本节书摘来自异步社区《请君入瓮——APT攻防指南之兵不厌诈》一书中的第3章3.3节 稽查PT和APT，作者【美】Sean Bodmer , Max Kilger , Gregory Carpenter , Jade Jones,更多章节内容可以访问云栖社区“异步社区”公众号查看。

3.3 稽查PT和APT
请君入瓮——APT攻防指南之兵不厌诈
前文讲过，我们能够检测、监控、追踪网络攻击；无论是PT还是APT，我们都要积极地与它们进行互动。我已经知道某些人会想“您不是疯子就是神经质”。哎，抱歉，我是兼而有之；即不是疯子又不是神经质的人，肯定就既不地道也不专业。

本书第1章简要介绍了9个关键的可观测量。第1章的后半部分更深入研究了这些概念，帮助您以网络反间谍专家的视角看待数据，越来越深刻地理解可观测量。可观测量的重要之处在于，它在衡量攻击和对手重要性的同时，也能辅助您客观地看到自己的长处或短处。衡量可观测量并不是一项无足轻重的任务，在调查每一次攻击事件或安全事件时，您要不断地补充相关文件。这些文件可以帮助您建立一个全方位的安全方案，总结所有的经验教训：风险、漏洞、威胁。

亡羊而补牢，未为迟也。在调查事故之后，您要抽出时间撰写一份评估表格——在高度缺乏安全模型的情况下，在事后对事故响应过程做高度抽象的记录。通过笔头的总结，您会更加深刻地了解攻击事件和它背后的对手，甚至可能举一反三，为这一类的安全事件做好预案和备案。如此这般之后，您便能够有准备地鉴定出对手在哪里，要做什么，最终他们的真实目的是什么。当然，为了确定这些事情，您可以使用各种误导、欺骗和反间谍手段。

下文列举了分析所有（A）PT的9个可观测量。我们依次使用数字1～10粗略地量化可观测量。其中，1代表最弱级别，10代表最高水平或最高效率。

注意：

很多情况下，某些可观测量的数据可能难以辨别，此时可将其留为空白，或者按照其他可观测量推算。您可以根据观测结果或者（通过交流而得到的）相关分析，进行定性分析。

分析工作就需要某种量化标准。上表演示了一种度量网络入侵危害程度的具体方法。如果能够较为恰当地量化分析每次攻击事件，您也能够根据它们的指标优先处理最具危险的安全威胁。在所有的军事训练或安保组织的射击训练中，教官会指导您优先射击最近目标，然后依次对付逐渐靠近的中远距离目标。在这方面，射击目标的距离与可观测变量的作用如出一辙。在您控制整个内网的情况下，如果能够实时地观测网络里发生的事情，您就能够调动网络资源，部署、插入、合并并引导这些攻击。进一步说，如果您能够将攻击的火力吸引到自己周围，然后在您选择的时间内把被他们攻击的设备关掉，那会是什么情况呢？我们在此重点讨论可观测量，把上述问题留在第7、8、9章继续讨论。

3.3.1 初期规模
分析攻击的最重要的环节之一就是能够确定网络中有攻击现象。然后，您要能够剖析对手进入网络的途径，判断攻击的切入点。现实的物理世界，在很大程度上只有继续依赖信息技术才能继续运转下去。这种复杂的依存关系使得网络安全问题更为复杂化，许多传统情报工作的信息收集方法也会影响到网络安全。信息技术在进步，每种进步同样伴随着分娩的绞痛：网络安全面临的经验教训、安全威胁、安全漏洞，还有与日俱增的对手，只会有增无减。对手不必在物理上接近您的办公室就能在逻辑上进入您的单位，他们来无影去无踪。换个角度看，如果需要找到自己的弱点，那么找到攻击者最初的战场就有着重大的意义。

后文每个案例的最后都会列出一个表格。这些表格将初期规模按照威胁的危险指数进行权重分析。您可以通过这些案例自我审查：渗透到您的网络是难是易？这些攻击是随机的攻击行为，还是针对您单位的高层发起的蓄谋已久的、高度针对性的、量身打造的攻击呢？

单位内部人员参与的攻击事件，威胁级别就比较高了。这类事件可能代表者攻击者长时间对单位所作所为的极度不满或极度反感。已经有过这样的例子，某位军事情报分析员觉得他所执行的任务严重悖离个人信仰，后来这名士兵将大量敏感文件泄露出去1。

有时候，我们明知某些文件被感染了，也可能意外地打开这个文件；相比之下，这还是较为低级别的威胁。即使中毒的计算机终端不具备防范这类威胁的能力，这也不会是高危案例。例如，法证调查人员可能意外地在自己的主机上打开了恶意软件，而没有在Sandbox里打开这个软件——就是这种情况。这些案例的威胁事前已经知道，触发过程又是一种意外，所以这种威胁的危险指数不会很高。

典型的例子还有“捕鲸式攻击”（Whaling）。这类攻击是针对企业高层或是有较多网络权限的关键人物发起的攻击。如果要进行这类攻击，对手需要事先进行研究，对整个方案进行调整。所以，您应当认为捕鲸式攻击是特别针对整个单位的蓄意攻击。捕鲸式攻击确实是一种危险指数很高的威胁。

在各种意外事故和蓄意事故之中，最让人头疼的是专业化、组织化的网络攻击。案犯绞尽脑汁地要获取网络系统尽可能多的权限，然后把资料拿出去卖钱。这类安全威胁是所有的“恐惧、疑虑、绝望”（FUD）的源头。有钱能使鬼推磨，更不要说所有高智能罪犯都知道，资料（系统、网络、企业资料）都可以卖钱。

3.3.2 波及程度
借助当代的科技手段，网络犯罪分子能够调动数以万计的电脑自动化地攻击某一个企业；这数万电脑之间还会存在明确的分工和协作关系，它们划分为组，各自完成不同的任务。要用可观测量量化分析这种攻击，肯定会非常困难。攻击同一目标的电脑，它们却可能有不同的行动目标。攻击者的目的很难确定，虽然他们可能试图拿下整个网络，但是这么大的排场也可能仅为了偷取一个特定人物的信息。而且，遭受攻击的系统也不一定会与对手的目的有直接关系。他的目标可能是您、您的老板，也很可能是您单位里的什么信息；实际上他要攻击什么完全要看他要干什么，打算下一步做什么。他感兴趣的信息可能在某台主机上，可能全网都有，分散储存在不同的系统里，甚至在其他单位的网络里也会有这些信息。然而，通过具体的被攻击目标的统计进行受害人研究，将使您更深刻理解对手或威胁的复杂程度、动机和意图。

受害人研究，顾名思义就是研究事故或攻击的受害人。这种研究通常能够揭示受害人和推定罪犯之间的关系。在网络世界中，这门科学不仅要研究被害人，也要分析在被害人系统上存储的信息，或者是罪犯特别盯上的系统上的数据。受害人自身是最重要的研究对象之一。什么类型的单位被攻击（或是被渗透），这样的单位在社会里扮演什么角色？这类攻击到底这是初次发生，还是屡次发生？对手的目标可能是敏感的政府信息、商业机密、企业策划、财务记录，等等。从量化和科学的角度分析受害者和攻击事件是非常重要的。

3.3.3 风险承受力
在分析安全事件时，还要仔细考察罪犯、威胁、对手为规避追查而做的各项工作。难道攻击者大摇大摆、大张旗鼓地发起攻击，却丝毫不怕露出马脚，故意不去处理沦陷系统上的各种日志么？

有时候，入侵的扫尾行动足以表明攻击者的资质；分析人员甚至可以根据这部分信息推定对手的动机和意图。如果入侵者有较高的风险承受力，他们就不会关心被发现而肆无忌惮地在网络里四处乱来。如果入侵者的风险承受力较低，他们担心被抓到，他们会维护持久的远程连接，或者维护他们对网络的控制权。风险承受力的分析，旨在分析入侵者犯罪的倾向性：肇事者冒着被发现的风险入侵网络；我们就要判断他们是否会进行犯罪，或者他们是否会继续犯罪。从另外一个层面看，这个可观测量可以揭示肇事者的心理预期——“完成任务”时“被抓到”的预期阈值有多大。

也可以用风险承受力衡量入侵背后的动机。其实，有很多表征迹象都可以推断入侵行为的动机。网络攻击，可能是出于胁迫的原因、服从命令的本职或者出于其他原因而发起的。第10章会深入讨论这些内容。

一旦某些行动成为间谍活动、欺骗行动，或是伪情报行动，您就不要指望相关迹象会表里如一。某些情况下，肇事者会刻意伪造风险承受力。所以，全面评估所有的可观测量，综合判断威胁的危险指数十分重要。要想彻底检测并且深入地分析入侵者，就要充分使用网络中获取的信息。但是只有在深入调查所有数据源之后，您才能够搞清楚这些攻击是怎么一回事。

3.3.4 时间进度
入侵的速度反映出攻击者对网络架构的熟悉和理解程度。在分析具体入侵案例时，建议从以下几个方面考虑问题。

对手花了多长时间了解目标单位中个人、运营、结构、功能，他们又花了多长时间才掌握网络中机要信息的情况？
从入侵开始算起，对手花了多长时间就可以从网络里偷取数据了？
他们渗透每个系统花了多长时间？
他们会花多长时间确定机要信息的网络位置？
窃取数据的作案时间有没有时间规律？
对方连入网络的频率大约在什么水平？
连入网络的时间是否有规律可循，是否有工作日那样的特征？
攻击者熟悉您的网络环境，一般只有两个可能。其一，在您意识到攻击行为的时候（或许您也曾经无意识地帮过忙），对手已经在您的网络中潜伏很久了。其二，无论是攻击者捡到了、偷到了，还是怎么搞到的，只要他们有了系统管理员的电脑，他们就拥有攻击所需的敏感信息；如果攻击者出于这个原因而迅速开展入侵，那么他们根本不必费力从您的网络开始下手。

评估时间进度的好处如下。

评估对手对您们网络的熟悉程度，这包括了解系统结构、系统功能、文件及文件夹的位置，以及内部人员和他们的岗位角色。
评估对手对操作系统的熟悉程度。
评估对手把握命令、选项和参数的熟练度。
判断攻击是有组织行为还是零散行为，这有助于了解攻击的动机和意图。
判断攻击是否通过自动化脚本完成。
在分析每个受攻击的系统之后，安全团队应该可以观察和解读相关信息片段。这些特殊的信息片段能够揭示很多情况。

3.3.5 技巧和手段
衡量攻击者的技巧和方法时，要结合被害人分析和初期规模分析综合考量。但是为什么要这样做？答案其实很简单：这两种分析直接对应着攻击者使用的注入和传播（扩大战果的）技术；从技术“种类”的角度看，并不存在其他技术2。

天下没有相同的叶子，每个攻击者的技巧也不会完全相同。他们在攻击时显示出来的技巧越多，我们就越应该注意这样的入侵者。另外，如果某次威胁用到了大量的技术和技巧，那么您应能判断攻击的背后肇事者不会单枪匹马。

将技术技巧和手段提升到理论高度，就能够建立一套标准对每次威胁进行解读和衡量。所谓兵来将挡，水来土掩；要跟网络入侵者进行信息对抗，我们就要结合传统的主机安全方案和企业安全方案的知识，不仅要分析主机层面发生的问题，更要掌握全网的情况。从而在各个层面上摸清入侵者进入网络、全身而退、并且长期维护他们的控制权的具体方法。

在评估威胁的技巧和手段时，需要衡量如下方面的技术和手段。

攻击（利用漏洞、远程控制企业网络）。
漏洞/利用程序，以及相关的发现记录（是否是已知漏洞?）
方法、特征、内容和模式（无论这类攻击是否成功，围绕着攻击是否有特定的行为模式，可以将这类威胁进行解读、关联到特定的人或者小组）。
用到的工具。
使用访问权限的技巧（他们如何利用每个系统的?）。
数据传输的技术。
删除或修改日志的技术。
这个可观测量有助于深入了解网络另一端的对手。例如，通过（键盘敲击记录的）按键分析，即基于文本的分析，可以确定对手的性别、年龄，以及特定事故背后的一些情报。基于行为的分析可以识别出对手的性别，甚至是入侵过程中发生的性别转换。要推断性别和入侵者的个人情报，也可以分析会话层的信息，了解他们使用的命令、选项、参数、方法和指令内容。

将犯罪现场的这个可观测量与行为分析相结合，调查人员就可以将入侵者在真实世界的个人行为和网络行为进行某种程度的关联。结合其他可观测量分析案件时，调查人员可以更进一步地分析入侵者行为，掌握隶属关系、职位类性、背景和经历。

3.3.6 行动措施
“好吧，那么到底什么情况？”——您的领导在知道入侵事件后，估计都会这么问。这个问题里包含了“现状”和“事件”两个因素：攻击者对您的网络做了些什么；您需要了解他们触及过的每个系统，发现他们安装的每一个后门。

如果只有被攻击的主机以及残留其上的木马，没有其他数据，那么还原入侵事件的确是最困难的任务之一。在今天充满了威胁、风险、间谍的世界里，网络攻击的全部事件（例如，社会工程学、数据盗取［泄露］、持续远程控制等）都发生在网络上。这种情况下，您不得不调查所有被对手访问过的主机，确定具体访问时间，然后从中找到入侵者的行为特征，继而分析对手的技巧和方式。在前面的章节里，我们已经介绍过具体的方法了。

最终，要搞清楚对手成功进入到网络里的具体方法，掌握他们使用您的网络的频率、方法，以及深度。仔细分析入侵的细节，有助于深入了解攻击的（可能的）动机、意图和目标。

3.3.7 最终目标
在谈论入侵目标的时候，高层和股东们历来都是如坐针毡。因为入侵者得手的目标就是企业相应的具体损失。除非被对手偷走的资料是假情报，能够诱导让入侵者的行动方向出错，否则，这根本就不是什么可以让人高兴起来的话题。

当对手达成目标之时，没有任何一家被入侵的单位会高兴。您做的一切努力都付诸东流；无论是全局失败还是走错一步，输了就是输了。近10年来，整个行业损失的敏感信息、企业机密和个人隐私，其总价值过亿。对手的目标就是给什么人（或单位）造成损失。无论他们是与父母同住的乳臭未干的小孩子，还是境外情报机构，他们的威胁无时不在（我们有说过，本书充满了很多悲观的FUD）。

我们要知道对手究竟拿走了什么数据。一旦鉴定出这些目标，您就可以继续解读威胁的内部联系。对手的最终目的可能是图钱，也可能是图数据。分析这些信息，有助于揭示背后黑手的身份。

可以说，网络行动的目标既广泛又深刻。对手的目的可能是监控电子邮件，分析后勤信息和供应链，以及其他可能对被入侵单位造成不利的各种因素。对手在做什么，他们得到了什么程度的信息？他们目前在哪些环节里，又知道了些什么？在分析对手目标时，一般都会考虑这些问题。

3.3.8 后勤资源
攻击者可调用大规模的资源，量化分析这些资源绝非易事。但也不必悲观，对手总会在网络里留下蛛丝马迹，结合各种特征我们仍然可能确定对手的资源情况。

在企业网络内部转移时，他们花费的时间3。
攻击中使用的工具的种类，例如开源的可下载的软件、免费软件、商业软件或是盗版软件（Zeus、SpyEye，以及其他一些工具价值上万美元）
他们已经窃取信息的类型。
对手在窃取信息或文件时使用的信息传输的方法。
在攻击网络时，对手感染系统的具体手段（即payoff）。
这些层面的信息，能够在很大程度上揭示威胁的具体情况。分析人员会关注入侵者渗透网络的纵深等信息，继而推测入侵者的资源情况。此外，单单“知彼”还不够，也要去掌握网络系统采取了什么程度的安全措施。

这部分信息能够在侧面反映出攻击者的教育水平；人员素质也与资源有着密切的关系。有些人为了检验自己的水平会找目标练练手，所以某些威胁确实就是要窥探一下别人的网络。不过，什么人都有：有的威胁有非常明确的目标或使命；更有甚者，他们发动攻击就是要尽可能地盗取数据，然后将所得的资料卖到黑市上。众所皆知，情报情报机构多数会在黑市上部署眼线，黑市也是有组织的犯罪集团对社会造成最大危害的地方。

所有可观测量中最难确定的观测量就是后勤资源。只有在全面理解网络中发生的实质性问题之后，分析人员才可能得到足以衡量对手资源的相关情报。所以，分析后勤资源的难度最高。在没有内部消息（例如，骗取肇事者个人或团体的信任）的情况下，推测出来的具体信息不可能很准。就是因为这些原因，我们没有具体的量化衡量标准。您需要综合考虑频率、时效性、涉及的具体数量、技巧和方式，勾勒出尽可能清晰的全貌，然后才能继续判断这是犯罪产业链的底层事件，还是有政府支持的网络攻击事件（SSCT）。

要小心藏身于网络的一小拨人，他们会不停地研究进入您企业的最佳工具、策略、方式方法。我们将他们统称为“攻击者”。他们肯定接受过具体的培训，获取相应的技巧，否则他们做不了这些坏事。那么，他们是自学成才还是受人点拨呢？关注这些情况的同时，我们也要留意他们造访的时间——这些攻击到底是在零星的闲暇时段发生的，还是更像上下班那样有公休日呢？

3.3.9 知识来源
网上有很多公开资源——想要调查绝大多数的威胁事件，看那些网站就差不多了。幸运的是，讨论网络犯罪的公共论坛和公开聊天室的数量在短短几年的时间里以爆炸的速度增长。这些站点多数都不在美国境内；美国境内仅有数量不多且寿命不会久的少量地下网站。地缘上看，这些站点绝大部分都在亚洲，集中分布在东欧和东南亚地区。中东地区一些托管的服务器上也有这样的论坛和聊天室，但是中东的站点不如说都为激进的原始教义驱动的“圣战”服务。

知识来源多种多样，可以用来了解、解读、跟踪特定的威胁。这些站点可能是公共安全站点、地下论坛、公开论坛、黑客团体保密站点，甚至可能是社交网站。个人和团体都可能会在这些网站里记录他们的兴趣、技能、支持犯罪的（可能仅仅是研究目的）经历以及各种人际关系。

我们为读者简要，介绍一些著名的知识来源。您可在这些站点详细了解各种威胁的知识。为了便于读者检索，我们按照“公共资源”、“地下论坛”、“社交网站”的类别分类介绍。如需搜索正在研发中的攻击软件，认识那些做好事的家伙们，了解地下产业的各个团体的细微差别，深入掌握威胁的幕后消息，就该去那些网站看看！

公共安全数据源及论坛
网上的资料确实很多，好在有一些网站专门收集、分析、组织这些技术。当您着手分析威胁的时候，可以参考这些网站里的内容，换个视角看待问题。大部分网站只关注特定的安全话题（例如恶意软件、钓鱼技术、僵尸网络、rootkit等）。如果说这些网站是拼板，那么将这些拼板拼起来—有机地消化、学习知识—从而得到安全知识全貌（拼图）的也是您。

我们为您列举了一些网站，并且擅自用我们的愚见对各个数据源进行了评级，它们代表了网站在战术和操作层面上的应用价值。希望这些资料能够在您反击攻击时派得上用场。

注意：

网站的价值完全取决于您使用它们的方法。某些网站只是简单地介绍了谁、做了什么、研发这些东西的初衷等；如果用反间谍领域的方式分析这些信息，您就能明白这些坏家伙在干什么、干了些什么。如果我们漏掉了您的重要的网站（篇幅所限，我们有意删节了部分网站），请告诉我们。我们会将它作为公开的安全数据源添加到这里。另外，我们不会用自己的设备分析这些数据（不要给我们发病毒、恶意代码、黄色网站啦）。
Shadowserver出色的数据仓库，研究特定的僵尸网络、网络犯罪和犯罪活动的好帮手。网站的管理人员多数是欧洲人，他们致力于达成全世界范围的协作，探测、跟踪僵尸网络和网络犯罪。Shadowserver的网址是www.shadowserver.org。

优秀
Malware Domain List记载了多数网络犯罪活动的小百科全书。它的管理团队在论坛上分享各自收集到的资源。这个网站提供每小时更新一次的分析服务，更新恶意域名清单并深入分析各个恶意网站。他们对每个域名（或IP）都做了大量到位的分析，甚至做到了将犯罪软件按照派系分类，以便读者找到各个恶意代码之间的衍生关系。如果想要知道这些入侵活动是哪个团体做的好事，那么就需要注意这个威胁的URI；网站的发布人员刻意地在网址中标注了肇事者的名字。在调查和研究特定网络团体的网络活动时，就要关注URI字符串。它们的网站是www.malwaredomainlist.com。

优秀
Abuse.ch按我们的观点看，这个数据仓库是最好的公开数据源之一。这个网站主要追踪僵尸网络的CnC域名和IP地址，方便用户检索各种犯罪网络和犯罪活动。网站的管理团队也以欧洲人为主，他们致力于达成全世界范围的协作，探测、跟踪僵尸网络和网络犯罪。Abuse.ch不仅提供CnC活跃程度的信息，也提供各种各样的CnC程序信息、版本信息、URI、更新历史、在线时间、服务器类型、地理信息以及在线情况。它们的网站是www.abuse.ch/。

Roman Hüssy是abuse.ch背后的关键分析专家之一，他也是国际安全界了不起的人物。他帮助了很多著名的项目，例如：

DNS Blacklist，跟踪犯罪软件用到的快速更新的域名（https://dnsbl.abuse.ch）；
ZeuS Tracker，跟踪Zeus bot相关的CnC和文件更新的站点（https://zeustracker.abuse.ch/）；
SpyEye Tracker，跟踪SpyEye bot相关的CnC和文件更新的站点（https://spyeyetracker.abuse.ch）；
Palevo Tracker，由Mariposa bot的代码派生出来的Palevo bot，一种可以远程遥控受害者设备的蠕虫（https://palevotracker.abuse.ch/）；
AmaDa，这个列表就是各种犯罪软件用到的服务器列表的大汇总（amada.abuse.ch）；虽然AmaDa在2012年早期就停止更新了，但是它留在网上的资源仍然非常给力。
优秀
Clean MX**这个网站提供钓鱼活动、挂马网站、犯罪软件的升级服务器列表，并且进行了一定程度的分析。我们可以借助这个网站推断拟定的挂马网站与特定的人员的关系、拟定的挂马网站与特定网络犯罪行为的关系。它们的网站是www.clean-mx.de。

良好
PhishTank**钓鱼（包括其IP和域名）研究员的乐土。顾名思义，这个站点特别关注钓鱼攻击。在调查钓鱼攻击时，可以在这个网站找到非常得力的资源。管理员定期更新、维护网上资料，并且会验证数据的有%E

1译者注：这应该指美军士兵曼宁（Bradley Manning）泄露军事机密给维基解密（WikiLeak）的案例。从2009年到2010年5月被捕为止，曼宁曾在伊拉克担任情报分析员，他将大批美国关于伊拉克和阿富汗战争机密，约70万份外交电报和军方机密报告发送给维基解密。曼宁泄密的较知名档案包括：2007年7月12日的巴格达空袭的影像资料、2009年于阿富汗的格拉奈大屠杀影片、美国外交电报和名为《伊拉克战争日志》与《阿富汗战争日志》的陆军报告文件。他在网上向黑客艾德里安・拉莫夸耀此事，遭后者举报。美国军事法庭于2013年7月30日宣判其犯有五项间谍罪。
2译者注：原文的回答只有“注入和传播技术”这几个字。译者进行了补充解读，也可能不准确。译者认为，清除日志等伪装等手段应当属于一种行为模式，无法单独算作其他技术。
3译者注：更换目标或跳板的速度。
本文仅用于学习和交流目的，不代表异步社区观点。非商业转载请注明作译者、出处，并保留本文的原始链接。