浅谈溯源分析基础技术
溯源分析就是在通过现象去发掘恶意攻击者背后的故事,没有固定的套路可循,在分析过程中,要像侦探破案一样,大胆心细,不放过任何细枝末节,是一场人与人之间斗智斗勇的过程。
恶意样本溯源分析的前提是针对样本,然后进行对样本做逆向分析、网络行为分析、日志行为分析。挖掘出恶意样本的攻击者或者团队的意图。
网络攻击追踪溯源旨在利用各种手段追踪网络攻击的发起者。相关技术提供了定位攻击源和攻击路径,针对性反制或抑制网络攻击,以及网络取证能力,其在网络安全领域具有非常重要的价值。
对恶意样本溯源分析一般需要结合动态调试和静态调试分析,样本分析过程中还需要结合网络抓包数据分析,获取到攻击者的域名信息。
在对恶意样本分析过程中通常需要关注:恶意样本中是谁发动攻击、攻击的 目的是什么、恶意样本的作者是谁、采用了哪些攻击技术、攻击的实现流程是怎样的。
针对恶意样本的溯源分析可以从同源分析、家族溯源、作者溯源这三方面作为突破点进行分析。
同源分析:通过利用恶意样本间的同源关系,挖掘出可溯源痕迹,并根据它们出现的前后关系判定变体来源。恶意代码同源性分析,其目的是判断不同的恶意代码是否源自同一套恶意代码或是否由同一个作者、团队编写,其是否具有内在关联性、相似性。从溯源目标上来看,可分为恶意代码家族溯源及作者溯源。
家族溯源:恶意样本的家族变体是已有恶意代码在不断的对抗或功能进化中生成的新型恶意样本,针对变体的家族溯源是通过提取其特征数据及代码片段,分析它们与已知样本的同源关系,进而推测可疑恶意样本的家族。例如,Kinable等人提取恶意代码的系统调用图,采用图匹配的方式比较恶意代码的相似性,识别出同源样本,进行家族分类。
作者溯源:恶意样本的作者溯源就是通过分析和提取恶意样本中的相关特征,定位出恶意样本作者相关特征,揭示出样本间的同源关系,进而溯源到已知的作者或组织。例如,Gostev等通过分析Stuxnet与Duqu所用的驱动文件在编译平台、时间、代码等方面的同源关系,实现了对它们作者的溯源。
在分析恶意样本的时候可以参考借鉴下面的几个在线沙箱
微步云沙箱:https://s.threatbook.cn/
奇安信云沙箱: https://sandbox.ti.qianxin.com/sandbox/page
腾讯哈勃:https://habo.qq.com/
Joe Sandbox:https://www.joesandbox.com/
网络攻击溯源可以细分为追踪溯源攻击主机、追踪溯源攻击控制主机、追踪溯源攻击者、追踪溯源攻击组织机构。
常用溯源分析方法包括域名/IP地址分析、入侵日志监测、全流量分析、同源分析、攻击模型分析等。
通过查询域名的whois信息,可以关联到攻击者部分信息,注册名,注册邮箱,注册地址,电话,注册时间,服务商等。
溯源的一般会获取到几个相关信息:攻击时间、攻击IP、攻击类型、恶意文件、受攻击的IP或域名。其中攻击IP、攻击类型、恶意文件、攻击详情是溯源分析的入手点。
通过攻击类型分析攻击详情的请求包,验证是否额可以获取到攻击者相关信息,然后通过相关特征进行威胁情报查询来判断所用IP具体是代理的IP还是真实IP地址。
(图片来源网络)
在获取到可进行溯源的载体后,我们就可以进行对这载体进行溯源分析。针对溯源分析可以由如下四个步骤流程组成。
1、信息查询:针对可溯源的IP或域名通过网络上开放威胁情报平台进行查询
https://x.threatbook.cn/
https://ti.qianxin.com/
https://ti.360.cn/
https://www.venuseye.com.cn/
https://community.riskiq.com/
//ip查域名
https://www.ipip.net/ip.html
https://www.aizhan.com/
https://www.whois.com/
//IP定位
https://chaipip.com/
https://www.opengps.cn/Data/IP/ipplus.aspx
//查询邮箱或手机注册过的网站
https://www.reg007.com/
2、定位目标:利用精准IP定位,进行IP目标位置的确定
3、收集互联网信息侧的用户ID
可以通过利用:微博、贴吧、知乎、豆瓣、脉脉、QQ、微信等社交平台进行对信息收集。如果获取到手机号码可以基于支付方式的支付宝信息、微信信息等支付渠道的信息。
4、进入跳板机收集信息
如果有能力控制了红队的跳板机,则可进入跳板机进行信息收集,查看命令执行的历史记录与日志等
钓鱼邮件攻击通常分为两种:一种带有附件的word宏病毒,一种是引导受害者进入钓鱼网站来获取受害者的敏感信息。
攻防场景:攻击者利用社会工程学技巧伪造正常邮件内容,绕过邮件网关的查杀,成功投递到目标邮箱,诱骗用户点击邮件链接或下载附件文件。
信息收集:通过查看邮件原文,获取发送方IP地址、域名后缀邮箱、钓鱼网站或恶意附件样本等信息。
溯源方式:
第一种,可以通过相关联的域名/IP进行追踪;
第二种,对钓鱼网站进行反向渗透获取权限,进一步收集攻击者信息;
第三种,通过对邮件恶意附件进行分析,利用威胁情报数据平台寻找同源样本获取信息,也能进一步对攻击者的画像进行勾勒。
(图片来源网络)
攻防场景:攻击者通过NDAY和0DAY漏洞渗入服务器网段,Webshell 触发安全预警或者威胁检测阻断了C&C域名的通讯。
溯源方式:隔离webshell样本,使用Web日志还原攻击路径,找到安全漏洞位置进行漏洞修复,从日志可以找到攻击者的IP地址,但攻击者一般都会使用代理服务器或匿名网络(例如Tor)来掩盖其真实的IP地址。
在入侵过程中,使用反弹shell、远程下载恶意文件、端口远程转发等方式,也容易触发威胁阻断,而这个域名/IP,提供一个反向信息收集和渗透测试的路径。
提取样本特征、用户名、ID、邮箱、C2服务器等信息—同源分析
溯源方式:样本分析过程中,发现攻击者的个人ID和QQ,成功定位到攻击者。
溯源分析最终一般需要分析出攻击者画像信息:姓名、照片、攻击者IP、地理位置、QQ、微信、github、邮箱、手机号码、支付宝、IP地址关联域名、IP地址所属公司、以及其他相关的社交账号信息。
通过基于溯源技术挖掘出黑客攻击者背后的真面目,让真相浮出水面!!!
作者: 小道安全
欢迎关注微信公众号 :小道安全