作者｜高尉峰，防的反溯单位 ：中移雄安产业研究院智慧城市平台部

近年来 ，溯源术高级可持续性威胁（APT）大幅增加，源技多个国家都受到了来自APT组织的防的反溯攻击，网络战也愈演愈烈，溯源术对企业安全和国家安全造成了重大威胁
。源技APT溯源与反溯源技术对于APT攻击的防的反溯防御有着举足轻重的作用，攻击事件发生后，溯源术溯源是源技应急响应过程中的核心环节 ，免费模板对攻击行为能否准确溯源，防的反溯直接决定应急响应的溯源术安全加固措施是否有效。知己知彼才能百战不殆，源技所以本文针对APT攻击的防的反溯特征、溯源和反溯源技术做一个全面的溯源术讲解
。

高级可持续性威胁（APT） ，是指隐匿而持久的主机入侵过程
，建站模板通常出于商业或政治动机，由某些人员精心策划
，然后针对特定组织或国家进行攻击，该攻击的主要特征是能够持续监控靶机 ，并从靶机获取数据
。

下图表示APT攻击常用的战术：

下图展示了横向运动的过程，V代表C2服务器，红线左侧代表公网，红线右侧代表内网 ，内网中的四台主机只有192.73.1.19可以与公网通信，其他三台主机均与公网隔离
 ，但是C2服务器通过打通内网路由的方式成功控制了内网的四台主机 。

通过攻击溯源，我们可以确定源IP或媒介IP ，及其对应的攻击路径，从而制定更有针对性的防护或对策 ，实现主动防御。安全业界常见的溯源方式是基于防火墙和流量检测技术，但是这种溯源方式存在误报率高，单点安全告警无法联动 ，无法还原完整攻击链的问题
，但是APT攻击溯源能够解决上述问题。APT攻击溯源主要分析以下三个问题：

APT溯源的过程类似警方破案的过程 ，溯源需要证据，不能靠猜测 。常见的溯源技术如下
：

为解决特征匹配对新型攻击的滞后性而产生的解决方案 。其原理是将实时流量先引入沙箱 ，通过对沙箱的文件系统 、进程 、注册表 、网络行为实施监控，判断流量中是否包含恶意代码 
。同传统的特征匹配技术相比，沙箱方案对未知恶意代码具有较好的检测能力，但其难点在于模拟的客户端类型是否全面，如果缺乏合适的运行环境 ，会导致流量中的恶意代码在检测环境中无法触发，造成漏报。

其原理是通过对网络中的正常行为模式建模。核心技术包括元数据提取
、正常行为建模和异常检测算法。该方案同样能够检测未知攻击 。

其原理是对链路中的流量进行深层次的协议解析和应用还原 ，识别其中是否包含攻击行为。检测到可疑攻击行为时，在全流量存储的条件下，回溯分析相关流量，例如可将包含的http访问、下载的文件、及时通信信息进行还原，协助确认攻击的完整过程。这种方案具备强大的事后溯源能力和实时检测能力 ，是将安全人员的分析能力 、计算机强大的存储能力和运算能力相结合的解决方案。

样本的静态特征有语言、pdb、字符串等，pdb文件主要存储了VS调试程序时所需要的基本信息，主要包括源文件名、变量名、函数名 、FPO(帧指针) 、对应的行号等等
。可以通过样本的聚类和同源分析 ，ip、domain 、url、md5等的关联实现溯源
。

WannaCry勒索攻击是2017年5月由WannaCry蠕虫发起的全球网络攻击 ，该攻击通过加密数据并要求以比特币加密货币支付赎金
。

通过样本溯源和流量分析就能准确定位WannaCry勒索攻击 ，分析方法如下 ：

“道高一尺，魔高一丈”
，既然有溯源技术
，那就肯定有反溯源技术。对于APT组织来说，通信信道的隐蔽性直接决定了是否能够持续攻击 ，如果缺少隐蔽性，就需要不断开发样本 ，因此会提高攻击成本，下面介绍一种通过端口映射隐藏攻击ip的方法。

目前安全业界比较流行的防御APT思路如下：