近期，法國(guó)大選遭受俄羅斯黑客攻擊的報(bào)道甚囂塵上，各路安全專(zhuān)家和威脅情報(bào)公司紛紛聚焦，曬分析找證據(jù)，馬克龍團(tuán)隊(duì)9G資料被竊取、APT28 Metadata分析……，使得去年涉嫌干擾美國(guó)大選，具有俄羅斯軍情機(jī)構(gòu)背景的APT28再次處于風(fēng)口浪尖之上。從趨勢(shì)科技到ThreatConnect都調(diào)查認(rèn)為證據(jù)充分，APT28真的攻擊了馬克龍競(jìng)選團(tuán)隊(duì)了嗎？我看未必，在此，我就來(lái)演示一下如何偽裝APT28進(jìn)行假冒攻擊。
創(chuàng)建虛假-元數(shù)據(jù)標(biāo)識(shí)（Metadata）
只需要安裝一個(gè)俄語(yǔ)版的Windows系統(tǒng)，然后添加一個(gè)名為Дмитрий（德米特里）的俄語(yǔ)賬戶(hù)，安裝Microsoft Office程序，打開(kāi)一個(gè)新文檔，好吧，接下來(lái)你編輯或創(chuàng)建的任何文檔，看似都出自莫斯科且用戶(hù)名為德米特里的系統(tǒng)，而在該系統(tǒng)中用Visual Studio進(jìn)行程序或惡意軟件編寫(xiě)都會(huì)帶有與此相同的屬性特征。

接下來(lái)，我們就對(duì)原始釣魚(yú)文檔中的元數(shù)據(jù)進(jìn)行修改。以random.docx文檔為例，把其后綴更改為.zip后成為random.zip，解壓該文件，其docProps目錄下的文件core.xml中就包含了時(shí)間、作者等元數(shù)據(jù)信息，好吧，隨你所想，改成你所希望偽裝的信息吧！

模仿攻擊
對(duì)于當(dāng)前的一些高級(jí)APT技術(shù)，病毒分析人員和安全廠(chǎng)商都會(huì)在報(bào)告里或多或少給出了相關(guān)的TTPs特征。所以，利用這些TTPs特征形成的攻擊方法去冒充一個(gè)已知的APT組織是完全可行的，而且，在這之前，我們也觀(guān)察到了類(lèi)似的假冒攻擊行為。
攻擊架構(gòu)重用和偽造虛假DNS數(shù)據(jù)
各個(gè)APT組織在攻擊活動(dòng)中都有自己的一系列慣用域名，這些域名信息可以從一些安全公司發(fā)布的分析報(bào)告中找到。而有些安全分析人員甚至?xí)�通過(guò)域名搶注方式，接管控制一些APT組織使用的域名，以追蹤APT組織的動(dòng)向。通過(guò)這種方式，我發(fā)現(xiàn)了APT28在2014年使用過(guò)的域名asisonlline[.]org、bostondyn[.]com、cublc[.]com，當(dāng)前是可注冊(cè)狀態(tài)，任何人都可以通過(guò)注冊(cè)它們來(lái)假冒攻擊或迷惑分析。
ThreatConnect近期對(duì)APT28攻擊干擾法國(guó)大選的取證分析中，認(rèn)為攻擊者使用了郵箱johnpinch@mail[.]com注冊(cè)了用來(lái)進(jìn)行釣魚(yú)攻擊的域名onedrive-en-marche[.]fr，另外，還披露了其它詳細(xì)的注冊(cè)信息，包括地址、聯(lián)系電話(huà)、姓名等線(xiàn)索。如下所示：

在此，為了偽裝得更像一點(diǎn)，我使用了這些相同的注冊(cè)信息注冊(cè)了我自己設(shè)置的域名：totally-legit-cloud.email，因?yàn)樵谟蛎�注�?cè)過(guò)程中，所有注冊(cè)信息都不會(huì)被要求驗(yàn)證，因此，任何人都可以據(jù)此進(jìn)行假冒，偽裝利用他人信息�？纯词遣皇呛芟癜。�

按照某些開(kāi)源威脅情報(bào)分析工具（OSINT）的關(guān)聯(lián)分析結(jié)論來(lái)看，現(xiàn)在，我的域名已經(jīng)正式和APT28的攻擊架構(gòu)關(guān)聯(lián)在一起了。現(xiàn)在，我就是APT28組織成員了，可以發(fā)起攻擊了！

那到底是誰(shuí)擊入侵攻擊了法國(guó)大選的呢？
到目前為止我們也只能做出假設(shè)。現(xiàn)在，大家都知道存在虛假信標(biāo)攻擊了，APT28的策略專(zhuān)家可能會(huì)繼續(xù)進(jìn)行攻擊，但肯定不會(huì)利用這么一個(gè)明顯的，連白癡都知道的指紋信息。因?yàn)槿魏稳硕寄芾�用這些指紋信息進(jìn)行假冒攻擊，而一些安全公司為什么還這么肯定呢？為什么就不能改改你們的TTPs分析結(jié)果呢？因此，也有一些安全分析師可能會(huì)說(shuō)“這也太明顯了，不可能是俄羅斯人干的吧”。可能是，也或不是。但到底是或不是，我想只有那些情報(bào)機(jī)構(gòu)才真正知曉，當(dāng)然了，俄羅斯人的網(wǎng)絡(luò)攻擊技術(shù)能力也是不可否認(rèn)的。
在威脅情報(bào)分析中，所有的元數(shù)據(jù)信息（Metadata）都只能反映一種線(xiàn)索可能性，必須要與其它來(lái)源信息進(jìn)行共同映證才能形成可靠證據(jù)，否則，這種片面的分析結(jié)果將會(huì)南轅北轍。
只憑Metadata信息是得不到準(zhǔn)確溯源調(diào)查（Attribution）結(jié)果的
相較于以往，現(xiàn)在任何字節(jié)的代碼都能被假冒或進(jìn)行偽裝，眾所周知，從最近泄露的機(jī)密文檔可知，就連CIA和NSA都采用這種方法，使用特定工具來(lái)進(jìn)行隱匿自身，假冒攻擊，從而嫁禍他國(guó)。比如在方程式組織（EquationGroup）被曝光的NSA武器庫(kù)中，就有一款名為ELECTRICSLIDE的工具，通過(guò)偽裝成中國(guó)用戶(hù)瀏覽器發(fā)出HTTP請(qǐng)求：

在未來(lái)的網(wǎng)絡(luò)攻擊活動(dòng)中，根本不可能進(jìn)行準(zhǔn)確的網(wǎng)絡(luò)溯源追蹤，因?yàn)槟切┚�明的APT組織都會(huì)有訓(xùn)練有素的支持團(tuán)隊(duì)對(duì)一些別國(guó)的網(wǎng)絡(luò)利用工具（CNE）進(jìn)行二次開(kāi)發(fā)利用。
另外，有些人也可能會(huì)意識(shí)到，大多數(shù)國(guó)家間的APT對(duì)抗組織，其IoC威脅指標(biāo)都是機(jī)密信息或只保存于限制性報(bào)告中，僅限政府CERT應(yīng)急響應(yīng)組織和相關(guān)機(jī)構(gòu)才能合法獲取到這些信息。就像英國(guó)GCHQ在招募網(wǎng)絡(luò)工程師進(jìn)行網(wǎng)絡(luò)防防御和攻擊時(shí)，必須要求工程師同時(shí)具備網(wǎng)絡(luò)攻防技能，因?yàn)椋�一些隱蔽的網(wǎng)絡(luò)利用工具（CNE）將會(huì)被廣泛應(yīng)用于未來(lái)的網(wǎng)絡(luò)戰(zhàn)中，未知攻，焉知防，只有知己知彼，方能百戰(zhàn)不殆。
外交因素
除此之外，我們必須承認(rèn)現(xiàn)代黑客技術(shù)也是一種釋放信息的手段。我們大膽地YY或假設(shè)一下，也或許這就是俄羅斯向下屆法國(guó)總統(tǒng)的一種側(cè)面表態(tài)，“看看吧，我們能輕輕松松地入侵攻擊你，你不喜歡普京可以，但千萬(wàn)別惹我們”，呵呵，這在軍事上叫耀武揚(yáng)威。新上任的馬克龍肯定會(huì)記得，他和他的競(jìng)選團(tuán)隊(duì)曾被黑客成功入侵過(guò)，就像有人在暗中時(shí)刻用狙擊步槍的激光瞄準(zhǔn)器指著你，永遠(yuǎn)都是一種威脅。這也是網(wǎng)絡(luò)攻擊可以作為震懾手段的一種體現(xiàn)。
總結(jié)
作為網(wǎng)絡(luò)世界的個(gè)體，我們不要被那些表面的報(bào)道或技術(shù)證據(jù)所蒙蔽所誤導(dǎo)。因?yàn)榫W(wǎng)絡(luò)攻擊溯源調(diào)查并不是那么簡(jiǎn)單容易的事，攻擊事件的意義是什么，攻擊者的意圖又是什么，我們或許都并不清楚。只有那些真正高度可信并且可以相互映證的信息線(xiàn)索，才能撥開(kāi)網(wǎng)絡(luò)攻擊的迷霧，揭露網(wǎng)絡(luò)攻擊的真兇。那些站不住腳，經(jīng)不起推敲的分析、假設(shè)或線(xiàn)索都是蒼白且毫無(wú)根據(jù)的。