看我如何偽裝成APT28進行假冒攻擊

近期，法國大選遭受俄羅斯黑客攻擊的

甚囂塵上，各路安全專家和威脅情報公司紛紛聚焦，曬分析找證據，馬克龍團隊

被竊取、APT28 Metadata分析……，使得去年涉嫌干擾美國大選，具有俄羅斯軍情機構背景的APT28再次處於風口浪尖之上。從

趨勢科技

到T

都調查認為證據充分，APT28真的攻擊了馬克龍競選團隊了嗎？我看未必，在此，我就來演示一下如何偽裝APT28進行假冒攻擊。

作者 | clouds

創建虛假-元數據標識

只需要安裝一個俄語版的Windows系統，然後添加一個名為Дмитрий（德米特里）的俄語賬戶，安裝Microsoft Office程序，打開一個新文檔，好吧，接下來你編輯或創建的任何文檔，看似都出自莫斯科且用戶名為德米特里的系統，而在該系統中用Visual Studio進行程序或惡意軟體編寫都會帶有與此相同的屬性特徵。

接下來，我們就對原始釣魚文檔中的元數據進行修改。以random.docx文檔為例，把其後綴更改為.zip後成為random.zip，解壓該文件，其docProps目錄下的文件core.xml中就包含了時間、作者等元數據信息，好吧，隨你所想，改成你所希望偽裝的信息吧！

模仿攻擊

對於當前的一些高級APT技術，病毒分析人員和安全廠商都會在報告里或多或少給出了相關的TTPs特徵。所以，利用這些TTPs特徵形成的攻擊方法去冒充一個已知的APT組織是完全可行的，而且，在這之前，我們也

類似的假冒攻擊行為。

攻擊架構重用和偽造虛假DNS數據

各個APT組織在攻擊活動中都有自己的一系列慣用域名，這些域名信息可以從一些安全公司發布的分析報告中找到。而有些安全分析人員甚至會通過域名搶注方式，接管控制一些APT組織使用的域名，以追蹤APT組織的動向。通過這種方式，我發現了APT28在2014年

asisonlline[.]org、bostondyn[.]com、cublc[.]com，當前是可註冊狀態，任何人都可以通過註冊它們來假冒攻擊或迷惑分析。

ThreatConnect近期對APT28攻擊干擾法國大選的

中，認為攻擊者使用了郵箱johnpinch@mail[.]com註冊了用來進行釣魚攻擊的域名onedrive-en-marche[.]fr，另外，還披露了其它詳細的註冊信息，包括地址、聯繫電話、姓名等線索。如下所示：

在此，為了偽裝得更像一點，我使用了這些相同的註冊信息註冊了我自己設置的域名：

，因為在域名註冊過程中，所有註冊信息都不會被要求驗證，因此，任何人都可以據此進行假冒，偽裝利用他人信息。看看是不是很像啊：

按照某些開源威脅情報分析工具（OSINT）的

結論來看，現在，我的域名已經正式和APT28的攻擊架構關聯在一起了。現在，我就是APT28組織成員了，可以發起攻擊了！

到底是誰擊入侵攻擊了法國大選

到目前為止我們也只能做出假設。現在，大家都知道存在虛假信標攻擊了，APT28的策略專家可能會繼續進行攻擊，但肯定不會利用這麼一個明顯的，連白痴都知道的指紋信息。因為任何人都能利用這些指紋信息進行假冒攻擊，而一些安全公司為什麼還這麼肯定呢？為什麼就不能改改你們的TTPs分析結果呢？因此，也有一些安全分析師可能會說「這也太明顯了，不可能是俄羅斯人乾的吧」。可能是，也或不是。但到底是或不是，我想只有那些情報機構才真正知曉，當然了，俄羅斯人的網路攻擊技術能力也是不可否認的。

在威脅情報分析中，所有的元數據信息（Metadata）都只能反映一種線索可能性，必須要與其它來源信息進行共同映證才能形成可靠證據，否則，這種片面的分析結果將會南轅北轍。

只憑Metadata信息是得不到準確溯源調查（Attribution）結果的

相較於以往，現在任何位元組的代碼都能被假冒或進行偽裝，眾所周知，從最近泄露的機密文檔可知，就連CIA和NSA都採用這種方法，使用特定工具來進行隱匿自身，假冒攻擊，從而嫁禍他國。比如在方程式組織（EquationGroup）被曝光的NSA武器庫中，就有一款名為ELECTRICSLIDE的工具，通過偽裝成中國用戶瀏覽器發出HTTP請求：

在未來的網路攻擊活動中，根本不可能進行準確的網路溯源追蹤，因為那些精明的APT組織都會有訓練有素的支持團隊對一些別國的網路利用工具（CNE）進行二次開發利用。

另外，有些人也可能會意識到，大多數國家間的APT對抗組織，其IoC威脅指標都是機密信息或只保存於限制性報告中，僅限政府CERT應急響應組織和相關機構才能合法獲取到這些信息。就像英國GCHQ在

進行網路防防禦和攻擊時，必須要求工程師同時具備網路攻防技能，因為，一些隱蔽的網路利用工具（CNE）將會被廣泛應用於未來的網路戰中，未知攻，焉知防，只有知己知彼，方能百戰不殆。

外交因素

除此之外，我們必須承認現代黑客技術也是一種釋放信息的手段。我們大膽地YY或假設一下，也或許這就是俄羅斯向下屆法國總統的一種側面表態，「看看吧，我們能輕輕鬆鬆地入侵攻擊你，你不喜歡普京可以，但千萬別惹我們」，呵呵，這在軍事上叫耀武揚威。新上任的馬克龍肯定會記得，他和他的競選團隊曾被黑客成功入侵過，就像有人在暗中時刻用狙擊步槍的激光瞄準器指著你，永遠都是一種威脅。這也是網路攻擊可以作為震懾手段的一種體現。

總結

作為網路世界的個體，我們不要被那些表面的報道或技術證據所蒙蔽所誤導。因為網路攻擊溯源調查並不是那麼簡單容易的事，攻擊事件的意義是什麼，攻擊者的意圖又是什麼，我們或許都並不清楚。只有那些真正高度可信並且可以相互映證的信息線索，才能撥開網路攻擊的迷霧，揭露網路攻擊的真兇。那些站不住腳，經不起推敲的分析、假設或線索都是蒼白且毫無根據的。

*參考來源：x0rz，freebuf小編clouds編譯，轉載請註明來自FreeBuf.com

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！