當您閱讀到該篇文章時，作者已經將“網絡安全自學篇”設置成了收費專欄，首先說聲抱歉。感謝這一年來大家的閱讀和陪伴，這100篇安全文章記錄了自己從菜雞到菜鳥的成長史，該部分知識也花了很多精力去學習和總結。由於在外讀書且需要養娃，所以按最低價9.9元設置成了收費專欄，賺點奶粉錢，感謝您的擡愛。當然，如果您還是一名在讀學生或經濟拮据，可以私聊我給你每篇文章開白名單，也可以去github下載對應的免費文章，更希望您能進步，一起加油喔！

接下來我會接着之前的內容繼續分享，“網絡安全提高班”新的100篇文章即將開啓，包括Web滲透、內網滲透、靶場搭建、CVE復現、攻擊溯源、實戰及CTF總結，它將更加聚焦，更加深入，也是作者的慢慢成長史。換專業確實挺難的，Web滲透也是塊硬骨頭，但我也試試，看看自己未來四年究竟能將它學到什麼程度，漫漫長征路，偏向虎山行。享受過程，一起加油~

本文是“網絡安全提高篇”第一篇文章，將帶領大家瞭解網絡安全攻防知識點，並以醫療數據安全爲基礎進行總結，具體內容包括：

一.網絡空間安全與溯源
二.網絡安全攻防技巧
三.APT攻擊經典案例
四.醫療數據安全防護

作者作爲網絡安全的小白，分享一些自學基礎教程給大家，主要是關於安全工具和實踐操作的在線筆記，希望您們喜歡。同時，更希望您能與我一起操作和進步，後續將深入學習網絡安全和系統安全知識並分享相關實驗。總之，希望該系列文章對博友有所幫助，寫文不易，大神們不喜勿噴，謝謝！如果文章對您有幫助，將是我創作的最大動力，點贊、評論、私聊均可，一起加油喔~

自學篇文章：https://github.com/eastmountyxz/CSDNBlog-Security-Based
自學篇工具：https://github.com/eastmountyxz/NetworkSecuritySelf-study
系統安全：https://github.com/eastmountyxz/SystemSecurity-ReverseAnalysis

聲明：本人堅決反對利用教學方法進行犯罪的行爲，一切犯罪行爲必將受到嚴懲，綠色網絡需要我們共同維護，更推薦大家瞭解它們背後的原理，更好地進行防護。

提高篇：
[網絡安全提高班] 一〇一.網絡空間安全普及和醫療數據安全防護總結

一.網絡空間安全與溯源

1.網絡空間安全

近年來，網絡安全事件和惡意代碼攻擊層出不窮，它們給國家、社會和個人帶來了嚴重的危害，如分佈式拒絕服務攻擊(DDoS)、基於殭屍網絡(Botnet)的攻擊、勒索病毒WannaCry、高級可持續威脅(APT)攻擊、利用遠程控制木馬的信息竊取等。

2017年以來，惡意代碼數量依然呈上升的趨勢，尤其是新型惡意代碼，其數量始終呈逐年遞增狀態，這對網絡空間安全造成了極大的威脅。在這些惡意代碼攻擊中，攻擊者會向目標主機(受害主機)，發送特定的攻擊數據包或執行惡意行爲。如果能追蹤這些攻擊數據包的來源，定位攻擊者的真實位置，受害主機不但可以採用應對措施，如在合適位置過濾攻擊數據包，而且可以對攻擊者採取法律手段。因此在網絡取證和安全防禦領域，網絡攻擊溯源一直是一個熱點問題。

下圖展示了APT組織Lazarus（APT38）的重大攻擊時間線。如果某次攻擊發生時或發生前，我們能夠追蹤溯源到是某個組織發起的，那是不是就能有效避免一次安全攻擊呢？

強推這篇文章：APT組織Lazarus的攻擊歷程 - Freebuf深信服團隊

網絡攻擊追蹤溯源旨在利用各種手段追蹤網絡攻擊的發起者。相關技術提供了定位攻擊源和攻擊路徑，針對性反制或抑制網絡攻擊，以及網絡取證能力，其在網絡安全領域具有非常重要的價值。當前，網絡空間安全形勢日益複雜，入侵者的攻擊手段不斷提升，其躲避追蹤溯源的手段也日益先進，如匿名網絡、網絡跳板、AN網、網絡隱蔽信道、隱寫術等方法在網絡攻擊事件中大量使用，這些都給網絡攻擊行爲的追蹤溯源工作帶來了巨大的技術挑戰。攻擊鏈通常分爲七個階段：

偵查目標(Reconnaissance)：偵查目標，充分利用社會工程學瞭解目標網絡。
製作工具(Weaponization)：主要是指製作定向攻擊工具，例如帶有惡意代碼的pdf文件或office文件。
傳送工具(Delivery)：輸送攻擊工具到目標系統上，常用的手法包括郵件的附件、網站（掛馬）、U盤等。
觸發工具(Exploitation)：利用目標系統的應用或操作系統漏洞，在目標系統觸發攻擊工具運行。
安裝木馬(Installation)：遠程控制程序（特馬）的安裝，使得攻擊者可以長期潛伏在目標系統中。
建立連接(Command and Control)：與互聯網控制器服務器建立一個C2信道。
執行攻擊(Actions on Objectives)：執行所需要得攻擊行爲，例如偷取信息、篡改信息等。

傳統的惡意代碼攻擊溯源方法是通過單個組織的技術力量，獲取局部的攻擊相關信息，無法構建完整的攻擊鏈條，一旦攻擊鏈中斷，往往會使得前期大量的溯源工作變得毫無價值。同時，面對可持續、高威脅、高複雜的大規模網絡攻擊，沒有深入分析攻擊組織之間的關係，缺乏利用深層次惡意代碼的語義知識，後續學術界和企業界也提出了一些解決措施。下圖展示了一個經典的溯源案例。

爲了進一步震懾黑客組織與網絡犯罪活動，目前學術界和產業界均展開了惡意代碼溯源分析與研究工作。其基本思路是：

同源分析：利用惡意樣本間的同源關係發現溯源痕跡，並根據它們出現的前後關係判定變體來源。惡意代碼同源性分析，其目的是判斷不同的惡意代碼是否源自同一套惡意代碼或是否由同一個作者、團隊編寫，其是否具有內在關聯性、相似性。從溯源目標上來看，可分爲惡意代碼家族溯源及作者溯源。
家族溯源：家族變體是已有惡意代碼在不斷的對抗或功能進化中生成的新型惡意代碼，針對變體的家族溯源是通過提取其特徵數據及代碼片段，分析它們與已知樣本的同源關係，進而推測可疑惡意樣本的家族。例如，Kinable等人提取惡意代碼的系統調用圖，採用圖匹配的方式比較惡意代碼的相似性，識別出同源樣本，進行家族分類。
作者溯源：惡意代碼作者溯源即通過分析和提取惡意代碼的相關特徵，定位出惡意代碼作者特徵，揭示出樣本間的同源關係，進而溯源到已知的作者或組織。例如，Gostev等通過分析Stuxnet與Duqu所用的驅動文件在編譯平臺、時間、代碼等方面的同源關係，實現了對它們作者的溯源。2015年，針對中國的某APT攻擊採用了至少4種不同的程序形態、不同編碼風格和不同攻擊原理的木馬程序，潛伏3年之久，最終360天眼利用多維度的“大數據”分析技術進行同源性分析，進而溯源到“海蓮花”黑客組織。

網絡攻擊追蹤溯源按照追蹤的深度和精準度可分爲：

追蹤溯源攻擊主機
追蹤溯源攻擊控制主機
追蹤溯源攻擊者
追蹤溯源攻擊組織機構

常用方法包括域名/IP地址分析、入侵日誌監測、全流量分析、同源分析、攻擊模型分析等。爲了進一步防禦網絡犯罪活動和威懾黑客組織，目前學術界和產業界均展開了惡意代碼溯源分析與研究工作。網絡追蹤溯源常用工具包括：

磁盤和數據捕獲工具
文件查看器
文件分析工具
註冊表分析工具
互聯網分析工具
電子郵件分析工具
移動設備分析工具
網絡流量取證工具
數據庫取證工具
逆向分析工具

2.學術界溯源

學術界旨在採用靜態或動態的方式獲取惡意代碼的特徵信息，通過對惡意代碼的特徵學習，建立不同類別惡意代碼的特徵模型，通過計算待檢測惡意代碼針對不同特徵類別的相似性度量，指導惡意代碼的同源性判定。常見的惡意代碼溯源主要包括4個階段：特徵提取、特徵預處理、相似性計算、同源判定，各階段間的流程關係如下圖所示。

推薦宋老師：《惡意代碼演化與溯源技術研究》

上圖是將溯源對象Windows平臺的PE惡意文件或Android平臺的APK惡意文件輸入溯源系統，經過特徵提取、特徵預處理、相似性計算、同源分析獲取溯源結果，最終判定攻擊家族或作者。

(1) 特徵提取
特徵提取是溯源分析過程的基礎，具有同源性的惡意代碼是通過它們的共有特徵與其他代碼區分開來的。所提取的特徵既要反映出惡意代碼的本質和具有同源性惡意代碼之間的相似性，又要滿足提取的有效性。

依據溯源目的，溯源特徵提取包括溯源家族的特徵提取和溯源作者的特徵提取。Faruki等在字節碼級別提取統計性強的序列特徵，包括指令、操作碼、字節碼、API代碼序列等。Perdisci R等通過n-gram提取字節碼序列作爲特徵。Ki Y等提出了捕獲運行過程中的API序列作爲特徵，利用生物基因序列檢測工具ClustalX對API序列進行相似性分析，得到惡意代碼的同源性判定。DNADroid使用PDG作爲特徵，DroidSim是一種基於組件的CFG來表示相似性代碼特徵，與早期的方法相比，該系統檢測代碼重用更準確。

下圖展示了行爲特徵提取過程，它從用戶態到核心態文件處理，再到核心態磁盤處理，有一系列的函數進行Hooking和InlineHooking進行整體的行爲監控，可以幫助我們進行溯源工作。

(2) 特徵預處理
特徵提取過程中會遇到不具有代表性、不能量化的原始特徵，特徵預處理針對這一問題進行解決，以提取出適用於相似性計算的代表性特徵。特徵預處理一方面對初始特徵進行預處理，另一方面爲相似性計算提供基礎數據。常見的特徵類型包括序列特徵和代碼結構特徵。

序列特徵預處理：包括信息熵評估、正則表達式轉換、N-grams序列、序列向量化、權重量化法等，序列特徵預處理會將初始特徵中冗餘特徵消除、特徵語義表達式增強、特徵量化等以便於進行相似性計算。L. Wu通過分析惡意軟件敏感API操作以及事件等，將API序列特徵轉換爲正則表達式，並在發生類似的正則表達式模式時檢測惡意代碼。IBM研究小組先將N-gram方法應用於惡意軟件分析中，使用N-gram的統計屬性預測給定序列中下個子序列，從而進行相似度計算。Kolosnjaji等提出對API調用序列進行N-gram處理獲取子序列，採用N-gram方法將API調用序列轉換爲N-gram序列，實現過程下圖所示。

代碼結構特徵預處理：在相似度比較時存在邊、節點等匹配問題即子圖同構算法複雜性，同時代碼結構特徵中存在冗餘結構，因此除去冗餘、保留與惡意操作相關的代碼結構是預處理的主要目的。常見的方法包括API調用圖預處理、CFG圖預處理、PDG圖預處理等。

(3) 相似性計算
溯源旨在通過分析樣本的同源性定位到家族或作者，樣本的同源性可以通過分析代碼相似性來獲取。相似性計算旨在衡量惡意代碼間相似度，具體爲採用一種相似性模型對惡意代碼的特徵進行運算。根據預處理特徵類型的不同以及溯源需求、效率、準確性等差異，採用不同的相似性運算方法。

目前比較流行的相似性計算方法主要集中在對集合、序列、向量、圖等特徵表現形式的處理。Qiao等基於集合計算相似性，在不同惡意樣本API集合的相似性比較中採用了Jaccard係數方法，將爲A、B兩個集合的交集在並集中所佔的比例作爲相似度，比例值越大，證明越相似，如公式所示。

Faruki等提出了採用SDhash相似性散列技術構建樣本的簽名序列，並採用漢明距離法對序列進行相似性計算，從而識別同源性樣本。Suarez-Tangil 等用數據挖掘算法中向量空間模型展示家族的惡意代碼特徵形式，將同家族提取出來的具有代表性的CFG元素作爲特徵中維度，採用餘弦算法對不同家族的向量空間模型進行相似度計算，根據餘弦值來判斷它們的相似性，從而識別出相似性樣本，進而歸屬到對應的家族。用於比較向量的餘弦相似度反映了惡意代碼間的相似性，其具體公式如公式所示。

Cesare等提出了最小距離匹配度量法，比較不同樣本的CFG圖特徵的相似性。Kinable等通過靜態分析惡意代碼的系統調用圖，採用圖匹配的方式計算圖相似性得分，該得分近似於圖的編輯距離。利用該得分比較樣本的相似性，採用聚類算法將樣本進行聚類，實現家族分類。

(4) 同源分析
學術界常見的同源判定方法主要包括基於聚類算法的同源判定、基於神經網絡的同源判定等。Kim等採用DBSCAN算法對基於調用圖聚類，發現類似的惡意軟件。Feizollah等提出採用層聚類算法，構建家族間演化模型，進而發掘家族功能的演化。Niu等提出了層次聚類和密度聚類算法結合的快速聚類算法對操作碼序列特徵進行聚類，以識別惡意軟件變體，該方法識別變體效率較高。

神經網絡是一種多層網絡的機器學習算法，可以處理多特徵以及複雜特徵的同源判定。基本思想爲：將樣本特徵作爲輸入層數據，然後不斷調整神經網絡參數，直到輸出的樣本與該樣本是一種同源關係未爲止。它會將惡意代碼特徵送輸入層，即可判斷惡意代碼的同源性.。趙炳麟等提出了基於神經網絡的同源判定方法，其整體實現框架如下圖所示。

3.企業界溯源

產業界除了採用與學術界類似的同源判定方法之外，還會通過關聯的方法對惡意代碼進行溯源。產業界的溯源意圖除了溯源出編寫惡意代碼作者、惡意代碼家族之外，還要挖掘出攻擊者及攻擊者背後的真正意圖，從而遏制攻擊者的進一步行動。

產業界與學術界溯源方法的差異主要表現在特徵提取和同源判定兩個方面：在特徵提取上，產業界更傾向於從代碼結構、攻擊鏈中提取相似性特徵；在同源判定上，除了採用與已有的歷史樣本進行相似度聚類分析之外，產業界還會採用一些關聯性分析方法。相比學術界溯源特徵，產業界溯源特徵更加詳細全面，信息複雜度大。因此，學術界的同源判定方法並不能完全用於產業界各類特徵的相似性分析中，常見產業界溯源方法分類如下表所示。

推薦綠盟李東宏老師文章：http://blog.nsfocus.net/trace-source/

(1) 惡意攻擊流程及溯源方法
惡意樣本溯源追蹤主要去了解攻擊者或者團隊的意圖。惡意攻擊的活動大概有如下7步驟：

Reconnaissance：偵查，充分的社會工程學瞭解目標。
Weaponization：定向攻擊工具的製作。常見的工具交付形態是帶有惡意代碼的pdf文件或office文件。
Delivery：把攻擊工具輸送到目標系統上。APT攻擊者最常用這三種來傳送攻擊工具，包括郵件附件、網站（掛馬）、USB等移動存儲。
Exploitation：攻擊代碼在目標系統觸發，利用目標系統的應用或操作系統漏洞控制目標。
Installation：遠程控制程序的安裝。使得攻擊者可以長期潛伏在目標系統中。
Command and Control (C2) ：被攻破的主機一般會與互聯網控制器服務器建立一個C2信道，即與C2服務器建立連接。
Actions on Objectives：經過前面六個過程，攻擊者後面主要的行爲包括：偷取目標系統的信息，破壞信息的完整性及可用性等。進一步以控制的機器爲跳轉攻擊其它機器，擴大戰果。

惡意樣本的追蹤溯源需要以當前的惡意樣本爲中心，通過對靜態特徵和動態行爲的分析，解決如下問題：

誰發動的攻擊？
攻擊背景是什麼？
攻擊的意圖是什麼？
誰編寫的樣本？
樣本使用了哪些攻擊技術？
攻擊過程中使用了那些攻擊工具？
整個攻擊過程路徑是怎樣的？

企業界惡意樣本追蹤溯源可以採取如下方法：

全流量分析
同源分析
入侵日誌
域名/IP
攻擊模型/攻擊框架

(2) 域名/IP
這種溯源方法是最基本的方法，通過對攻擊者使用的域名和IP地址進行分析，挖掘攻擊源頭。查詢域名的whois信息，可以關聯到攻擊者部分信息，如註冊名、註冊郵箱、註冊地址、電話、註冊時間、服務商等。

案例分析
Checkpoint經過細緻分析後，最終歸納出一個首要攻擊者，即暱稱爲“Nexxus Zeta”的一個hacker，原因在於攻擊者在註冊殭屍網絡的某個C&C域名（nexusiotsolutions.net）時，所使用的郵箱地址包含相關信息。

該郵件地址（[email protected]）與C&C域名有一些交集，因此懷疑這個地址並不是一次性郵件地址，可以根據該地址來揭曉攻擊者的真實身份。當搜索Nexus Zeta 1337時，在HackForums上找到了一個活躍的成員，該成員的用戶暱稱爲“Nexus Zeta”，自2015年8月起已經是HackForums的一份子。雖然這個人在這種論壇上活躍度很低，但他發表了幾篇帖子，從這些帖子中並沒有發現他的專業水平有多高。不過有趣的是，他最近關注瞭如何建立起類似Mirai的IoT殭屍網絡。

NexusZeta在社交媒體上也頗爲活躍，主要是在Twitter以及Github上，他在這兩個平臺上都公佈了自己的IoT殭屍網絡項目。實際上，這個人還將其Github賬戶關聯到前面提到的那個惡意域名（nexusiotsolutions.net）。分析人員也找到了他所使用的Skype以及SoundCloud賬戶，使用人名爲Caleb Wilson（caleb.wilson37 / Caleb Wilson 37），因此溯源到該作者，但遺憾的是無法確定這個名字是否就是其真實姓名。

參考文獻：https://research.checkpoint.com/good-zero-day-skiddie/

(3) 入侵日誌
這種溯源分析方法偏向於主機取證分析，攻擊者在入侵到主機後的行爲分析。對攻擊者留下的大量操作日誌進行分析後，可以提取相關攻擊者的信息，包括：

連接服務器使用VPS信息。
登陸主機後，一般爲了維持對主機的訪問權限，會嘗試創建自己的賬號及密碼。
攻擊者爲了偷取數據，使用的ftp或者數據服務器信息。
通過對攻擊者的登陸時間進行分析，可以基本定位所在大區域（北半球，南半球）。
登陸主機後的操作模型，不同的攻擊者，入侵成功後進行的行爲有差異，每個人都有自己的行爲指紋特徵。

簡單舉個例子，不少攻擊者習慣使用自動化的工具，去提取主機上的敏感信息（網站，郵箱，比特幣，網銀等賬號密碼），入侵成功後（釣魚，社工，水坑攻擊等），會在受害者機器上安裝間諜軟件，進行主機行爲監控，並且定時將截獲的敏感信息上傳到服務上。大多使用三種通信方式竊取敏感信息：ftp、smtp、http。

案例分析
通過分析入侵日誌，最終分析其預置的監控程序。該樣本中攻擊者使用加密的smtp服務器竊取敏感信息，在樣本分析過程中可以獲取到郵箱的用戶名與密碼：

接着利用獲取到的登陸憑證可成功登陸攻擊者郵箱：

在郵件內容中，發現了攻擊者的真實郵箱，之後通過進一步溯源分析，定位到了攻擊者。下圖是攻擊者真實的twitter賬號：

(4) 全流量分析
某些攻擊者或者組織的反跟蹤意識非常強，基本上不會留下任何痕跡，在達成入侵目的之後（竊取數據），會完全清除入侵痕跡，或者乾脆銷燬主機硬盤。

例如，2015年烏克蘭電廠遭受攻擊之後，攻擊者利用killdisk組件銷燬了全部數據。當然有些也不會留下在主機上的任何操作痕跡，部分勒索軟件也是通過同樣的手段進行痕跡擦除。這類案例也非常多，基本上在受害者機器上找不到任何痕跡，這時進行全流量分析溯源就相當有效了。

案例分析
這裏以2017年Flareon 4th逆向挑戰賽最後一題爲例。

它描述了一個APT攻擊場景，需要通過分析數據包及PE文件，還原整個攻擊過程。從網絡下載加密的惡意代碼在本地進行解密：

解密後的內容爲一個遠控端，其和主控端的通訊流量通過了全加密，網絡傳輸數據格式如下：

相關的加解密及功能模塊如下：

過流量分析發現攻擊者入侵行爲如下：

黑客入侵到168.221.91後，先獲取了屏幕截圖（內容包含了一個密碼）。

查看c:\work\FlareOn2017\Challenge_10\TODO.txt，發現larry相關提示（根據前期信息收集結果，可以知道johnson主機名）。

通過ping命令獲取到內網johnson主機IP地址（192.168.221.105）。

使用psexec在johnson的主機上安裝後門srv2.exe（監聽本地16452端口）。

之後通過內網代理連接該後門，通過代理插件上傳加密模塊到了johnson的主機上c:\staging\cf.exe。

利用加密程序（exe）對lab10的文件進行加密，之後將原始文件刪除，並且通過代理傳到了黑客手裏。

該案例中僅通過全流量分析，最終還原整個入侵過程、黑客攻擊行爲以及竊取的內容，而在真實的環境中需要結合入侵日誌進一步對惡意樣本攻擊進行追蹤溯源。

(5) 同源分析
該方法主要爲在獲取到惡意樣本後，很難第一時間關聯到攻擊者或者惡意樣本提供者的信息，但是可以通過和歷史惡意代碼進行相似度分析，獲得歷史攻擊事件，從而關聯到相應的組織或團體。這種溯源方法多用於定位APT組織或者某些知名的黑客團體（方程式）的行動，需要投入大量的人力，時間去完成溯源跟蹤分析。

APT組織或者知名黑客團隊，一般都有各自的工具定製開發部門，負責各類工具的開發，以及漏洞利用工具的量產（從今年4月份泄露的方程式組織內部的工具以及CIA泄露的部分文檔就可以看出端倪）。其部分劃分組織架構都非常清晰，有專門負責工具開發的部門，例如：遠控開發部門、硬件研究部門、漏洞挖掘部門、漏洞利用工具編寫的部門等。常用方法包括：

設計思路溯源
編程特徵溯源
通訊協議溯源
數字證書溯源

案例分析
通過設計思路溯源。每個程序員在軟件實現的時候，會使用自己比較熟悉的一套代碼風格和實現算法，每個團伙或者組織在攻擊目標時也會有一套自己特有的攻擊方法，針對惡意樣本可以通過行爲日誌的相似度、代碼混淆風格以及相關的實現算法進行同源判定。下圖展示了安天利用“破殼”漏洞投放的6個Bot具有同源性。

“破殼”漏洞相關惡意代碼樣本分析報告_V1.9 - 安天

(6) 攻擊框架
這種溯源方法主要見於某些專業化程度比較高的個人或者組織，他們有自己的攻擊常規套路，並且長期專注於一個領域的攻擊。比如，在一次應急響應中通過取證分析，瞭解到攻擊使用的攻擊模型如下：

註冊域名，根據攻擊目標選擇有意義的域名。
在GitHub上註冊一個新賬戶和創建一個開源項目。
編譯源碼後捆綁惡意軟件，一般選擇advanced installer作爲捆綁打包器（還有AutoIt，NSIS）。
發佈到搭建的網站上。
在互聯網上發佈推廣其軟件。
竊取用戶敏感數據（賬號密碼）。
進行數據直接套現，或者通過信息倒賣平臺間接變現。

之後利用該攻擊模型對樣本庫中的文件進行篩選，定位到另外3套與該模型完全匹配的案例，進一步分析匹配到的樣本後，首先確認了該4套樣本出於同一開發團隊，經過溯源分析準確定位到了攻擊者。

“天網恢恢疏而不漏”，溯源分析旨在通過現象去發掘樣本背後的故事，沒有固定的套路可循，在分析過程中，要像偵探破案一樣，大膽心細，不放過任何細枝末節，是一場人與人之間鬥智鬥勇的過程。同時，企業針對APT溯源提出了不同的框架，比較經典的框架包括：

ATT&CK：https://attack.mitre.org/
從視覺角度來看，MITRE ATT＆CK矩陣按照一種易於理解的格式將所有已知的戰術和技術進行排列。攻擊戰術展示在矩陣頂部，每列下面列出了單獨的技術。一個攻擊序列按照戰術，至少包含一個技術，並且通過從左側（初始訪問）向右側（影響）移動，就構建了一個完整的攻擊序列。一種戰術可能使用多種技術。例如，攻擊者可能同時嘗試魚叉式網絡釣魚攻擊中的釣魚附件和釣魚鏈接。

安天智甲框架
智甲將安天自主先進的威脅檢測引擎與驅動級主防有效結合，依託動態防護策略可幫助用戶有效應對層出不窮的新威脅。

Threatcrowd
一個威脅搜索引擎，能讓用戶搜索和調查與IP、網站或機構相關的威脅。它也提供了API，利用ThreatCrowd API你可以搜索域名、IP地址、郵件地址、文件哈希、殺軟檢測等。它會從virustotal和malwr.com上獲取信息，它也提供了MALTEGO轉換，方便分析和關聯數據。

常用在線沙箱
– https://virusshare.com/
– https://app.any.run/
– https://www.virustotal.com/gui/d
– https://s.threatbook.cn/

4.無處不在的網絡威脅

“沒有網絡安全就沒有國家安全”。自全球第一個計算機病毒出現後，網絡威脅無處不在。同樣，人們通過與病毒長期的鬥爭，積累了大量反病毒經驗，掌握了大量實用的反病毒技術，並研製出一系列優秀的反病毒產品，主要用於病毒的防護、檢測及其清除等。

惡意代碼的檢測是將檢測對象與惡意代碼特徵（檢測標準）進行對比分析，定位病毒程序或代碼，或檢測惡意行爲。常見的檢測技術包括特徵值檢測技術、校驗和檢測技術、啓發式掃描技術、虛擬機檢測技術、主動防禦技術，以及新興的雲查殺技術、深度學習檢測等。

下面介紹幾個比較經典的安全事件，也希望讀者通過這篇文章對網絡空間安全有一定的瞭解。

心臟滴血漏洞
2014年4月7號谷歌工程師NeelMehta發現了名爲“心臟滴血”的OpenSSL漏洞，該漏洞在互聯網界引發了腥風血雨，讓很多世界知名互聯網公司爲之一顫。在黑客社區，它被命名爲“心臟滴血”，表明網絡上出現了“致命內傷”。利用該漏洞，黑客可以獲取約30%的https開頭網址的用戶登錄賬號密碼，其中包括購物、網銀、社交、門戶等類型的知名網站。

WannaCry勒索病毒
2017年5月12日，WannaCry蠕蟲通過NSA永恆之藍MS17-010漏洞(445端口)在全球範圍大爆發，感染大量計算機。WannaCry勒索病毒全球大爆發，至少150個國家、30萬名用戶中招，造成損失達80億美元，已影響金融、能源、醫療、教育等衆多行業，造成嚴重的危害。下圖是作者之前復現的效果。

斯諾登與“棱鏡”計劃
“棱鏡”竊聽計劃始於2007年的小布什時期，棱鏡包括兩個項目：監ting民衆電話的通話記錄，監shi民衆的網絡活動。包括對中國三大運營商的短信竊取，對中國六大骨幹網之一的教育科研網總節點如清華大學的入侵等。同時，棱鏡（PRISM）還只是美國NSA衆多項目中的一個，還比如星風項目（STELLARWIND）、核子項目（NUCLEON）、主管道項目、碼頭項目等。

震網（Stuxnet）事件
震網病毒（Stuxnet）是一種Windows平臺上的計算機蠕蟲，這是有史以來第一個包含PLC Rootkit的電腦蠕蟲，也是已知的第一個以關鍵工業基礎設施爲目標的蠕蟲。它藉助美國與以色列的QB機構之手，癱瘓了伊朗的核設施，對全球工業系統的造成了巨大的風險。

SolarWinds供應鏈攻擊事件
2020年12月13日，美國網絡安全公司FireEye發佈分析報告稱，SolarWinds 旗下的Orion基礎設施管理平臺的發佈環境遭到黑客組織入侵，黑客對文件SolarWinds.OrionCore. BusinessLayer.dll的源碼進行篡改添加了後門代碼，該文件具有合法數字簽名會伴隨軟件更新下發。後門代碼僞裝成Orion OIP協議的流量進行通信，將其惡意行爲融合到SolarWinds合法行爲中。FireEye稱已在全球多個地區檢測到攻擊活動，包括北美、歐洲、亞洲和中東的一些機構、諮詢、技術公司。

二.網絡安全攻防技巧

1.網絡安全技術路線

網絡安全（Web滲透）是通過模擬惡意黑客的攻擊，來評估計算機網絡系統安全的一種評估方法。滲透測試主要分爲黑盒測試和白盒測試兩種方式。不同的人有不同的框架，下面從企業界和學術界介紹兩種技術路線。

(1) 企業網絡安全技術路線

基礎知識： Web發展簡史、計算機網絡、域名系統、HTTP標準、代碼審計、WAF
信息收集：域名信息、站點信息、端口信息、其它
內網滲透： Windows信息收集、持久化、Linux信息收集、痕跡清理、內網信息收集、工作組和域、橫向擴展和縱向擴展
常見漏洞： SQL注入、XSS、CSRF、SSRF、命令注入、文件讀取、文件上傳、文件包含、XXE、模版注入、Xpath注入、邏輯漏洞、業務漏洞、配置安全、中間件、Web欺騙攻擊
語言與框架： PHP、Python、Java、JavaScript、Ruby、C\C++、C#
防禦技術：總體思路、團隊建設、威脅情報、風險控制、加固檢查、蜜罐技術、入侵檢測、應急響應、溯源分析
工具與資源：工具列表、推薦資源、爆破工具、下載工具、流量相關、嗅探工具、SQLMap、BurpSuite、MetaSploit、Cobalt Strike
其他：認證方式、拒絕服務攻擊、DNS劫持、Docker
紅藍對抗

(2) 學術界網絡空間安全知識體系

應用安全技術知識
系統安全理論與技術
網絡安全理論與技術
網絡空間全基礎理論
密碼學基礎知識

2.網絡安全基礎案例普及

(1) 電信ZP和一碼多用
當我們收到一些電話或短信時，可能會去點擊按鍵或鏈接，這類釣魚操作會導致我們的個人隱私泄露。2013年某公司泄露了海量用戶數據，其原理是黑客進行脫庫（數據庫）操作，脫庫之後他們還會繼續挖掘用戶的隱私信息。用戶在使用購物或系統門戶網站時，很可能會設置相同或相近的用戶名、密碼，通過撞庫能獲取更多有價值的信息，他們再賣這些數據謀求利益。

安全建議：密碼設置儘量有變換，不要輕易點擊惡意鏈接或惡意郵件

(2) 弱口令攻擊
通常認爲容易被別人猜測到或被PJ工具破解的口令均爲弱口令。弱口令指的是僅包含簡單數字和字母的口令，例如“123”、“abc”、“qwe”等，因爲這樣的口令很容易被別人破解，從而使用戶的計算機面臨風險，因此不推薦用戶使用。常見弱口令有：數字或字母連排或混排，鍵盤字母連排；生日，姓名+生日；短語密碼等。

密碼管理器NordPass公佈了2020年最常用密碼TOP200榜單，可以說，這是2020年最糟糕的200個密碼。排名靠前的幾個密碼，相信大多數人都非常熟悉：如123456、123456789、password、111111、123123、qwerty、000000等等，看來全球用戶都“青睞”數字。而這些密碼被弱口令攻擊都不需要1秒鐘。

安全建議：第一時間更換初始密碼，內部電腦密鑰需要單獨設置，專人保管，尤其注意弱口攻擊及社會工程學

(3) 僞基站、Wifi探針或魚叉式釣魚郵件攻擊
僞基站是指移動小型基站，可以定位你的GPS位置，再發送欺騙短信或電話。比如，騙子僞裝成95588，利用僞基站向手機發送短信，當用戶按照短信提示登錄釣魚網址時，他的銀行卡號和密碼就會被泄露。除了詐騙，還會建立聯盟調查信息庫，可以查看到開房記錄、上網記錄、常住暫住人口信息。

Wifi探針是當用戶手機無線局域網處理打開狀態時，會向周圍發出尋找無線網絡的信號，探針盒子發現這個信號，就能迅速識別出用戶手機的MAC地址。而MAC地址可以轉換成IMEI號，再轉換成手機號碼。爲了獲取更多用戶個人信息，一些公司將這個小白盒子放在商場、超市、便利店、寫字樓等，在用戶毫不知情的情況下，蒐集個人信息。

同時，某些手機APP惡意收集用戶隱私信息，並生成用戶畫像，通過電話、短信、微信、QQ等發送個性化廣告。APP安裝時，需要同意權限才能安裝，此時它能讀取用戶信息，比如315晚會曝光的墨跡天氣APP隱私泄露案例。

安全建議：陌生或不熟悉的Wifi不要輕易鏈接，惡意請求不要輕易點擊。APP儘量下載熟悉的軟件且不要開啓太多系統權限

(4) 企業非法競爭
某個藥業公司需要研發一種藥，想對用戶人羣的需求和購買力做個評估，但是做調研的時間成本和人力成本太大了，他們就會想一些“捷徑”。找到黑客，讓其進某醫院的病例數據庫，把病例數據複製下來直接分析。再比如某網站爲驚醒大家注意攝像頭安全，實現如下左圖所示直播功能（Network live IP video cameras），右圖新冠檢測系統用戶數據被非法出售。

(5) 利用漏洞植入木馬
利用漏洞或惡意軟件實施攻擊，常見功能包括：捕獲屏幕、攝像頭、語音通話、遠程連接、鍵盤記錄、獲取Webshell（管理員權限）、數據庫脫庫等。

安全建議：部署適當的安全防護軟件，防止釣魚郵件攻擊，劃分子網及內網不訪問互聯網

(6) 商業隱私保護
前面介紹了很多軟件及互聯網相關的安全，那麼物理設備存在嗎？當前，通過物理設備實施商業相關的物理攻擊也很常見，商業隱私案件中有60%與員工離職有關，兩類高危人羣分別是高管和特殊職位員工。同時各種隱祕的攝像頭越來越多，都需要大家注意，如下圖所示的插板、衣架螺絲中都切入了隱祕的微型攝像頭，甚至有通過向會議室玻璃窗發射激光獲取音頻信息的案例。

安全建議：涉及商業的文件重點保護，加強人員安全教育，離職更換密鑰，重置系統權限，提升個人的安全意識。

(7) 供應鏈攻擊與硬件安全
通過供應鏈採購實時惡意軟件植入，同時通過硬件設備竊取信息的案例也越來越多。如下圖所示的HACKUSB（數據線&支持快充）、BadUSB（惡意代碼隱藏的USB）、惡意移動充電寶等。

安全建議：加強移動硬盤、U盤、光盤安全，設置密鑰；未知Wifi和外部設備不要連接我們的電腦。同時，建立網絡隔離機制，做好數據使用記錄。

(8) 社會工程學
社會工程學（Social Engineering）是一種通過人際交流的方式獲得信息的非技術滲透手段。這種手段非常有效，而且應用效率極高。事實上，社會工程學已是企業安全最大的威脅之一。通過社工攻擊手段，篩選和整理你的個人信息、家庭狀況、興趣愛好、婚姻狀況，以及你在網上留下的一切痕跡，再進行滲透。這是一種無需依託任何黑客軟件，更注重研究人性弱點的黑客技術。

基於人的社工：搭載、僞造身份、偷聽、竊肩、反社工、垃圾桶工程
基於計算機的社工：彈出窗口、釣魚郵件、短信詐騙、內網攻擊
安全建議：嚴防社工工程學攻擊

(9) 0day漏洞和1day漏洞利用
利用漏洞實時攻擊，如下圖所示，WannaCry蠕蟲通過NSA永恆之藍MS17-010漏洞(445端口)在全球範圍大爆發，感染大量計算機。

安全建議：安裝合適的殺毒軟件，系統和軟件的漏洞補丁及時修復。

(10) 內網滲透
什麼是內網？比如大家連在同一個WIFI下，就可以稱爲內網。換句話說，從外部網絡不能直接訪問的網絡就稱之爲內網。比如，在公司文件服務器搭建了一些資源，外部互聯網的人是不能直接訪問這些資源的。

參考：i春秋YOU老師分享的小白滲透之路

首先，我們來看一張網絡拓撲圖，最常見的企業網絡。由圖可知，一個企業網絡對外通常會存在一個防火牆，防火牆中有個路由器，路由器接入很多電腦，包括三塊區域（DMZ區、核心業務區、辦公區），DMZ區放置一些對安全性不高的服務器，比如郵件、門戶網站服務器等；核心業務區存放企業核心數據庫、OA系統、ERP系統；辦公區是企業員工辦公網絡。

安全建議：獨立使用專網，配置虛擬機、防火牆；授權安全公司進行內網滲透測試，給出安全建議及保護措施；結合之前的安全意識進行保護。

假設現在一名白帽子需要攻擊測試這個內部網絡，想直接訪問核心業務區的數據庫是不可能的，而公司在DMZ區提供了對外的Web服務器，能夠讓你直接在互聯網裏面訪問。

第一步，信息收集及技術性弱點識別，通過技術性手段拿下公司DMZ區的門戶網站這臺服務器。
第二步，通過門戶網站服務器進入到公司的內部網絡，我們稱之爲跳板。接着進行權限的維持和提升，下次再進行攻擊時不需要重新收集信息，以門戶網站作爲據點，對內網進行滲透。
第三步，內網滲透並橫縱向擴展獲取相關信息。

下面介紹一個內網滲透案例，該案例均是授權情況下進行的滲透測試，切勿進行非法滲透或攻擊。由該網絡拓撲圖可知，正常訪問時會通過CDN（內容分發轉網絡）、WAF（應用防護系統）等安全軟件，從而過濾並保護我們企業的網絡安全。白帽子需要想一個辦法：能不能讓我們的訪問不經過CDN和WAF呢？

答案是可以的。
第一步，全面收集信息
通過全面信息收集，找到與目標相關的信息網站。
第二步，尋找有用線索
深入分析並發現網站源碼內存在真實IP泄露。

第三步，進一步蒐集和利用有用信息
針對真實IP開展端口掃描，找到對應的端口和服務BBS。該網站存在一個信息泄露的漏洞，通過目錄掃描找到泄露的賬號密碼，即在BBS的日誌內搜索併成功解密出用戶賬號和密碼信息。

第四步，利用有用信息進入內網
登錄BBS系統，發現並利用跟帖上傳處漏洞，上傳shell（網頁後門）成功拿下該服務器system權限，進入內網。system權限是最高權限，該案例免去了權限維持與提升步驟。

第五步，內網橫向擴展
通過弱口令、歷史漏洞等方式，成功拿下內網多臺服務器權限，並從中找到了1個涉及多個目標服務器的密碼本，此時已成功進入了目標網絡的核心業務網段。結合前期收集到的信息，成功登錄目標重大項目庫的源碼服務器，針對源碼進行深入分析，從配置文件中找到了系統運維郵件賬號和密碼，併成功進入運維郵箱。

第六步，作爲白帽子，立刻告訴該網站管理員並對網站進行維護，提升安全等級及修復漏洞補丁。

下面對常見的惡意軟件威脅進行簡單總結：

修改或破壞已有軟件的功能
惡意軟件運行之後，可以對同一運行環境中的其他軟件進行干擾和破壞，從而修改或者破壞其他軟件的行爲。
竊取目標系統中的重要數據
數據庫、文檔、口令等（灰鴿子、上興、Flame）
監視目標系統中的用戶行爲
對目標系統進行屏幕監視、視頻監視、語音監聽等
控制目標系統
Shell、屏幕控制、跳板等
加密數據進行勒SUO
PC&mobile，比特幣
情報獲取設備
如NSA的水蝮蛇（COTTONMOUTH-I），通過USB與主機植入數據網絡竊取信息；出軌吉普（DROPOUTJEEP），通過植入蘋果iPhone的惡意軟件，提供專門的情報收集功能；WannaCry是一種“蠕蟲式”的勒索病毒軟件等。

3.Web滲透技巧簡單總結

技巧一：Google Hacking
Google提供了強大的搜索功能，可以獲取精準的結果。如果訪問不了，也可以通過Bing或百度獲取相關內容，但是結果沒有谷歌精準。常見方法如下：

技巧二：Whois收集
採集網站、IP、機構、郵箱、個人、國家等信息。可以參考作者之前“網絡安全自學篇”文章。

Whois站長之家查詢：http://whois.chinaz.com/
Whois Lookup 查找目標網站所有者的信息：http://whois.domaintools.com/
Robtex DNS 查詢顯示關於目標網站的全面的DNS信息：https://www.robtex.com/
其他推薦：he.bgp.net、https://scan.top15.cn/web/

技巧三：CMS指紋識別 (網站架構、網站目錄)
參考作者之前“網絡安全自學篇”文章。

在線工具：http://whatweb.bugscaner.com/look/
本地工具：御劍Web指紋識別程序、大禹CMS識別程序

技巧四：端口掃描
參考作者之前“網絡安全自學篇”文章，包括網站開放端口、旁站等。

Nmap採集、masscan採集、Kali系統
ThreatScan在線網站：https://scan.top15.cn/web/
常見端口及對應服務，旁站注入（主站現在大公司維護，入侵艱難）

技巧五：IP物理定位

IP物理定位：三大運營商數據、Wifi、基站、GPS、社交網絡、視頻
https://www.opengps.cn/Data/IP/ipplus.aspx
http://www.gpsspg.com/maps.htm
手機APP獲取物理地址（QQ漫遊定位）
URL、QQ => IP地址 => 經緯度 => 物理位置

技巧六：社會工程學
社會工程學（Social Engineering）是一種通過人際交流的方式獲得信息的非技術滲透手段。這種手段非常有效，而且應用效率極高。事實上，社會工程學已是企業安全最大的威脅之一。

社工三大法寶：網絡釣魚、電話釣魚、僞裝模擬
狹義三大法寶：谷歌、社工庫、QQ

同時，郵件反查可以結合社會工程學進行信息收集。

再比如通過密碼找回功能獲取部分手機號信息（開頭182、結尾47）。由於我國手機號碼爲11位，各段有不同的編碼方向：前3位爲網絡識別號；第4-7位爲地區編碼；第8-11位爲用戶號碼。號碼也就是所謂的MDN號碼，即本網移動用戶作被叫時，主叫用戶所需撥的號碼，它採取E.164編碼方式；存儲在HLR和VLR中，在MAP接口上傳送。通過社會工程學結合Python自定義詞典可以對電話進行獲取。

技巧七：手機號碼查找
通過各大網站已知有價值的ID獲取其他信息（如電話號碼、QQ、微信），通過電話或QQ獲取用戶的登錄賬號，也是常見的社會工程學手段。同時，通過某些網站獲取三大運營商不同城市的手機號段。

www.reg007.com
www.zhaohuini.com
http://www.guisd.com/ss/

技巧八：驗證碼生成器

http://lothelper.com/cn

技巧九：照片信息泄露、Office信息泄露
智能手機拍照時，Exif包括位置信息。如果不經過處理，這些Exif參數會一直存在。在拍照的時候軟件調用了Exif中的GPS全球定位系統數據。同時，經過各種美圖軟件處理過的照片都會在相冊中顯示位置信息，而且不少美顏軟件都自帶定位功能。

三.醫療數據安全防護

1.醫療數據安全

通過之前的分析我們看到了無處不在的網絡安全，那麼，醫療衛生行業或ZF部門面臨着怎樣的安全風險呢？下面我們開始分享。醫療行業信息系統面臨的安全風險主要包括：

一是數據泄露。由於行業本身的特殊性，本身保存了大量的個人信息、財務信息和健康信息等多種敏感數據，一旦泄露容易引發很嚴重的後果。
二是網絡安全漏洞風險。攻擊者可以通過某些漏洞控制醫療行業的網絡系統，進而可以實施勒索等行爲。
三是勒索軟件。加密貨幣的火熱刺激了大量挖礦木馬的產生，醫療信息系統也受到了一定的波及和影響。

由於醫療系統的行業特殊性，對安全存在更高的要求，無論是從政策法規，還是從維護醫療服務體系的正常運轉來看，守護醫療信息系統和醫療數據的網絡安全勢在必行。

在YQ這種“戰時”狀態，醫療數據的威力更是顯而易見，醫療數據安全更重要的是涉及大量人體真實數據。大數據背景下的數據泄露直接關係到我們的生命財產安全、生物安全等，被惡意獲取後的醫療數據，可以實現對人種、羣體生命信息的精準分析，掌握國家的人才信息乃至國家人口發展戰略、政策和生命安全。

YQ期間，以美國、印度爲首的西方國家，不遺餘力獲取我國的醫療相關數據，包括實驗、Yi苗、數據等多方面，手段包括木馬攻擊、公開情報蒐集、魚叉式釣魚攻擊、針對醫療和科研行業重點人員實施社工攻擊行爲等等，無所不用其極。這些危害往往是不可逆，損失無法估量。因此，在戰略上，醫療數據安全直接關係國家和人民的安全！

2020年4月，匯醫慧影兩個月研發的AI輔助系統和積累的訓練數據被黑客竊取。以4比特幣（約21萬人民幣）的價格在A網上公開出售，給我們國家醫療資源代碼巨大損失。其出售數據包括150M的實驗室研究信息，1GB技術信息及其源代碼和1.5M的用戶數據。

傳統的網絡攻擊主要以金錢和利益爲主，目前逐漸向有組織的APT攻擊發展。那麼，什麼是APT攻擊呢？

2.什麼是APT攻擊

APT攻擊（Advanced Persistent Threat，高級持續性威脅）是利用先進的攻擊手段對特定目標進行長期持續性網絡攻擊的攻擊形式。APT攻擊也稱爲定向威脅攻擊，指某組織對特定對象展開的持續有效的攻擊活動。這種攻擊活動具有極強的隱蔽性和針對性，通常會運用受感染的各種介質、供應鏈和社會工程學等多種手段實施先進的、持久的且有效的威脅和攻擊。

360威脅情報中心結合2018年全年國內外各個安全研究機構、安全廠商披露的重大APT攻擊事件，以及近幾年來披露的高級持續性威脅活動信息，並基於這些重大APT攻擊事件的危害程度、攻擊頻度、攻擊技術等，評選出2018年全球十大APT攻擊事件。參考：https://www.secrss.com/articles/7530

韓國平昌冬奧會APT攻擊事件（攻擊組織Hades）
VPNFilter：針對烏克蘭IOT設備的惡意代碼攻擊事件（疑似APT28）
APT28針對歐洲、北美地區的一系列定向攻擊事件
藍寶菇APT組織針對中國的一系列定向攻擊事件
海蓮花APT組織針對我國和東南亞地區的定向攻擊事件
蔓靈花APT組織針對中國、巴基斯坦的一系列定向攻擊事件
APT38針對全球範圍金融機構的攻擊事件
疑似DarkHotel APT組織利用多個IE 0day“雙殺”漏洞的定向攻擊事件
疑似APT33使用Shamoon V3針對中東地區能源企業的定向攻擊事件
Slingshot：一個複雜的網絡攻擊活動

長期被國家級APT組織盯上，隨時面臨一國網絡癱瘓的風險。針對我國境內實施攻擊活動的活躍APT組織如下：

海蓮花（APT32）：越南
摩訶草（APT-C-09）：印度
蔓靈花（T-APT-17）：印度
Darkhotel（APT-C-06）：韓國
藍寶菇（APT-C-12）：中國臺灣
毒雲藤（APT-C-01）：中國臺灣
Lazarus（T-APT-15）：朝鮮
…

APT攻擊主要針對ZF機構、科研工作者、醫療行業、高校教師、JS愛好者、企業高管等。

典型的APT攻擊手段如下：

魚叉式釣魚郵件
釣魚關鍵字包括培訓、績效、監察等，內容如帶有惡意宏文件的xls文件、捆綁型惡意代碼、構造誘餌文件欺騙用戶點擊
水坑攻擊
社會工程學攻擊
CHM誘餌、白加黑誘餌、惡意Ink
0DAY漏洞
利用CVE漏洞，如CVE-2018-20250綁定壓縮包
宏病毒攻擊
帶有VBA宏病毒的Office文檔
專用木馬、後門、蠕蟲
如Denis家族、CobalStrike、Gh0st、WannaCry
執行惡意PowerShell腳本收集信息
DNS劫持
hta樣本解密並加載後續的附加數據
C&C域名通信
使用帶有誘餌文檔通過點擊下載託管於GitHub上的downloader樣本
對抗樣本、人工智能（AI）攻擊

四.APT攻擊醫療行業經典案例

下面介紹典型針對醫療數據的APT攻擊案例。

1.白象

印度背景的APT組織代號爲APT-C-09，又名摩訶草、白象、PatchWork、angOver、VICEROY TIGER、The Dropping Elephan。主要針對中國、巴基斯坦等亞洲地區國家進行網絡攻擊活動，以採集敏感信息爲主。至今非常活躍。在針對中國地區的攻擊中，該組織以ZF機構、醫療衛生、科研教育領域爲主。

2020.2月初，白象APT組織通過投遞帶有惡意宏文件的xls文件（誘餌文檔），該誘餌文檔名叫“武漢旅行信息收集申請表.xlsm”“收集健康準備信息的申請表.xlsm”，並且僞裝成衛生部的文件攻擊我國醫療部門。

推薦文章：摩訶草APT組織的攻擊活動 - GCOW團隊

此次攻擊所使用的後門程序與之前360安全大腦在南亞地區APT活動總結中已披露的已知的印度組織專屬後門cnc_client相似，通過進一步對二進制代碼進行對比分析，其通訊格式功能等與cnc_client後門完全一致。非常可以確定，攻擊者來源於印度的白象APT組織。

同時，白象僞裝成我國衛生主管部門域名，藉助YQ話題，僞造相關文件，對我國醫療機構發動APT攻擊。如冒充國家衛健委官網網站 nhc-gov.com，真實網站 nhc.gov.cn。

安全建議：注意保護文件（格式）以及電子公章，文檔包含“啓用宏”勿點擊；牢記常用網站的域名，防止DNS劫持及網站冒充。

2.海蓮花

海蓮花（OceanLotus）是一個據稱越南背景的APT組織，又稱APT32、OceanLotus。該組織最早於2015年5月被天眼實驗室所揭露並命名，其攻擊活動最早可追溯到2012年4月，攻擊目標包括中國海事機構、海域建設部門、科研院所和航運企業，後擴展到幾乎所有重要的組織機構，並持續活躍至今。

推薦文章：“海蓮花”(OceanLotus)2019年針對中國攻擊活動彙總 - 騰訊

該組織針對不同的機器下發不同的惡意模塊，使得即便惡意文件被安全廠商捕捉到，也因爲無相關機器特徵而無法解密最終的Payload，無法知曉後續的相關活動。活動鑽石模型如下：

下圖展示了通過惡意文件投遞的魚叉攻擊，惡意文件投遞的方式依然是最常用的魚叉攻擊的方式，釣魚關鍵字包括YQ、幹部培訓、績效、工作方向等，相關的郵件如下。此外，投遞釣魚郵件的賬號有網易郵箱，包括126郵箱和163郵箱，賬號樣式爲：名字拼音+數字@163（126）.com，如：Sun**@126.com、reny**@163.com等。

2019至2020年投遞的惡意誘餌類型衆多，包括白加黑、lnk、doc文檔、帶有WinRARACE（CVE-2018-20250）漏洞的壓縮包等，之後的攻擊中還新增了僞裝爲word圖標的可執行文件、chm文件等。

帶有宏的doc文檔
帶有宏的文檔的投遞是該組織比較常用的惡意誘餌，如推特上安全同仁曝光該組織的誘餌。執行宏後，首先會複製原始文檔到%temp%下，命名爲隨機名文件，然後解密出一個新的VBA宏。接着寫入註冊表，把解密後的新VBA宏添加進去，接着啓動VBA宏函數x_N0th1ngH3r3。解密出來的新VBA宏目的是將shellcode解密並加載執行。Shellcode解密出一個DLL文件，並在內存中加載，執行DllEntry函數。DllEntry函數先會提取資源文件，並解密出來，解密出來的內容包括最終rat和相關配置信息。最後配置C&C使用https進行通信連接，實施攻擊。

帶有WinRAR ACE（CVE-2018-20250）漏洞的壓縮包。
作者之前分享過該CVE漏洞，當我們解壓文件時，它會自動加載惡意程序至C盤自啓動目錄並運行。

白加黑
白加黑同樣是該組織常用的誘餌類型，並且在實際攻擊過程中，還多次使用。病毒僞裝成一個DLL文件，僞裝爲Word圖標的可執行文件啓動的同時，病毒DLL也會被加載啓動（也叫DLL劫持）。使用DLL側加載（DLL Side-Loading）技術來執行載荷，通俗的講就是我們常說的白加黑執行。其基本流程如下圖所示：

安全建議：異常郵件、鏈接、短信不要點擊，先電話確認郵件真實來源，再下載文件或壓縮包；重要文件切勿互聯網傳播，查閱或編輯儘量在內網或斷網條件下執行（防止C&C）。

3.Darkhotel

Darkhotel（APT-C-06）是一個長期針對企業高管、GF工業、電子工業等重要機構實施網絡攻擊活動的APT組織。2014年11月，卡巴斯基實驗室的安全專家首次發現了Darkhotel APT組織，並聲明該組織至少從2010年就已經開始活躍。360威脅情報中心對該團伙的活動一直保持着持續跟蹤，而在最近幾個月我們再次跟蹤到該團伙發起的新的攻擊活動。

雙星”漏洞已被活躍近十餘年的半島APT組織Darkhotel(APT-C-06)所利用，並瞄準我國商貿、醫療相關的政府機構發動攻擊。該APT組織的攻擊手法陰險、刁滑、狡詐。

CVE-2019-17026（火狐）
CVE-2020-0674（IE）

騰訊御見威脅情報中心曾發佈《DarkHotel APT組織揭祕：針對高端商務人士、政要人物的精準攻擊已持續8年》，分析報告提到的後門程序SYSCON/SANNY是專門針對朝鮮半島相關目標進行攻擊的惡意文件，其主要攻擊目標爲朝鮮半島相關的重要人物或部門，偶爾也會針對東南亞等國進行攻擊。通過分析發現，該後門跟DarkHotel的TTPs相吻合，因此我們把該後門歸結爲DarkHotel（黑店）APT組織。

推薦文章：DarkHotel（黑店）APT組織針對朝鮮半島的精確打擊行動

騰訊御見威脅情報中心對該後門進行了長期跟蹤，發現該後門一直以來的特色就是使用FTP協議進行C&C通信，並且有很強的躲避技術和繞UAC技術。 而最新版本的後門採用了多階段執行、雲控、繞最新UAC等技術，使得攻擊更加的隱蔽和難以發現。攻擊流程如下圖所示：

安全建議：針對漏洞利用攻擊，內網電腦切勿連接互聯網，外網電腦及時更新信息中心的補丁（如WannaCry）。

4.藍寶菇

360公司在2018年7月5日首次對外公開了一個從2011年開始持續近8年針對我國行政機構、科研、金融、教育等重點單位和部門進行攻擊的高級攻擊組織藍寶菇（APT-C-12），英文名BlueMushroom，該組織的活動在近年呈現非常活躍的狀態。比如，通過向163郵箱發送魚叉郵件，釣魚郵件仿冒博鰲亞洲論壇向攻擊對象發邀請函。攻擊者通過誘導攻擊對象打開魚叉郵件雲附件中的LNK文件，一旦攻擊對象被誘導打開LNK快捷方式文件，會執行文件中附帶的PowerShell惡意腳本來收集上傳用戶電腦中的重要文件，並安裝持久化後門程序長期監控用。

推薦文章：藍寶菇（APT-C-12）針對性攻擊技術細節揭祕

攻擊方式：

在郵件中植入惡意附件
郵件正文插入惡意鏈接，誘導受害者點擊。通過誘導打開魚叉郵件雲附件，如仿冒博鰲亞洲論壇邀請函(boaostaff[@]163.com)，然後執行PowerShell惡意腳本收集用戶電腦中的敏感文件，並安裝持久化後門程序長期監控目標

所以，APT攻擊離我們並不遙遠，網絡安全就在我們身邊，需要大家共同維護。

五.防禦措施

1.醫療數據安全防護

“沒有網絡安全就沒有國家安全”，每一個公民都應該樹立正確的安全意識，同時做好相關保護工作。具體包括：

增強人員安全意識及教育，防止弱口令（複雜口令）、社會工程學現象
建立安全物理環境，部署安全設備（WAF），安全劃分子網
重要文件切勿互聯網傳播，查閱或編輯要在內網或斷網條件下執行（防止C&C）
異常郵件、鏈接、短信不要點擊，先電話確認真實來源，再下載文件或壓縮包，防止釣魚郵件
注意保護重要文件（格式）以及電子公章，文檔包含“啓用宏”勿點擊，防止宏病毒攻擊
建議對郵件排查是否存在木馬、病毒、後門程序、釣魚鏈接，嚴控服務端安全
網站系統和業務滿足合規要求（https加密數據傳輸，防止信息泄露）
加強對病毒和入侵事件的有效感知，系統補丁按照要求及時更新
上網不SM，SM不上網，做好數據脫敏處理
加強移動硬盤、U盤、光盤安全，設置密鑰；未知Wifi和外部設備不要連接計算機
涉及商業的文件重點保護，加強人員安全教育，離職更換密鑰
文件傳輸實現文件與密鑰分離傳輸
建立安全管理制度
做好文檔數據記錄工作，加強網絡審計措施，監測記錄系統運行狀態、日常操作
異常行爲管理（快速查詢指定賬號的異常行爲）
流量監控管理（發現異常流量時通知管理員）
通過安全公司進行定期的滲透檢測

同時，中國軟件測評中心發佈了《醫療行業網絡安全白皮書（2020年）》，其架構如下圖所示。

2.威脅情報防禦

溯源意圖除了溯源出編寫惡意代碼作者、惡意代碼家族之外，還要挖掘出攻擊者及攻擊者背後的真正意圖，從而遏制攻擊者的進一步行動。360威脅情報中心將基於每個APT攻擊事件的背景信息、攻擊組織、相關TTPs（Tactics, Techniques and Procedures，戰術、技術與步驟）進行描述及重大攻擊事件溯源。在溯源過程中，越往上溯源越難，尤其是如何定位APT組織的人員。

威脅情報防禦包括縱深保護、實時聯動，基於大數據提供動態變化的威脅情報，應用多種創新技術手段加強抵禦外部不斷變化的高級威脅，包括預測、防禦、響應和檢測。舉個例子，我們本地看到一個IP，我不知道它是好是壞，但是我把這個IP傳到雲端，雲端通過龐大的威脅校驗機制判斷該IP來自哪個國家、曾經攻擊過哪個企業、IP關聯的黑客家族、文件樣本等。雲端把IP信息告訴本地設備，從而確定該IP有害並加入黑名單，通過本地設備和雲端實時互聯，提高威脅情報檢測能力。

各大安全廠商都有自己的威脅情報防禦，包括360、安天、奇安信、深信服、綠盟、騰訊、阿里、瑞星、啓明星辰等。下圖展示了深信服提出了“網絡+終端+雲端”的體系化建設思路。通過網絡終端實現縱深保護，雲端和本地結合可視化展現風險及快速處置，並升級能力進行有效保護。日誌可以統一發送給雲端平臺，雲端再進行日誌分析洞悉威脅，定位位置並給出處理建議。

響應：聯動EDR清除終端病毒、聯動封鎖攻擊源
檢測：黑鏈檢測、Webshell後門檢測、失陷主機檢測模
防禦：Web應用防護、入侵防禦模塊IPS、SAVE防病毒引擎、URL過濾及應用特徵識別、ARP欺騙防禦及DDoS防禦
預防：誤配置、弱口令、漏洞檢查、資產梳理、端口開放檢查

3.APT溯源

APT溯源推薦作者的文章 “APT攻擊檢測溯源與常見APT組織的攻擊案例”，下面簡單進行總結：

(1) 溯源取證

溯源、取證與樣本抽取，釣魚、社工
分組行動、相互配合
鎖定特徵碼
大數據關聯分析，感知未發現的攻擊行爲
代碼逆向組、流量分析組與網絡調研組

(2) 美國應急響應中心溯源方法

對被入侵的主機進行還原取證
對木馬樣本進行代碼的逆向分析與解密
對流經國家的數據在傳輸層進行特徵碼布控
存儲至少半年的流經數據流量，以便還原攻擊
對VPS代理服務提供商與正常網絡服務提供商，兩者有能力區分，並能落地VPS代理服務提供商的用戶背後真實IP地址
分辨攻擊事件背後的組織，並判定組織的來源、分工、資源狀況、人員構成、行動目標等要素

(3) 應急響應中心常見的異常網絡行爲

端口與協議不匹配，如使用443端口傳輸明文協議
邊界VPN撥入的IP地址不在企業用戶VPN常用IP地址之列
利用VPS服務提供商的代理IP地址訪問企業用的邊界VPN撥入內網
Windows事件日誌中的特殊ID編號，如ID 5140通常是PSEXEC（內網hash傳遞工具）日誌
對於特殊協議要記錄訪問主機IP、目的主機IP，如SMB協議（永恆之藍）要倍加防範

(4)溯源內容
惡意樣本的追蹤溯源需要以當前的惡意樣本爲中心，通過對靜態特徵和動態行爲的分析，解決如下問題：

誰發動的攻擊？
攻擊背景是什麼？
攻擊的意圖是什麼？
誰編寫的樣本？
樣本使用了哪些攻擊技術？
攻擊過程中使用了那些攻擊工具？
整個攻擊過程路徑是怎樣的？

(5) 溯源方法
惡意樣本追蹤溯源除了前面介紹的全流量分析、同源分析、入侵日誌、域名/IP、攻擊模型外，常見的方法還包括：

時區溯源案例（白象）
關聯分析案例（Darkhotel APT-C-06）
特徵相似溯源（摩訶草）
0day漏洞溯源（Lazarus T-APT-15）
蜜罐溯源
基於機器學習和深度學習的APT溯源

下圖展示了通過時區對白象APT溯源的過程。

六.總結

嚴峻的網絡安全對抗和博弈形勢，使得對惡意代碼的演化與溯源技術的研究價值凸顯，學術界、產業界近年來分別從攻擊和防護兩個方面展開了深入的研究。目前，學術界和產業界在惡意代碼溯源技術方面取得了較大的進步，在追蹤惡意代碼組織、黑客組織(攻擊者)、發現未知惡意代碼方面取得了部分研究成果，例如海蓮花、白象、方程式組織等典型 APT 攻擊計劃和黑客團隊的不斷曝光，但依然存在不足和挑戰。

寫到這裏，這篇文章就介紹完畢，希望您喜歡這篇文章。“網絡安全提高班”第一篇文章，花費了我4個小時撰寫，近3萬文字，只希望對您有幫助。這篇文章中如果存在一些不足，還請海涵。作者作爲網絡安全初學者的慢慢成長路吧！希望未來能更透徹撰寫相關文章。同時非常感謝參考文獻中的安全廠商和大佬們的文章分享，深知自己很菜，得努力前行。

歡迎大家討論，是否覺得這系列文章幫助到您！如果存在不足之處，還請海涵。任何建議都可以評論告知讀者，共勉~

2020年8月18新開的“娜璋AI安全之家”，主要圍繞Python大數據分析、網絡空間安全、人工智能、Web滲透及攻防技術進行講解，同時分享CCF、SCI、南核北核論文的算法實現。娜璋之家會更加系統，並重構作者的所有文章，從零講解Python和安全，寫了近十年文章，真心想把自己所學所感所做分享出來，還請各位多多指教，真誠邀請您的關注！謝謝。

(By:Eastmount 2021-01-15 l凌晨夜於武漢 http://blog.csdn.net/eastmount/ )

[網絡安全提高班] 一〇一.網絡攻防溯源普及和醫療數據安全總結

文章目錄