作为一个运行个人蜜罐并曾经为一家大型跨国公司辩护的人，我可以告诉你，任何攻击都会留下指纹。命令或命令序列的风格、恶意软件的编码风格以及攻击者使用的路径都可以指向攻击者的方向。

例如，我能够肯定地识别出被困在我的蜜罐中的人，因为他们使用真实姓名作为密码（他们不知道我正在记录他们的击键）。使用各种关联方法，我能够将他们在用于分发恶意软件的网站上使用的假名归因于他们的名字，包括发现他们在 2 年前在他们已删除的单个网站上使用了假名（但谷歌很长记忆没有忘记）。

一旦你开始研究实时攻击，你就可以真正开始看到“击键背后”的人，这也是我继续操作蜜罐的原因之一。我想我可以通过他们的方法而不是他们的 IP 来判断攻击者是亚洲人还是东欧人。如果我从已知的攻击者那里获得足够的数据，我相信我将能够识别他们在新环境中的行为。

没有好的方法可以清楚地确定谁发动了攻击，或者即使攻击是由一个民族国家实施的，或者正如布鲁斯施奈尔所说的“几个人”。

我们生活在一个我们不确定任何特定网络攻击是否是外国政府或几个人的工作的世界里，这对我们所有人来说应该是可怕的。

对于物理攻击，如果一辆坦克滚进你的国家，你知道这是一个民族国家的军队，因为人们没有坦克。网络攻击并非如此。国家和“几个人”使用相同的工具进行网络攻击。

还要记住，老练的攻击者并不愚蠢。他们使用的 IP 地址会具有欺骗性，因此您不能依赖它。如果攻击者显然可以在美国，但控制俄罗斯或中国的一组计算机来发起攻击。很大程度上，归因是由动机决定的，以及谁有兴趣监视或攻击谁。

有些人会尝试使用可用的工具并将其归咎于特定的攻击者。这就是一些人对索尼黑客事件的看法，并将他们与朝鲜联系在一起，但安全界对此存在广泛分歧。

基于计算机的攻击归因与任何其他非法活动的归因类似：它需要大量调查、收集线索、证实信息、试图消除虚假线索并识别正确线索等。

在攻击者一方

攻击者可以使用两种主要技术来掩盖他的踪迹：似是而非的否认和虚假标记。

合理的推诿

似是而非的否认旨在通过使攻击者的身份不清楚来实现非归因。它主要依赖于使用现成的和广泛可用的工具和技术，并仔细删除所有元数据或潜在线索。

来自“Vault 7”泄漏的CIA Development Tradecraft DOs and DON'Ts是如何在恶意软件中实施合理否认的完美示例。

错误标识

虚假标志（在政府实体的情况下，我们也可以谈论黑色行动）旨在通过自愿和积极伪造旨在欺骗调查人员（或简称目标）的线索将攻击归因于不同的行为者和/或不同的行为者来进行错误归因。动机。

这样做最不微妙的方法是使用冒充作者的 IP 范围作为攻击源，在其国家/地区启动恶意软件传播或重用已公开归咎于他的恶意软件。

根据攻击者试图欺骗的对象，可能需要更微妙的方法。一个很好的例子是@Schroeder's answer的结果。运行蜜罐，他能够识别攻击者：

命令或命令序列的风格、恶意软件的编码风格以及攻击者使用的路径都可以指向攻击者的方向。

然后可以恶意重用相同的知识来模仿那些鲜为人知且不公开的指纹信息，并让对手将攻击归因于您选择的来源。

在调查人员方面

调查人员可能有权访问各种类型的信息，这些信息要么被动地要么主动地收集，具体取决于他们的立场。

调查者的主要希望是攻击者的错误，攻击时间越长越复杂，这种错误的概率就越高。作为现场调查的一部分，通过将攻击者隔离在专门设计的网络上或向他提供特制数据，以某种方式“推动”攻击者犯错也是很常见的。

这种精心制作的数据的一个经典例子是克利福德斯托尔的故事，这是最早可追溯到 80 年代的历史取证研究之一，其中克利夫生成了一堆假但大的文件来煽动攻击者保持连接打开足够长的时间来追踪他。

私人实体

分析与攻击直接相关的数据始终是可能的。这涉及分析工具、操作以及围绕攻击的任何其他可用信息。

例如，可能值得注意的是Alex Tapanaris案，他忘记从宣布匿名组织行动的.pdf文件中删除他的名字。这听起来可能很愚蠢，但错误通常是被忽略的愚蠢细节，因为迟早，任何人都会犯错误（攻击者可能处于压力之下、匆忙、生病等。是的，攻击者也是人！） .

一些攻击是由一个任意命名的团体声称的。在这种情况下，可以合并来自该组的所有动作（包括每个目标）的信息，以增加发现此类错误的机会，该错误可能允许归因于“品牌名称”背后的物理实体。这就是为什么一些确实用作宣传品牌的团体名称仍然只限于一个单一的操作。

警察部门

警察部门可以求助于更多的信息收集技术。

他们可以访问互联网提供商的日志，只要他们位于受管辖的管辖范围内，就可以访问服务器存储（但这通常不太可能），并且还可以访问涉及金钱的案件（例如勒索软件）的财务跟踪能力。

但他们也可以主动收集信息。上面提到的 CIA 指南的存在是有原因的，将恶意软件植入攻击者收集的数据中，在他们自己的 C2 服务器或被他们识别为使用的网站（例如论坛或文件存储库）中是有效的使用间谍软件作为刑事调查的一部分。

政府情报机构

对于最大的案件，政府可以诉诸反情报技术。当提到上面的积极调查时，我们开始触及这些技术。在这里，我们将找到相同的技术，但在进入“国家安全”领域时被推得更远，法律限制更少。

反情报还包括或多或少的“被动”大规模数据收集技术（它并不是那么被动，因为信息收集系统通常是主动植入各种目标和关键基础设施的恶意软件）。此类数据构成了一个数据库，可以通过各种方式查询该数据库，例如，将某些已识别个人的移动和研究与一组身份不明的攻击者使用的移动和技术相吻合。

结论

虽然攻击归因依赖于各种性质和来源的大量证据，但当您仔细阅读公告时，您会发现攻击归因通常是“怀疑”而不是明确的归因。尽管付出了努力，但由于基于计算机的攻击的本质，通常没有可用的实质性证据（在该术语的法律意义上）。

此外，公共归因有时也可能会受到利益分歧的影响，例如私人安保公司之间争相率先发表对可能影响政府沟通的特定攻击或政治议程的分析。

最后最好的建议可能是坚持事实，避免过度解释或仅仅因为附近的标志而盲目相信肯定。

始终保持头脑和自己的判断力。

还有一件事要记住：黑客就是黑客这一简单事实。有些人直接为政府工作，但同时也为有组织的犯罪工作；一些为有组织犯罪工作，并与政府签订短期合同。在那种环境下，很难根据谁在做真正正确地归因攻击。

在这种情况下，根据目标进行归因更有意义。国家想要打扰他们的对手；有组织的犯罪将自己视为一项业务，并且真的只是想赚钱。

如果 BadGuy123 入侵电网但什么也没做，那么他很可能要么进行侦察，要么为一个民族国家工作。如果他入侵电网然后要求钱离开，他很可能正在为有组织的犯罪活动工作。如果他入侵电网并造成一点恶作剧，他可能是在宣传他的技能。如果他入侵电网并导致主要大都市地区停电，那么很可能是一个国家在工作。

不同的组也有不同的攻击特征。有些人不能很好地掩盖他们的踪迹。有些人故意删除不属于他们国家的信息。有些针对特定国家/地区或排除某些国家/地区。通过查看该模式，可以了解哪个国家是攻击的幕后黑手。

也就是说，与二战相比，BadGuy123 没有穿制服并宣传他的效忠。因此，虽然我们对谁在幕后有想法，但要知道一个事实真的很难。