第六课 入侵分析是威胁情报的主要来源（三）

钻石模型的其中一个顶点攻击者部分，描述发起本次入侵事件的个人或团体，攻击者被分为两部分：

• 真实发起攻击的个人或团体

• 攻击成功后受益的雇主或客户

这两个部分有时可能重叠，这取决于雇主或客户的动机、技术和资源。

以上表格表示我们收集攻击者数据时的各个方面，其中比较常见的数据是：电子邮件地址、社交媒体信息、动机意图等得。

需要注意的是，重要的是遵循情报需求，有可能因为情报需求我们并不关心攻击者相关的信息。仅仅关注攻击组织的行为特征，例如恶意软件开发者使用的开发语言、配置数据、键盘类型这些个性化的东西。

攻击组织在入侵时总是会用到恶意软件，恶意软件本身应该归属于钻石模型的能力顶点。并不是所有的攻击者都会使用恶意软件，但恶意软件中提取的特征对我们追踪和分析是非常有帮助的。而如果我们只分析恶意软件的数据，那我们只是分析了恶意软件的开发者。在一个攻击组织中可能是由团队、各个政府、盟友、外包商等庞大而复杂的部分组成的。

通过恶意软件分析来追踪攻击组织，可以依赖的因素有：

• 文件头元数据

• 代码重用特征

• 配置文件数据

在上图示例中，我们可以看到GravityRAT的PDB字符串显示了开发者使用的文件路径、PC用户名、项目名称、CPU架构的信息。这些信息为追踪攻击组织提供了数据支持。

参考链接：

https://www.sans.org/webcasts/human-fingerprints-malware-cyber-threat-intelligence-112100

https://www.sans.org/reading-room/whitepapers/threats/paper/39275

能力指攻击者在入侵期间使用的所有工具和技战术（TTPs）。从最简单的弱口令到比较复杂的虚拟机逃逸，都属于这个范畴。攻击者在入侵时普遍会使用一些恶意软件，但不是所有软件都属于恶意软件范畴，例如windows的net命令不是恶意软件，但当攻击者使用net命令进行内网信息收集时，这个行为属于能力顶点的范畴。

攻击者通过物理或逻辑的机制来实施各个技术进行入侵，这种物理或逻辑的机制都属于基础设施范畴。例如用于侦察的攻击源主机、用于发送钓鱼邮件的邮件服务器（包括电子邮件地址和邮件传输代理）、C2服务器IP、接收数据外传的服务器以及为了入侵而创建的社交媒体账号等等。