学篇系列-100篇

前文分析：

声明：本人坚决反对利用教学方法进行犯罪的行为，一切犯罪行为必将受到严惩，绿色网络需要我们共同维护，更推荐大家了解它们背后的原理，更好地进行防护。

一.网络空间安全与溯源

1.网络空间安全

近年来，网络安全事件和恶意代码攻击层出不穷，它们给国家、社会和个人带来了严重的危害，如分布式拒绝服务攻击(DDoS)、基于僵尸网络(Botnet)的攻击、勒索病毒WannaCry、高级可持续威胁(APT)攻击、利用远程控制木马的信息窃取等。

2017年以来，恶意代码数量依然呈上升的趋势，尤其是新型恶意代码，其数量始终呈逐年递增状态，这对网络空间安全造成了极大的威胁。在这些恶意代码攻击中，攻击者会向目标主机(受害主机)，发送特定的攻击数据包或执行恶意行为。如果能追踪这些攻击数据包的来源，定位攻击者的真实位置，受害主机不但可以采用应对措施，如在合适位置过滤攻击数据包，而且可以对攻击者采取法律手段。因此在网络取证和安全防御领域，网络攻击溯源一直是一个热点问题。

下图展示了APT组织Lazarus（APT38）的重大攻击时间线。如果某次攻击发生时或发生前，我们能够追踪溯源到是某个组织发起的，那是不是就能有效避免一次安全攻击呢？

强推这篇文章：APT组织Lazarus的攻击历程 - Freebuf深信服团队

网络攻击追踪溯源旨在利用各种手段追踪网络攻击的发起者。相关技术提供了定位攻击源和攻击路径，针对性反制或抑制网络攻击，以及网络取证能力，其在网络安全领域具有非常重要的价值。当前，网络空间安全形势日益复杂，入侵者的攻击手段不断提升，其躲避追踪溯源的手段也日益先进，如匿名网络、网络跳板、AN网、网络隐蔽信道、隐写术等方法在网络攻击事件中大量使用，这些都给网络攻击行为的追踪溯源工作带来了巨大的技术挑战。攻击链通常分为七个阶段：

侦查目标(Reconnaissance)：侦查目标，充分利用社会工程学了解目标网络。
制作工具(Weaponization)：主要是指制作定向攻击工具，例如带有恶意代码的pdf文件或office文件。
传送工具(Delivery)：输送攻击工具到目标系统上，常用的手法包括邮件的附件、网站（挂马）、U盘等。
触发工具(Exploitation)：利用目标系统的应用或操作系统漏洞，在目标系统触发攻击工具运行。
安装木马(Installation)：远程控制程序（特马）的安装，使得攻击者可以长期潜伏在目标系统中。
建立连接(Command and Control)：与互联网控制器服务器建立一个C2信道。
执行攻击(Actions on Objectives)：执行所需要得攻击行为，例如偷取信息、篡改信息等。

传统的恶意代码攻击溯源方法是通过单个组织的技术力量，获取局部的攻击相关信息，无法构建完整的攻击链条，一旦攻击链中断，往往会使得前期大量的溯源工作变得毫无价值。同时，面对可持续、高威胁、高复杂的大规模网络攻击，没有深入分析攻击组织之间的关系，缺乏利用深层次恶意代码的语义知识，后续学术界和企业界也提出了一些解决措施。下图展示了一个经典的溯源案例。

为了进一步震慑hk组织与网络犯罪活动，目前学术界和产业界均展开了恶意代码溯源分析与研究工作。其基本思路是：

同源分析：利用恶意样本间的同源关系发现溯源痕迹，并根据它们出现的前后关系判定变体来源。恶意代码同源性分析，其目的是判断不同的恶意代码是否源自同一套恶意代码或是否由同一个作者、团队编写，其是否具有内在关联性、相似性。从溯源目标上来看，可分为恶意代码家族溯源及作者溯源。
家族溯源：家族变体是已有恶意代码在不断的对抗或功能进化中生成的新型恶意代码，针对变体的家族溯源是通过提取其特征数据及代码片段，分析它们与已知样本的同源关系，进而推测可疑恶意样本的家族。例如，Kinable等人提取恶意代码的系统调用图，采用图匹配的方式比较恶意代码的相似性，识别出同源样本，进行家族分类。
作者溯源：恶意代码作者溯源即通过分析和提取恶意代码的相关特征，定位出恶意代码作者特征，揭示出样本间的同源关系，进而溯源到已知的作者或组织。例如，Gostev等通过分析Stuxnet与Duqu所用的驱动文件在编译平台、时间、代码等方面的同源关系，实现了对它们作者的溯源。2015年，针对中国的某APT攻击采用了至少4种不同的程序形态、不同编码风格和不同攻击原理的木马程序，潜伏3年之久，最终360天眼利用多维度的“大数据”分析技术进行同源性分析，进而溯源到“海莲花”组织。

网络攻击追踪溯源按照追踪的深度和精准度可分为：

追踪溯源攻击主机
追踪溯源攻击控制主机
追踪溯源攻击者
追踪溯源攻击组织机构

常用方法包括域名/IP地址分析、入侵日志监测、全流量分析、同源分析、攻击模型分析等。为了进一步防御网络犯罪活动和威慑hk组织，目前学术界和产业界均展开了恶意代码溯源分析与研究工作。网络追踪溯源常用工具包括：

磁盘和数据捕获工具
文件查看器
文件分析工具
注册表分析工具
互联网分析工具
电子邮件分析工具
移动设备分析工具
网络流量取证工具
数据库取证工具
逆向分析工具

2.学术界溯源

学术界旨在采用静态或动态的方式获取恶意代码的特征信息，通过对恶意代码的特征学习，建立不同类别恶意代码的特征模型，通过计算待检测恶意代码针对不同特征类别的相似性度量，指导恶意代码的同源性判定。常见的恶意代码溯源主要包括4个阶段：特征提取、特征预处理、相似性计算、同源判定，各阶段间的流程关系如下图所示。

推荐宋老师：《恶意代码演化与溯源技术研究》

上图是将溯源对象Windows平台的PE恶意文件或android平台的APK恶意文件输入溯源系统，经过特征提取、特征预处理、相似性计算、同源分析获取溯源结果，最终判定攻击家族或作者。

(1) 特征提取
特征提取是溯源分析过程的基础，具有同源性的恶意代码是通过它们的共有特征与其他代码区分开来的。所提取的特征既要反映出恶意代码的本质和具有同源性恶意代码之间的相似性，又要满足提取的有效性。

依据溯源目的，溯源特征提取包括溯源家族的特征提取和溯源作者的特征提取。Faruki等在字节码级别提取统计性强的序列特征，包括指令、操作码、字节码、API代码序列等。Perdisci R等通过n-gram提取字节码序列作为特征。Ki Y等提出了捕获运行过程中的API序列作为特征，利用生物基因序列检测工具ClustalX对API序列进行相似性分析，得到恶意代码的同源性判定。DNADroid使用PDG作为特征，DroidSim是一种基于组件的CFG来表示相似性代码特征，与早期的方法相比，该系统检测代码重用更准确。

下图展示了行为特征提取过程，它从用户态到核心态文件处理，再到核心态磁盘处理，有一系列的函数进行Hooking和InlineHooking进行整体的行为监控，可以帮助我们进行溯源工作。

(2) 特征预处理
特征提取过程中会遇到不具有代表性、不能量化的原始特征，特征预处理针对这一问题进行解决，以提取出适用于相似性计算的代表性特征。特征预处理一方面对初始特征进行预处理，另一方面为相似性计算提供基础数据。常见的特征类型包括序列特征和代码结构特征。

序列特征预处理：包括信息熵评估、正则表达式转换、N-grams序列、序列向量化、权重量化法等，序列特征预处理会将初始特征中冗余特征消除、特征语义表达式增强、特征量化等以便于进行相似性计算。L. Wu通过分析恶意软件敏感API操作以及事件等，将API序列特征转换为正则表达式，并在发生类似的正则表达式模式时检测恶意代码。IBM研究小组先将N-gram方法应用于恶意软件分析中，使用N-gram的统计属性预测给定序列中下个子序列，从而进行相似度计算。Kolosnjaji等提出对API调用序列进行N-gram处理获取子序列，采用N-gram方法将API调用序列转换为N-gram序列，实现过程下图所示。

代码结构特征预处理：在相似度比较时存在边、节点等匹配问题即子图同构算法复杂性，同时代码结构特征中存在冗余结构，因此除去冗余、保留与恶意操作相关的代码结构是预处理的主要目的。常见的方法包括API调用图预处理、CFG图预处理、PDG图预处理等。

(3) 相似性计算
溯源旨在通过分析样本的同源性定位到家族或作者，样本的同源性可以通过分析代码相似性来获取。相似性计算旨在衡量恶意代码间相似度，具体为采用一种相似性模型对恶意代码的特征进行运算。根据预处理特征类型的不同以及溯源需求、效率、准确性等差异，采用不同的相似性运算方法。

目前比较流行的相似性计算方法主要集中在对集合、序列、向量、图等特征表现形式的处理。Qiao等基于集合计算相似性，在不同恶意样本API集合的相似性比较中采用了Jaccard系数方法，将为A、B两个集合的交集在并集中所占的比例作为相似度，比例值越大，证明越相似，如公式所示。

Faruki等提出了采用SDhash相似性散列技术构建样本的签名序列，并采用汉明距离法对序列进行相似性计算，从而识别同源性样本。Suarez-Tangil 等用数据挖掘算法中向量空间模型展示家族的恶意代码特征形式，将同家族提取出来的具有代表性的CFG元素作为特征中维度，采用余弦算法对不同家族的向量空间模型进行相似度计算，根据余弦值来判断它们的相似性，从而识别出相似性样本，进而归属到对应的家族。用于比较向量的余弦相似度反映了恶意代码间的相似性，其具体公式如公式所示。

Cesare等提出了最小距离匹配度量法，比较不同样本的CFG图特征的相似性。Kinable等通过静态分析恶意代码的系统调用图，采用图匹配的方式计算图相似性得分，该得分近似于图的编辑距离。利用该得分比较样本的相似性，采用聚类算法将样本进行聚类，实现家族分类。

(4) 同源分析
学术界常见的同源判定方法主要包括基于聚类算法的同源判定、基于神经网络的同源判定等。Kim等采用DBSCAN算法对基于调用图聚类，发现类似的恶意软件。Feizollah等提出采用层聚类算法，构建家族间演化模型，进而发掘家族功能的演化。Niu等提出了层次聚类和密度聚类算法结合的快速聚类算法对操作码序列特征进行聚类，以识别恶意软件变体，该方法识别变体效率较高。

神经网络是一种多层网络的机器学习算法，可以处理多特征以及复杂特征的同源判定。基本思想为：将样本特征作为输入层数据，然后不断调整神经网络参数，直到输出的样本与该样本是一种同源关系未为止。它会将恶意代码特征送输入层，即可判断恶意代码的同源性.。赵炳麟等提出了基于神经网络的同源判定方法，其整体实现框架如下图所示。

3.企业界溯源

产业界除了采用与学术界类似的同源判定方法之外，还会通过关联的方法对恶意代码进行溯源。产业界的溯源意图除了溯源出编写恶意代码作者、恶意代码家族之外，还要挖掘出攻击者及攻击者背后的真正意图，从而遏制攻击者的进一步行动。

产业界与学术界溯源方法的差异主要表现在特征提取和同源判定两个方面：在特征提取上，产业界更倾向于从代码结构、攻击链中提取相似性特征；在同源判定上，除了采用与已有的历史样本进行相似度聚类分析之外，产业界还会采用一些关联性分析方法。相比学术界溯源特征，产业界溯源特征更加详细全面，信息复杂度大。因此，学术界的同源判定方法并不能完全用于产业界各类特征的相似性分析中，常见产业界溯源方法分类如下表所示。

推荐绿盟李东宏老师文章：http://blog.nsfocus.net/trace-source/

(1) 恶意攻击流程及溯源方法
恶意样本溯源追踪主要去了解攻击者或者团队的意图。恶意攻击的活动大概有如下7步骤：

Reconnaissance：侦查，充分的社会工程学了解目标。
Weaponization：定向攻击工具的制作。常见的工具交付形态是带有恶意代码的pdf文件或office文件。
Delivery：把攻击工具输送到目标系统上。APT攻击者最常用这三种来传送攻击工具，包括邮件附件、网站（挂马）、USB等移动存储。
Exploitation：攻击代码在目标系统触发，利用目标系统的应用或操作系统漏洞控制目标。
Installation：远程控制程序的安装。使得攻击者可以长期潜伏在目标系统中。
Command and Control (C2) ：被攻破的主机一般会与互联网控制器服务器建立一个C2信道，即与C2服务器建立连接。
Actions on Objectives：经过前面六个过程，攻击者后面主要的行为包括：偷取目标系统的信息，破坏信息的完整性及可用性等。进一步以控制的机器为跳转攻击其它机器，扩大战果。

恶意样本的追踪溯源需要以当前的恶意样本为中心，通过对静态特征和动态行为的分析，解决如下问题：

谁发动的攻击？
攻击背景是什么？
攻击的意图是什么？
谁编写的样本？
样本使用了哪些攻击技术？
攻击过程中使用了那些攻击工具？
整个攻击过程路径是怎样的？

企业界恶意样本追踪溯源可以采取如下方法：

全流量分析
同源分析
入侵日志
域名/IP
攻击模型/攻击框架

(2) 域名/IP
这种溯源方法是最基本的方法，通过对攻击者使用的域名和IP地址进行分析，挖掘攻击源头。查询域名的whois信息，可以关联到攻击者部分信息，如注册名、注册邮箱、注册地址、电话、注册时间、服务商等。

案例分析
Checkpoint经过细致分析后，最终归纳出一个首要攻击者，即昵称为“Nexxus Zeta”的一个hacker，原因在于攻击者在注册僵尸网络的某个C&C域名（nexusiotsolutions.net）时，所使用的邮箱地址包含相关信息。

该邮件地址（nexuszeta1337@gmail.com）与C&C域名有一些交集，因此怀疑这个地址并不是一次性邮件地址，可以根据该地址来揭晓攻击者的真实身份。当搜索Nexus Zeta 1337时，在HackForums上找到了一个活跃的成员，该成员的用户昵称为“Nexus Zeta”，自2015年8月起已经是HackForums的一份子。虽然这个人在这种论坛上活跃度很低，但他发表了几篇帖子，从这些帖子中并没有发现他的专业水平有多高。不过有趣的是，他最近关注了如何建立起类似Mirai的IoT僵尸网络。

NexusZeta在社交媒体上也颇为活跃，主要是在Twitter以及Github上，他在这两个平台上都公布了自己的IoT僵尸网络项目。实际上，这个人还将其Github账户关联到前面提到的那个恶意域名（nexusiotsolutions.net）。分析人员也找到了他所使用的Skype以及SoundCloud账户，使用人名为Caleb Wilson（caleb.wilson37 / Caleb Wilson 37），因此溯源到该作者，但遗憾的是无法确定这个名字是否就是其真实姓名。

参考文献：https://research.checkpoint.com/good-zero-day-skiddie/

(3) 入侵日志
这种溯源分析方法偏向于主机取证分析，攻击者在入侵到主机后的行为分析。对攻击者留下的大量操作日志进行分析后，可以提取相关攻击者的信息，包括：

连接服务器使用VPS信息。
登陆主机后，一般为了维持对主机的访问权限，会尝试创建自己的账号及密码。
攻击者为了偷取数据，使用的ftp或者数据服务器信息。
通过对攻击者的登陆时间进行分析，可以基本定位所在大区域（北半球，南半球）。
登陆主机后的操作模型，不同的攻击者，入侵成功后进行的行为有差异，每个人都有自己的行为指纹特征。

简单举个例子，不少攻击者习惯使用自动化的工具，去提取主机上的敏感信息（网站，邮箱，比特币，网银等账号密码），入侵成功后（钓鱼，社工，水坑攻击等），会在受害者机器上安装间谍软件，进行主机行为监控，并且定时将截获的敏感信息上传到服务上。大多使用三种通信方式窃取敏感信息：ftp、smtp、http。

案例分析
通过分析入侵日志，最终分析其预置的监控程序。该样本中攻击者使用加密的smtp服务器窃取敏感信息，在样本分析过程中可以获取到邮箱的用户名与密码：

接着利用获取到的登陆凭证可成功登陆攻击者邮箱：

在邮件内容中，发现了攻击者的真实邮箱，之后通过进一步溯源分析，定位到了攻击者。下图是攻击者真实的twitter账号：

(4) 全流量分析
某些攻击者或者组织的反跟踪意识非常强，基本上不会留下任何痕迹，在达成入侵目的之后（窃取数据），会完全清除入侵痕迹，或者干脆销毁主机硬盘。

例如，2015年乌克兰电厂遭受攻击之后，攻击者利用killdisk组件销毁了全部数据。当然有些也不会留下在主机上的任何操作痕迹，部分勒索软件也是通过同样的手段进行痕迹擦除。这类案例也非常多，基本上在受害者机器上找不到任何痕迹，这时进行全流量分析溯源就相当有效了。

案例分析
这里以2017年Flareon 4th逆向挑战赛最后一题为例。

它描述了一个APT攻击场景，需要通过分析数据包及PE文件，还原整个攻击过程。从网络下载加密的恶意代码在本地进行解密：

解密后的内容为一个远控端，其和主控端的通讯流量通过了全加密，网络传输数据格式如下：

相关的加解密及功能模块如下：

过流量分析发现攻击者入侵行为如下：

入侵到168.221.91后，先获取了屏幕截图（内容包含了一个密码）。
查看c:\\work\\FlareOn2017\\Challenge_10\\TODO.txt，发现larry相关提示（根据前期信息收集结果，可以知道johnson主机名）。
通过ping命令获取到内网johnson主机IP地址（192.168.221.105）。
使用psexec在johnson的主机上安装后门srv2.exe（监听本地16452端口）。
之后通过内网代理连接该后门，通过代理插件上传加密模块到了johnson的主机上c:\\staging\\cf.exe。
利用加密程序（exe）对lab10的文件进行加密，之后将原始文件删除，并且通过代理传到了hk手里。

该案例中仅通过全流量分析，最终还原整个入侵过程、攻击行为以及窃取的内容，而在真实的环境中需要结合入侵日志进一步对恶意样本攻击进行追踪溯源。

(5) 同源分析
该方法主要为在获取到恶意样本后，很难第一时间关联到攻击者或者恶意样本提供者的信息，但是可以通过和历史恶意代码进行相似度分析，获得历史攻击事件，从而关联到相应的组织或团体。这种溯源方法多用于定位APT组织或者某些知名的攻击团体（方程式）的行动，需要投入大量的人力，时间去完成溯源跟踪分析。

APT组织或者知名黑客团队，一般都有各自的工具定制开发部门，负责各类工具的开发，以及漏洞利用工具的量产（从今年4月份泄露的方程式组织内部的工具以及CIA泄露的部分文档就可以看出端倪）。其部分划分组织架构都非常清晰，有专门负责工具开发的部门，例如：远控开发部门、硬件研究部门、漏洞挖掘部门、漏洞利用工具编写的部门等。常用方法包括：

设计思路溯源
编程特征溯源
通讯协议溯源
数字证书溯源

案例分析
通过设计思路溯源。每个程序员在软件实现的时候，会使用自己比较熟悉的一套代码风格和实现算法，每个团伙或者组织在攻击目标时也会有一套自己特有的攻击方法，针对恶意样本可以通过行为日志的相似度、代码混淆风格以及相关的实现算法进行同源判定。下图展示了安天利用“破壳”漏洞投放的6个Bot具有同源性。

“破壳”漏洞相关恶意代码样本分析报告_V1.9 - 安天

(6) 攻击框架
这种溯源方法主要见于某些专业化程度比较高的个人或者组织，他们有自己的攻击常规套路，并且长期专注于一个领域的攻击。比如，在一次应急响应中通过取证分析，了解到攻击使用的攻击模型如下：

注册域名，根据攻击目标选择有意义的域名。
在GitHub上注册一个新账户和创建一个开源项目。
编译源码后捆绑恶意软件，一般选择advanced installer作为捆绑打包器（还有AutoIt，NSIS）。
发布到搭建的网站上。
在互联网上发布推广其软件。
窃取用户敏感数据（账号密码）。
进行数据直接套现，或者通过信息倒卖平台间接变现。

之后利用该攻击模型对样本库中的文件进行筛选，定位到另外3套与该模型完全匹配的案例，进一步分析匹配到的样本后，首先确认了该4套样本出于同一开发团队，经过溯源分析准确定位到了攻击者。

“天网恢恢疏而不漏”，溯源分析旨在通过现象去发掘样本背后的故事，没有固定的套路可循，在分析过程中，要像侦探破案一样，大胆心细，不放过任何细枝末节，是一场人与人之间斗智斗勇的过程。同时，企业针对APT溯源提出了不同的框架，比较经典的框架包括：

ATT&CK：https://attack.mitre.org/
从视觉角度来看，MITRE ATT＆CK矩阵按照一种易于理解的格式将所有已知的战术和技术进行排列。攻击战术展示在矩阵顶部，每列下面列出了单独的技术。一个攻击序列按照战术，至少包含一个技术，并且通过从左侧（初始访问）向右侧（影响）移动，就构建了一个完整的攻击序列。一种战术可能使用多种技术。例如，攻击者可能同时尝试鱼叉式网络钓鱼攻击中的钓鱼附件和钓鱼链接。

安天智甲框架
智甲将安天自主先进的威胁检测引擎与驱动级主防有效结合，依托动态防护策略可帮助用户有效应对层出不穷的新威胁。

Threatcrowd
一个威胁搜索引擎，能让用户搜索和调查与IP、网站或机构相关的威胁。它也提供了API，利用ThreatCrowd API你可以搜索域名、IP地址、邮件地址、文件哈希、杀软检测等。它会从virustotal和malwr.com上获取信息，它也提供了MALTEGO转换，方便分析和关联数据。

常用在线沙箱
– https://virusshare.com/
– https://app.any.run/
– https://www.virustotal.com/gui/d
– https://s.threatbook.cn/

4.无处不在的网络威胁

“没有网络安全就没有国家安全”。自全球第一个计算机病毒出现后，网络威胁无处不在。同样，人们通过与病毒长期的斗争，积累了大量反病毒经验，掌握了大量实用的反病毒技术，并研制出一系列优秀的反病毒产品，主要用于病毒的防护、检测及其清除等。

恶意代码的检测是将检测对象与恶意代码特征（检测标准）进行对比分析，定位病毒程序或代码，或检测恶意行为。常见的检测技术包括特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术、主动防御技术，以及新兴的云查杀技术、深度学习检测等。

下面介绍几个比较经典的安全事件，也希望读者通过这篇文章对网络空间安全有一定的了解。

心脏滴血漏洞
2014年4月7号谷歌工程师NeelMehta发现了名为“心脏滴血”的OpenSSL漏洞，该漏洞在互联网界引发了腥风血雨，让很多世界知名互联网公司为之一颤。在黑客社区，它被命名为“心脏滴血”，表明网络上出现了“致命内伤”。利用该漏洞，黑客可以获取约30%的https开头网址的用户登录账号密码，其中包括购物、网银、社交、门户等类型的知名网站。

WannaCry勒索病毒
2017年5月12日，WannaCry蠕虫通过NSA永恒之蓝MS17-010漏洞(445端口)在全球范围大爆发，感染大量计算机。WannaCry勒索病毒全球大爆发，至少150个国家、30万名用户中招，造成损失达80亿美元，已影响金融、能源、医疗、教育等众多行业，造成严重的危害。下图是作者之前复现的效果。

斯诺登与“棱镜”计划
“棱镜”窃听计划始于2007年的小布什时期，棱镜包括两个项目：监ting民众电话的通话记录，监shi民众的网络活动。包括对中国三大运营商的短信窃取，对中国六大骨干网之一的教育科研网总节点如清华大学的入侵等。同时，棱镜（PRISM）还只是美国NSA众多项目中的一个，还比如星风项目（STELLARWIND）、核子项目（NUCLEON）、主管道项目、码头项目等。

震网（Stuxnet）事件
震网病毒（Stuxnet）是一种Windows平台上的计算机蠕虫，这是有史以来第一个包含PLC Rootkit的电脑蠕虫，也是已知的第一个以关键工业基础设施为目标的蠕虫。它借助美国与以色列的QB机构之手，瘫痪了伊朗的核设施，对全球工业系统的造成了巨大的风险。

SolarWinds供应链攻击事件
2020年12月13日，美国网络安全公司FireEye发布分析报告称，SolarWinds 旗下的Orion基础设施管理平台的发布环境遭到黑客组织入侵，黑客对文件SolarWinds.OrionCore. BusinessLayer.dll的源码进行篡改添加了后门代码，该文件具有合法数字签名会伴随软件更新下发。后门代码伪装成Orion OIP协议的流量进行通信，将其恶意行为融合到SolarWinds合法行为中。FireEye称已在全球多个地区检测到攻击活动，包括北美、欧洲、亚洲和中东的一些机构、咨询、技术公司。

二.网络安全攻防技巧

1.网络安全技术路线

网络安全（Web渗透）是通过模拟恶意黑客的攻击，来评估计算机网络系统安全的一种评估方法。渗透测试主要分为黑盒测试和白盒测试两种方式。不同的人有不同的框架，下面从企业界和学术界介绍两种技术路线。

(1) 企业网络安全技术路线

基础知识： Web发展简史、计算机网络、域名系统、HTTP标准、代码审计、WAF
信息收集：域名信息、站点信息、端口信息、其它
内网渗透： Windows信息收集、持久化、Linux信息收集、痕迹清理、内网信息收集、工作组和域、横向扩展和纵向扩展
常见漏洞： SQL注入、XSS、CSRF、SSRF、命令注入、文件读取、文件上传、文件包含、XXE、模版注入、Xpath注入、逻辑漏洞、业务漏洞、配置安全、中间件、Web欺骗攻击
语言与框架： php、Python、Java、javascript、Ruby、C\\C++、C#
防御技术：总体思路、团队建设、威胁情报、风险控制、加固检查、蜜罐技术、入侵检测、应急响应、溯源分析
工具与资源：工具列表、推荐资源、爆破工具、下载工具、流量相关、嗅探工具、SQLMap、BurpSuite、MetaSploit、Cobalt Strike
其他：认证方式、拒绝服务攻击、DNS劫持、Docker
红蓝对抗

(2) 学术界网络空间安全知识体系

应用安全技术知识
系统安全理论与技术
网络安全理论与技术
网络空间全基础理论
密码学基础知识

2.网络安全基础案例普及

(1) 电信ZP和一码多用
当我们收到一些电话或短信时，可能会去点击按键或链接，这类钓鱼操作会导致我们的个人隐私泄露。2013年某公司泄露了海量用户数据，其原理是黑客进行脱库（数据库）操作，脱库之后他们还会继续挖掘用户的隐私信息。用户在使用购物或系统门户网站时，很可能会设置相同或相近的用户名、密码，通过撞库能获取更多有价值的信息，他们再卖这些数据谋求利益。

安全建议：密码设置尽量有变换，不要轻易点击恶意链接或恶意邮件

(2) 弱口令攻击
通常认为容易被别人猜测到或被PJ工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令，例如“123”、“abc”、“qwe”等，因为这样的口令很容易被别人破解，从而使用户的计算机面临风险，因此不推荐用户使用。常见弱口令有：数字或字母连排或混排，键盘字母连排；生日，姓名+生日；短语密码等。

密码管理器NordPass公布了2020年最常用密码TOP200榜单，可以说，这是2020年最糟糕的200个密码。排名靠前的几个密码，相信大多数人都非常熟悉：如123456、123456789、password、111111、123123、qwerty、000000等等，看来全球用户都“青睐”数字。而这些密码被弱口令攻击都不需要1秒钟。

安全建议：第一时间更换初始密码，内部电脑密钥需要单独设置，专人保管，尤其注意弱口攻击及社会工程学

(3) 伪基站、Wifi探针或鱼叉式钓鱼邮件攻击
伪基站是指移动小型基站，可以定位你的GPS位置，再发送欺骗短信或电话。比如，骗子伪装成95588，利用伪基站向手机发送短信，当用户按照短信提示登录钓鱼网址时，他的银行卡号和密码就会被泄露。除了诈骗，还会建立联盟调查信息库，可以查看到开房记录、上网记录、常住暂住人口信息。

Wifi探针是当用户手机无线局域网处理打开状态时，会向周围发出寻找无线网络的信号，探针盒子发现这个信号，就能迅速识别出用户手机的MAC地址。而MAC地址可以转换成IMEI号，再转换成手机号码。为了获取更多用户个人信息，一些公司将这个小白盒子放在商场、超市、便利店、写字楼等，在用户毫不知情的情况下，搜集个人信息。

同时，某些手机APP恶意收集用户隐私信息，并生成用户画像，通过电话、短信、微信、QQ等发送个性化广告。APP安装时，需要同意权限才能安装，此时它能读取用户信息，比如315晚会曝光的墨迹天气APP隐私泄露案例。

安全建议：陌生或不熟悉的Wifi不要轻易链接，恶意请求不要轻易点击。APP尽量下载熟悉的软件且不要开启太多系统权限

(4) 企业非法竞争
某个药业公司需要研发一种药，想对用户人群的需求和购买力做个评估，但是做调研的时间成本和人力成本太大了，他们就会想一些“捷径”。找到黑客，让其进某医院的病例数据库，把病例数据复制下来直接分析。再比如某网站为惊醒大家注意摄像头安全，实现如下左图所示直播功能（Network live IP video cameras），右图新冠检测系统用户数据被非法出售。

(5) 利用漏洞植入木马
利用漏洞或恶意软件实施攻击，常见功能包括：捕获屏幕、摄像头、语音通话、远程连接、键盘记录、获取Webshell（管理员权限）、数据库脱库等。

安全建议：部署适当的安全防护软件，防止钓鱼邮件攻击，划分子网及内网不访问互联网

(6) 商业隐私保护
前面介绍了很多软件及互联网相关的安全，那么物理设备存在吗？当前，通过物理设备实施商业相关的物理攻击也很常见，商业隐私案件中有60%与员工离职有关，两类高危人群分别是高管和特殊职位员工。同时各种隐秘的摄像头越来越多，都需要大家注意，如下图所示的插板、衣架螺丝中都切入了隐秘的微型摄像头，甚至有通过向会议室玻璃窗发射激光获取音频信息的案例。

安全建议：涉及商业的文件重点保护，加强人员安全教育，离职更换密钥，重置系统权限，提升个人的安全意识。

(7) 供应链攻击与硬件安全
通过供应链采购实时恶意软件植入，同时通过硬件设备窃取信息的案例也越来越多。如下图所示的HACKUSB（数据线&支持快充）、BadUSB（恶意代码隐藏的USB）、恶意移动充电宝等。

安全建议：加强移动硬盘、U盘、光盘安全，设置密钥；未知Wifi和外部设备不要连接我们的电脑。同时，建立网络隔离机制，做好数据使用记录。

(8) 社会工程学
社会工程学（Social Engineering）是一种通过人际交流的方式获得信息的非技术渗透手段。这种手段非常有效，而且应用效率极高。事实上，社会工程学已是企业安全最大的威胁之一。通过社工攻击手段，筛选和整理你的个人信息、家庭状况、兴趣爱好、婚姻状况，以及你在网上留下的一切痕迹，再进行渗透。这是一种无需依托任何黑客软件，更注重研究人性弱点的黑客技术。

基于人的社工：搭载、伪造身份、偷听、窃肩、反社工、垃圾桶工程
基于计算机的社工：弹出窗口、钓鱼邮件、短信诈骗、内网攻击
安全建议：严防社工工程学攻击

(9) 0day漏洞和1day漏洞利用
利用漏洞实时攻击，如下图所示，WannaCry蠕虫通过NSA永恒之蓝MS17-010漏洞(445端口)在全球范围大爆发，感染大量计算机。

安全建议：安装合适的杀毒软件，系统和软件的漏洞补丁及时修复。

(10) 内网渗透
什么是内网？比如大家连在同一个WIFI下，就可以称为内网。换句话说，从外部网络不能直接访问的网络就称之为内网。比如，在公司文件服务器搭建了一些资源，外部互联网的人是不能直接访问这些资源的。

参考：i春秋YOU老师分享的小白渗透之路

首先，我们来看一张网络拓扑图，最常见的企业网络。由图可知，一个企业网络对外通常会存在一个防火墙，防火墙中有个路由器，路由器接入很多电脑，包括三块区域（DMZ区、核心业务区、办公区），DMZ区放置一些对安全性不高的服务器，比如邮件、门户网站服务器等；核心业务区存放企业核心数据库、OA系统、ERP系统；办公区是企业员工办公网络。

安全建议：独立使用专网，配置虚拟机、防火墙；授权安全公司进行内网渗透测试，给出安全建议及保护措施；结合之前的安全意识进行保护。

假设现在一名白帽子需要攻击测试这个内部网络，想直接访问核心业务区的数据库是不可能的，而公司在DMZ区提供了对外的Web服务器，能够让你直接在互联网里面访问。

第一步，信息收集及技术性弱点识别，通过技术性手段拿下公司DMZ区的门户网站这台服务器。
第二步，通过门户网站服务器进入到公司的内部网络，我们称之为跳板。接着进行权限的维持和提升，下次再进行攻击时不需要重新收集信息，以门户网站作为据点，对内网进行渗透。
第三步，内网渗透并横纵向扩展获取相关信息。

下面介绍一个内网渗透案例，该案例均是授权情况下进行的渗透测试，切勿进行非法渗透或攻击。由该网络拓扑图可知，正常访问时会通过CDN（内容分发转网络）、WAF（应用防护系统）等安全软件，从而过滤并保护我们企业的网络安全。白帽子需要想一个办法：能不能让我们的访问不经过CDN和WAF呢？

答案是可以的。
第一步，全面收集信息
通过全面信息收集，找到与目标相关的信息网站。
第二步，寻找有用线索
深入分析并发现网站源码内存在真实IP泄露。

第三步，进一步搜集和利用有用信息
针对真实IP开展端口扫描，找到对应的端口和服务BBS。该网站存在一个信息泄露的漏洞，通过目录扫描找到泄露的账号密码，即在BBS的日志内搜索并成功解密出用户账号和密码信息。

第四步，利用有用信息进入内网
以上是关于[系统安全] 三十九.APT系列APT攻防溯源普及和医疗数据安全防御总结的主要内容，如果未能解决你的问题，请参考以下文章

[系统安全] 四十二.APT系列基于溯源图的APT攻击检测安全顶会论文总结

[系统安全] 四十二.APT系列基于溯源图的APT攻击检测安全顶会论文总结

[系统安全] 三十八.APT系列恶意代码与APT攻击中的武器（Seak老师）

[系统安全] 三十七.APT系列远控木马详解与防御及APT攻击中的远控

[论文阅读] (10)基于溯源图的APT攻击检测安全顶会总结

带你读顶会论文丨基于溯源图的APT攻击检测