为什么要归因？

网络威胁归因（"Threat Attribution"或"Cyber Threat Attribution"）一直是安全行业争议非常大的话题。网络威胁归因有时候也叫网络攻击追踪溯源, 美国军方的说法是"Attribution"或"Cyber Attribution"，中文直译为“归因”，一般指追踪网络攻击源头、溯源攻击者的过程。

归因之所以存在争议，最重要的原因主要有以下原因：

不同利益团体的诉求

• 政府、军方，网络空间安全防御的威慑力、捍卫国家网络空间主权和国家主权等，比如美国司法部经常起诉其他国家的“黑客”。
• 专业安全厂商，安全能力体现、市场营销等。
• 甲方企业，了解对手及其技战术实施针对性及有效的防御，更进一步提升整体安全态势。

以上观点来源于天御攻防实验室的文章《从APT29看网络威胁归因（上）》，总结地实在是很好，我直接引用了，注明下出处。

个人起因

回到我自己的想法里，归因和调查其实是相辅相成的，当然主要的原因和上面写的一样，来自于不同利益诉求。本来题目想写的是APT的归因问题，但是实在没有底，怕写的不好，因为如果严谨对待APT这个概念就会发现涵盖的范围太宽泛了，并不是随便几句话就能写清楚的。不过关于归因的简单浅显的问题，其实还是可以写写的，也是自己实际遇到的。提一下，最近感觉总是控制不住自己，有时候话说多了容易反感自己讨厌自己，想来想去，还是适当地反制吧，当想说话的时候就提醒自己还不如多写写心得或者在笔记里整理纪录些东西来缓解下想说话的想法，有时候自己也能体会到话多必失的道理，但是想改正过来还是有一段非常长的路要走，不过现阶段感觉与自己对话会容易少一些焦虑与冲突。

内容大纲

回到题目，这里列了下大纲，大概会写到如下的内容。

1. 国内频繁使用海莲花白加黑技术，给归因造成一点困惑；
2. 依据地缘政治，直接归因并指向到具体组织的问题；
3. 2021年hvv的一个骚操作，现在已经浮出水面了，之前我在《我对APT的想法》里也提及到了一丢丢；
4. 隐蔽伪装是很重要的，不然如何逃脱溯源？被误导后会带来很大的麻烦，参考启明发布的申明文章；

白加黑

海莲花（OceanLotus/APT32）据称是来自越南的团体，在东南亚中发现大量积极活动。最明显的技术特征是dll侧加载（白加黑）技术，该技术旨在使用合法的exe文件和exe文件运行时会加载的被攻击者修改过的dll文件来绕过防病毒产品和白名单保护，有段时间国内红队常采用该技术进行利用，特征由于过于普遍且易于模仿，常常需要更详细的证据才能进行归因定位到底是不是APT事件，还是红队行动。

以下是一个样例，利用微软的白文件去加载同目录下的恶意dll文件。


再举一个典型的例子，由于全球红蓝对抗的火热，红队与归因就产生了交集，有时候也会给归因带来困境，需要更多的维度信息去辨别。

地缘政治

归因最终的目的也与国家层面有关，举一个案例，美俄冲突其实是一直存在的，等越来越热烈后便会采取一些行动。提一下之前火热的SolarWinds供应链事件（SolarWinds是一家国际IT管理软件供应商，其Orion软件更新服务器上存在一个被感染的更新程序，这导致美国多家企业及政府单位网络受到感染，被怀疑是政府主导的黑客行动，旨在针对他国。），这个案例也很符合国家冲突过程中要采取行动时需要借口的策略。


依据地缘政治，直接归因并匹配指向到具体公开组织的思路，有时候会带来很奇怪的结论，可信度其实不高，存在一点点小问题，还需要其他信息才能判定。Gamaredon是一个俄罗斯的APT攻击组织，首次出现于2013年，主要是针对乌克兰进行网络间谍活动。2017年，Palo Alto披露过该组织针对乌克兰攻击活动的细节，并首次将该组织命名为Gamaredon group。该组织主要利用受感染域名、动态DNS、俄罗斯和乌克兰国家代码顶级域名（ccTLD）以及俄罗斯托管服务提供商来分发其定制的恶意软件。目前判定的维度上是很泛的，以下举一个例子，类似于这种判断Gamaredon APT组织的方式，大概率是根据文档内容划分判断的。假设这里样本上传的地区是UA（乌克兰），如果不是乌克兰地区上传的那么可信度将更低，文档内容里存在乌克兰政府邮箱且对内容翻译后发现是政府机构需求采购内容，导致这些特征而将其归因到Gamaredon APT组织。

人人可伪装

信息与攻击特征其实是公开的，如果人或者组织伪装这些简单的特征，则以这些维度简单的去归因，寻找到攻击背后的人或者组织有时候就会有“误报”，会让归因过程更多扑所迷离。

最后

需要说明的是本人研究不深，这里只是班门弄斧，属于理清思路的方式。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法