这是作者网络安全自学教程系列，主要是关于安全工具和实践操作的在线笔记，特分享出来与博友们学习，希望您喜欢，一起进步。前文分享了WannaCry蠕虫的传播机制，带领大家详细阅读源代码。这篇文章将分享APT攻击检测溯源与常见APT组织的攻击案例，并介绍防御措施。希望文章对您有所帮助~

作者作为网络安全的小白，分享一些自学基础教程给大家，主要是关于安全工具和实践操作的在线笔记，希望您们喜欢。同时，更希望您能与我一起操作和进步，后续将深入学习网络安全和系统安全知识并分享相关实验。总之，希望该系列文章对博友有所帮助，写文不易，大神们不喜勿喷，谢谢！如果文章对您有帮助，将是我创作的最大动力，点赞、评论、私聊均可，一起加油喔~

• 二.常见APT组织的攻击案例

声明：本人坚决反对利用教学方法进行犯罪的行为，一切犯罪行为必将受到严惩，绿色网络需要我们共同维护，更推荐大家了解它们背后的原理，更好地进行防护。

[网络安全自学篇] 一.入门笔记之看雪Web安全学习及异或解密示例
[网络安全自学篇] 二.Chrome浏览器保留密码功能渗透解析及登录加密入门笔记
[网络安全自学篇] 三.Burp Suite工具安装配置、Proxy基础用法及暴库示例
[网络安全自学篇] 四.实验吧CTF实战之WEB渗透和隐写术解密
[网络安全自学篇] 五.IDA Pro反汇编工具初识及逆向工程解密实战
[网络安全自学篇] 六.OllyDbg动态分析工具基础用法及Crakeme逆向
[网络安全自学篇] 七.快手视频下载之Chrome浏览器Network分析及Python爬虫探讨
[网络安全自学篇] 九.社会工程学之基础概念、IP获取、IP物理定位、文件属性
[网络安全自学篇] 十.论文之基于机器学习算法的主机恶意代码
[网络安全自学篇] 十二.Wireshark安装入门及抓取网站用户名密码（一）
[网络安全自学篇] 十三.Wireshark抓包原理（ARP劫持、MAC泛洪）及数据流追踪和图像抓取（二）
[网络安全自学篇] 十四.Python攻防之基础常识、正则表达式、Web编程和套接字通信（一）
[网络安全自学篇] 十五.Python攻防之多线程、C段扫描和数据库编程（二）
[网络安全自学篇] 十六.Python攻防之弱口令、自定义字典生成及网站暴库防护
[网络安全自学篇] 十七.Python攻防之构建Web目录扫描器及ip代理池（四）
[网络安全自学篇] 十八.XSS跨站脚本攻击原理及代码攻防演示（一）
[网络安全自学篇] 十九.Powershell基础入门及常见用法（一）
[网络安全自学篇] 二十.Powershell基础入门及常见用法（二）
[网络安全自学篇] 二十一.GeekPwn极客大赛之安全攻防技术总结及ShowTime
[网络安全自学篇] 二十二.Web渗透之网站信息、域名信息、端口信息、敏感信息及指纹信息收集
[网络安全自学篇] 二十三.基于机器学习的恶意请求识别及安全领域中的机器学习
[网络安全自学篇] 二十四.基于机器学习的恶意代码识别及人工智能中的恶意代码检测
[网络安全自学篇] 二十五.Web安全学习路线及木马、病毒和防御初探
[网络安全自学篇] 二十六.Shodan搜索引擎详解及Python命令行调用
[网络安全自学篇] 二十七.Sqlmap基础用法、CTF实战及请求参数设置（一）
[网络安全自学篇] 二十八.文件上传漏洞和Caidao入门及防御原理（一）


• 韩国平昌冬奥会APT攻击事件（攻击组织Hades）
• VPNFilter：针对乌克兰IOT设备的恶意代码攻击事件（疑似APT28）
• APT28针对欧洲、北美地区的一系列定向攻击事件
• 蓝宝菇APT组织针对中国的一系列定向攻击事件
• 海莲花APT组织针对我国和东南亚地区的定向攻击事件
• 蔓灵花APT组织针对中国、巴基斯坦的一系列定向攻击事件
• APT38针对全球范围金融机构的攻击事件
• 疑似DarkHotel APT组织利用多个IE 0day“双杀”漏洞的定向攻击事件
• 疑似APT33使用Shamoon V3针对中东地区能源企业的定向攻击事件
• Slingshot：一个复杂的网络攻击活动

网络攻击追踪溯源旨在利用各种手段追踪网络攻击的发起者。相关技术提供了定位攻击源和攻击路径，针对性反制或抑制网络攻击，以及网络取证能力，其在网络安全领域具有非常重要的价值。当前，网络空间安全形势日益复杂，入侵者的攻击手段不断提升，其躲避追踪溯源的手段也日益先进，如匿名网络、网络跳板、暗网、网络隐蔽信道、隐写术等方法在网络攻击事件中大量使用，这些都给网络攻击行为的追踪溯源工作带来了巨大的技术挑战。

传统的恶意代码攻击溯源方法是通过单个组织的技术力量，获取局部的攻击相关信息，无法构建完整的攻击链条，一旦攻击链中断，往往会使得前期大量的溯源工作变得毫无价值。同时，面对可持续、高威胁、高复杂的大规模网络攻击，没有深入分析攻击组织之间的关系，缺乏利用深层次恶意代码的语义知识，后续学术界也提出了一些解决措施。

为了进一步震慑黑客组织与网络犯罪活动，目前学术界和产业界均展开了恶意代码溯源分析与研究工作。其基本思路是：

• 同源分析： 利用恶意样本间的同源关系发现溯源痕迹，并根据它们出现的前后关系判定变体来源。恶意代码同源性分析，其目的是判断不同的恶意代码是否源自同一套恶意代码或是否由同一个作者、团队编写，其是否具有内在关联性、相似性。从溯源目标上来看，可分为恶意代码家族溯源及作者溯源。
• 家族溯源： 家族变体是已有恶意代码在不断的对抗或功能进化中生成的新型恶意代码，针对变体的家族溯源是通过提取其特征数据及代码片段，分析它们与已知样本的同源关系，进而推测可疑恶意样本的家族。例如，Kinable等人提取恶意代码的系统调用图，采用图匹配的方式比较恶意代码的相似性，识别出同源样本，进行家族分类。
• 恶意代码作者溯源即通过分析和提取恶意代码的相关特征，定位出恶意代码作者特征，揭示出样本间的同源关系，进而溯源到已知的作者或组织。例如，Gostev等通过分析Stuxnet与Duqu所用的驱动文件在编译平台、时间、代码等方面的同源关系，实现了对它们作者的溯源。2015年，针对中国的某APT攻击采用了至少4种不同的程序形态、不同编码风格和不同攻击原理的木马程序，潜伏3年之久，最终360天眼利用多维度的“大数据”分析技术进行同源性分析，进而溯源到“海莲花”黑客组织。

这里推荐作者的前一篇基础文章 “[网络安全自学篇] 三十五.恶意代码攻击溯源及恶意样本分析”，这篇文章将从案例的角度进行更深入的讲解，也感谢所有参考的安全大厂和大佬，正是因为有他们，我们国家的网络安全才有保障！

---

二.常见APT组织的攻击案例





2019年投递的恶意诱饵类型众多，包括白加黑、lnk、doc文档、带有WinRARACE（CVE-）漏洞的压缩包等，之后的攻击中还新增了伪装为word图标的可执行文件、chm文件等。

• 白加黑诱饵： 病毒伪装成一个DLL文件，伪装为Word图标的可执行文件启动的同时，病毒DLL也会被加载启动（也叫DLL劫持）。使用DLL侧加载（DLL Side-Loading）技术来执行载荷，通俗的讲就是我们常说的白加黑执行。
• 带有宏的恶意office文档
• 带有WinRAR ACE（CVE-）漏洞的压缩包。作者之前分享过该CVE漏洞，当我们解压文件时，它会自动加载恶意程序至C盘自启动目录并运行。

---

恶意文件植入包括恶意lnk、使用rundll32加载恶意dll、带有宏的doc文档、白加黑、带有WinRAR ACE（CVE-）漏洞的压缩包等。

该组织会在所有投递的压缩包里存放一个恶意的lnk，但是所有的lnk文件都类似（执行的地址不同，但内容一致），lnk文件的图标伪装成word图标。值得注意的是，该lnk的图标会从网络获取，因此如果远程服务器已经关闭，会导致该lnk无图标的现象。此外，还会造成即便不双击lnk，只要打开lnk所在的目录，就会出现网络连接的现象。

该现象的原因是：Explorer解析lnk的时候会去解析图标，而这个lnk配置的图标在网络上，因此会自动去下载，但只是下载而不会执行，看一眼不运行lnk文件的话，会泄漏自身IP地址，但不会导致电脑中木马。

双击运行lnk后，会执行下列命令：

////…B7%E8%A1%/h_/…87%E4%BB%的鱼叉邮件，钓鱼邮件仿冒博鳌亚洲论坛向攻击对象发送了一封邀请函，如下图所示。 邮件附件被放到163的云附件里，此附件即为攻击者的恶意Payload，这是一个通过RAR打包的快捷方式样本。接下来我们对同一波攻击中的另一个完全相同功能的样本进行详细分析，以梳理整个攻击过程。附件内容如下： 一旦攻击对象被诱导打开该LNK快捷方式文件，LNK文件便会通过执行文件中附带的PowerShell恶意脚本来收集上传用户电脑中的重要文件，并安装持久化后门程序长期监控用户计算机。 附件压缩包内包含一个LNK文件，名字为《政法网络舆情》会员申请.lnk，查看LNK文件对应的目标如下： 可以看到目标中并没有任何可见字符，使用二进制分析工具查看LNK文件可以看到PowerShell相关的字符串，以及很多Unicode不可见字符。 样本中使用该协议不过是添加一些跟服务端协商的请求头，请求头的value是用AWS s3 V4签名算法算出来的，通信流程由函数ul3和ig3完成，最终完成上传文件。ps_start中加载执行DLL后门后会从内置的三个IP地址中选择一个作为C&C，再次下载一段PowerShell，此处称之为ps_loader。 ps_loader： 首先生成用于请求的对应的us及Cookie字段，具体请求如下所示，可以看到返回的数据是一系列的十进制字符。 接着对返回数据进行简单的初始化后，通过函数sj8对数据进行解密，可以看到攻击者使用了whatthef**kareyoudoing这个极富外国色彩的调侃俚语作为秘钥。解码后的内容也是一段PowerShell，此处命名为ps_backdoor，ps_backdoor会调用其对应的函数ROAGC。 该脚本还支持CMD命令功能，除了Windows外，还支持Linux下的命令执行： ps_start脚本会使用的DLL文件。该脚本首先解密出程序，会创建工作目录C:\ProgramData\AuthyFiles，然后在工作目录中释放3个文件，分别是和设置的注册表键名authy。

本系列文档包括三个部分，分别是《针对Linux系统的攻击》、《Linux系统安全加固》和《Linux系统入侵排查》。编写这些文档的目的，是从攻和防的角度分别对Linux系统相关的安全技术进行介绍，使初级水平的网络安全从业者对Linux操作系统的脆弱性检查、安全加固、应急响应等安全服务工作产生更清晰的认识。

本文是系列文档的第一部分，介绍针对Linux系统的攻击方法。正所谓“未知攻，焉知防”，要掌握Linux系统的安全防护技术，必须了解基本的攻击技术，知道在攻击的时候会做哪些事情，才好有针对性地进行防御。

本文所涉及到的针对Linux系统的攻击方式包括以下这些：

• 端口转发和socks代理

暴力破解在这里主要是针对Linux系统的账号和口令进行离线攻击或在线攻击。

所谓的离线攻击是指攻击者拿到了口令文件，也就是/etc/passwd和/etc/shadow文件，在攻击者本地进行破解。而在线攻击是指攻击者远程对Linux系统的服务如ssh、telnet等进行口令破解，不断地尝试登录，根据服务器返回的信息来判断正在尝试的口令是否正确。

//在目标系统中编译源代码，生成可执行文件，名为dirty