揭开黑客组织真面目:开源情报如何助力APT追踪
近期,智利银行ATM网络运营商Redbanc遭遇网络攻击,事件背后疑似朝鲜背景的APT组织Lazarus所为。这一事件再次引发对高级持续性威胁(APT)攻击溯源的关注[k]。
攻击始于一名Redbanc程序员在LinkedIn上接触虚假招聘信息,随后被诱导安装名为ApplicationPDF.exe的恶意程序,导致企业内网被渗透[k]。
安全专家通过开源情报逐步锁定攻击者身份,揭示了现代网络安全对抗中“知攻方能知防”的核心逻辑[k]。
开源情报的四大来源
安全研究员汪列军指出,追踪APT组织如同刑侦破案,依赖多维度信息整合。开源情报主要来自四个方面[k]:
一是安全厂商与机构发布的APT报告,如GitHub上维护的APTnotes等汇总资源,帮助研究人员快速获取已有成果[k]。
二是社交媒体平台,如Twitter,可第一时间获取攻击线索和样本信息,尽管上下文有限[k]。
三是数据Feed,即通过RSS等标准格式持续更新的威胁情报源,提供结构化、可自动化处理的数据流[k]。
四是整合型威胁情报平台,如VirusTotal,聚合大量恶意软件样本与分析数据,支持样本搜索与关联图谱分析[k]。
汪列军强调,单一数据源难以覆盖全部视野,应结合多种渠道交叉验证[k]。
多维数据融合与深度分析
除开源信息外,还需补充商业采购数据、厂商专有数据库及情报联盟共享内容。例如,美国司法部曾通过IP访问记录、Gmail、LinkedIn和Twitter等多维度证据,确认朝鲜籍黑客Park Jin Hyok隶属于Lazarus组织[k]。
360威胁情报中心2018年采购数据预算达千万元级别,凸显高质量情报的重要性[k]。
四步法实现APT组织匹配
第一步:线索分类与结构化。将收集的信息按类型(如安全新闻、技术分析)和内容(勒索、挖矿、定向攻击)分类,并提取关键元素如攻击组织、目标行业、TTP(战术、技术与程序)等[k]。
第二步:关联拓展——使用钻石模型。基于攻击者、基础设施、受害目标与攻击能力四要素进行关联推理,结合Kill Chain模型拓展攻击路径[k]。
第三步:TTP分析——依托ATT&CK框架。该框架将攻击划分为11个阶段,详细标注各阶段使用的技术,支持归类分析与模式识别[k]。
第四步:背景研判。将分析结果与已知APT组织特征库比对,完成最终匹配[k]。
整个过程需高度专业化处理,因APT组织常采用“借刀杀人”策略,复用其他团伙工具或基础设施以混淆视听,增加误判风险[k]。
汪列军坦言,其团队也曾因技术重叠而错误归因,但通过持续验证与修正,不断提升分析准确性[k]。
网络安全攻防战本质是信息战,唯有聚合更多维度数据,方能在复杂威胁中还原真相[k]。