攻击者画像技术详解与实战应用

1. 攻击者画像概述

攻击者画像是一种网络安全防御技术，通过分析攻击者的行为模式、技术手段、攻击目标和频率等信息，构建关于攻击者的详细"档案"，帮助防御者从被动防御转向主动防御。

1.1 攻击者画像的核心要素

身份识别：攻击者属于攻击队、白帽、黑灰产还是APT组织
动机分析：窃取机密、黑产活动、恶意报复等
行为特征：攻击时间偏好、常用攻击手段
技术水平：漏洞利用能力、恶意软件修改能力
历史记录：攻击模式(广撒网或针对性)、同行业攻击历史

2. 攻击者画像的价值

2.1 防御优势

理解威胁：识别攻击手法、武器库、真实意图
策略优化：基于攻击者特点制定精准防御策略
威胁预测：分析动态趋势预测未来攻击
资源分配：针对性分配安全资源

2.2 与传统防御的区别

传统防御	攻击者画像防御
被动封堵IP	主动识别攻击者身份
单次事件处理	关联历史攻击模式
经验性策略	基于攻击者特征的策略
重复性工作	系统性运营

3. 攻击者画像构建流程

3.1 同源识别聚类

数据收集：
- 告警日志
- 原始审计日志
- IOC数据
- 外网攻击数据
- 恶意邮件样本
- 端点恶意样本
分析技术：
- 同源识别聚类算法
- 攻击者身份识别
- 特征分析
- 攻击关系图分析
知识库构建：
- 关联相同特征
- 识别相似攻击行为
- 形成独立攻击者画像

3.2 动态防御措施

基于画像知识库：

研判攻击意图
分析攻击趋势
识别活动规律
制定针对性防御

3.3 第三方信息补充

信息富化：
- 关联通讯样本
- 漏洞利用信息
- 木马链接
- 历史解析记录
特征分析：
- 攻击链分析
- 工具库识别
- 资产库关联
- 相关样本分析
- 技战术分析

4. 攻击者画像实战案例

4.1 案例背景

发现异常命令执行攻击：

/cgi-bin/luci/;stok=/locale?form=country
payload: 103.146.23.249
来源IP: 31.220.1.83

4.2 分析过程

漏洞识别：
- 疑似CVE-2023-27359(TP-Link AX1800命令注入漏洞)
- 利用/cgi-bin/luci;stok=/locale下country参数调用popen()执行任意命令
- 国内相关利用较少，可能为1day或0day漏洞
攻击特征提取：
- 资源站点: 103.146.23.249
- 来源IP: 31.220.1.83(情报标红)
系统化处理：
- 基于Payload特征汇聚同类型攻击
- 生成本地情报供后续狩猎使用
- 形成"事件→攻击者→拓线→狩猎"闭环
样本分析：
- 通过资源点查询发现相关样本hash
- 提供内部排查是否存在同类样本

4.3 攻击者画像结果

特征	描述
类型	黑灰产
意图	投机主义、1day利用
特征	URL包含103.146.23.249并执行wget
目的	通过IOT的1day部署僵尸网络
手法	利用各种IOT设备的1day进行全网攻击

5. 攻击者画像系统应用

5.1 防御效果

主动识别高水平攻击队的定点攻击
针对性调度防守人员
主动检查WAF/RASP设备覆盖情况
实现从被动防御到主动运营的转变

5.2 典型攻击者档案示例(Phobos勒索软件)

基本信息：

家族：Phobos勒索软件
活跃时间：2019年初至今
关联家族：与CrySIS/Dharma勒索软件代码相似

技术特征：

加密文件后缀：.phobos, .Frendi, .phoenix等
加密进程名：fast.exe, COMING~1.exe等
工具文件名：oute print.cmd, psexec等
常用目录：自启动目录、Public目录

网络行为：

C2服务器：218.28.17.250, 118.242.18.199等
攻击手法：
1. RDP爆破
2. psexec内网横向移动
3. 注册表修改实现驻留
4. 自启动目录文件拷贝
5. 文件加密(RSA+AES)

常用命令：

关闭防火墙：

netsh advfirewall set currentprofile state off
netsh firewall set opmode mode=disable

删除Windows备份：

"C:\Windows\system32\wbadmin.msc"delete catalog -quiet

注册表修改：

自启动注册表项：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

6. 实施建议

数据整合：
- 整合内外部安全数据源
- 建立统一的分析平台
团队协作：
- 安全分析团队与威胁情报团队紧密配合
- 建立攻击者画像知识共享机制
持续运营：
- 定期更新攻击者画像
- 跟踪攻击者TTP变化
- 调整防御策略
技术选型：
- 选择支持同源分析的安全工具
- 考虑与专业威胁情报厂商合作
流程优化：
- 将攻击者画像纳入事件响应流程
- 建立基于画像的自动化防御机制

攻击者画像技术详解与实战应用 1. 攻击者画像概述攻击者画像是一种网络安全防御技术，通过分析攻击者的行为模式、技术手段、攻击目标和频率等信息，构建关于攻击者的详细"档案"，帮助防御者从被动防御转向主动防御。 1.1 攻击者画像的核心要素身份识别：攻击者属于攻击队、白帽、黑灰产还是APT组织动机分析：窃取机密、黑产活动、恶意报复等行为特征：攻击时间偏好、常用攻击手段技术水平：漏洞利用能力、恶意软件修改能力历史记录：攻击模式(广撒网或针对性)、同行业攻击历史 2. 攻击者画像的价值 2.1 防御优势理解威胁：识别攻击手法、武器库、真实意图策略优化：基于攻击者特点制定精准防御策略威胁预测：分析动态趋势预测未来攻击资源分配：针对性分配安全资源 2.2 与传统防御的区别传统防御 | 攻击者画像防御 ---|--- 被动封堵IP | 主动识别攻击者身份单次事件处理 | 关联历史攻击模式经验性策略 | 基于攻击者特征的策略重复性工作 | 系统性运营 3. 攻击者画像构建流程 3.1 同源识别聚类数据收集：告警日志原始审计日志 IOC数据外网攻击数据恶意邮件样本端点恶意样本分析技术：同源识别聚类算法攻击者身份识别特征分析攻击关系图分析知识库构建：关联相同特征识别相似攻击行为形成独立攻击者画像 3.2 动态防御措施基于画像知识库：研判攻击意图分析攻击趋势识别活动规律制定针对性防御 3.3 第三方信息补充信息富化：关联通讯样本漏洞利用信息木马链接历史解析记录特征分析：攻击链分析工具库识别资产库关联相关样本分析技战术分析 4. 攻击者画像实战案例 4.1 案例背景发现异常命令执行攻击： 4.2 分析过程漏洞识别：疑似CVE-2023-27359(TP-Link AX1800命令注入漏洞) 利用 /cgi-bin/luci;stok=/locale 下country参数调用popen()执行任意命令国内相关利用较少，可能为1day或0day漏洞攻击特征提取：资源站点: 103.146.23.249 来源IP: 31.220.1.83(情报标红) 系统化处理：基于Payload特征汇聚同类型攻击生成本地情报供后续狩猎使用形成"事件→攻击者→拓线→狩猎"闭环样本分析：通过资源点查询发现相关样本hash 提供内部排查是否存在同类样本 4.3 攻击者画像结果特征 | 描述 ---|--- 类型 | 黑灰产意图 | 投机主义、1day利用特征 | URL包含103.146.23.249并执行wget 目的 | 通过IOT的1day部署僵尸网络手法 | 利用各种IOT设备的1day进行全网攻击 5. 攻击者画像系统应用 5.1 防御效果主动识别高水平攻击队的定点攻击针对性调度防守人员主动检查WAF/RASP设备覆盖情况实现从被动防御到主动运营的转变 5.2 典型攻击者档案示例(Phobos勒索软件) 基本信息：家族：Phobos勒索软件活跃时间：2019年初至今关联家族：与CrySIS/Dharma勒索软件代码相似技术特征：加密文件后缀：.phobos, .Frendi, .phoenix等加密进程名：fast.exe, COMING~1.exe等工具文件名：oute print.cmd, psexec等常用目录：自启动目录、Public目录网络行为： C2服务器：218.28.17.250, 118.242.18.199等攻击手法： RDP爆破 psexec内网横向移动注册表修改实现驻留自启动目录文件拷贝文件加密(RSA+AES) 常用命令：关闭防火墙：删除Windows备份：注册表修改：自启动注册表项： 6. 实施建议数据整合：整合内外部安全数据源建立统一的分析平台团队协作：安全分析团队与威胁情报团队紧密配合建立攻击者画像知识共享机制持续运营：定期更新攻击者画像跟踪攻击者TTP变化调整防御策略技术选型：选择支持同源分析的安全工具考虑与专业威胁情报厂商合作流程优化：将攻击者画像纳入事件响应流程建立基于画像的自动化防御机制