近期，FireEye发布了一篇题为《Digital Bread Crumbs: Seven Clues To Identifying Who's Behind Advanced Cyber Attacks》的白皮书，同时发布了中文版。

内容转载如下：

    在现今网路威胁的情势下，找出敌人是任何防御计划的关键要点。保护资料与智慧财產的关键步骤，在於找出谁是攻击者、他们的运作方式，以及他们的目的。

    所幸如同任何犯罪现场一样，遭到入侵的电脑系统都会留下线索。若是先进的网路攻击，恶意软体程式码、网路 钓鱼电子邮件、使用的命令与控制(C&C)伺服器，甚至行為，都可能会留下攻击者犯罪的蛛丝马跡。正如指纹科学、DNA 和纤维分析已经成為犯罪鑑识时的无价之宝，在研究人员已经知道找寻目标是什麼的情况下，连结先进网路攻击事件的歷程便有利於找出功力强大的威胁发动者。

    这份报告根据FireEye 追踪将近 1,500 件攻击活动所组成的范本，描述下列恶意软体攻击情况，以及可从中获知祸首的相关资讯：

键盘配置——隐藏在网路钓鱼活动背后的是攻击者键盘的相关资讯，而这些资讯会根据语言和地区而有差异。
恶意软体中继资料——恶意软体原始码包含的技术详细资料，可能会透露出攻击者的语言、位置和他与其他犯罪活动的关联性。
内嵌字型——网路钓鱼电子邮件的字型会指出攻击的源头。即使该字型通常并不常用於攻击者的母语中，也是有跡可循。
DNS 註册——攻击事件中所使用的网域会指出攻击者的位置。重复登录的资讯可能会将多个网域连结到同一个犯罪源头。
语言——通常从恶意软体最后显示的内嵌语言，可以看出攻击者来自哪个国家/地区。而且，有时用逆向工程来追查出现在网路钓鱼电子邮件中的常见语言错误，就能判断出撰写人员的母语。
远端管理工具设定——热门的恶意软体工具内含一组设定选项。这些选项通常是攻击者在使用该工具时的特定选择，而正是这点让研究人员可将不同的攻击事件连结至同一个威胁发动者。
行為——从方法与攻击目标等行為模式，可以看出攻击者的一些手法和动机。 看过这些线索之后，安全专家们即可更轻易找出威胁发动者，使组织日后防御网路攻击的能力更為强大。

    儘管近几年来网路攻击越见高明且更趋顽强，但是仍然不见所谓的完美犯罪。攻击链的各阶段：探勘、研製、交 付、漏洞攻击、安装、命令与控制，以及对目标展开行动 (通常是渗漏)，都可能留下数位足跡。

    因為在每个阶段中，攻击者和攻击目标之间一定会有所接触。有时这种接触是直接进行，如网路钓鱼电子邮件。有 时则是间接接触，比方当目标电脑回应攻击者系统时就会发生接触。这两种接触都是可挖掘更多关於攻击者资讯 的好机会。若分析正确，这类资讯能协助安全专家们更清楚损害详情，进而修復遭入侵的系统，以及预测日后的攻击。

    注意事项：虽然本报告中所介绍的数位鑑识证实可利於 FireEye 研究人员进行研究，但是得到的线索仍常造成误导 且存在矛盾。分析证据是错综复杂而且歷经千辛的过程—这种精巧融合科学与艺术的技术也狠难实现「证据确凿」 的理想。网路罪犯多半是擅长於错误引导的专家，所以表面上没有任何明显徵兆。因此，FireEye 强烈建议在对攻 击源头有任何定论之前，应该权衡多方证据，并且徵询数位鑑识专家。

1. 键盘配置

    研究人员可以根据网路钓鱼电子邮件标题的「字元集」属性 (charset)，判断当初某一段恶意软体在建立时所用的键盘配置。大多数的网路钓鱼攻击会使用不属於特定国家/地区的标準键盘配置。因此当非标準型的键盘出现时，代表这是一个有利线索。

FireEye 研究人员发现，许多恶意软体活动都有使用中国大陆所使用中文 (GB2312) 键盘的特性。同理，北韩的 KPS9566 字元集便有助於确认攻击活动是从该地区发出。 这种追踪攻击来源的方法并非百分之百準确。理论上，俄罗斯国民可以用北韩键盘来偽装其身分以及动向。

    2012年 3月，FireEye研究员Alex Lanstein向西藏人权人士发出电子邮件(见图1)，警告其已成為网路攻击的目标。攻击者后来从其中一位攻击目标手中拿到 Lanstein 的电子邮件复本，用来当作对付其他人权人士的诱饵。不像原来的电子邮件是使用标準西方语系键盘 (Windows-1252)，诱骗信函的寄送者即是使用中国的 GB2312 键盘配置(见图2)。

图 1：传送给西藏人权人士的诱骗网路 钓鱼电子邮件

图 2：网路钓鱼电子邮件中的字元集编码 (请参见图 1)

2. 恶意软体中继资料

    恶意软体的可执行档程式码通常会参考用以组织原始码的原始来源目录。同样地，用C++ 语言写的程式会参考其专案名称。其中的程式码会透露攻击者的语言或来源国家/地区，即使程式码和其他攻击行动已修改成目标对象的语言，仍可看出端睨。

图 3：用粗俗文字辱骂中国防毒软体製造商北京瑞星的恶意软体原始码。萤幕截图中的不雅文字已经过模糊处理。

图 4：经解码的可执行档 (反白显示PDB 参考来源)

    图 4 显示先前未公开的第二波攻击的原始码，在该次攻击中，可执行档偽装成 PNG 档案。在初始攻击后，可执行档即送到端点。这段程式码中包括指向恶意软体作者硬碟中、位在「E:\pjts2008\moon\Release\MoonClient2. pdb」的处理序侦错 (PDB) 档的参考来源。(PDB 档案是针对以 Windows .Net framework 语言所撰写的程式所建立)。此处所指的「MoonClient」档案是中国骇客集团 APT1 (又称為 CommentGroup) 所使用 WEBC2 恶意软体的变形。

3. 内嵌字型

    就像前文所介绍的字元集，网路钓鱼电子邮件和其他恶意文件中所使用的字型，有时可用来追踪 APT 攻击的来源。以 FireEye 研究人员最近发现的 Sanny APT 攻击為例。虽然诱骗文件是用俄文撰写来诱骗俄国使用者，但却使用韩文字型 Batang和KPCheongPong。这些字型的选择，也与其他的证据共同一致的将来源指向北韩，包括该次攻击中的作者名字和所使用的C&C伺服器。经过整体推论，该证据对攻击者的来源提供一个有力的线索。

4. DNS 註册

    在某些案例中，攻击者会付费登录网域来规避恶意软体防御的侦测作业，如网域黑名单。而这些DNS登录资讯经常直接指出攻击者所在的国家/地区。

    即使DNS註册的是假名字和地址，也能找出祸首所在。有些攻击者会在跨网域重复使用假的联络资讯。研究人员可以从该项资讯快速将多起攻击事件连结到同一名威胁发动者，并将从每起攻击事件收集到的片段资讯集合起来。

    典范案例：即有名的「Sin Digoo 事件」。在 2004 年到 2011 年间，有人利用 Hotmail 电子邮件地址，在好几个 网域中註册相同的使用者名称。该名註册者登记的实体地址是位在「Sin Digoo, Californa」的一个邮递信箱，狠 明显拼错「San Diego」一字。多亏有那些重复的註册资讯，研究人员才能将个别的恶意软体攻击行动连结到更大 规模的先进持续威胁活动。

同样地，恶意软体研究人员 Nart Villeneuve 曾使用 DNS 登录资讯将中国浙江大学连结到 2010 年一起针对香港特 赦组织、记者、人权示威人士的攻击行动。

    FireEye最近使用DNS登录详细资料，连结几个上传到病毒检查网站 VirusTotal 的恶意软体范本。攻击者似乎已经将这几个范本上传，以测试防毒社群是否能侦测出来。

    将这个范本上传的攻击者掩饰了第一阶段的C&C 攻击。但是到了第二阶段，他以在实际基础架构中执行恶意软体的手法做為掩护，使用一个明显位於非真正新德里地址的人所註册的 secureplanning.net 网域。

    然而註册资讯并非一项準确的指标；功力高强的攻击者可以製作假联络资讯，甩开进行追踪的研究人员。但是在这起案例中，FireEye研究人员观察到后来该恶意软体的更新版本陆续上传到 VirusTotal 超过 15 次。所有范本都尝试连结到以该新德里地址註册的网域，更是暴露攻击者的行為模式。

5. 语言 

    通常有许多指标可透露恶意软体活动所使用的语言皆非攻击者的母语。有时这些指标甚至可指出攻击者的来源。 显而易见的错字和拼法错误是明显的徵兆。在其他案例中，从更详细的分析结果可看出攻击者使用翻译网站的蛛丝马跡。瞭解热门翻译网站如何处理特定字词和片语之后，研究人员就能判断攻击中所使用网路钓鱼电子邮件的原始语言。

    以 2011 年震惊一时的 RSA 攻击為例。据称有两个任命於政府的小组入侵了该公司的网路，盗取 RSA SecurID 產品 的资料。该次攻击利用不明的 Flash 漏洞，表示攻击者具备高阶的技术能力。但从图 5可以看出，该网路钓鱼电子邮件内容使用狠破的英文和拙劣的手法 (虽然最终还是得逞) 诱使收件者开啟附件。这些特徵都指出该攻击者的母语并非英文。

图 5：2011 年 RSA 攻击事件中所 使用的网路钓鱼电子邮件

    有时，内嵌在恶意软体中的语言也有利於找出攻击者。在图 6 中，Backdoor.LV 恶意软体的片段程式码是利用阿拉伯文名字和语言来「标记」目标对象。

图 6：Backdoor.LV 恶意软体的片段程 式码。圈选部分经解码成字串后显示於 图 7 中。

图 7 经解码的 Backdoor.LV

    出现在图 11 中的程式码显然是来自同一个攻击者。字元集字串解码后显示「400CD510」标籤 (请见图 8)，这次是採用阿拉伯文字母。

图 8：另一个与 Fayez 有关的恶意软体片段。圈选部分经解码成字串后显示 於图 9 中。

图 9：採用阿拉伯文字母的 400CD510资料

6. 远端管理工具设定

    远端管理工具 (RAT) 是攻击者用来即时控制目标电脑的一种恶意软体。这类工具支援许多功能，如键盘登入、萤幕 擷取、影片擷取、档案传输、系统管理和 command-shell 存取。RAT 可付费购买甚至免费取得，经过完善测试并 具备完整功能，因此深受攻击者的喜爱。

    RAT 似乎使得追踪更為困难，因為任何人都可以使用，而且不同团体可使用相同的工具。但是每个攻击者可以根据 工具提供的许多自订功能来建立专属的组合设定。从多起使用相同 RAT 设定的攻击中，可追溯到同一名攻击者。

    比如一个推出达 8 年，称為 Poison Ivy 的 RAT。此工具最常见的设定选项包括 ID、群组、密码和 Mutex。 图 10 显示 Poison Ivy 连线设定视窗中的 ID 和密码栏位。

图 10：Poison Ivy 连线设定视窗 (ID 和密码栏位以反白显示)

    这些设定选项可透过Volatility，从汇编后的RAT中擷取。Volatility是一种在记忆体倾印中运作的开放原始码档案 记忆体鑑识架构工具。攻击者会在 Poison Ivy 中设定 ID 和群组栏位，以标记并组成目标对象群组。当多起攻击出现相同的 ID 或群组名称 时，研究人员即可推论这些攻击事件彼此有所关联。

    密码栏位是 Poison Ivy 通讯加密的关键。它的预设值是「admin」，而且通常维持不变。但若经过主动设定，密码 就会成為一项蛛丝马跡。它们通常是独一无二的，而且攻击者狠少在目标性攻击活动中重复使用。

    在软体中，Mutex是一种程式物件，用来确保一个程式的多重执行绪不会同时使用相同的资源。而在Poison Ivy中，Mutex 是一种判断该工具是否在受感染的系统上执行的指标，以避免执行超过一个以上的实例。Poison Ivy使用的预设 Mutex 值是 )!VoqA.l4。如在 Poison Ivy中所设定的密码一样，任何非预设值通常具备独一性，因此成為一个有力的指标。

7. 行為

    人是习惯的动物。攻击者像一般人一样，时间一长都会表现出惯性的行為模式。他们会锁定相同的目标、使用相同的C&C伺服器，并且将重心摆在相同的產业。这些惯性策略会洩漏攻击者的手法、目标和动向。这就是之所以要对攻击者进行侧写的立意所在。这狠像罪犯侧写有利於侦探锁定嫌疑犯，安全专家也可以长期观察攻击者，并记录其行為模式。利用这些资讯，研究人员可依特定集团的习性，找出其犯案风格和手法。

    同样地，攻击者的犯案工具和手法也有利於侧写。图 11显示四种不同手法、不同引诱方式和不同的初步恶意软体植入。但全部都是锁定宗教示威人士。而且如标题资讯所示，他们都是从相同的伺服器发出，有些是从 Yahoo!发出。有些是Web电子邮件服务发出，有些是採用指令码发出。这些证据都指向在同一个集团、使用相同IT基础架构的多名发动者。

图 11：四封网路钓鱼电子邮件

结论

    上述信件的特性若独立来看，都无法证据确凿。但是当多项徵兆都指向同一个攻击者时，研究人员即可高度推断出 某攻击活动背后的指使者。该资讯有助於预测其攻击手法和动机，让安全专家更準确地预测未来的攻击，以及保护已遭锁定的系统和资料。

    当必须处理包含攻击和修復损害的紧急任务时，判断攻击来源看起来好像不是这麼必要。但事实上不然。当遭目标 锁定的组织知道攻击者的手法和目标之后，即可以使用该资讯採取下列措施：

立刻转移资源来支援易受侵入的资料
请求其他协助，无论是动用内部资源或执法单位。
更详细检查其他可能已遭攻击者用於其他攻击活动的媒介 (之前可能疏忽的媒介)

    如能整合上一次在其他地方、由同一个攻击者发起攻击活动中所收集到的情报，瞭解攻击的来源可能更為有利。如可透过专业厂商的客户群共享经匿名的威胁情报，提供有关策略、通讯协定、连接埠和攻击者所用回呼频道等资讯。