你存在，我们的攻击画像里

_本文转载自顺丰安全应急响应中心。_顺丰在探索威胁情报的应用的实践上，一直走在前列。作为顺丰威胁情报的合作伙伴，我们也非常敬佩其安全团队专业性。这是他们“威胁情报作战三部曲”的第一篇，强烈安利给各位师傅。

写在最前面：

这是顺丰“威胁情报作战三部曲”的第一篇，三篇分别是：攻击者画像、情报拓线和威胁狩猎。

我们的心愿，就是把顺丰使用威胁情报的经验掰开了、揉碎了、明明白白写出来，希望对屏幕前每一个你都能有所帮助，哪怕只有一点点。

那么，正题，开始！

►►►

从挨批到挨夸，我只用了一个动作

嗨，还是我，顺丰的安全研究员K，今天又在网络安全的海洋里“冲浪”，结果被三条告警的“浪”拍得晕头转向：这三条告警彼此简直毫不相干，可是看着间隔时间，又让我本能地觉得此事并不简单。

我对着屏幕一脸懵逼，心想：“这告警，比女朋友的心思还难猜。”就在我已经做好挨老板一顿痛批的心理准备时，突然灵光一闪：“等等，我们不是有攻击者画像工具吗？” 我赶紧打开它，像抓住了救命稻草。  

没想到，这个工具关键时候还真能救命。我输入告警信息，几秒钟的时间它便把三条告警串联起来，指向了同一个攻击团伙。

原来，我离真相只差一个“攻击者画像”的距离！好家伙，今天又有东西可以跟老板吹了：

“看，我用攻击者画像，逮到了一个攻击团伙！”

►►►

攻击者画像介绍

攻击者画像，就像是给网络攻击者画的一张“肖像画”，它站在高维度的攻击者视角，通过分析攻击者的行为模式、使用的技术和工具、攻击的目标和频率等信息，每天从数千万的攻击告警中提炼有效信息，最终构建出一份关于攻击者的详细“档案”。

具体来说，攻击者画像可能包含以下几个方面的内容：

1. 身份：这可能包括攻击者的个人或组织背景，比如他们是攻击队？白帽？黑灰产还是APT组织？等等。

2. 动机：他们是想窃取机密，还是进行黑产活动？或者是想恶意报复？

3. 行为特征：这涉及到攻击者在网络中的行为模式，比如他们通常选择在什么时间发动攻击，偏好哪种类型的攻击手段等。

4. 技术水平：这可以揭示攻击者的技术能力，比如他们的漏洞利用或者对恶意软件“魔改”的能力如何等。

5. 历史攻击记录：通过分析过去的攻击事件了解攻击者的历史行为，预测他们未来可能的行动，如他们是广撒网式攻击还是针对性攻击、此前是否攻击过同行业企业等。

►►►

为什么需要攻击者画像？

那么为什么需要用到攻击者画像这个工具呢？

搞安全的人都知道，攻击容易防守难。你每天辛辛苦苦封IP，对面换个IP就完事了，等下又来打你。当你挨打的时候，你也不知道对方是谁，也不知道对方想干嘛，更不知道对方是不是发现了什么突破口，可以一直打你……

但是，我们已经可以不用一直被动挨打了，用好“攻击者画像”，我们可以知道攻击者的大致身份和攻击动机，理解攻击者的思维方式，从而对攻击者形成真正TTP级别的有效损害。

展开来说，“攻击者画像”能给我等安全人员帮上这些大忙：

1. 更好地理解潜在威胁。包括识别出攻击者的攻击手法、武器库、攻击者具体身份、以及攻击的真实意图。

2. 优化安全策略。安全策略大部分为安全团队根据经验制定的，缺乏体系化、针对性的策略沉淀。通过攻击者画像的构建，我们可以了解攻击者的特点，掌握不同类型攻击者所使用的不同攻击手法，以此来制定更为精准的安全策略，提高安全性。

3. 提前预测未来威胁。通过分析攻击者的动态趋势，预测之后可能会有哪些类型的关键信息资产，遭遇何种危害的攻击方法，提前采取预防性措施来减少潜在风险。

4. 优化资源分配。当了解了攻击者的身份和动机后，有助于我们更好地制定针对性的安全策略、分配安全资源应对。

►►►

建立攻击者画像的步骤

（一）同源识别聚类，构建攻击者准确画像知识库

攻击者画像系统基于大量的告警日志、原始审计日志、情报等IOC数据与外网攻击、恶意邮件、端点恶意样本等样本数据，借助同源识别聚类算法、攻击者身份识别、特征分析和攻击关系图分析等，关联相同特征和相似攻击行为，最终形成独立的攻击者画像信息，达到攻击者身份、攻击者意图、攻击能力和相关手法的全面刻画。

（图1 攻击者画像系统分析流程）

（二）动态制定针对性防御措施

根据攻击者画像知识库研判攻击者的意图、攻击趋势以及活动规律，动态地制定针对性防御措施。

（图2 某攻击者的画像研判结果）

（三）利用第三方信息增补攻击者画像知识库

企业的攻击视野较为有限，各个攻击团伙在某个单位暴露的手法只是冰山上的一角，**如果只从企业防御数据出发，攻击者画像得到的知识库，难免以偏概全。**因此我们主动利用第三方信息库增补攻击者画像知识库，与微步在线等外部安全情报厂商合作，持续不断对强相关对手进行：

• 攻击信息富化-关联通讯样本、漏洞利用、木马链接、历史解析记录等；

• 攻击特征分析-攻击链、工具库、资产库、相关样本、攻击点、技战术分析等。

整合内外部情报源后，攻击者画像的刻画更加深入，全面增强了防守方的对手认知，如下图：

组织名(持续追踪)

Phobos

常用文件名

加密文件后缀:
   .phobos
   .Frendi
   .phoenix
   .mamba
   .adage
   .acute
   .1500dollars
   .Acton
   .actor
   .banjo
   .help
   .actin
   .BANKS
   .HorseLiker
   .barak
   .WannaCry
   .caleb
   .calix
   .deal
   .Devos
   .eking

加密进程常用名

fast.exe
   COMING~1.exe
   comingback2022.exe

工具文件常用名

oute  print.cmd
   psexec
   mRemoteNC.exe
   netscanold.exe
   NS-v2.EXE

常用目录

1.自启动:
   C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
   C:\Users\System\AppData\Roaming\Microsoft\Windows\Start  Menu\Programs\Startup
   
   C:\users\Public\

网络行为

C2:
   218.28.17.250
   118.242.18.199
   89.248.165.41
   58.48.195.138
   117.184.37.20
   109.107.166.25
   125.33.95.33

攻击手法

1.RDP爆破
   2.psexec内网尝试弱口令横向移动
   3.修改注册表实现恶意文件驻留
   4.拷贝文件到自启动目录实现驻留
   5.文件加密:RSA+AES
   <原文件名>+<原文件后缀名>+<勒索信中的个人ID>+<联系邮箱>+<.deal>
   6.向日葵或其他方式

常用命令

1.关闭防火墙:
   netsh advfirewall set currentprofile state off
   netsh firewall set opmode mode=disable
   2.删除windows备份
   "C:\Windows\system32\wbadmin.msc"delete catalog -quiet

注册表更改

添加恶意键值到自启动相关注册表下:  
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

背景

Phobos勒索软件家族从2019年初期开始在全球流行，并持续更新以致出现了大量变种。通过RDP暴力破解和钓鱼邮件等方式扩散到企业与个人用户中，感染数量持续增长。
   Phobos勒索软件家族与2016年出现的CrySIS/Dharma勒索软件家族所使用的加密方式、部分代码段、勒索信外观与内容，以及用于加密文件的命名方式都较为相似。不排除为同一作者或Phobos勒索软件攻击者购买、利用CrySIS/Dharma勒索软件相关代码。

样本hash

9704a4959ec0edb5b82732944be3665e80ed974dec17ab401545ee21069da08d
   f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

参考链接

1.https://www.antiy.cn/research/notice&report/research\_report/20191016.html
   2.https://s.threatbook.com/report/file/9704a4959ec0edb5b82732944be3665e80ed974dec17ab401545ee21069da08d
   3.https://s.threatbook.com/report/file/f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

（图3 攻击者知识库中某攻击者档案）

►►►

接下来我们举个栗子！

常见安全对抗与防御仅限于发生攻击时如何去防御，但攻击者画像就是在攻防对立间寻找突破。

用一个示例为准，这是一个很常见的命令执行攻击，常见安全设备都可以拦截。

我们可以将这次攻击分为几个内容：

1. 请求方式

2. payload内信息

3. 来源信息

根据请求/cgi-bin/luci/;stok=/locale?form=country，可以发现此请求非常规url请求。了解详情后推断是CVE-2023-27359相关漏洞，漏洞详情是针对TP-Link AX1800未经身份验证的命令注入漏洞。简单来讲就是位于/cgi-bin/luci;stok=/locale下country 参数使用了对popen()的调用导致可以执行任意命令，目前来看国内针对此类漏洞利用详情甚少。很有可能此次攻击属于1day或者0day范畴。

接着看执行关键payload信息103.146.23.249。攻击者的资源站点信息。

来源IP：31.220.1.83就不用讲了，针对常见蓝队防御手段来讲，基本上就是针对IP查询下社区情报然后进行封堵即可。

当前攻击者利用1day进行全网扫描植入木马后门，当前访问IP又被情报标红，如果攻击者换一个IP再来只会导致重复性工作激增。

But，现在我们有“攻击者画像”在手，因此我们可以把这个思路变成系统化操作：

比如，根据关键Payload信息特征来汇聚同类型攻击者；

同时，还可以产生本地情报输出给相关同事进行后续狩猎。详情思路如图，通过事件驱动转换以攻击者身份持续运营立体发现实际遭遇威胁，配合拓线和狩猎持续完善攻击者相关信息形成情报产生到消费的完整闭环。

这个思路变成系统化后，如果你碰到过喜欢用代理池慢速绕过一些安全设备阈值来挖洞的红队，此操作大可一试。

同时根据资源点信息103.146.23.249查询可以发现已经有相关样本信息了，我们可以将此类样本hash一并提供给内部排查是否存在此类样本。（样本相关信息也可以进行相关拓线发现其他新的信息，欲知后事如何，且看下篇文章分解）

综上所述，我们还可以针对此攻击者意图进行推理分析结果：

攻击者
画像概况

特点

描述

类型

黑灰产

意图

投机主义、1day利用

特征

URL包含103.146.23.249并执行wget信息

目的

通过IOT的1day部署僵尸网络

手法

利用各种IOT设备的1day进行全网攻击

有了攻击者画像系统以后，我们就可以主动运营识别出多只高水平攻击队针对业务系统的定点攻击，现场指挥人员可以针对性调度对应的高水平防守人员进行渗透测试、主动排查风险，WAF/RASP设备责任人员也能主动查询设备覆盖情况和防御能力，防患于未然。

· END ·