本文由FireEye提供。

在現今網路威脅的情勢下，找出敵人是任何防禦計畫的關鍵要點。保護資料與智慧財產的關鍵步驟，在於找出誰是 攻擊者、他們的運作方式，以及他們的目的。

所幸如同任何犯罪現場一樣，遭到入侵的電腦系統都會留下線索。若是先進的網路攻擊，惡意軟體程式碼、網路 釣魚電子郵件、使用的命令與控制(C&C)伺服器，甚至行為，都可能會留下攻擊者犯罪的蛛絲馬跡。正如指紋科學、DNA 和纖維分析已經成為犯罪鑑識時的無價之寶，在研究人員已經知道找尋目標是什麼的情況下，連結先進網路攻擊事件的歷程便有利於找出功力強大的威脅發動者。

這份報告根據FireEye 追蹤將近 1,500 件攻擊活動所組成的範本，描述下列惡意軟體攻擊情況，以及可從中獲知禍首的相關資訊：

鍵盤配置——隱藏在網路釣魚活動背後的是攻擊者鍵盤的相關資訊，而這些資訊會根據語言和地區而有差異。

惡意軟體中繼資料——惡意軟體原始碼包含的技術詳細資料，可能會透露出攻擊者的語言、位置和他與其他犯罪活動的關聯性。

內嵌字型——網路釣魚電子郵件的字型會指出攻擊的源頭。即使該字型通常並不常用於攻擊者的母語中，也是有跡可循。

DNS 註冊——攻擊事件中所使用的網域會指出攻擊者的位置。重複登錄的資訊可能會將多個網域連結到同一個犯罪源頭。

語言——通常從惡意軟體最後顯示的內嵌語言，可以看出攻擊者來自哪個國家/地區。而且，有時用逆向工程來追查出現在網路釣魚電子郵件中的常見語言錯誤，就能判斷出撰寫人員的母語。

遠端管理工具設定——熱門的惡意軟體工具內含一組設定選項。這些選項通常是攻擊者在使用該工具時的特定選擇，而正是這點讓研究人員可將不同的攻擊事件連結至同一個威脅發動者。

行為——從方法與攻擊目標等行為模式，可以看出攻擊者的一些手法和動機。 看過這些線索之後，安全專家們即可更輕易找出威脅發動者，使組織日後防禦網路攻擊的能力更為強大。

儘管近幾年來網路攻擊越見高明且更趨頑強，但是仍然不見所謂的完美犯罪。攻擊鏈的各階段：探勘、研製、交 付、漏洞攻擊、安裝、命令與控制，以及對目標展開行動 (通常是滲漏)，都可能留下數位足跡。

更多......原文網址: 辨識APT攻擊來源的7大線索,Information Security 資安人科技網 http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=&aid=7659&pages=1#ixzz2hOExcjSu