当您阅读到该篇文章时,作者已经将“网络安全自学篇”设置成了收费专栏,首先说声抱歉。感谢这一年来大家的阅读和陪伴,这100篇安全文章记录了自己从菜鸡到菜鸟的成长史,该部分知识也花了很多精力去学习和总结。由于在外读书且需要养娃,所以按最低价9.9元设置成了收费专栏,赚点奶粉钱,感谢您的抬爱。当然,如果您还是一名在读学生或经济拮据,可以私聊我给你每篇文章开白名单,也可以去github下载对应的免费文章,更希望您能进步,一起加油喔!
接下来我会接着之前的内容继续分享,“网络安全提高班”新的100篇文章即将开启,包括Web渗透、内网渗透、靶场搭建、CVE复现、攻击溯源、实战及CTF总结,它将更加聚焦,更加深入,也是作者的慢慢成长史。换专业确实挺难的,Web渗透也是块硬骨头,但我也试试,看看自己未来四年究竟能将它学到什么程度,漫漫长征路,偏向虎山行。享受过程,一起加油~
本文是“网络安全提高篇”第一篇文章,将带领大家了解网络安全攻防知识点,并以医疗数据安全为基础进行总结,具体内容包括:
作者作为网络安全的小白,分享一些自学基础教程给大家,主要是关于安全工具和实践操作的在线笔记,希望您们喜欢。同时,更希望您能与我一起操作和进步,后续将深入学习网络安全和系统安全知识并分享相关实验。总之,希望该系列文章对博友有所帮助,写文不易,大神们不喜勿喷,谢谢!如果文章对您有帮助,将是我创作的最大动力,点赞、评论、私聊均可,一起加油喔~
声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。
提高篇:
[网络安全提高班] 一〇一.网络空间安全普及和医疗数据安全防护总结
自学篇(建议直接跳转到正文):
[网络安全自学篇] 一.入门笔记之看雪Web安全学习及异或解密示例
[网络安全自学篇] 二.Chrome浏览器保留密码功能渗透解析及登录加密入门笔记
[网络安全自学篇] 三.Burp Suite工具安装配置、Proxy基础用法及暴库示例
[网络安全自学篇] 四.实验吧CTF实战之WEB渗透和隐写术解密
[网络安全自学篇] 五.IDA Pro反汇编工具初识及逆向工程解密实战
[网络安全自学篇] 六.OllyDbg动态分析工具基础用法及Crakeme逆向
[网络安全自学篇] 七.快手视频下载之Chrome浏览器Network分析及Python爬虫探讨
[网络安全自学篇] 八.Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster工具
[网络安全自学篇] 九.社会工程学之基础概念、IP获取、IP物理定位、文件属性
[网络安全自学篇] 十.论文之基于机器学习算法的主机恶意代码
[网络安全自学篇] 十一.虚拟机VMware+Kali安装入门及Sqlmap基本用法
[网络安全自学篇] 十二.Wireshark安装入门及抓取网站用户名密码(一)
[网络安全自学篇] 十三.Wireshark抓包原理(ARP劫持、MAC泛洪)及数据流追踪和图像抓取(二)
[网络安全自学篇] 十四.Python攻防之基础常识、正则表达式、Web编程和套接字通信(一)
[网络安全自学篇] 十五.Python攻防之多线程、C段扫描和数据库编程(二)
[网络安全自学篇] 十六.Python攻防之弱口令、自定义字典生成及网站暴库防护
[网络安全自学篇] 十七.Python攻防之构建Web目录扫描器及ip代理池(四)
[网络安全自学篇] 十八.XSS跨站脚本攻击原理及代码攻防演示(一)
[网络安全自学篇] 十九.Powershell基础入门及常见用法(一)
[网络安全自学篇] 二十.Powershell基础入门及常见用法(二)
[网络安全自学篇] 二十一.GeekPwn极客大赛之安全攻防技术总结及ShowTime
[网络安全自学篇] 二十二.Web渗透之网站信息、域名信息、端口信息、敏感信息及指纹信息收集
[网络安全自学篇] 二十三.基于机器学习的恶意请求识别及安全领域中的机器学习
[网络安全自学篇] 二十四.基于机器学习的恶意代码识别及人工智能中的恶意代码检测
[网络安全自学篇] 二十五.Web安全学习路线及木马、病毒和防御初探
[网络安全自学篇] 二十六.Shodan搜索引擎详解及Python命令行调用
[网络安全自学篇] 二十七.Sqlmap基础用法、CTF实战及请求参数设置(一)
[网络安全自学篇] 二十八.文件上传漏洞和Caidao入门及防御原理(一)
[网络安全自学篇] 二十九.文件上传漏洞和IIS6.0解析漏洞及防御原理(二)
[网络安全自学篇] 三十.文件上传漏洞、编辑器漏洞和IIS高版本漏洞及防御(三)
[网络安全自学篇] 三十一.文件上传漏洞之Upload-labs靶场及CTF题目01-10(四)
[网络安全自学篇] 三十二.文件上传漏洞之Upload-labs靶场及CTF题目11-20(五)
[网络安全自学篇] 三十三.文件上传漏洞之绕狗一句话原理和绕过安全狗(六)
[网络安全自学篇] 三十四.Windows系统漏洞之5次Shift漏洞启动计算机
[网络安全自学篇] 三十五.恶意代码攻击溯源及恶意样本分析
[网络安全自学篇] 三十六.WinRAR漏洞复现(CVE-2018-20250)及恶意软件自启动劫持
[网络安全自学篇] 三十七.Web渗透提高班之hack the box在线靶场注册及入门知识(一)
[网络安全自学篇] 三十八.hack the box渗透之BurpSuite和Hydra密码爆破及Python加密Post请求(二)
[网络安全自学篇] 三十九.hack the box渗透之DirBuster扫描路径及Sqlmap高级注入用法(三)
[网络安全自学篇] 四十.phpMyAdmin 4.8.1后台文件包含漏洞复现及详解(CVE-2018-12613)
[网络安全自学篇] 四十一.中间人攻击和ARP欺骗原理详解及漏洞还原
[网络安全自学篇] 四十二.DNS欺骗和钓鱼网站原理详解及漏洞还原
[网络安全自学篇] 四十三.木马原理详解、远程服务器IPC$漏洞及木马植入实验
[网络安全自学篇] 四十四.Windows远程桌面服务漏洞(CVE-2019-0708)复现及详解
[网络安全自学篇] 四十五.病毒详解及批处理病毒制作(自启动、修改密码、定时关机、蓝屏、进程关闭)
[网络安全自学篇] 四十六.微软证书漏洞CVE-2020-0601 (上)Windows验证机制及可执行文件签名复现
[网络安全自学篇] 四十七.微软证书漏洞CVE-2020-0601 (下)Windows证书签名及HTTPS网站劫持
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
[网络安全自学篇] 四十九.Procmon软件基本用法及文件进程、注册表查看
[网络安全自学篇] 五十.虚拟机基础之安装XP系统、文件共享、网络快照设置及Wireshark抓取BBS密码
[网络安全自学篇] 五十一.恶意样本分析及HGZ木马控制目标服务器
[网络安全自学篇] 五十二.Windows漏洞利用之栈溢出原理和栈保护GS机制
[网络安全自学篇] 五十三.Windows漏洞利用之Metasploit实现栈溢出攻击及反弹shell
[网络安全自学篇] 五十四.Windows漏洞利用之基于SEH异常处理机制的栈溢出攻击及shell提取
[网络安全自学篇] 五十五.Windows漏洞利用之构建ROP链绕过DEP并获取Shell
[网络安全自学篇] 五十六.i春秋老师分享小白渗透之路及Web渗透技术总结
[网络安全自学篇] 五十七.PE文件逆向之什么是数字签名及Signtool签名工具详解(一)
[网络安全自学篇] 五十八.Windows漏洞利用之再看CVE-2019-0708及Metasploit反弹shell
[网络安全自学篇] 五十九.Windows漏洞利用之MS08-067远程代码执行漏洞复现及shell深度提权
[网络安全自学篇] 六十.Cracer第八期——(2)五万字总结Linux基础知识和常用渗透命令
[网络安全自学篇] 六十一.PE文件逆向之数字签名详细解析及Signcode、PEView、010Editor、Asn1View等工具用法(二)
[网络安全自学篇] 六十二.PE文件逆向之PE文件解析、PE编辑工具使用和PE结构修改(三)
[网络安全自学篇] 六十三.hack the box渗透之OpenAdmin题目及蚁剑管理员提权(四)
[网络安全自学篇] 六十四.Windows漏洞利用之SMBv3服务远程代码执行漏洞(CVE-2020-0796)复现及详解
[网络安全自学篇] 六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例(一)
[网络安全自学篇] 六十六.Vulnhub靶机渗透之DC-1提权和Drupal漏洞利用(二)
[网络安全自学篇] 六十七.WannaCry勒索病毒复现及分析(一)Python利用永恒之蓝及Win7勒索加密
[网络安全自学篇] 六十八.WannaCry勒索病毒复现及分析(二)MS17-010利用及病毒解析
[网络安全自学篇] 六十九.宏病毒之入门基础、防御措施、自发邮件及APT28样本分析
[网络安全自学篇] 七十.WannaCry勒索病毒复现及分析(三)蠕虫传播机制分析及IDA和OD逆向
[网络安全自学篇] 七十一.深信服分享之外部威胁防护和勒索病毒对抗
[网络安全自学篇] 七十二.逆向分析之OllyDbg动态调试工具(一)基础入门及TraceMe案例分析
[网络安全自学篇] 七十三.WannaCry勒索病毒复现及分析(四)蠕虫传播机制全网源码详细解读
[网络安全自学篇] 七十四.APT攻击检测溯源与常见APT组织的攻击案例
[网络安全自学篇] 七十五.Vulnhub靶机渗透之bulldog信息收集和nc反弹shell(三)
[网络安全自学篇] 七十六.逆向分析之OllyDbg动态调试工具(二)INT3断点、反调试、硬件断点与内存断点
[网络安全自学篇] 七十七.恶意代码与APT攻击中的武器(强推Seak老师)
[网络安全自学篇] 七十八.XSS跨站脚本攻击案例分享及总结(二)
[网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解
[网络安全自学篇] 八十.WHUCTF之WEB类解题思路WP(代码审计、文件包含、过滤绕过、SQL注入)
[网络安全自学篇] 八十一.WHUCTF之WEB类解题思路WP(文件上传漏洞、冰蝎蚁剑、反序列化phar)
[网络安全自学篇] 八十二.WHUCTF之隐写和逆向类解题思路WP(文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析)
[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
[网络安全自学篇] 八十四.《Windows黑客编程技术详解》之VS环境配置、基础知识及DLL延迟加载详解
[网络安全自学篇] 八十五.《Windows黑客编程技术详解》之注入技术详解(全局钩子、远线程钩子、突破Session 0注入、APC注入)
[网络安全自学篇] 八十六.威胁情报分析之Python抓取FreeBuf网站APT文章(上)
[网络安全自学篇] 八十七.恶意代码检测技术详解及总结
[网络安全自学篇] 八十八.基于机器学习的恶意代码检测技术详解
[网络安全自学篇] 八十九.PE文件解析之通过Python获取时间戳判断软件来源地区
[网络安全自学篇] 九十.远控木马详解及APT攻击中的远控
[网络安全自学篇] 九十一.阿里云搭建LNMP环境及实现PHP自定义网站IP访问 (1)
[网络安全自学篇] 九十二.《Windows黑客编程技术详解》之病毒启动技术创建进程API、突破SESSION0隔离、内存加载详解(3)
[网络安全自学篇] 九十三.《Windows黑客编程技术详解》之木马开机自启动技术(注册表、计划任务、系统服务)
[网络安全自学篇] 九十四.《Windows黑客编程技术详解》之提权技术(令牌权限提升和Bypass UAC)
[网络安全自学篇] 九十五.利用XAMPP任意命令执行漏洞提升权限(CVE-2020-11107)
近年来,网络安全事件和恶意代码攻击层出不穷,它们给国家、社会和个人带来了严重的危害,如分布式拒绝服务攻击(DDoS)、基于僵尸网络(Botnet)的攻击、勒索病毒WannaCry、高级可持续威胁(APT)攻击、利用远程控制木马的信息窃取等。
2017年以来,恶意代码数量依然呈上升的趋势,尤其是新型恶意代码,其数量始终呈逐年递增状态,这对网络空间安全造成了极大的威胁。在这些恶意代码攻击中, 攻击者会向目标主机(受害主机),发送特定的攻击数据包或执行恶意行为。如果能追踪这些攻击数据包的来源,定位攻击者的真实位置,受害主机不但可以采用应对措施,如在合适位置过滤攻击数据包,而且可以对攻击者采取法律手段。因此在网络取证和安全防御领域,网络攻击溯源一直是一个热点问题。
下图展示了APT组织Lazarus(APT38)的重大攻击时间线。如果某次攻击发生时或发生前,我们能够追踪溯源到是某个组织发起的,那是不是就能有效避免一次安全攻击呢?
网络攻击追踪溯源旨在利用各种手段追踪网络攻击的发起者。相关技术提供了定位攻击源和攻击路径,针对性反制或抑制网络攻击,以及网络取证能力,其在网络安全领域具有非常重要的价值。当前,网络空间安全形势日益复杂,入侵者的攻击手段不断提升,其躲避追踪溯源的手段也日益先进,如匿名网络、网络跳板、AN网、网络隐蔽信道、隐写术等方法在网络攻击事件中大量使用,这些都给网络攻击行为的追踪溯源工作带来了巨大的技术挑战。攻击链通常分为七个阶段:
传统的恶意代码攻击溯源方法是通过单个组织的技术力量,获取局部的攻击相关信息,无法构建完整的攻击链条,一旦攻击链中断,往往会使得前期大量的溯源工作变得毫无价值。同时,面对可持续、高威胁、高复杂的大规模网络攻击,没有深入分析攻击组织之间的关系,缺乏利用深层次恶意代码的语义知识,后续学术界和企业界也提出了一些解决措施。下图展示了一个经典的溯源案例。
为了进一步震慑黑客组织与网络犯罪活动,目前学术界和产业界均展开了恶意代码溯源分析与研究工作。其基本思路是:
网络攻击追踪溯源按照追踪的深度和精准度可分为:
常用方法包括域名/IP地址分析、入侵日志监测、全流量分析、同源分析、攻击模型分析等。为了进一步防御网络犯罪活动和威慑黑客组织,目前学术界和产业界均展开了恶意代码溯源分析与研究工作。网络追踪溯源常用工具包括:
学术界旨在采用静态或动态的方式获取恶意代码的特征信息,通过对恶意代码的特征学习,建立不同类别恶意代码的特征模型,通过计算待检测恶意代码针对不同特征类别的相似性度量,指导恶意代码的同源性判定。常见的恶意代码溯源主要包括4个阶段:特征提取、特征预处理、相似性计算、同源判定,各阶段间的流程关系如下图所示。
上图是将溯源对象Windows平台的PE恶意文件或Android平台的APK恶意文件输入溯源系统,经过特征提取、特征预处理、相似性计算、同源分析获取溯源结果,最终判定攻击家族或作者。
(1) 特征提取
特征提取是溯源分析过程的基础,具有同源性的恶意代码是通过它们的共有特征与其他代码区分开来的。所提取的特征既要反映出恶意代码的本质和具有同源性恶意代码之间的相似性,又要满足提取的有效性。
依据溯源目的,溯源特征提取包括溯源家族的特征提取和溯源作者的特征提取。Faruki等在字节码级别提取统计性强的序列特征,包括指令、操作码、字节码、API代码序列等。Perdisci R等通过n-gram提取字节码序列作为特征。Ki Y等提出了捕获运行过程中的API序列作为特征,利用生物基因序列检测工具ClustalX对API序列进行相似性分析,得到恶意代码的同源性判定。DNADroid使用PDG作为特征,DroidSim是一种基于组件的CFG来表示相似性代码特征,与早期的方法相比,该系统检测代码重用更准确。
下图展示了行为特征提取过程,它从用户态到核心态文件处理,再到核心态磁盘处理,有一系列的函数进行Hooking和InlineHooking进行整体的行为监控,可以帮助我们进行溯源工作。
(2) 特征预处理
特征提取过程中会遇到不具有代表性、不能量化的原始特征,特征预处理针对这一问题进行解决,以提取出适用于相似性计算的代表性特征。特征预处理一方面对初始特征进行预处理,另一方面为相似性计算提供基础数据。常见的特征类型包括序列特征和代码结构特征。
(3) 相似性计算
溯源旨在通过分析样本的同源性定位到家族或作者,样本的同源性可以通过分析代码相似性来获取。相似性计算旨在衡量恶意代码间相似度,具体为采用一种相似性模型对恶意代码的特征进行运算。根据预处理特征类型的不同以及溯源需求、效率、准确性等差异,采用不同的相似性运算方法。
目前比较流行的相似性计算方法主要集中在对集合、序列、向量、图等特征表现形式的处理。Qiao等基于集合计算相似性,在不同恶意样本API集合的相似性比较中采用了Jaccard系数方法,将为A、B两个集合的交集在并集中所占的比例作为相似度,比例值越大,证明越相似,如公式所示。
Faruki等提出了采用SDhash相似性散列技术构建样本的签名序列,并采用汉明距离法对序列进行相似性计算,从而识别同源性样本。Suarez-Tangil 等用数据挖掘算法中向量空间模型展示家族的恶意代码特征形式,将同家族提取出来的具有代表性的CFG元素作为特征中维度,采用余弦算法对不同家族的向量空间模型进行相似度计算,根据余弦值来判断它们的相似性,从而识别出相似性样本,进而归属到对应的家族。用于比较向量的余弦相似度反映了恶意代码间的相似性,其具体公式如公式所示。
Cesare等提出了最小距离匹配度量法,比较不同样本的CFG图特征的相似性。Kinable等通过静态分析恶意代码的系统调用图,采用图匹配的方式计算图相似性得分,该得分近似于图的编辑距离。利用该得分比较样本的相似性,采用聚类算法将样本进行聚类,实现家族分类。
(4) 同源分析
学术界常见的同源判定方法主要包括基于聚类算法的同源判定、基于神经网络的同源判定等。Kim等采用DBSCAN算法对基于调用图聚类,发现类似的恶意软件。Feizollah等提出采用层聚类算法,构建家族间演化模型,进而发掘家族功能的演化。Niu等提出了层次聚类和密度聚类算法结合的快速聚类算法对操作码序列特征进行聚类,以识别恶意软件变体,该方法识别变体效率较高。
神经网络是一种多层网络的机器学习算法,可以处理多特征以及复杂特征的同源判定。基本思想为:将样本特征作为输入层数据,然后不断调整神经网络参数,直到输出的样本与该样本是一种同源关系未为止。它会将恶意代码特征送输入层,即可判断恶意代码的同源性.。赵炳麟等提出了基于神经网络的同源判定方法,其整体实现框架如下图所示。
产业界除了采用与学术界类似的同源判定方法之外,还会通过关联的方法对恶意代码进行溯源。产业界的溯源意图除了溯源出编写恶意代码作者、恶意代码家族之外,还要挖掘出攻击者及攻击者背后的真正意图,从而遏制攻击者的进一步行动。
产业界与学术界溯源方法的差异主要表现在特征提取和同源判定两个方面:在特征提取上,产业界更倾向于从代码结构、攻击链中提取相似性特征;在同源判定上,除了采用与已有的历史样本进行相似度聚类分析之外,产业界还会采用一些关联性分析方法。相比学术界溯源特征,产业界溯源特征更加详细全面,信息复杂度大。因此,学术界的同源判定方法并不能完全用于产业界各类特征的相似性分析中,常见产业界溯源方法分类如下表所示。
(1) 恶意攻击流程及溯源方法
恶意样本溯源追踪主要去了解攻击者或者团队的意图。恶意攻击的活动大概有如下7步骤:
恶意样本的追踪溯源需要以当前的恶意样本为中心,通过对静态特征和动态行为的分析,解决如下问题:
企业界恶意样本追踪溯源可以采取如下方法:
(2) 域名/IP
这种溯源方法是最基本的方法,通过对攻击者使用的域名和IP地址进行分析,挖掘攻击源头。查询域名的whois信息,可以关联到攻击者部分信息,如注册名、注册邮箱、注册地址、电话、注册时间、服务商等。
案例分析
Checkpoint经过细致分析后,最终归纳出一个首要攻击者,即昵称为“Nexxus Zeta”的一个hacker,原因在于攻击者在注册僵尸网络的某个C&C域名(nexusiotsolutions.net)时,所使用的邮箱地址包含相关信息。
该邮件地址([email protected])与C&C域名有一些交集,因此怀疑这个地址并不是一次性邮件地址,可以根据该地址来揭晓攻击者的真实身份。当搜索Nexus Zeta 1337时,在HackForums上找到了一个活跃的成员,该成员的用户昵称为“Nexus Zeta”,自2015年8月起已经是HackForums的一份子。虽然这个人在这种论坛上活跃度很低,但他发表了几篇帖子,从这些帖子中并没有发现他的专业水平有多高。不过有趣的是,他最近关注了如何建立起类似Mirai的IoT僵尸网络。
NexusZeta在社交媒体上也颇为活跃,主要是在Twitter以及Github上,他在这两个平台上都公布了自己的IoT僵尸网络项目。实际上,这个人还将其Github账户关联到前面提到的那个恶意域名(nexusiotsolutions.net)。分析人员也找到了他所使用的Skype以及SoundCloud账户,使用人名为Caleb Wilson(caleb.wilson37 / Caleb Wilson 37),因此溯源到该作者,但遗憾的是无法确定这个名字是否就是其真实姓名。
- 参考文献:https://research.checkpoint.com/good-zero-day-skiddie/
(3) 入侵日志
这种溯源分析方法偏向于主机取证分析,攻击者在入侵到主机后的行为分析。对攻击者留下的大量操作日志进行分析后,可以提取相关攻击者的信息,包括:
简单举个例子,不少攻击者习惯使用自动化的工具,去提取主机上的敏感信息(网站,邮箱,比特币,网银等账号密码),入侵成功后(钓鱼,社工,水坑攻击等),会在受害者机器上安装间谍软件,进行主机行为监控,并且定时将截获的敏感信息上传到服务上。大多使用三种通信方式窃取敏感信息:ftp、smtp、http。
案例分析
通过分析入侵日志,最终分析其预置的监控程序。该样本中攻击者使用加密的smtp服务器窃取敏感信息,在样本分析过程中可以获取到邮箱的用户名与密码:
接着利用获取到的登陆凭证可成功登陆攻击者邮箱:
在邮件内容中,发现了攻击者的真实邮箱,之后通过进一步溯源分析,定位到了攻击者。下图是攻击者真实的twitter账号:
(4) 全流量分析
某些攻击者或者组织的反跟踪意识非常强,基本上不会留下任何痕迹,在达成入侵目的之后(窃取数据),会完全清除入侵痕迹,或者干脆销毁主机硬盘。
例如,2015年乌克兰电厂遭受攻击之后,攻击者利用killdisk组件销毁了全部数据。当然有些也不会留下在主机上的任何操作痕迹,部分勒索软件也是通过同样的手段进行痕迹擦除。这类案例也非常多,基本上在受害者机器上找不到任何痕迹,这时进行全流量分析溯源就相当有效了。
案例分析
这里以2017年Flareon 4th逆向挑战赛最后一题为例。
它描述了一个APT攻击场景,需要通过分析数据包及PE文件,还原整个攻击过程。从网络下载加密的恶意代码在本地进行解密:
解密后的内容为一个远控端,其和主控端的通讯流量通过了全加密,网络传输数据格式如下:
相关的加解密及功能模块如下:
过流量分析发现攻击者入侵行为如下:
- 黑客入侵到168.221.91后,先获取了屏幕截图(内容包含了一个密码)。
- 查看c:\work\FlareOn2017\Challenge_10\TODO.txt,发现larry相关提示(根据前期信息收集结果,可以知道johnson主机名)。
- 通过ping命令获取到内网johnson主机IP地址(192.168.221.105)。
- 使用psexec在johnson的主机上安装后门srv2.exe(监听本地16452端口)。
- 之后通过内网代理连接该后门,通过代理插件上传加密模块到了johnson的主机上c:\staging\cf.exe。
- 利用加密程序(exe)对lab10的文件进行加密,之后将原始文件删除,并且通过代理传到了黑客手里。
该案例中仅通过全流量分析,最终还原整个入侵过程、黑客攻击行为以及窃取的内容,而在真实的环境中需要结合入侵日志进一步对恶意样本攻击进行追踪溯源。
(5) 同源分析
该方法主要为在获取到恶意样本后,很难第一时间关联到攻击者或者恶意样本提供者的信息,但是可以通过和历史恶意代码进行相似度分析,获得历史攻击事件,从而关联到相应的组织或团体。这种溯源方法多用于定位APT组织或者某些知名的黑客团体(方程式)的行动,需要投入大量的人力,时间去完成溯源跟踪分析。
APT组织或者知名黑客团队,一般都有各自的工具定制开发部门,负责各类工具的开发,以及漏洞利用工具的量产(从今年4月份泄露的方程式组织内部的工具以及CIA泄露的部分文档就可以看出端倪)。其部分划分组织架构都非常清晰,有专门负责工具开发的部门,例如:远控开发部门、硬件研究部门、漏洞挖掘部门、漏洞利用工具编写的部门等。常用方法包括:
案例分析
通过设计思路溯源。每个程序员在软件实现的时候,会使用自己比较熟悉的一套代码风格和实现算法,每个团伙或者组织在攻击目标时也会有一套自己特有的攻击方法,针对恶意样本可以通过行为日志的相似度、代码混淆风格以及相关的实现算法进行同源判定。下图展示了安天利用“破壳”漏洞投放的6个Bot具有同源性。
- “破壳”漏洞相关恶意代码样本分析报告_V1.9 - 安天
(6) 攻击框架
这种溯源方法主要见于某些专业化程度比较高的个人或者组织,他们有自己的攻击常规套路,并且长期专注于一个领域的攻击。比如,在一次应急响应中通过取证分析,了解到攻击使用的攻击模型如下:
之后利用该攻击模型对样本库中的文件进行筛选,定位到另外3套与该模型完全匹配的案例,进一步分析匹配到的样本后,首先确认了该4套样本出于同一开发团队,经过溯源分析准确定位到了攻击者。
“天网恢恢疏而不漏”,溯源分析旨在通过现象去发掘样本背后的故事,没有固定的套路可循,在分析过程中,要像侦探破案一样,大胆心细,不放过任何细枝末节,是一场人与人之间斗智斗勇的过程。同时,企业针对APT溯源提出了不同的框架,比较经典的框架包括:
“没有网络安全就没有国家安全”。自全球第一个计算机病毒出现后,网络威胁无处不在。同样,人们通过与病毒长期的斗争,积累了大量反病毒经验,掌握了大量实用的反病毒技术,并研制出一系列优秀的反病毒产品,主要用于病毒的防护、检测及其清除等。
恶意代码的检测是将检测对象与恶意代码特征(检测标准)进行对比分析,定位病毒程序或代码,或检测恶意行为。常见的检测技术包括特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术、主动防御技术,以及新兴的云查杀技术、深度学习检测等。
下面介绍几个比较经典的安全事件,也希望读者通过这篇文章对网络空间安全有一定的了解。
网络安全(Web渗透)是通过模拟恶意黑客的攻击,来评估计算机网络系统安全的一种评估方法。渗透测试主要分为黑盒测试和白盒测试两种方式。不同的人有不同的框架,下面从企业界和学术界介绍两种技术路线。
(1) 企业网络安全技术路线
(2) 学术界网络空间安全知识体系
(1) 电信ZP和一码多用
当我们收到一些电话或短信时,可能会去点击按键或链接,这类钓鱼操作会导致我们的个人隐私泄露。2013年某公司泄露了海量用户数据,其原理是黑客进行脱库(数据库)操作,脱库之后他们还会继续挖掘用户的隐私信息。用户在使用购物或系统门户网站时,很可能会设置相同或相近的用户名、密码,通过撞库能获取更多有价值的信息,他们再卖这些数据谋求利益。
(2) 弱口令攻击
通常认为容易被别人猜测到或被PJ工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令,例如“123”、“abc”、“qwe”等,因为这样的口令很容易被别人破解,从而使用户的计算机面临风险,因此不推荐用户使用。常见弱口令有:数字或字母连排或混排,键盘字母连排;生日,姓名+生日;短语密码等。
密码管理器NordPass公布了2020年最常用密码TOP200榜单,可以说,这是2020年最糟糕的200个密码。排名靠前的几个密码,相信大多数人都非常熟悉:如123456、123456789、password、111111、123123、qwerty、000000等等,看来全球用户都“青睐”数字。而这些密码被弱口令攻击都不需要1秒钟。
(3) 伪基站、Wifi探针或鱼叉式钓鱼邮件攻击
伪基站是指移动小型基站,可以定位你的GPS位置,再发送欺骗短信或电话。比如,骗子伪装成95588,利用伪基站向手机发送短信,当用户按照短信提示登录钓鱼网址时,他的银行卡号和密码就会被泄露。除了诈骗,还会建立联盟调查信息库,可以查看到开房记录、上网记录、常住暂住人口信息。
Wifi探针是当用户手机无线局域网处理打开状态时,会向周围发出寻找无线网络的信号,探针盒子发现这个信号,就能迅速识别出用户手机的MAC地址。而MAC地址可以转换成IMEI号,再转换成手机号码。为了获取更多用户个人信息,一些公司将这个小白盒子放在商场、超市、便利店、写字楼等,在用户毫不知情的情况下,搜集个人信息。
同时,某些手机APP恶意收集用户隐私信息 ,并生成用户画像,通过电话、短信、微信、QQ等发送个性化广告。APP安装时,需要同意权限才能安装,此时它能读取用户信息,比如315晚会曝光的墨迹天气APP隐私泄露案例。
(4) 企业非法竞争
某个药业公司需要研发一种药,想对用户人群的需求和购买力做个评估,但是做调研的时间成本和人力成本太大了,他们就会想一些“捷径”。找到黑客,让其进某医院的病例数据库,把病例数据复制下来直接分析。再比如某网站为惊醒大家注意摄像头安全,实现如下左图所示直播功能(Network live IP video cameras),右图新冠检测系统用户数据被非法出售。
(5) 利用漏洞植入木马
利用漏洞或恶意软件实施攻击,常见功能包括:捕获屏幕、摄像头、语音通话、远程连接、键盘记录、获取Webshell(管理员权限)、数据库脱库等。
(6) 商业隐私保护
前面介绍了很多软件及互联网相关的安全,那么物理设备存在吗?当前,通过物理设备实施商业相关的物理攻击也很常见,商业隐私案件中有60%与员工离职有关,两类高危人群分别是高管和特殊职位员工。同时各种隐秘的摄像头越来越多,都需要大家注意,如下图所示的插板、衣架螺丝中都切入了隐秘的微型摄像头,甚至有通过向会议室玻璃窗发射激光获取音频信息的案例。
(7) 供应链攻击与硬件安全
通过供应链采购实时恶意软件植入,同时通过硬件设备窃取信息的案例也越来越多。如下图所示的HACKUSB(数据线&支持快充)、BadUSB(恶意代码隐藏的USB)、恶意移动充电宝等。
(8) 社会工程学
社会工程学(Social Engineering) 是一种通过人际交流的方式获得信息的非技术渗透手段。这种手段非常有效,而且应用效率极高。事实上,社会工程学已是企业安全最大的威胁之一。通过社工攻击手段,筛选和整理你的个人信息、家庭状况、兴趣爱好、婚姻状况,以及你在网上留下的一切痕迹,再进行渗透。这是一种无需依托任何黑客软件,更注重研究人性弱点的黑客技术。
(9) 0day漏洞和1day漏洞利用
利用漏洞实时攻击,如下图所示,WannaCry蠕虫通过NSA永恒之蓝MS17-010漏洞(445端口)在全球范围大爆发,感染大量计算机。
(10) 内网渗透
什么是内网?比如大家连在同一个WIFI下,就可以称为内网。换句话说,从外部网络不能直接访问的网络就称之为内网。比如,在公司文件服务器搭建了一些资源,外部互联网的人是不能直接访问这些资源的。
首先,我们来看一张网络拓扑图,最常见的企业网络。由图可知,一个企业网络对外通常会存在一个防火墙,防火墙中有个路由器,路由器接入很多电脑,包括三块区域(DMZ区、核心业务区、办公区),DMZ区放置一些对安全性不高的服务器,比如邮件、门户网站服务器等;核心业务区存放企业核心数据库、OA系统、ERP系统;办公区是企业员工办公网络。
假设现在一名白帽子需要攻击测试这个内部网络,想直接访问核心业务区的数据库是不可能的,而公司在DMZ区提供了对外的Web服务器,能够让你直接在互联网里面访问。
下面介绍一个内网渗透案例,该案例均是授权情况下进行的渗透测试,切勿进行非法渗透或攻击。由该网络拓扑图可知,正常访问时会通过CDN(内容分发转网络)、WAF(应用防护系统)等安全软件,从而过滤并保护我们企业的网络安全。白帽子需要想一个办法:能不能让我们的访问不经过CDN和WAF呢?
答案是可以的。
第一步,全面收集信息
通过全面信息收集,找到与目标相关的信息网站。
第二步,寻找有用线索
深入分析并发现网站源码内存在真实IP泄露。
第三步,进一步搜集和利用有用信息
针对真实IP开展端口扫描,找到对应的端口和服务BBS。该网站存在一个信息泄露的漏洞,通过目录扫描找到泄露的账号密码,即在BBS的日志内搜索并成功解密出用户账号和密码信息。
第四步,利用有用信息进入内网
登录BBS系统,发现并利用跟帖上传处漏洞,上传shell(网页后门)成功拿下该服务器system权限,进入内网。system权限是最高权限,该案例免去了权限维持与提升步骤。
第五步,内网横向扩展
通过弱口令、历史漏洞等方式,成功拿下内网多台服务器权限,并从中找到了1个涉及多个目标服务器的密码本,此时已成功进入了目标网络的核心业务网段。结合前期收集到的信息,成功登录目标重大项目库的源码服务器,针对源码进行深入分析,从配置文件中找到了系统运维邮件账号和密码,并成功进入运维邮箱。
第六步,作为白帽子,立刻告诉该网站管理员并对网站进行维护,提升安全等级及修复漏洞补丁。
下面对常见的恶意软件威胁进行简单总结:
技巧一:Google Hacking
Google提供了强大的搜索功能,可以获取精准的结果。如果访问不了,也可以通过Bing或百度获取相关内容,但是结果没有谷歌精准。常见方法如下:
技巧二:Whois收集
采集网站、IP、机构、邮箱、个人、国家等信息。可以参考作者之前“网络安全自学篇”文章。
技巧三:CMS指纹识别 (网站架构、网站目录)
参考作者之前“网络安全自学篇”文章。
技巧四:端口扫描
参考作者之前“网络安全自学篇”文章,包括网站开放端口、旁站等。
技巧五:IP物理定位
技巧六:社会工程学
社会工程学(Social Engineering) 是一种通过人际交流的方式获得信息的非技术渗透手段。这种手段非常有效,而且应用效率极高。事实上,社会工程学已是企业安全最大的威胁之一。
同时,邮件反查可以结合社会工程学进行信息收集。
再比如通过密码找回功能获取部分手机号信息(开头182、结尾47)。由于我国手机号码为11位,各段有不同的编码方向:前3位为网络识别号;第4-7位为地区编码;第8-11位为用户号码。号码也就是所谓的MDN号码,即本网移动用户作被叫时,主叫用户所需拨的号码,它采取E.164编码方式;存储在HLR和VLR中,在MAP接口上传送。通过社会工程学结合Python自定义词典可以对电话进行获取。
技巧七:手机号码查找
通过各大网站已知有价值的ID获取其他信息(如电话号码、QQ、微信),通过电话或QQ获取用户的登录账号,也是常见的社会工程学手段。同时,通过某些网站获取三大运营商不同城市的手机号段。
技巧八:验证码生成器
技巧九:照片信息泄露、Office信息泄露
智能手机拍照时,Exif包括位置信息。如果不经过处理,这些Exif参数会一直存在。在拍照的时候软件调用了Exif中的GPS全球定位系统数据。同时,经过各种美图软件处理过的照片都会在相册中显示位置信息,而且不少美颜软件都自带定位功能。
通过之前的分析我们看到了无处不在的网络安全,那么,医疗卫生行业或ZF部门面临着怎样的安全风险呢?下面我们开始分享。医疗行业信息系统面临的安全风险主要包括:
由于医疗系统的行业特殊性,对安全存在更高的要求,无论是从政策法规,还是从维护医疗服务体系的正常运转来看,守护医疗信息系统和医疗数据的网络安全势在必行。
在YQ这种“战时”状态,医疗数据的威力更是显而易见,医疗数据安全更重要的是涉及大量人体真实数据。大数据背景下的数据泄露直接关系到我们的生命财产安全、生物安全等,被恶意获取后的医疗数据,可以实现对人种、群体生命信息的精准分析,掌握国家的人才信息乃至国家人口发展战略、政策和生命安全。
YQ期间,以美国、印度为首的西方国家,不遗余力获取我国的医疗相关数据,包括实验、Yi苗、数据等多方面,手段包括木马攻击、公开情报搜集、鱼叉式钓鱼攻击、针对医疗和科研行业重点人员实施社工攻击行为等等,无所不用其极。这些危害往往是不可逆,损失无法估量。因此,在战略上,医疗数据安全直接关系国家和人民的安全!
2020年4月,汇医慧影两个月研发的AI辅助系统和积累的训练数据被黑客窃取。以4比特币(约21万人民币)的价格在A网上公开出售,给我们国家医疗资源代码巨大损失。其出售数据包括150M的实验室研究信息,1GB技术信息及其源代码和1.5M的用户数据。
传统的网络攻击主要以金钱和利益为主,目前逐渐向有组织的APT攻击发展。那么,什么是APT攻击呢?
APT攻击(Advanced Persistent Threat,高级持续性威胁)是利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。
360威胁情报中心结合2018年全年国内外各个安全研究机构、安全厂商披露的重大APT攻击事件,以及近几年来披露的高级持续性威胁活动信息,并基于这些重大APT攻击事件的危害程度、攻击频度、攻击技术等,评选出2018年全球十大APT攻击事件。参考:https://www.secrss.com/articles/7530
长期被国家级APT组织盯上,随时面临一国网络瘫痪的风险。针对我国境内实施攻击活动的活跃APT组织如下:
APT攻击主要针对ZF机构、科研工作者、医疗行业、高校教师、JS爱好者、企业高管等。
典型的APT攻击手段如下:
下面介绍典型针对医疗数据的APT攻击案例。
印度背景的APT组织代号为APT-C-09,又名摩诃草、白象、PatchWork、angOver、VICEROY TIGER、The Dropping Elephan。主要针对中国、巴基斯坦等亚洲地区国家进行网络攻击活动,以采集敏感信息为主。至今非常活跃。在针对中国地区的攻击中,该组织以ZF机构、医疗卫生、科研教育领域为主。
2020.2月初,白象APT组织通过投递带有恶意宏文件的xls文件(诱饵文档),该诱饵文档名叫“武汉旅行信息收集申请表.xlsm”“收集健康准备信息的申请表.xlsm”,并且伪装成卫生部的文件攻击我国医疗部门。
此次攻击所使用的后门程序与之前360安全大脑在南亚地区APT活动总结中已披露的已知的印度组织专属后门cnc_client相似,通过进一步对二进制代码进行对比分析,其通讯格式功能等与cnc_client后门完全一致。非常可以确定,攻击者来源于印度的白象APT组织。
同时,白象伪装成我国卫生主管部门域名,借助YQ话题,伪造相关文件,对我国医疗机构发动APT攻击。如冒充国家卫健委官网网站 nhc-gov.com,真实网站 nhc.gov.cn。
安全建议:注意保护文件(格式)以及电子公章,文档包含“启用宏”勿点击;牢记常用网站的域名,防止DNS劫持及网站冒充。
海莲花(OceanLotus)是一个据称越南背景的APT组织,又称APT32、OceanLotus。该组织最早于2015年5月被天眼实验室所揭露并命名,其攻击活动最早可追溯到2012年4月,攻击目标包括中国海事机构、海域建设部门、科研院所和航运企业,后扩展到几乎所有重要的组织机构,并持续活跃至今。
该组织针对不同的机器下发不同的恶意模块,使得即便恶意文件被安全厂商捕捉到,也因为无相关机器特征而无法解密最终的Payload,无法知晓后续的相关活动。活动钻石模型如下:
下图展示了通过恶意文件投递的鱼叉攻击,恶意文件投递的方式依然是最常用的鱼叉攻击的方式,钓鱼关键字包括YQ、干部培训、绩效、工作方向等,相关的邮件如下。此外,投递钓鱼邮件的账号有网易邮箱,包括126邮箱和163邮箱,账号样式为:名字拼音+数字@163(126).com,如:Sun**@126.com、reny**@163.com等。
2019至2020年投递的恶意诱饵类型众多,包括白加黑、lnk、doc文档、带有WinRARACE(CVE-2018-20250)漏洞的压缩包等,之后的攻击中还新增了伪装为word图标的可执行文件、chm文件等。
安全建议:异常邮件、链接、短信不要点击,先电话确认邮件真实来源,再下载文件或压缩包;重要文件切勿互联网传播,查阅或编辑尽量在内网或断网条件下执行(防止C&C)。
Darkhotel(APT-C-06)是一个长期针对企业高管、GF工业、电子工业等重要机构实施网络攻击活动的APT组织。2014年11月,卡巴斯基实验室的安全专家首次发现了Darkhotel APT组织,并声明该组织至少从2010年就已经开始活跃。360威胁情报中心对该团伙的活动一直保持着持续跟踪,而在最近几个月我们再次跟踪到该团伙发起的新的攻击活动。
双星”漏洞已被活跃近十余年的半岛APT组织Darkhotel(APT-C-06)所利用,并瞄准我国商贸、医疗相关的政府机构发动攻击。该APT组织的攻击手法阴险、刁滑、狡诈。
腾讯御见威胁情报中心曾发布《DarkHotel APT组织揭秘:针对高端商务人士、政要人物的精准攻击已持续8年》,分析报告提到的后门程序SYSCON/SANNY是专门针对朝鲜半岛相关目标进行攻击的恶意文件,其主要攻击目标为朝鲜半岛相关的重要人物或部门,偶尔也会针对东南亚等国进行攻击。通过分析发现,该后门跟DarkHotel的TTPs相吻合,因此我们把该后门归结为DarkHotel(黑店)APT组织。
腾讯御见威胁情报中心对该后门进行了长期跟踪,发现该后门一直以来的特色就是使用FTP协议进行C&C通信,并且有很强的躲避技术和绕UAC技术。 而最新版本的后门采用了多阶段执行、云控、绕最新UAC等技术,使得攻击更加的隐蔽和难以发现。攻击流程如下图所示:
安全建议:针对漏洞利用攻击,内网电脑切勿连接互联网,外网电脑及时更新信息中心的补丁(如WannaCry)。
360公司在2018年7月5日首次对外公开了一个从2011年开始持续近8年针对我国行政机构、科研、金融、教育等重点单位和部门进行攻击的高级攻击组织蓝宝菇(APT-C-12),英文名BlueMushroom,该组织的活动在近年呈现非常活跃的状态。比如,通过向163邮箱发送鱼叉邮件,钓鱼邮件仿冒博鳌亚洲论坛向攻击对象发邀请函。攻击者通过诱导攻击对象打开鱼叉邮件云附件中的LNK文件,一旦攻击对象被诱导打开LNK快捷方式文件,会执行文件中附带的PowerShell恶意脚本来收集上传用户电脑中的重要文件,并安装持久化后门程序长期监控用。
攻击方式:
所以,APT攻击离我们并不遥远,网络安全就在我们身边,需要大家共同维护。
“没有网络安全就没有国家安全”,每一个公民都应该树立正确的安全意识,同时做好相关保护工作。具体包括:
同时,中国软件测评中心发布了《医疗行业网络安全白皮书(2020年)》,其架构如下图所示。
溯源意图除了溯源出编写恶意代码作者、恶意代码家族之外,还要挖掘出攻击者及攻击者背后的真正意图,从而遏制攻击者的进一步行动。360威胁情报中心将基于每个APT攻击事件的背景信息、攻击组织、相关TTPs(Tactics, Techniques and Procedures,战术、技术与步骤)进行描述及重大攻击事件溯源。在溯源过程中,越往上溯源越难,尤其是如何定位APT组织的人员。
威胁情报防御包括纵深保护、实时联动,基于大数据提供动态变化的威胁情报,应用多种创新技术手段加强抵御外部不断变化的高级威胁,包括预测、防御、响应和检测。举个例子,我们本地看到一个IP,我不知道它是好是坏,但是我把这个IP传到云端,云端通过庞大的威胁校验机制判断该IP来自哪个国家、曾经攻击过哪个企业、IP关联的黑客家族、文件样本等。云端把IP信息告诉本地设备,从而确定该IP有害并加入黑名单,通过本地设备和云端实时互联,提高威胁情报检测能力。
各大安全厂商都有自己的威胁情报防御,包括360、安天、奇安信、深信服、绿盟、腾讯、阿里、瑞星、启明星辰等。下图展示了深信服提出了“网络+终端+云端”的体系化建设思路。通过网络终端实现纵深保护,云端和本地结合可视化展现风险及快速处置,并升级能力进行有效保护。日志可以统一发送给云端平台,云端再进行日志分析洞悉威胁,定位位置并给出处理建议。
APT溯源推荐作者的文章 “APT攻击检测溯源与常见APT组织的攻击案例”,下面简单进行总结:
(1) 溯源取证
(2) 美国应急响应中心溯源方法
(3) 应急响应中心常见的异常网络行为
(4)溯源内容
恶意样本的追踪溯源需要以当前的恶意样本为中心,通过对静态特征和动态行为的分析,解决如下问题:
(5) 溯源方法
恶意样本追踪溯源除了前面介绍的全流量分析、同源分析、入侵日志、域名/IP、攻击模型外,常见的方法还包括:
下图展示了通过时区对白象APT溯源的过程。
严峻的网络安全对抗和博弈形势,使得对恶意代码的演化与溯源技术的研究价值凸显,学术界、产业界近年来分别从攻击和防护两个方面展开了深入的研究。目前,学术界和产业界在恶意代码溯源技术方面取得了较大的进步,在追踪恶意代码组织、黑客组织(攻击者)、发现未知恶意代码方面取得了部分研究成果,例如海莲花、白象、方程式组织等典型 APT 攻击计划和黑客团队的不断曝光,但依然存在不足和挑战。
写到这里,这篇文章就介绍完毕,希望您喜欢这篇文章。“网络安全提高班”第一篇文章,花费了我4个小时撰写,近3万文字,只希望对您有帮助。这篇文章中如果存在一些不足,还请海涵。作者作为网络安全初学者的慢慢成长路吧!希望未来能更透彻撰写相关文章。同时非常感谢参考文献中的安全厂商和大佬们的文章分享,深知自己很菜,得努力前行。
欢迎大家讨论,是否觉得这系列文章帮助到您!如果存在不足之处,还请海涵。任何建议都可以评论告知读者,共勉~
2020年8月18新开的“娜璋AI安全之家”,主要围绕Python大数据分析、网络空间安全、人工智能、Web渗透及攻防技术进行讲解,同时分享CCF、SCI、南核北核论文的算法实现。娜璋之家会更加系统,并重构作者的所有文章,从零讲解Python和安全,写了近十年文章,真心想把自己所学所感所做分享出来,还请各位多多指教,真诚邀请您的关注!谢谢。
(By:Eastmount 2021-01-15 l凌晨夜于武汉 http://blog.csdn.net/eastmount/ )