本篇是样本分析手册的最终篇章,前面的几大篇章主要侧重于基础调试技巧和样本分析方法,而溯源篇是在掌握之前技能的基础上,进行能力进一步提升,可以说掌握了常规的溯源方法,才算是一名合格的恶意样本分析人员
单就从“恶意样本分析人员”这个职位名称来看,可以拆分为:
“恶意” + “样本” +“分析” + “人员”
其中:
- 样本是我们关注的重点,也是最初的原材料(巧妇难为无米之炊),有了样本才能够进行下一步分析。
- 分析是通过掌握的知识技能去了解样本的功能(做饭的技法)以及样本制造者的创造性思维。
- 人员当然意指分析人员(一千个读者就有一千个哈姆雷特),一份样本分析报告的质量,视分析人员的能力水平而定。
- 恶意样本溯源追踪主要去了解攻击者或者团队的意图;(有因才有果,这里主要是通过分析结果,去了解攻击者的意图,比如:政治,私怨,业务,经济等)。
攻击链简介
- Reconnaissance:侦查,充分的社会工程学了解目标。
- Weaponization:定向的攻击工具的制作。常见的工具交付形态是带有恶意代码的pdf文件或office文件。
- Delivery:把攻击工具输送到目标系统上。APT攻击者最常用这三种来传送攻击工具,包括邮件的附件、网站(挂马)、USB等移动存储。
- Exploitation:攻击代码在目标系统触发,利用目标系统的应用或操作系统漏洞控制目标。
- Installation:远程控制程序的安装。使得攻击者可以长期潜伏在目标系统中。
- Command and Control (C2) :被攻破的主机一般会与互联网控制器服务器建立一个C2信道,即与C2服务器建立连接。
- Actions on Objectives:经过前面六个过程,攻击者后面主要的行为包括:
- 偷取目标系统的信息,破坏信息的完整性及可用性等。
- 进一步以控制的机器为跳转攻击其它机器,扩大战果。