大家好，我是 零日情報局。

本文首發於公眾號 零日情報局，微信ID：lingriqingbaoju。

用法律打擊APT，從微軟開始。

最近，微軟起訴了一個朝鮮背景的黑客組織Thallium（APT37），指控其從美國計算機上竊取“高度敏感資訊”。

是不是有點離奇，竊取美國敏感資訊，不該是FBI行動，怎麼微軟先發難了？

原來，Thallium組織向美、日、韓三國，包括政府僱員、智囊團、大學工作人員、關注世界和平與人權組織成員以及從事核擴散人員，傳送大批量魚叉式網路釣魚郵件，而冒充的全都是微軟域名。

原本，微軟的正確全拼是“microsoft”，但Thallium組織利用了“雕牌變周住牌”的同一原理，將字母r和n組合在一起，“microsoft”變成“rnicrosoft”。

雞賊的Thallium組織，就是借用這樣的障眼法，迷惑攻擊目標，傳送大量神似“microsoft.com”的釣魚郵件。

也正是這樣的仿冒行為，讓微軟又一次勝訴，手持法院判決，直接強制接管Thallium組織使用的50 個域名，端掉這批APT域名窩點。不出意外，Thallium至少會消停三個月。

微軟：專業起訴APT

起訴APT接管域名，聽著有點迷，但也算是微軟的慣常操作。

因為，這已經是微軟第三次通過起訴，阻斷外國背景黑客組織的運作，伊朗、俄羅斯APT組織，都吃過官司。

此前，微軟就將俄羅斯黑客組織Fancy Bear（APT28）告上法庭，指控該 APT 組織實施計算機入侵、網路欺詐，並採用livemicrosoft[.]net rsshotmail[1].com等多個域名冒充微軟產品，用於網路間諜行動。

至於判決結果，自然是微軟大獲全勝，直接拿著法院判決，接管84個Fancy Bear攻擊活動中使用的域名。

繼俄羅斯後，伊朗APT也上了被告席。2019年初，Phosphorous（APT35）組織把目光瞄準了美國現任和前任政府官員等人群的郵箱賬戶，預謀破壞朗普競選連任。

持續監控Phosphorous組織近十年的微軟，直接把人家告到法院。至於結果，當然是又一次勝訴，成功接管了Phosphorus用來實施網路攻擊活動的99個網站域名，這個數量可比朝鮮APT組織多了近一倍。

一次損失99個域名的Phosphorous組織，到現在都沒緩過來，足可見微軟接管域名的殺傷力。

借法律阻斷APT

稍加留意會發現，微軟之所以能勝訴並順利接管域名的關鍵，並不是APT攻擊本身的危害，而是攻擊過程中涉及了仿冒域名，也就是域名侵權。

美國網路審查中，曾出現過一部名為《打擊線上侵權和假冒法案》的法案。該法案授予美國總檢察長在美國聯邦地區法院對造成侵犯的域名實施對物管轄權並可發出禁制令。

簡單來說，就是雖然不能直接對APT攻擊判刑，但只要確定域名侵權，法院就有權做出裁定，而這也是微軟能夠接連三次，拿到域名接管裁定的關鍵所在。

雖然披著域名維權的外衣，但微軟接管APT攻擊域名，最核心的目的其實還是阻斷APT攻擊。畢竟，這是最快速有效拿到APT攻擊域名的辦法。

雖然，接管域名並不能順藤摸瓜，逮住APT組織成員，但至少能讓APT組織短時間內，因攻擊擴散路徑短缺，而消停一陣子。

掐斷域名打擊APT

所謂域名，其實是網站的唯一名稱，這就跟人的身份證一樣，只不過域名還兼具品牌效應，因此難免會有冒牌“李鬼”上線。

當然，微軟起訴APT組織，不止簡單的“打李鬼”，關鍵在反制境外APT攻擊上。當法院判定微軟接管域名，不僅意味著APT組織將無法再使用這些域名發起攻擊。

微軟接管域名後，還可直接分析域名流量資料，溯源APT攻擊行為，至於能追到哪裡，就不好說了。

此前，微軟接管伊朗APT35的99個攻擊域名，大半年過去該組織至今未從重創中緩過來，足可見掐斷域名反制APT的成效。

零日反思

在網路空間，域名就像俗語中“打蛇打七寸”的七寸，面對APT組織的頻繁騷擾，我們其實不妨學學微軟。不一定要死磕在防禦和洞察上，偶爾嘗試些其他路子，從域名或是其他關鍵環節下手，反制APT攻擊也許能達到事半功倍的效果。 

當然，借鑑之餘，也要想到域名安全可不僅是黑客組織的七寸，還是能夠危及企業、國家網路安全的七寸，善用還要思辨。否則，有一天，當有人將目光聚焦在我們的域名上時，APT組織就是樣板。

零日情報局作品

微信公眾號：lingriqingbaoju

如需轉載，請後臺留言

歡迎分享朋友圈