网络攻防溯源普及和医疗数据安全总结

gclome

原文链接：网络攻防溯源普及和医疗数据安全总结

• Part1：网络空间安全与溯源
  
  
• Part2：网络安全攻防技巧
  
• Part3：医疗数据安全防护
  
• Part4：APT攻击医疗行业经典案例
  
• Part5：医疗安全防御建议
  
  

声明：本人坚决反对利用教学方法进行犯罪的行为，一切犯罪行为必将受到严惩，绿色网络需要我们共同维护，更推荐大家了解它们背后的原理，更好地进行防护。再次感谢大家关注娜璋之家。

---

Part1: 网络空间安全与溯源
一. 网络空间安全
近年来，网络安全事件和恶意代码攻击层出不穷，它们给国家、社会和个人带来了严重的危害，如分布式拒绝服务攻击(DDoS)、基于僵尸网络(Botnet)的攻击、勒索病毒WannaCry、高级可持续威胁(APT)攻击、利用远程控制木马的信息窃取等。
2020年以来，恶意代码数量依然呈上升的趋势，尤其是新型恶意代码，其数量始终呈逐年递增状态，这对网络空间安全造成了极大的威胁。
在这些恶意代码攻击中， 攻击者会向目标主机(受害主机)，发送特定的攻击数据包或执行恶意行为。如果能追踪这些攻击数据包的来源，定位攻击者的真实位置，受害主机不但可以采用应对措施，如在合适位置过滤攻击数据包，而且可以对攻击者采取法律手段。因此在网络取证和安全防御领域，网络攻击溯源一直是一个热点问题。
下图展示了APT组织Lazarus（APT38）的重大攻击时间线。如果某次攻击发生时或发生前，能够追踪溯源到是某个组织发起的，那是不是就能有效避免一次安全攻击呢？

• 参考及推荐文章：APT组织Lazarus的攻击历程 - Freebuf深信服团队
  
  
  

​
网络攻击追踪溯源旨在利用各种手段追踪网络攻击的发起者。相关技术提供了定位攻击源和攻击路径，针对性反制或抑制网络攻击，以及网络取证能力，其在网络安全领域具有非常重要的价值。
当前，网络空间安全形势日益复杂，入侵者的攻击手段不断提升，其躲避追踪溯源的手段也日益先进，如匿名网络、网络跳板、AN网、网络隐蔽信道、隐写术等方法在网络攻击事件中大量使用，这些都给网络攻击行为的追踪溯源工作带来了巨大的技术挑战。
攻击链通常分为七个阶段：
​

• 侦查目标(Reconnaissance)：侦查目标，充分利用社会工程学了解目标网络。
  
• 制作工具(Weaponization)：主要是指制作定向攻击工具，例如带有恶意代码的pdf文件或office文件。
  
• 传送工具(Delivery)：输送攻击工具到目标系统上，常用的手法包括邮件的附件、网站（挂马）、U盘等。
  
• 触发工具(Exploitation)：利用目标系统的应用或操作系统漏洞，在目标系统触发攻击工具运行。
  
• 安装木马(Installation)：远程控制程序（特马）的安装，使得攻击者可以长期潜伏在目标系统中。
  
• 建立连接(Command and Control)：与互联网控制器服务器建立一个C2信道。
  
• 执行攻击(Actions on Objectives)：执行所需攻击行为，例如偷取信息、篡改信息等。
  
  

传统的恶意代码攻击溯源方法是通过单个组织的技术力量，获取局部的攻击相关信息，无法构建完整的攻击链条，一旦攻击链中断，往往会使得前期大量的溯源工作变得毫无价值。
同时，面对可持续、高威胁、高复杂的大规模网络攻击，传统方法没有深入分析攻击组织间的关系，缺乏利用深层次恶意代码语义知识，因此学术界和企业界也提出了一些解决措施。下图展示了一个经典的溯源案例。
​
为了进一步震慑黑客组织与网络犯罪活动，目前学术界和产业界均展开了恶意代码溯源分析与研究工作。其基本思路是：

• 同源分析：利用恶意样本间的同源关系发现溯源痕迹，并根据它们出现的前后关系判定变体来源。恶意代码同源性分析，其目的是判断不同的恶意代码是否源自同一套恶意代码或是否由同一个作者、团队编写，其是否具有内在关联性、相似性。从溯源目标上来看，可分为恶意代码家族溯源及作者溯源。
  
  
• 家族溯源：家族变体是已有恶意代码在不断的对抗或功能进化中生成的新型恶意代码，针对变体的家族溯源是通过提取其特征数据及代码片段，分析它们与已知样本的同源关系，进而推测可疑恶意样本的家族。例如，Kinable等人提取恶意代码的系统调用图，采用图匹配的方式比较恶意代码的相似性，识别出同源样本，进行家族分类。
  
  
• 作者溯源：恶意代码作者溯源即通过分析和提取恶意代码的相关特征，定位出恶意代码作者特征，揭示出样本间的同源关系，进而溯源到已知的作者或组织。例如，Gostev等通过分析Stuxnet与Duqu所用的驱动文件在编译平台、时间、代码等方面的同源关系，实现了对它们作者的溯源。2015年，针对中国的某APT攻击采用了至少4种不同的程序形态、不同编码风格和不同攻击原理的木马程序，潜伏3年之久，最终360天眼利用多维度的“大数据”分析技术进行同源性分析，进而溯源到“海莲花”黑客组织。
  
  

网络攻击追踪溯源按照追踪的深度和精准度可分为：

• 追踪溯源攻击主机
  
• 追踪溯源攻击控制主机
  
• 追踪溯源攻击者
  
• 追踪溯源攻击组织机构
  
  

常用方法包括域名/IP地址分析、入侵日志监测、全流量分析、同源分析、攻击模型分析等。为了进一步防御网络犯罪活动和威慑黑客组织，目前学术界和产业界均展开了恶意代码溯源分析与研究工作。
网络追踪溯源常用工具包括：

• 磁盘和数据捕获工具
  
• 文件查看器
  
• 文件分析工具
  
• 注册表分析工具
  
• 互联网分析工具
  
• 电子邮件分析工具
  
• 移动设备分析工具
  
• 网络流量取证工具
  
• 数据库取证工具
  
• 逆向分析工具
  
  

​

---

二. 学术界溯源学术界旨在采用静态或动态的方式获取恶意代码的特征信息，通过对恶意代码的特征学习，建立不同类别恶意代码的特征模型，通过计算待检测恶意代码针对不同特征类别的相似性度量，指导恶意代码的同源性判定。
常见的恶意代码溯源主要包括4个阶段：特征提取、特征预处理、相似性计算、同源判定。各阶段间的流程关系如下图所示。

• 参考宋老师《恶意代码演化与溯源技术研究》
  
  

​
上图是将溯源对象Windows平台的PE恶意文件或Android平台的APK恶意文件输入溯源系统，经过特征提取、特征预处理、相似性计算、同源分析获取溯源结果，最终判定攻击家族或作者。
1. 特征提取
特征提取是溯源分析过程的基础，具有同源性的恶意代码是通过它们的共有特征与其他代码区分开来的。所提取的特征既要反映出恶意代码的本质和具有同源性恶意代码之间的相似性，又要满足提取的有效性。
依据溯源目的，溯源特征提取包括：

• 溯源家族的特征提取
  
• 溯源作者的特征提取
  
  
  

Faruki等在字节码级别提取统计性强的序列特征，包括指令、操作码、字节码、API代码序列等。Perdisci R等通过n-gram提取字节码序列作为特征。Ki Y等提出了捕获运行过程中的API序列作为特征，利用生物基因序列检测工具ClustalX对API序列进行相似性分析，得到恶意代码的同源性判定。DNADroid使用PDG作为特征，DroidSim是一种基于组件的CFG来表示相似性代码特征，与早期的方法相比，该系统检测代码重用更准确。
下图展示了恶意行为特征提取过程，它从用户态到核心态文件处理，再到核心态磁盘处理，有一系列的函数进行Hooking和InlineHooking进行整体的行为监控，可以帮助我们进行溯源工作。
​

---

2. 特征预处理
特征提取过程中会遇到不具有代表性、不能量化的原始特征，特征预处理针对这一问题进行解决，以提取出适用于相似性计算的代表性特征。
特征预处理一方面对初始特征进行预处理，另一方面为相似性计算提供基础数据。常见的特征类型包括序列特征和代码结构特征。

• 序列特征预处理：包括信息熵评估、正则表达式转换、N-grams序列、序列向量化、权重量化法等。序列特征预处理将初始特征中冗余特征消除、特征语义表达式增强、特征量化等以便进行相似性计算。
  
  L. Wu通过分析恶意软件敏感API操作以及事件等，将API序列特征转换为正则表达式，并在发生类似的正则表达式模式时检测恶意代码。IBM研究小组先将N-gram方法应用于恶意软件分析中，使用N-gram的统计属性预测给定序列中下个子序列，从而进行相似度计算。Kolosnjaji等提出对API调用序列进行N-gram处理获取子序列，采用N-gram方法将API调用序列转换为N-gram序列，实现过程下图所示。
  
  

​

• 代码结构特征预处理：在相似度比较时存在边、节点等匹配问题即子图同构算法复杂性，同时代码结构特征中存在冗余结构，因此除去冗余、保留与恶意操作相关的代码结构是预处理的主要目的。常见的方法包括API调用图预处理、CFG图预处理、PDG图预处理等。
  
  

​

---

3. 相似性计算
溯源旨在通过分析样本的同源性定位到家族或作者，样本的同源性可以通过分析代码相似性来获取。相似性计算旨在衡量恶意代码间相似度，具体为采用一种相似性模型对恶意代码的特征进行运算。
根据预处理特征类型的不同以及溯源需求、效率、准确性等差异，采用不同的相似性运算方法。目前比较流行的相似性计算方法主要集中在对集合、序列、向量、图等特征表现形式的处理。
Qiao等基于集合计算相似性，在不同恶意样本API集合的相似性比较中采用了Jaccard系数方法，将为A、B两个集合的交集在并集中所占的比例作为相似度，比例值越大，证明越相似，如公式所示。
​
Faruki等提出了采用SDhash相似性散列技术构建样本的签名序列，并采用汉明距离法对序列进行相似性计算，从而识别同源性样本。Suarez-Tangil 等用数据挖掘算法中向量空间模型展示家族的恶意代码特征形式，将同家族提取出来的具有代表性的CFG元素作为特征中维度，采用余弦算法对不同家族的向量空间模型进行相似度计算，根据余弦值来判断它们的相似性，从而识别出相似性样本，进而归属到对应的家族。用于比较向量的余弦相似度反映了恶意代码间的相似性，其具体公式如公式所示。
​
Cesare等提出了最小距离匹配度量法，比较不同样本的CFG图特征的相似性。Kinable等通过静态分析恶意代码的系统调用图，采用图匹配的方式计算图相似性得分，该得分近似于图的编辑距离。利用该得分比较样本的相似性，采用聚类算法将样本进行聚类，实现家族分类。

---

4. 同源分析
学术界常见的同源判定方法主要包括基于聚类算法的同源判定、基于神经网络的同源判定等。Kim等采用DBSCAN算法对基于调用图聚类，发现类似的恶意软件。Feizollah等提出采用层聚类算法，构建家族间演化模型，进而发掘家族功能的演化。Niu等提出了层次聚类和密度聚类算法结合的快速聚类算法对操作码序列特征进行聚类，以识别恶意软件变体，该方法识别变体效率较高。
​
神经网络是一种多层网络的机器学习算法，可以处理多特征以及复杂特征的同源判定。基本思想为：将样本特征作为输入层数据，然后不断调整神经网络参数，直到输出的样本与该样本是一种同源关系未为止。它会将恶意代码特征送输入层，即可判断恶意代码的同源性。
赵炳麟等提出了基于神经网络的同源判定方法，其整体实现框架如下图所示。
​

---

三. 企业界溯源产业界除了采用与学术界类似的同源判定方法之外，还会通过关联的方法对恶意代码进行溯源。产业界的溯源意图除了溯源出编写恶意代码作者、恶意代码家族之外，还要挖掘出攻击者及攻击者背后的真正意图，从而遏制攻击者的进一步行动。
产业界与学术界溯源方法的差异主要表现在特征提取和同源判定两个方面：

• 在特征提取上，产业界更倾向于从代码结构、攻击链中提取相似性特征。
  
• 在同源判定上，除了采用与已有的历史样本进行相似度聚类分析之外，产业界还会采用一些关联性分析方法。
  
  
  

相比学术界溯源特征，产业界溯源特征更加详细全面，信息复杂度大。因此，学术界的同源判定方法并不能完全用于产业界各类特征的相似性分析中，常见产业界溯源方法分类如下表所示。

• 下面参考绿盟李东宏老师文章
  
• http://blog.nsfocus.net/trace-source/
  
  

1. 恶意攻击流程及溯源方法
恶意样本溯源追踪主要去了解攻击者或者团队的意图。恶意攻击的活动大概有如下7步骤：

• Reconnaissance：侦查，充分的社会工程学了解目标。
  
• Weaponization：定向攻击工具的制作。常见的工具交付形态是带有恶意代码的pdf文件或office文件。
  
• Delivery：把攻击工具输送到目标系统上。APT攻击者最常用这三种来传送攻击工具，包括邮件附件、网站（挂马）、USB等移动存储。
  
• Exploitation：攻击代码在目标系统触发，利用目标系统的应用或操作系统漏洞控制目标。
  
• Installation：远程控制程序的安装。使得攻击者可以长期潜伏在目标系统中。
  
• Command and Control (C2) ：被攻破的主机一般会与互联网控制器服务器建立一个C2信道，即与C2服务器建立连接。
  
• Actions on Objectives：经过前面六个过程，攻击者后面主要的行为包括：偷取目标系统的信息，破坏信息的完整性及可用性等。进一步以控制的机器为跳转攻击其它机器，扩大战果。
  
  

​
恶意样本的追踪溯源需要以当前的恶意样本为中心，通过对静态特征和动态行为的分析，解决如下问题：

• 谁发动的攻击？
  
• 攻击背景是什么？
  
• 攻击的意图是什么？
  
• 谁编写的样本？
  
• 样本使用了哪些攻击技术？
  
• 攻击过程中使用了那些攻击工具？
  
• 整个攻击过程路径是怎样的？
  
  

企业界恶意样本溯源可采取如下方法：

• 全流量分析
  
• 同源分析
  
• 入侵日志
  
• 域名/IP
  
• 攻击模型/攻击框架
  
  

​

---

2. 域名/IP
这种溯源方法是最基本的方法，通过对攻击者使用的域名和IP地址进行分析，挖掘攻击源头。查询域名的whois信息，可以关联到攻击者部分信息，如注册名、注册邮箱、注册地址、电话、注册时间、服务商等。
​

案例分析
Checkpoint经过细致分析后，最终归纳出一个首要攻击者，即昵称为“Nexxus Zeta”的一个hacker，原因在于攻击者在注册僵尸网络的某个C&C域名（nexusiotsolutions.net）时，所使用的邮箱地址包含相关信息。

该邮件地址（nexuszeta1337@gmail.com）与C&C域名有一些交集，因此怀疑这个地址并不是一次性邮件地址，可以根据该地址来揭晓攻击者的真实身份。当搜索Nexus Zeta 1337时，在HackForums上找到了一个活跃的成员，该成员的用户昵称为“Nexus Zeta”，自2015年8月起已经是HackForums的一份子。


虽然这个人在这种论坛上活跃度很低，但他发表了几篇帖子，从这些帖子中并没有发现他的专业水平有多高。有趣的是，他最近关注了如何建立类似Mirai的IoT僵尸网络。

​
NexusZeta在社交媒体上也颇为活跃，主要是在Twitter以及Github上，他在这两个平台上都公布了自己的IoT僵尸网络项目。实际上，这个人还将其Github账户关联到前面提到的那个恶意域名（nexusiotsolutions.net）。

​

分析人员也找到了他所使用的Skype以及SoundCloud账户，使用人名为Caleb Wilson（caleb.wilson37 / Caleb Wilson 37），因此溯源到该作者，但遗憾的是无法确定这个名字是否就是其真实姓名。

​

- 参考文献：https://research.checkpoint.com/
good-zero-day-skiddie/

3. 入侵日志
这种溯源分析方法偏向于主机取证分析，攻击者在入侵到主机后的行为分析。对攻击者留下的大量操作日志进行分析后，可以提取相关攻击者的信息，包括：

• 连接服务器使用VPS信息。
  
• 登陆主机后，一般为了维持对主机的访问权限，会尝试创建自己的账号及密码。
  
• 攻击者为了偷取数据，使用的ftp或者数据服务器信息。
  
• 通过对攻击者的登陆时间进行分析，可以基本定位所在大区域（北半球，南半球）。
  
• 登陆主机后的操作模型，不同的攻击者，入侵成功后进行的行为有差异，每个人都有自己的行为指纹特征。
  
  

简单举个例子，不少攻击者习惯使用自动化的工具，去提取主机上的敏感信息（网站，邮箱，比特币，网银等账号密码），入侵成功后（钓鱼，社工，水坑攻击等），会在受害者机器上安装间谍软件，进行主机行为监控，并且定时将截获的敏感信息上传到服务上。大多使用三种通信方式窃取敏感信息：ftp、smtp、http。

案例分析
通过分析入侵日志，最终分析其预置的监控程序。该样本中攻击者使用加密的smtp服务器窃取敏感信息，在样本分析过程中可以获取到邮箱的用户名与密码：

​
接着利用获取到的登陆凭证可成功登陆攻击者邮箱：

​
在邮件内容中，发现了攻击者的真实邮箱，之后通过进一步溯源分析，定位到了攻击者。下图是攻击者真实的twitter账号：

​

---

4. 全流量分析
某些攻击者或者组织的反跟踪意识非常强，基本上不会留下任何痕迹，在达成入侵目的之后（窃取数据），会完全清除入侵痕迹，或者干脆销毁主机硬盘。
例如，2015年乌克兰电厂遭受攻击之后，攻击者利用killdisk组件销毁了全部数据。当然有些也不会留下在主机上的任何操作痕迹，部分勒索软件也是通过同样的手段进行痕迹擦除。这类案例也非常多，基本上在受害者机器上找不到任何痕迹，这时进行全流量分析溯源就相当有效了。

案例分析
这里以2017年Flareon 4th逆向挑战赛最后一题为例。

​
它描述了一个APT攻击场景，需要通过分析数据包及PE文件，还原整个攻击过程。从网络下载加密的恶意代码在本地进行解密：
​
解密后的内容为一个远控端，其和主控端的通讯流量通过了全加密，网络传输数据格式如下：

​
相关的加解密及功能模块如下：

​
过流量分析发现攻击者入侵行为如下：
（1）黑客入侵到168.22.1.91后，先获取了屏幕截图（内容包含了一个密码）。
（2）查看c:\work\FlareOn2017\ Challenge_10\ TODO.txt，发现larry相关提示（根据前期信息收集结果，可以知道johnson主机名）。
（3）通过ping命令获取到内网johnson主机IP地址（192.168.221.105）。
（4）使用psexec在johnson的主机上安装后门srv2.exe（监听本地16452端口）。
（5）之后通过内网代理连接该后门，通过代理插件上传加密模块到了johnson的主机上c:\staging\cf.exe。
（6）利用加密程序（exe）对lab10的文件进行加密，之后将原始文件删除，并且通过代理传到了黑客手里。

该案例中仅通过全流量分析，最终还原整个入侵过程、黑客攻击行为以及窃取的内容，而在真实的环境中需要结合入侵日志进一步对恶意样本攻击进行追踪溯源。

---

5. 同源分析
该方法主要为在获取到恶意样本后，很难第一时间关联到攻击者或者恶意样本提供者的信息，但是可以通过和历史恶意代码进行相似度分析，获得历史攻击事件，从而关联到相应的组织或团体。
这种溯源方法多用于定位APT组织或者某些知名的黑客团体（方程式）的行动，需要投入大量的人力，时间去完成溯源跟踪分析。
APT组织或者知名黑客团队，一般都有各自的工具定制开发部门，负责各类工具的开发，以及漏洞利用工具的量产（从今年4月份泄露的方程式组织内部的工具以及CIA泄露的部分文档就可以看出端倪）。其部分划分组织架构都非常清晰，有专门负责工具开发的部门，例如：远控开发部门、硬件研究部门、漏洞挖掘部门、漏洞利用工具编写的部门等。
常用方法包括：

• 设计思路溯源
  
• 编程特征溯源
  
• 通讯协议溯源
  
• 数字证书溯源
  
  

案例分析
通过设计思路溯源。每个程序员在软件实现的时候，会使用自己比较熟悉的一套代码风格和实现算法，每个团伙或者组织在攻击目标时也会有一套自己特有的攻击方法，针对恶意样本可以通过行为日志的相似度、代码混淆风格以及相关的实现算法进行同源判定。下图展示了安天利用“破壳”漏洞投放的6个Bot具有同源性。

​

- “破壳”漏洞相关恶意代码样本分析报告_V1.9 - 安天

---

6. 攻击框架
这种溯源方法主要见于某些专业化程度比较高的个人或者组织，他们有自己的攻击常规套路，并且长期专注于一个领域的攻击。比如，在一次应急响应中通过取证分析，了解到攻击使用的攻击模型如下：

• 注册域名，根据攻击目标选择有意义域名。
  
• 在GitHub上注册一个新账户和创建一个开源项目。
  
• 编译源码后捆绑恶意软件，一般选择advanced installer作为捆绑打包器（还有AutoIt，NSIS）。
  
• 发布到搭建的网站上。
  
• 在互联网上发布推广其软件。
  
• 窃取用户敏感数据（账号密码）。
  
• 进行数据直接套现，或者通过信息倒卖平台间接变现。
  
  

之后利用该攻击模型对样本库中的文件进行筛选，定位到另外3套与该模型完全匹配的案例，进一步分析匹配到的样本后，首先确认了该4套样本出于同一开发团队，经过溯源分析准确定位到了攻击者。
​
“天网恢恢疏而不漏”，溯源分析旨在通过现象去发掘样本背后的故事，没有固定的套路可循，在分析过程中，要像侦探破案一样，大胆心细，不放过任何细枝末节，是一场人与人之间斗智斗勇的过程。
同时，企业针对APT溯源提出了不同的框架，比较经典的框架包括：

• ATT&CK：https://attack.mitre.org/
  从视觉角度来看，MITRE ATT＆CK矩阵按照一种易于理解的格式将所有已知的战术和技术进行排列。攻击战术展示在矩阵顶部，每列下面列出了单独的技术。一个攻击序列按照战术，至少包含一个技术，并且通过从左侧（初始访问）向右侧（影响）移动，就构建了一个完整的攻击序列。
  
  
  

​

• 安天智甲框架
  智甲将安天自主先进的威胁检测引擎与驱动级主防有效结合，依托动态防护策略可帮助用户有效应对层出不穷的新威胁。
  
  
  

​

• Threatcrowd
  一个威胁搜索引擎，能让用户搜索和调查与IP、网站或机构相关的威胁。它也提供了API，利用ThreatCrowd API你可以搜索域名、IP地址、邮件地址、文件哈希、杀软检测等。它会从virustotal和malwr.com上获取信息，它也提供了MALTEGO转换，方便分析和关联数据。
  
  
  

​

• 常用在线沙箱
  – https://virusshare.com/
  – https://app.any.run/
  – https://www.virustotal.com/gui/d
  
  

• – https://s.threatbook.cn/
  
  
  
  

​

---

四. 无处不在的网络威胁“没有网络安全就没有国家安全”。自全球第一个计算机病毒出现后，网络威胁无处不在。同样，人们通过与病毒长期的斗争，积累了大量反病毒经验，掌握了大量实用的反病毒技术，并研制出一系列优秀的反病毒产品，主要用于病毒的防护、检测及其清除等。
​
恶意代码的检测是将检测对象与恶意代码特征（检测标准）进行对比分析，定位病毒程序或代码，或检测恶意行为。
常见的检测技术包括特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术、主动防御技术，以及新兴的云查杀技术、深度学习检测等。
下面介绍几个比较经典的安全事件，也希望读者通过这篇文章对网络空间安全有一定的了解。（感谢阅读Eastmount的文章）

• 心脏滴血漏洞
  2014年4月7号谷歌工程师NeelMehta发现了名为“心脏滴血”的OpenSSL漏洞，该漏洞在互联网界引发了腥风血雨，让很多世界知名互联网公司为之一颤。在黑客社区，它被命名为“心脏滴血”，表明网络上出现了“致命内伤”。利用该漏洞，黑客可以获取约30%的https开头网址的用户登录账号密码，其中包括购物、网银、社交等类型的知名网站。
  
  
  

​

• WannaCry勒索病毒
  2017年5月12日，WannaCry蠕虫通过NSA永恒之蓝MS17-010漏洞(445端口)在全球范围大爆发，感染大量计算机。WannaCry勒索病毒全球大爆发，至少150个国家、30万名用户中招，造成损失达80亿美元，已影响金融、能源、医疗、教育等众多行业，造成严重的危害。下图是作者之前复现的效果。
  
  

​

• 斯诺登与“棱镜”计划
  “棱镜”窃听计划始于2007年的小布什时期，棱镜包括两个项目：监ting民众电话的通话记录，监shi民众的网络活动。包括对中国三大运营商的短信窃取，对中国六大骨干网之一的教育科研网总节点如清华大学的入侵等。同时，棱镜（PRISM）还只是美国NSA众多项目中的一个，还比如星风项目（STELLARWIND）、核子项目（NUCLEON）、主管道项目、码头项目等。
  
  

​

• 震网（Stuxnet）事件
  震网病毒（Stuxnet）是一种Windows平台上的计算机蠕虫，这是有史以来第一个包含PLC Rootkit的电脑蠕虫，也是已知的第一个以关键工业基础设施为目标的蠕虫。它借助美国与以色列的QB机构之手，瘫痪了伊朗的核设施，对全球工业系统的造成了巨大的风险。
  
  

​

• SolarWinds供应链攻击事件
  2020年12月13日，美国网络安全公司FireEye发布分析报告称，SolarWinds 旗下的Orion基础设施管理平台的发布环境遭到黑客组织入侵，黑客对文件SolarWinds.OrionCore. BusinessLayer.dll的源码进行篡改添加了后门代码，该文件具有合法数字签名会伴随软件更新下发。后门代码伪装成Orion OIP协议的流量进行通信，将其恶意行为融合到SolarWinds合法行为中。FireEye称已在全球多个地区检测到攻击活动，包括北美、欧洲、亚洲和中东的一些机构、技术公司。
  
  

​

---

Part2: 网络安全攻防技巧

一. 网络安全技术路线
网络安全（Web渗透）是通过模拟恶意黑客的攻击，来评估计算机网络系统安全的一种评估方法。渗透测试主要分为黑盒测试和白盒测试两种方式。不同的人有不同的框架，下面从企业界和学术界介绍两种技术路线。
1. 企业网络安全技术路线

• 基础知识：Web发展简史、计算机网络、域名系统、HTTP标准、代码审计、WAF
  
• 信息收集：域名信息、 站点信息、端口信息、其它
  
• 内网渗透：Windows信息收集、持久化、Linux信息收集、痕迹清理、内网信息收集、工作组和域、横向扩展和纵向扩展
  
• 常见漏洞：SQL注入、XSS、CSRF、SSRF、命令注入、文件读取、文件上传、文件包含、XXE、模版注入、Xpath注入、 逻辑漏洞 、业务漏洞、配置安全、中间件、Web欺骗攻击
  
• 语言与框架：PHP、Python、Java、JavaScript、Ruby、C\C++、C#
  
• 防御技术：总体思路、 团队建设、威胁情报、风险控制、加固检查、蜜罐技术、入侵检测、应急响应、溯源分析
  
• 工具与资源：工具列表、推荐资源、爆破工具、下载工具、流量相关、嗅探工具、SQLMap、BurpSuite、MetaSploit、Cobalt Strike
  
• 其他：认证方式、拒绝服务攻击、DNS劫持、Docker
  
• 红蓝对抗
  
  

​
2. 学术界网络空间安全知识体系

• 应用安全技术知识
  
• 系统安全理论与技术
  
• 网络安全理论与技术
  
• 网络空间全基础理论
  
• 密码学基础知识
  
  

​

---

二. 网络安全常见案例及防御1. 电信ZP和一码多用
当我们收到一些电话或短信时，可能会去点击按键或链接，这类钓鱼操作会导致我们的个人隐私泄露。
2013年某公司泄露了海量用户数据，其原理是黑客进行脱库（数据库）操作，脱库之后他们还会继续挖掘用户的隐私信息。用户在使用购物或系统门户网站时，很可能会设置相同或相近的用户名、密码，通过撞库能获取更多有价值的信息，他们再卖这些数据谋求利益。


​
安全建议：密码设置尽量有变换，不要轻易点击恶意链接或恶意邮件。

---

2. 弱口令攻击
通常认为容易被别人猜测到或被PJ工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令，例如“123”、“abc”、“qwe”等，因为这样的口令很容易被别人破解，从而使用户的计算机面临风险，因此不推荐用户使用。
常见弱口令有：数字或字母连排或混排，键盘字母连排；生日，姓名+生日；短语密码等。
​
密码管理器NordPass公布了2020年最常用密码TOP200榜单，可以说，这是2020年最糟糕的200个密码。排名靠前的几个密码，相信大多数人都非常熟悉：如123456、123456789、password、111111、123123、qwerty、000000等等，看来全球用户都“青睐”数字。而这些密码被弱口令攻击都不需要1秒钟。
​
安全建议：第一时间更换初始密码，内部电脑密钥需要单独设置，专人保管，尤其注意弱口攻击及社会工程学。

---

3. 伪基站、Wifi探针或鱼叉式钓鱼邮件攻击
伪基站是指移动小型基站，可以定位你的GPS位置，再发送欺骗短信或电话。比如，骗子伪装成95588，利用伪基站向手机发送短信，当用户按照短信提示登录钓鱼网址时，他的银行卡号和密码就会被泄露。
除了诈骗，还会建立联盟调查信息库，可以查看到开房记录、上网记录、人口信息。
​
Wifi探针是当用户手机无线局域网处理打开状态时，会向周围发出寻找无线网络的信号，探针盒子发现这个信号，就能迅速识别出用户手机的MAC地址。而MAC地址可以转换成IMEI号，再转换成手机号码。为了获取更多用户个人信息，一些公司将这个小白盒子放在商场、超市、便利店、写字楼等，在用户毫不知情的情况下，搜集个人信息。
同时，某些手机APP恶意收集用户隐私信息 ，并生成用户画像，通过电话、短信、微信、QQ等发送个性化广告。APP安装时，需要同意权限才能安装，此时它能读取用户信息，比如315晚会曝光的墨迹天气APP隐私泄露案例。
安全建议：陌生或不熟悉的Wifi不要轻易链接，恶意请求不要轻易点击。APP尽量下载熟悉的软件且不要开启太多系统权限。
​

---

4. 企业非法竞争
某个药业公司需要研发一种药，想对用户人群的需求和购买力做个评估，但是做调研的时间成本和人力成本太大了，他们就会想一些“捷径”。找到黑客，让其进某医院的病例数据库，把病例数据复制下来直接分析。
再比如某网站摄像头被攻击，实现如下左图所示直播功能（Network live IP video cameras），右图XG检测系统用户数据被非法出售。
​

---

5. 利用漏洞植入木马
利用漏洞或恶意软件实施攻击，常见功能包括：捕获屏幕、摄像头、语音通话、远程连接、键盘记录、获取Webshell（管理员权限）、数据库脱库等。
安全建议：部署适当的安全防护软件，防止钓鱼邮件攻击，划分子网及内网不访问互联网。
​

---

6. 商业隐私保护
前面介绍了很多软件及互联网相关的安全，那么物理设备存在吗？当前，通过物理设备实施商业相关的物理攻击也很常见，商业隐私案件中有60%与员工离职有关，两类高危人群分别是高管和特殊职位员工。
同时各种隐秘的摄像头越来越多，都需要大家注意，如下图所示的插板、衣架螺丝中都切入了隐秘的微型摄像头，甚至有通过向会议室玻璃窗发射激光获取音频信息的案例。
安全建议：涉及商业的文件重点保护，加强人员安全教育，离职更换密钥，重置系统权限，提升个人的安全意识。


​

---

7. 供应链攻击与硬件安全
通过供应链采购实时恶意软件植入，同时通过硬件设备窃取信息的案例也越来越多。如下图所示的HACKUSB（数据线&支持快充）、BadUSB（恶意代码隐藏的USB）、恶意移动充电宝等。
安全建议：加强移动硬盘、U盘、光盘安全，设置密钥；未知Wifi和外部设备不要连接我们的电脑。同时，建立网络隔离机制，做好数据使用记录。


​

---

8. 社会工程学
社会工程学（Social Engineering） 是一种通过人际交流的方式获得信息的非技术渗透手段。这种手段非常有效，而且应用效率极高。事实上，社会工程学已是企业安全最大的威胁之一。
通过社工攻击手段，筛选和整理你的个人信息、家庭状况、兴趣爱好、婚姻状况，以及你在网上留下的一切痕迹，再进行渗透。这是一种无需依托任何黑客软件，更注重研究人性弱点的黑客技术。

• 基于人的社工：搭载、伪造身份、偷听、窃肩、反社工、垃圾桶工程
  
• 基于计算机的社工：弹出窗口、钓鱼邮件、短信诈骗、内网攻击
  
  

​
安全建议：严防社工工程学攻击。

---

9. 0day漏洞和1day漏洞利用
利用漏洞实时攻击，如下图所示，WannaCry蠕虫通过NSA永恒之蓝MS17-010漏洞(445端口)在全球范围大爆发，感染大量计算机。
安全建议：安装合适的杀毒软件，系统和软件的漏洞补丁及时修复。


​

---

10. 内网渗透
什么是内网？比如大家连在同一个WIFI下，就可以称为内网。换句话说，从外部网络不能直接访问的网络就称之为内网。比如，在公司文件服务器搭建了一些资源，外部互联网的人是不能直接访问这些资源的。

• 该部分参考：i春秋YOU老师分享的小白渗透之路
  
  
  

首先，我们来看一张网络拓扑图，最常见的企业网络。由图可知，一个企业网络对外通常会存在一个防火墙，防火墙中有个路由器，路由器接入很多电脑，包括三块区域（DMZ区、核心业务区、办公区）。
​
DMZ区放置一些对安全性不高的服务器，比如邮件、门户网站服务器等；核心业务区存放企业核心数据库、OA系统、ERP系统；办公区是企业员工办公网络。
安全建议：独立使用专网，配置虚拟机、防火墙；授权安全公司进行内网渗透测试，给出安全建议及保护措施；结合之前的安全意识进行保护。


假设现在一名白帽子需要攻击测试这个内部网络，想直接访问核心业务区的数据库是不可能的，而公司在DMZ区提供了对外的Web服务器，能够让你直接在互联网里面访问。

• 第一步，信息收集及技术性弱点识别，通过技术性手段拿下公司DMZ区的门户网站这台服务器。
  
• 第二步，通过门户网站服务器进入到公司的内部网络，我们称之为跳板。接着进行权限的维持和提升，下次再进行攻击时不需要重新收集信息，以门户网站作为据点，对内网进行渗透。
  
• 第三步，内网渗透并横纵向扩展获取相关信息。
  
  

下面介绍一个内网渗透案例，该案例均是授权情况下进行的渗透测试，切勿进行非法渗透或攻击。由该网络拓扑图可知，正常访问时会通过CDN（内容分发转网络）、WAF（应用防护系统）等安全软件，从而过滤并保护我们企业的网络安全。


白帽子需要想一个办法：能不能让我们的访问不经过CDN和WAF呢？

​
答案是可以的。
第一步，全面收集信息
通过全面信息收集，找到与目标相关的信息网站。

第二步，寻找有用线索
深入分析并发现网站源码内存在真实IP泄露。

​
第三步，进一步搜集和利用有用信息
针对真实IP开展端口扫描，找到对应的端口和服务BBS。该网站存在一个信息泄露的漏洞，通过目录扫描找到泄露的账号密码，即在BBS的日志内搜索并成功解密出用户账号和密码信息。

​
第四步，利用有用信息进入内网
登录BBS系统，发现并利用跟帖上传处漏洞，上传shell（网页后门）成功拿下该服务器system权限，进入内网。system权限是最高权限，该案例免去了权限维持与提升步骤。

​
第五步，内网横向扩展
通过弱口令、历史漏洞等方式，成功拿下内网多台服务器权限，并从中找到了1个涉及多个目标服务器的密码本，此时已成功进入了目标网络的核心业务网段。结合前期收集到的信息，成功登录目标重大项目库的源码服务器，针对源码进行深入分析，从配置文件中找到了系统运维邮件账号和密码，并成功进入运维邮箱。

第六步，作为白帽子，立刻告诉该网站管理员并对网站进行维护，提升安全等级及修复漏洞补丁。

---

三. Web渗透技术简单总结技术一：Google Hacking
Google提供了强大的搜索功能，可以获取精准的结果。如果访问不了，也可以通过Bing或百度获取相关内容，但是结果没有谷歌精准。常见方法如下：
​

---

技术二：Whois收集
采集网站、IP、机构、邮箱、个人、国家等信息。可以参考作者Eastmount之前 “网络安全自学篇” 文章。

• Whois站长之家查询
  http://whois.chinaz.com/
  
• Whois Lookup 查找目标网站所有者的信息
  http://whois.domaintools.com/
  
• Robtex DNS 查询显示关于目标网站的全面的DNS信息
  https://www.robtex.com/
  
• 其他推荐：
  he.bgp.net
  https://scan.top15.cn/web/
  
  

​

---

技术三：CMS指纹识别 (网站架构目录)
参考作者之前 “网络安全自学篇” 文章。

• 在线工具
  http://whatweb.bugscaner.com/look/
  
• 本地工具
  御剑Web指纹识别程序
  大禹CMS识别程序
  
  

​

---

技术四：端口扫描
包括网站开放端口、旁站等。

• Nmap采集、masscan采集、Kali系统
  
• ThreatScan在线网站：
  https://scan.top15.cn/web/
  
• 常见端口及对应服务
  
• 旁站注入（主站大公司维护，入侵艰难）
  
  

​

---

技术五：IP物理定位

• IP物理定位：三大运营商数据、Wifi、基站、GPS、社交网络、视频
  
• https://www.opengps.cn/Data/IP/ipplus.aspx
  
• http://www.gpsspg.com/maps.htm
  
• 手机APP获取物理地址（QQ漫游定位）
  URL、QQ => IP地址 => 经纬度 => 物理位置
  
  

​

---

技术六：社会工程学
社会工程学（Social Engineering） 是一种通过人际交流的方式获得信息的非技术渗透手段。这种手段非常有效，而且应用效率极高。事实上，社会工程学已是企业安全最大的威胁之一。

• 社工三大法宝：网络钓鱼、电话钓鱼、伪装模拟
  
• 狭义三大法宝：谷歌、社工库、QQ
  
  

​
同时，邮件反查可以结合社会工程学进行信息收集。
​
再比如通过密码找回功能获取部分手机号信息（开头182、结尾47）。由于我国手机号码为11位，各段有不同的编码方向：前3位为网络识别号；第4-7位为地区编码；第8-11位为用户号码。
号码也就是所谓的MDN号码，即本网移动用户作被叫时，主叫用户所需拨的号码，它采取E.164编码方式；存储在HLR和VLR中，在MAP接口上传送。通过社会工程学结合Python自定义词典可以对电话进行获取。
​

---

技术七：手机号码查找
通过各大网站已知有价值的ID获取其他信息（如电话号码、QQ、微信），通过电话或QQ获取用户的登录账号，也是常见的社会工程学手段。同时，通过某些网站获取三大运营商不同城市的手机号段。

• www.reg007.com
  
• www.zhaohuini.com
  
• http://www.guisd.com/ss/
  
  

​

---

技术八：验证码生成器

• http://lothelper.com/cn
  
  

​

---

技术九：照片信息泄露、Office信息泄露
智能手机拍照时，Exif包括位置信息。如果不经过处理，这些Exif参数会一直存在。在拍照的时候软件调用了Exif中的GPS全球定位系统数据。
同时，经过各种美图软件处理过的照片都会在相册中显示位置信息，而且不少美颜软件都自带定位功能。
​

---

Part3: 医疗数据安全防护

一. 医疗数据安全
通过之前的分析我们看到了无处不在的网络安全，那么，医疗卫生行业或ZF部门面临着怎样的安全风险呢？下面我们开始分享。医疗行业信息系统面临的安全风险主要包括：
一是数据泄露。由于行业本身的特殊性，本身保存了大量的个人信息、财务信息和健康信息等多种敏感数据，一旦泄露容易引发很严重的后果。

二是网络安全漏洞风险。攻击者可以通过某些漏洞控制医疗行业的网络系统，进而可以实施勒索等行为。

三是勒索软件。加密货币的火热刺激了大量挖矿木马的产生，医疗信息系统也受到了一定的波及和影响。

​
由于医疗系统的行业特殊性，对安全存在更高的要求，无论是从政策法规，还是从维护医疗服务体系的正常运转来看，守护医疗信息系统和医疗数据的网络安全势在必行。
在YQ这种“战时”状态，医疗数据的威力更是显而易见，医疗数据安全更重要的是涉及大量人体真实数据。大数据背景下的数据泄露直接关系到我们的生命财产安全、生物安全等，被恶意获取后的医疗数据，可以实现对生命信息精准分析，医疗数据安全尤为重要。
YQ期间，以美国、印度为首的西方国家，不遗余力获取我国的医疗相关数据，包括实验、Yi苗、数据等多方面，手段包括木马攻击、公开情报搜集、鱼叉式钓鱼攻击、针对医疗和科研行业重点人员实施社工攻击行为等等，无所不用其极。
这些危害往往是不可逆，损失无法估量。因此，在战略上，医疗数据安全直接关系国家和人民的安全！
2020年4月，汇医慧影两个月研发的AI辅助系统和积累的训练数据被黑客窃取。以4比特币（约21万人民币）的价格在A网上公开出售，给我们国家医疗资源代码巨大损失。其出售数据包括150M的实验室研究信息，1GB技术信息及其源代码和1.5M的用户数据。
​
传统的网络攻击主要以金钱和利益为主，目前逐渐向有组织的APT攻击发展。那么，什么是APT攻击呢？
​

---

二. 什么是APT攻击
APT攻击（Advanced Persistent Threat，高级持续性威胁）是利用先进的攻击手段对特定目标进行长期持续性网络攻击的形式。
APT攻击又称为定向威胁攻击，指某组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性，通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。
360威胁情报中心结合2018年全年国内外各个安全研究机构、安全厂商披露的重大APT攻击事件，以及近几年来披露的高级持续性威胁活动信息，并基于这些重大APT攻击事件的危害程度、攻击频度、攻击技术等，评选出2018年全球十大APT攻击事件。

• 韩国平昌冬奥会APT攻击事件（攻击组织Hades）
  
• VPNFilter：针对乌克兰IOT设备的恶意代码攻击事件（疑似APT28）
  
• APT28针对欧洲、北美地区的一系列定向攻击事件
  
• 蓝宝菇APT组织针对中国的一系列定向攻击事件
  
• 海莲花APT组织针对我国和东南亚地区的定向攻击事件
  
• 蔓灵花APT组织针对中国、巴基斯坦的一系列定向攻击事件
  
• APT38针对全球范围金融机构的攻击事件
  
• 疑似DarkHotel APT组织利用多个IE 0day“双杀”漏洞的定向攻击事件
  
• 疑似APT33使用Shamoon V3针对中东地区能源企业的定向攻击事件
  
• Slingshot：一个复杂的网络攻击活动
  
  

参考：https://www.secrss.com/articles/7530

​
长期被国家级APT组织盯上，随时面临一国网络瘫痪的风险。针对我国境内实施攻击活动的活跃APT组织如下：

• 海莲花（APT32）：越南
  
• 摩诃草（APT-C-09）：印度
  
• 蔓灵花（T-APT-17）：印度
  
• Darkhotel（APT-C-06）：韩国
  
• 蓝宝菇（APT-C-12）：中国台湾
  
• 毒云藤（APT-C-01）：中国台湾
  
• Lazarus（T-APT-15）：朝鲜
  
• …
  
  

APT攻击主要针对ZF机构、科研工作者、医疗行业、高校教师、JS爱好者、企业高管。
​
典型的APT攻击手段如下：

• 鱼叉式钓鱼邮件
  钓鱼关键字包括培训、绩效、监察等，内容如带有恶意宏文件的xls文件、捆绑型恶意代码、构造诱饵文件欺骗用户点击
  
• 水坑攻击
  
• 社会工程学攻击
  
• CHM诱饵、白加黑诱饵、恶意Ink
  
• 0DAY漏洞
  利用CVE漏洞，如CVE-2018-20250绑定压缩包
  
• 宏病毒攻击
  带有VBA宏病毒的Office文档
  
• 专用木马、后门、蠕虫
  如Denis家族、CobalStrike、Gh0st、WannaCry
  
• 执行恶意PowerShell脚本收集信息
  
• DNS劫持
  
• hta样本解密并加载后续的附加数据
  
• C&C域名通信
  
• 使用带有诱饵文档通过点击下载托管于GitHub上的downloader样本
  
• 对抗样本、人工智能（AI）攻击
  
  

​

---

Part4: APT攻击医疗案例
下面介绍典型针对医疗数据的APT案例。

一. 白象
印度背景的APT组织代号为APT-C-09，又名摩诃草、白象、PatchWork、angOver、VICEROY TIGER、The Dropping Elephan。
主要针对中国、巴基斯坦等亚洲地区国家进行网络攻击活动，以采集敏感信息为主。至今非常活跃。在针对中国地区的攻击中，该组织以ZF机构、医疗卫生、科教领域为主。
2020.2月初，白象APT组织通过投递带有恶意宏文件的xls文件（诱饵文档），该诱饵文档名叫“武汉旅行信息收集申请表.xlsm”“收集健康准备信息的申请表.xlsm”，并且伪装成卫生部的文件攻击我国医疗部门。

• 参考&推荐文章：摩诃草APT组织的攻击活动 - GCOW团队
  
  
  

​
此次攻击所使用的后门程序与之前360安全大脑在南亚地区APT活动总结中已披露的已知的印度组织专属后门cnc_client相似，通过进一步对二进制代码进行对比分析，其通讯格式功能等与cnc_client后门完全一致。可以确定，攻击者来源于印度的白象APT组织。
​
同时，白象伪装成我国卫生主管部门域名，借助YQ话题，伪造相关文件，对我国医疗机构发动APT攻击。如冒充国家卫健委官网网站 nhc-gov.com，真实网站 nhc.gov.cn。
​
安全建议：注意保护文件（格式）以及电子公章，文档包含“启用宏”勿点击；牢记常用网站的域名，防止DNS劫持及网站冒充。

---

二. 海莲花海莲花（OceanLotus）是一个据称越南背景的APT组织，又称APT32、OceanLotus。
该组织最早于2015年5月被天眼实验室所揭露并命名，其攻击活动最早可追溯到2012年4月，攻击目标包括中国海事机构、海域建设部门、科研院所和航运企业，后扩展到几乎所有重要的组织机构，并持续活跃至今。

• 参考&推荐文章：“海莲花”(OceanLotus)2019年针对中国攻击活动汇总 - 腾讯
  
  

该组织针对不同的机器下发不同的恶意模块，使得即便恶意文件被安全厂商捕捉到，也因为无相关机器特征而无法解密最终的Payload，无法知晓后续的相关活动。活动钻石模型如下：
​
下图展示了通过恶意文件投递的鱼叉攻击，恶意文件投递的方式依然是最常用的鱼叉攻击的方式，钓鱼关键字包括YQ、干部培训、绩效、工作方向等，相关的邮件如下。
此外，投递钓鱼邮件的账号有网易邮箱，包括126邮箱和163邮箱，账号样式为：名字拼音+数字@163（126）.com，如：Sun**@126.com、reny**@163.com等。
​
2019至2020年投递的恶意诱饵类型众多，包括白加黑、lnk、doc文档、带有WinRARACE（CVE-2018-20250）漏洞的压缩包等，之后的攻击中还新增了伪装为word图标的可执行文件、chm文件等。

1. 带有宏的doc文档
带有宏的文档的投递是该组织比较常用的恶意诱饵，如推特上安全同仁曝光该组织的诱饵。执行宏后，首先会复制原始文档到%temp%下，命名为随机名文件，然后解密出一个新的VBA宏。
接着写入注册表，把解密后的新VBA宏添加进去，接着启动VBA宏函数x_N0th1ngH3r3。解密出来的新VBA宏目的是将shellcode解密并加载执行。Shellcode解密出一个DLL文件，并在内存中加载，执行DllEntry函数。
DllEntry函数先会提取资源文件，并解密出来，解密出来的内容包括最终rat和相关配置信息。最后配置C&C使用https进行通信连接，实施攻击。
​
2. 带有WinRAR ACE（CVE-2018-20250）漏洞的压缩包。
作者之前分享过该CVE漏洞，当我们解压文件时，它会自动加载恶意程序至C盘自启动目录并运行。

​
3. 白加黑
白加黑同样是该组织常用的诱饵类型，并且在实际攻击过程中，还多次使用。病毒伪装成一个DLL文件，伪装为Word图标的可执行文件启动的同时，病毒DLL也会被加载启动（也叫DLL劫持）。使用DLL侧加载（DLL Side-Loading）技术来执行载荷，通俗的讲就是我们常说的白加黑执行。其基本流程如下图所示：

​
​
安全建议：异常邮件、链接、短信不要点击，先电话确认邮件真实来源，再下载文件或压缩包；重要文件切勿互联网传播，查阅或编辑尽量在内网或断网条件下执行（防止C&C）。

---

三. DarkhotelDarkhotel（APT-C-06）是一个长期针对企业高管、GF工业、电子工业等重要机构实施网络攻击活动的APT组织。2014年11月，卡巴斯基实验室的安全专家首次发现了Darkhotel APT组织，并声明该组织至少从2010年就已经开始活跃。360威胁情报中心对该团伙的活动一直保持着持续跟踪，而在最近几个月我们再次跟踪到该团伙发起的新的攻击活动。
双星”漏洞已被活跃近十余年的半岛APT组织Darkhotel(APT-C-06)所利用，并瞄准我国商贸、医疗相关的政府机构发动攻击。该APT组织的攻击手法阴险、刁滑、狡诈。

• CVE-2019-17026（火狐）
  
• CVE-2020-0674（IE）
  
  

​
腾讯御见威胁情报中心曾发布《DarkHotel APT组织揭秘：针对高端商务人士、政要人物的精准攻击已持续8年》，分析报告提到的后门程序SYSCON/SANNY是专门针对朝鲜半岛相关目标进行攻击的恶意文件，其主要攻击目标为朝鲜半岛相关的重要人物或部门，偶尔也会针对东南亚等国进行攻击。通过分析发现，该后门跟DarkHotel的TTPs相吻合，因此我们把该后门归结为DarkHotel（黑店）APT组织。

• 参考&推荐文章：DarkHotel（黑店）APT组织针对朝鲜半岛的精确打击行动
  
  

腾讯御见威胁情报中心对该后门进行了长期跟踪，发现该后门一直以来的特色就是使用FTP协议进行C&C通信，并且有很强的躲避技术和绕UAC技术。 而最新版本的后门采用了多阶段执行、云控、绕最新UAC等技术，使得攻击更加的隐蔽和难以发现。攻击流程如下图所示：
​
安全建议：针对漏洞利用攻击，内网电脑切勿连接互联网，外网电脑及时更新信息中心的补丁（如WannaCry）。

---

四. 蓝宝菇360公司在2018年7月5日首次对外公开了一个从2011年开始持续近8年针对我国行政机构、科研、金融、教育等重点单位和部门进行攻击的高级攻击组织蓝宝菇（APT-C-12），英文名BlueMushroom，该组织的活动在近年呈现非常活跃的状态。
比如，通过向163邮箱发送鱼叉邮件，钓鱼邮件仿冒博鳌亚洲论坛向攻击对象发邀请函。攻击者通过诱导攻击对象打开鱼叉邮件云附件中的LNK文件，一旦攻击对象被诱导打开LNK快捷方式文件，会执行文件中附带的PowerShell恶意脚本来收集上传用户电脑中的重要文件，并安装持久化后门程序长期监控用。

• 推荐文章：蓝宝菇（APT-C-12）针对性攻击技术细节揭秘
  
  

​
攻击方式：

• 在邮件中植入恶意附件
  
• 邮件正文插入恶意链接，诱导受害者点击。通过诱导打开鱼叉邮件云附件，如仿冒博鳌亚洲论坛邀请函(boaostaff[@]163.com)，然后执行PowerShell恶意脚本收集用户电脑中的敏感文件，并安装持久化后门程序长期监控目标
  
  

​
所以，APT攻击离我们并不遥远，网络安全就在我们身边，需要大家共同维护。

---

Part5: 医疗安全防御建议
一. 医疗数据安全防护
“没有网络安全就没有国家安全”，每一个公民都应该树立正确的安全意识，同时做好相关保护工作。具体包括：

• 增强人员安全意识及教育，防止弱口令（复杂口令）、社会工程学现象
  
• 建立安全物理环境，部署安全设备（WAF），安全划分子网
  
• 重要文件切勿互联网传播，查阅或编辑要在内网或断网条件下执行（防止C&C）
  
• 异常邮件、链接、短信不要点击，先电话确认真实来源，再下载文件或压缩包，防止钓鱼邮件
  
• 注意保护重要文件（格式）以及电子公章，文档包含“启用宏”勿点击，防止宏病毒攻击
  
• 建议对邮件排查是否存在木马、病毒、后门程序、钓鱼链接，严控服务端安全
  
• 网站系统和业务满足合规要求（https加密数据传输，防止信息泄露）
  
• 加强对病毒和入侵事件的有效感知，系统补丁按照要求及时更新
  
• 上网不SM，SM不上网，做好数据脱敏处理
  
• 加强移动硬盘、U盘、光盘安全，设置密钥；未知Wifi和外部设备不要连接计算机
  
• 涉及商业的文件重点保护，加强人员安全教育，离职更换密钥
  
• 文件传输实现文件与密钥分离传输
  
• 建立安全管理制度
  
• 做好文档数据记录工作，加强网络审计措施，监测记录系统运行状态、日常操作
  
• 异常行为管理（快速查询指定账号的异常行为）
  
• 流量监控管理（发现异常流量时通知管理员）
  
• 通过安全公司进行定期的渗透检测
  
  

​
同时，中国软件测评中心发布了《医疗行业网络安全白皮书（2020年）》，其架构如下图所示。
​

---

二. 威胁情报防御溯源意图除了溯源出编写恶意代码作者、恶意代码家族之外，还要挖掘出攻击者及攻击者背后的真正意图，从而遏制攻击者的进一步行动。
360威胁情报中心将基于每个APT攻击事件的背景信息、攻击组织、相关TTPs（Tactics, Techniques and Procedures，战术、技术与步骤）进行描述及重大攻击事件溯源。在溯源过程中，越往上溯源越难，尤其是如何定位APT组织的人员。
​
威胁情报防御包括纵深保护、实时联动，基于大数据提供动态变化的威胁情报，应用多种创新技术手段加强抵御外部不断变化的高级威胁，包括预测、防御、响应和检测。
举个例子，我们本地看到一个IP，我不知道它是好是坏，但是我把这个IP传到云端，云端通过庞大的威胁校验机制判断该IP来自哪个国家、曾经攻击过哪个企业、IP关联的黑客家族、文件样本等。云端把IP信息告诉本地设备，从而确定该IP有害并加入黑名单，通过本地设备和云端实时互联，提高威胁情报检测能力。
各大安全厂商都有自己的威胁情报防御，包括360、安天、奇安信、深信服、绿盟、腾讯、阿里、瑞星、启明星辰等。
下图展示了深信服提出了“网络+终端+云端”的体系化建设思路。通过网络终端实现纵深保护，云端和本地结合可视化展现风险及快速处置，并升级能力进行有效保护。日志可以统一发送给云端平台，云端再进行日志分析洞悉威胁，定位位置并给出处理建议。

• 响应：联动EDR清除终端病毒、联动封锁攻击源
  
• 检测：黑链检测、Webshell后门检测、失陷主机检测模
  
• 防御：Web应用防护、入侵防御模块IPS、SAVE防病毒引擎、URL过滤及应用特征识别、ARP欺骗防御及DDoS防御
  
• 预防：误配置、弱口令、漏洞检查、资产梳理、端口开放检查
  
  

​

---

三. APT溯源简述APT溯源推荐作者的文章 “APT攻击检测溯源与常见APT组织的攻击案例”，下面简单进行总结：
1. 溯源取证

• 溯源、取证与样本抽取，钓鱼、社工
  
• 分组行动、相互配合
  
• 锁定特征码
  
• 大数据关联分析，感知未发现的攻击行为
  
• 代码逆向组、流量分析组与网络调研组
  
  

2. 美国应急响应中心溯源方法

• 对被入侵的主机进行还原取证
  
• 对木马样本进行代码的逆向分析与解密
  
• 对流经国家的数据在传输层进行特征码布控
  
• 存储至少半年的流经数据流量，以便还原攻击
  
• 对VPS代理服务提供商与正常网络服务提供商，两者有能力区分，并能落地VPS代理服务提供商的用户背后真实IP地址
  
• 分辨攻击事件背后的组织，并判定组织的来源、分工、资源状况、人员构成、行动目标等要素
  
  

3. 应急响应中心常见的异常网络行为

• 端口与协议不匹配，如使用443端口传输明文协议
  
• 边界VPN拨入的IP地址不在企业用户VPN常用IP地址之列
  
• 利用VPS服务提供商的代理IP地址访问企业用的边界VPN拨入内网
  
• Windows事件日志中的特殊ID编号，如ID 5140通常是PSEXEC（内网hash传递工具）日志
  
• 对于特殊协议要记录访问主机IP、目的主机IP，如SMB协议（永恒之蓝）要倍加防范
  
  

4. 溯源内容
恶意样本的追踪溯源需要以当前的恶意样本为中心，通过对静态特征和动态行为的分析，解决如下问题：

• 谁发动的攻击？
  
• 攻击背景是什么？
  
• 攻击的意图是什么？
  
• 谁编写的样本？
  
• 样本使用了哪些攻击技术？
  
• 攻击过程中使用了那些攻击工具？
  
• 整个攻击过程路径是怎样的？
  
  

5. 溯源方法
恶意样本追踪溯源除了前面介绍的全流量分析、同源分析、入侵日志、域名/IP、攻击模型外，常见的方法还包括：

• 时区溯源案例（白象）
  
• 关联分析案例（Darkhotel APT-C-06）
  
• 特征相似溯源（摩诃草）
  
• 0day漏洞溯源（Lazarus T-APT-15）
  
• 蜜罐溯源
  
• 基于机器学习和深度学习的APT溯源
  
  

下图展示了通过时区对白象APT溯源的过程。
​

---

总结
严峻的网络安全对抗和博弈形势，使得对恶意代码的演化与溯源技术的研究价值凸显，学术界、产业界近年来分别从攻击和防护两个方面展开了深入的研究。
目前，学术界和产业界在恶意代码溯源技术方面取得了较大的进步，在追踪恶意代码组织、黑客组织(攻击者)、发现未知恶意代码方面取得了部分研究成果，例如海莲花、白象、方程式组织等典型 APT 攻击计划和黑客团队的不断曝光，但依然存在不足和挑战。