4.5.3　混淆

这是攻击的最后阶段，一些威胁行为者可能会选择忽略这一点。这一阶段的主要目的是让威胁行为者出于各种原因掩盖他们的踪迹。如果威胁行为者不想被人查到，他们会使用各种技术来混淆、阻止或转移网络攻击后的取证调查过程。然而，如果一些威胁行为者匿名操作或想要吹嘘自己的功绩，可能会选择不加掩饰地留下他们的踪迹。

4.5.3.1　混淆技术

混淆的方式有很多种。威胁行为者阻止对手追踪的方法之一就是混淆攻击源，有几种方法可以做到这一点。黑客有时会攻击小企业中过时的服务器，然后横向移动到其他服务器或目标。因此，攻击的源头将被追踪到不会定期执行更新的无辜小企业的服务器。

最近就有一所大学经历了这种类型的混淆，其物联网（Internet of Things，IoT）灯被黑客侵入并用来攻击大学的服务器。当取证分析师前来调查服务器上的DDoS攻击时，他们惊讶地发现，该攻击来自该大学的5000盏物联网灯。

另一种来源混淆技术是使用公立学校服务器。黑客多次使用这种技术侵入公立学校易受攻击的网络应用程序，并横向进入学校的网络，在服务器上安装后门和Rootkit病毒。然后利用这些服务器对更大的目标发动攻击，因为取证调查将确定公立学校为源头。

最后，社交俱乐部也被用来掩盖黑客攻击的来源。社交俱乐部为会员提供免费Wi-Fi，但并不总是受到高度保护。这为黑客提供了感染设备的理想场所，之后他们可以在设备所有者不知情的情况下使用这些设备执行攻击。

黑客常用的另一种混淆技术是剥离元数据。执法机构可以使用元数据来追踪一些犯罪的肇事者。2012年，一名名为奥乔亚的黑客因侵入FBI数据库并泄露警察的私人信息而被起诉。奥乔亚在他的黑客攻击中使用了“蠕虫”这个名字，因在攻击FBI网站后忘记从他放在FBI网站上的一张照片中去掉元数据而被抓获。元数据显示了照片拍摄地点的确切位置，这导致他被捕。黑客们从那次事件中认识到，在他们的黑客活动中留下任何元数据都是存在风险的，因为这可能会导致他们失败，就像奥乔亚那样。

4.5.3.2　动态代码混淆

黑客使用动态代码混淆来掩盖他们的踪迹也是很常见的。这包括生成不同的恶意代码来攻击目标，可防止被基于签名的防病毒和防火墙程序检测到。在图4-10中，你将看到ATP32命令是如何混淆regsrv32.exe应用程序的。

图4-10　攻击向量的混淆尝试

可以使用随机化函数或通过改变函数的一些参数来生成代码段。因此，黑客大大增加了任何基于签名的安全工具保护系统免受恶意代码攻击的难度。这也使得取证调查人员很难识别出威胁行为者，因为大多数黑客攻击都是通过随机代码完成的。

有时，黑客会使用动态代码生成器在其原始代码中添加某些无意义的代码。这使得黑客在调查人员看来非常复杂，会减慢分析恶意代码的进度。几行代码可能会变成数千或数百万行无意义的代码。这可能会阻碍取证调查人员更深入地分析代码以识别一些独特的元素，或者寻找指向原始编码器的任何线索。

4.5.3.3　隐藏踪迹

许多攻击的最后一步包括隐藏可供取证调查人员用来抓获攻击幕后黑手的踪迹。通常实现这一点的方法有：

·加密：锁定所有与网络入侵相关的证据，黑客可能会选择加密他们访问的所有系统。这实际上使任何证据（如元数据）对于取证调查人员来说都是不可读的。除此之外，受害者也更难识别黑客在危害系统后执行的恶意操作。

·隐写术：在一些事件中，黑客是受害者组织的内部威胁。在将敏感数据发送到网络外时，他们可能会选择使用隐写术，以避免在泄露数据时被发现。这是将秘密信息隐藏在诸如图像的非秘密数据中的方式。图像可以自由地发送到组织内部和外部，因为它们看起来无关紧要。因此，黑客可能会通过隐写发送大量敏感信息，而不会发出任何警报，也不会被抓到。

·篡改日志：威胁行为者会通过修改系统访问日志以显示没有捕获可疑访问事件来擦除其在系统中存在的痕迹。

·隧道：指黑客会创建一条安全隧道，通过该隧道将数据从受害者的网络发送到另一个位置。隧道确保所有数据都是端到端加密的，并且无法在传输过程中读取。因此，除非组织设置了加密连接监控，否则数据就可以通过防火墙等安全工具。

·洋葱路由：黑客可以通过洋葱路由秘密渗出数据或相互通信。洋葱路由涉及多层加密，数据从一个节点跳转到另一个节点，直到到达目的地。调查人员很难追踪通过这样连接的数据的踪迹，因为他们需要突破每一层加密。

·擦除驱动器：最后一种混淆视听的方法是销毁证据。黑客可以擦除他们入侵的系统的硬盘，使受害者无法辨别黑客的恶意活动。清洁擦除不是通过简单地删除数据来完成的。由于硬盘内容可以恢复，黑客会多次覆盖数据并清除干净磁盘。这将使驱动器的内容难以恢复。

图4-11给出了机密数据的泄露过程图解。

图4-11　机密数据的泄露过程图解