日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

想象一下，有一個團伙，一直在監視你，你在明他在暗，他長期潛伏，收集關鍵情報，只為找準機會，對你發起“襲擊”……害怕嗎？在網絡世界里，這種事情在默默上演，受害者可能是個人、可能是組織、可能是企業，而后果可能是“致命”的……怎么辦？你只能一籌莫展？當然不是！

10月23日，在第五屆看雪安全開發者峰會（2021 SDC）中，深信服藍軍高級威脅攻防研究員閆忠進行了主題為《多維度視角下APT挖掘實踐》的分享，以追蹤海蓮花APT組織攻擊活動的實戰經驗為例，詳細分析了反向追蹤APT組織的實戰思路。

2021 SDC現場：深信服藍軍高級威脅攻防研究員閆忠

惡意文件的挖掘是反向追蹤APT攻擊者的關鍵

閆忠在分享時提到，APT 整個攻擊鏈中，存留時間最長的數字類型證據是惡意文件，惡意文件在整個網絡安全領域里存留時間最長，且因外因變化而改變的概率小，不易被篡改。因此，在反向追蹤APT攻擊者的過程中，惡意文件的挖掘是關鍵。

在惡意文件的挖掘中，可以充分利用 PE 文件元數據來追蹤APT攻擊者的更多樣本，然后再對APT攻擊者的樣本進行研究擴展，從而遞歸找到APT攻擊者更多的惡意文件與 IOC 情報。閆忠提到，可以從文件名、imphash 值、Rich header 哈希值、數字證書、模糊哈希（SSDEEP、TLSH、VHASH）等多個維度，挖掘到更多所屬攻擊者的惡意文件。

實戰！一步步反向追蹤并成功阻斷海蓮花APT攻擊

據深信服發布的《2020年網絡安全態勢洞察報告》，2020年，海蓮花主要對東南亞地區相關國家以及本國海內外異見人士進行攻擊與信息監聽，十分活躍，因此其也成為深信服藍軍高級威脅攻防研究團隊監控的主要目標之一。

通過對海蓮花在文件側與網絡側進行多維度挖掘實踐，深信服藍軍高級威脅攻防研究團隊挖掘到了海蓮花大量文件側與網絡側的 IOC 情報，從而發現并阻斷了好幾起海蓮花組織的攻擊事件……

文件側：深信服藍軍高級威脅攻防研究團隊充分利用 PE 文件元數據以及樣本獨特的特征來追蹤海蓮花的更多樣本，并在更高維度采用了代碼同源性分析來挖掘更多樣本。

網絡側：因為從定制化的攻擊樣本中，無法挖掘到海蓮花組織的更多情報，深信服藍軍高級威脅攻防研究團隊為了突破這個限制，將以網絡資產為核心的挖掘作為新的拓展方向。

捕獲海蓮花網絡資產方式1：異常數據分析

通過深信服藍軍高級威脅攻防研究團隊的持續觀察，對大量控制命令服務器網絡交互數據 Server 字段的查看，“Apache/2.4.34 (Red Hat) OpenSSL/1.0.2k-fips”引起了研究人員的注意，因為這組數據的標題為“Welcome to nginx!”，依據這個異常數據，深信服藍軍高級威脅攻防研究團隊挖掘到一批網絡資產，確定了其中屬于海蓮花組織的網絡資產。

捕獲海蓮花網絡資產方式2：多個特征結合關聯

除了上述提到的方法，依據 SSL 證書的強關聯特性，深信服藍軍高級威脅攻防研究團隊發現海蓮花組織的 C&C 服務器往往采用自簽名證書，通過“篩查自簽名證書的網絡資產，限定選擇返回的數據長度 501 字節，且服務端組件為‘nginx 1.8.0’”的方式，深信服藍軍高級威脅攻防研究團隊又發現了其中屬于海蓮花組織的網絡資產。

捕獲海蓮花網絡資產方式3：利用掌握的運營特征指紋擴大戰果

此外，深信服藍軍高級威脅攻防研究團隊結合從文件側挖掘到的惡意攻擊文件，提取到屬于海蓮花的網絡資產，發現國內失陷主機，這些IP資產成為了海蓮花攻擊的跳板，深信服藍軍高級威脅攻防研究團隊利用掌握的運營特征指紋，再次關聯到其他國內失陷主機，從而擴大了戰果。依據這些特征，針對海蓮花組織，深信服藍軍高級威脅攻防研究團隊在幾個月的時間里，最終挖掘到了海蓮花大量文件側與網絡側的 IOC 情報。

一直以來，以情報搜集、破壞、或經濟利益為目的APT攻擊，是深信服藍軍高級威脅攻防研究團隊重點關注的領域，因為APT組織的每一次動作，都將可能給個人、企業、社會機構甚至是國家安全帶來嚴重影響。通過攻擊和防御雙方的視角，從多維度分析和解決網絡安全問題，未來，深信服將不斷提高專業技術造詣，深度洞察網絡安全威脅，持續為網絡安全賦能。