压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

那些企業(yè)網(wǎng)絡(luò)中的未知威脅、未知攻擊事件

今天我講的題目是《那些企業(yè)網(wǎng)絡(luò)中的未知威脅、未知攻擊事件》，我主要想講兩個詞，就是”未知威脅”和”未知攻擊”，我主要講一下我們怎么定義的，還有就是簡單過一下我們著名和非著名的APT和未知攻擊的事件。后面是傳統(tǒng)的安全軟件或者設(shè)備的弊端，還有就是我們現(xiàn)在常見的一些未知檢測的手段，還會介紹一下我們翰海源未知威脅、未知攻擊的解決方案，最后向大家簡單介紹一下我們在企業(yè)或者政府當中捕獲的一些攻擊事件。

其實從我們來講，2010年前，基本上是以傳統(tǒng)木馬蠕蟲為主流，那個時候一般的殺毒軟件，ADS、APS、防火墻、漏掃基本上是能夠滿足那些需求，從2010年以后，我們進入APT無，就是高級持續(xù)的威脅，在這種事態(tài)下面，傳統(tǒng)的這種防御的手段就面臨著挑戰(zhàn)，其實我們可以看到，比如今年基本上每個做安全的企業(yè)都是在講APT，形勢為什么發(fā)生這么大的變化？講到新一代的威脅，可能包含了一些APT的攻擊，定向攻擊、高級特馬，還包含著漏洞，最主要的還是在未知的威脅和攻擊當中。

APT這個其實大家已經(jīng)炒得非常火了，我想主要說的一點就是，APT攻擊就是未知威脅、未知攻擊的高級形態(tài)。但是一般我們在媒體上、報紙上面報道的很多都是很著名的，影響很大的事件。但是其實往往很多企業(yè)在APT下面有更多的未知威脅和未知攻擊一直存在，只是它有可能是潛伏的，沒有爆發(fā)。一旦有一些目標性、針對性的，可能就會爆發(fā)，一旦爆發(fā)，你肯定就措手不及。其實很多APT攻擊都是有很多的事前的工作，長期的滲透，等到爆發(fā)的時候你才能反映過來，比如說啟動不起來，或者是你的數(shù)據(jù)丟了，這個肯定是來不及了。

典型的案例有非常多，比如2009年的極光攻擊，2010年的震網(wǎng)，2011年竊取RSA令牌種子，還有2011年夜龍的攻擊，火焰等等，就不展開了。對于金融行業(yè)的攻擊，可以看到在2013年3月20日，韓國農(nóng)業(yè)銀行和廣播電視網(wǎng)就遭到了很大的一個攻擊，破壞了大概48700臺計算機。它是怎么攻擊的？就是韓國的一個殺病毒軟件，他們內(nèi)網(wǎng)的升級服務器被人干掉了。干掉以后，它的升級包被人替換，導致所有的下發(fā)策略的機器全部中招。當然這是破壞型的，3月20日之前他就全部的把機器格式化掉了，覆蓋MBR，相當于是破壞性的攻擊，其實它是一直在潛伏的。

金融行業(yè)的還有ATM攻擊，2014年年初的卡巴斯基報的，針對東歐銀行的超過50臺ATM機，基本上直接在ATM機上面中招了以后，攻擊者可以輸入一個Key，他就可以自動吐錢。雖然發(fā)生在東歐銀行，卡巴通過Virus Total提交的數(shù)據(jù)，他就判斷美國和中國可能都有這樣的事件，可能在中歐發(fā)現(xiàn)得比較多。2014年7月份的時候，F(xiàn)ireye報了一個事件，攻擊者做了遠程暴力破解，破解POS系統(tǒng)的遠程終端，通過弱密碼進行破解，這樣的話，就造成了系統(tǒng)被控制住，信用卡丟失的事件。2014年4月份，美國家得寶，第二大零售商又被攻擊，導致了5600萬信用卡信息被盜，號稱史上第一大信用卡的數(shù)據(jù)丟失事件。這些其實都是非常嚴重的事件。

虛擬貨幣交易平臺其實是很容易遭到攻擊的。虛擬貨幣很多都是匿名性的，對攻擊者來說，他也要考慮攻擊的性價比，還有要考慮到風險。所以像比特幣那種交易市場是非常容易遭受攻擊的，因為他們那種資產(chǎn)，比如我把你比特幣的錢包偷了，你的錢包里面有錢，這個是匿名性的，帶來的一個好處就是變成了一個沒有人可以監(jiān)控的東西，這樣的話，任何人都不能監(jiān)控，你也不能夠索回。而且就像另外一個國內(nèi)當時有一個未來幣的交易市場，它被攻擊的時候，他們采取的措施就是回滾這個數(shù)據(jù)。但是回滾這個數(shù)據(jù)會導致你這個幣社區(qū)的信用會垮臺，畢竟一個貨幣，你不能隨便的回滾，別人都交易了，有錢了。但是對于這種攻擊，對于攻擊者來說性價比比較高，他攻擊下來以后直接就可以把錢拿走了。

安全公司為什么容易被受到攻擊？我前面講了RSA，我不想講具體的事件。我想講的就是，攻擊RSA真正的意圖是什么？為什么要攻擊RSA？大家可以看到，以前很多的令牌基本上都是RSA做的，比如美國的國防部，美國很重要的部門。RSA事件報出來以后，隨后又報道出來洛克希德·馬丁和諾斯羅普兩個公司被攻擊，為什么這兩個公司會被攻擊？洛克希德·馬丁公司是做飛機的，諾斯羅普公司是做航母的，其實攻擊者是想攻擊這個，他想方設(shè)法找一個途徑能夠干掉諾斯羅普公司。攻擊者會去分析，會去做判斷，比如說一次搞不定，他會潛伏，會繞道，會想方設(shè)法的搞定這個目標，如果這個里面有重大的信息資產(chǎn)的話。所以有些其實意圖你很難去猜測，基本上很多攻擊，其實真正的意圖你是很難分析出來的。比如RSA的攻擊事件，我們只看到它的令牌種子丟失，丟失的背后到底他想干什么？

DigiNotar這個安全公司也被攻擊了，他是2011年被攻擊的，他們是簽發(fā)證書的。不知道大家對這個有沒有什么概念，比如咱們用瀏覽器訪問HTTPs，那個有一個認證，就是證書。那個證書有什么作用？其實證書有兩個作用，一個是加密傳輸，一個是認證。其實先了認證體系有很大的問題，這個公司一旦被攻破，它其實是可以簽發(fā)任何組織的證書。比如說現(xiàn)在報道出來，攻擊者一共簽發(fā)了531偽造證書，包括Google、微軟、雅虎、Twitter、Facebook、中情局、軍情六處和摩薩德等等，進行通訊劫持，你就感受不到了，這是非常嚴重的一個事件。這個公司被攻擊了以后就倒閉了，因為發(fā)證書的這種企業(yè)本身就是信任機制，比如微軟等很多行業(yè)的公司把它的根證書撤銷了，所以它一下子就倒閉了。

大家知道震網(wǎng)是針對伊朗核設(shè)施的攻擊事件，大家有沒有去想為什么這么精準？其實震網(wǎng)病毒就是一個攻擊的程序。后面我們2011年又發(fā)現(xiàn)了Duqu病毒，2012年發(fā)現(xiàn)了超級火焰病毒，這幾個其實后來國外的研究組織就分析發(fā)現(xiàn)，這三個是有關(guān)聯(lián)的，不是孤立的。前面剛才說的火焰和Duqu這兩個病毒基本上是做情報的搜集和獲取，沒有爆發(fā)，只是在潛伏，由震網(wǎng)這個病毒來實施最后的攻擊。現(xiàn)在為什么比較難？很多事件不是孤立的，我們在一個設(shè)備上的一個警告，但是你就很難判斷它的意圖。所以說需要長期的分析和關(guān)聯(lián)的研究，你才能透析他到底想做什么。國外的現(xiàn)在威脅情報分析是非常重要的工作，現(xiàn)在McAfee、卡巴斯基，傳統(tǒng)的公司他們投入非常大的力量去做，而國內(nèi)的企業(yè)沒有哪家公司投入這么多去做，這是我們產(chǎn)業(yè)內(nèi)忽略的一個點。我們公司本身非常注重這一塊，大家后面可以看到，我們其實有一些成果。

工業(yè)里面還有Havex攻擊ICS或者SCADA系統(tǒng)，這一類的攻擊事件非常多。這次的殺蟲事件，報道出來由俄羅斯去攻擊北約的一些能源、金融這種重攻擊，當然是利用很厲害的一個Windows的漏洞。這幾年還有人分析出來，可能還跟工控系統(tǒng)有關(guān)。

Winnti是在2013年4月份被攻擊的，對服務器和原代碼都盜取了，國內(nèi)的大計力度也非常大，這個組織攻擊了很多游戲廠家，這個組織不停的做這個事情，游戲，洗錢，做這個事情。基本上很多APT攻擊都帶有0day，就是現(xiàn)有的安全軟件沒有補丁的，還存在漏洞的，大家都不知道，只有攻擊者知道的這種漏洞。為什么說漏洞厲害？就是如果沒有漏洞的話，很多病毒或者是蠕蟲傳播是非常慢的，或者有界限的，一旦有漏洞的話，傳播力度非常大。比如震網(wǎng)，利用了3個Windows的漏洞，導致它的傳播速度是非常厲害的，如果它潛伏下來的話，它又有很多自主傳播的能力，那它的影響，這種撒出去的情報網(wǎng)就非常多，力量非常大。包括我們看到的這次的殺蟲事件，就用到了一個Windows的一個OL1的包管理漏洞，可以通過Word搜索，可以通過PPT自動播放，自動觸發(fā)，人家給你發(fā)一個包，你不知道，一打開就中招了，這個漏洞很好利用。企業(yè)里面基本上都部署了安全設(shè)備和安全軟件，為什么還會再中招？其實是有這種未知的元素，有未知的東西，可以繞過殺病毒的木馬，可以繞過規(guī)則攻擊，基本上就變成了一個很強對抗的事件。

其實行業(yè)覆蓋會越來越廣，基本上只要有重要資產(chǎn)的，其實如果你正好在一個攻擊者的攻擊路徑上面，其實不管你重要與否，比如說你是哪一個供應商，或者比如你是美國國防部的一個供應商，你就給他寫了一個OA系統(tǒng)，有可能也會被中招，這是一個途徑，是一個入口。我們可以看到，其實報道里面是比較重大的，我們現(xiàn)在更多的，還有非常多的是沒有報道出來的，而且用戶是更加沒有感知的。這是2014年IT168統(tǒng)計的數(shù)據(jù)，大概有哪些行業(yè)受到攻擊，包括金融、政府、軍隊、電信等等。

剛才講過，你會不會成為APT的目標？我們放低一點，不一定是APT的目標，一講APT，大家都覺得這個東西很遙遠，跟我沒關(guān)系。你要考慮一下，比如說一定要想一下，萬一你的信息資產(chǎn)丟失，會不會對你有什么影響，是不是你在一個非常關(guān)鍵的節(jié)點上面。為什么從2010年以后，APT事件或者是未知攻擊會井噴出來？其實說白了，就是在互聯(lián)網(wǎng)上的信息資產(chǎn)變重要了，原來可能是一個茅草屋，小偷他們不介意，現(xiàn)在是別墅了，可能有點資產(chǎn)，后面可能是摩天大樓了，里面的資產(chǎn)可能更多。在我看來，2010年以后，互聯(lián)網(wǎng)經(jīng)濟就變成實體經(jīng)濟了，的的確確能夠很方便的變現(xiàn)，比如支付寶、網(wǎng)絡(luò)銀行、虛擬貨幣，在我看到，就變成了實體經(jīng)濟了。所以說攻擊網(wǎng)絡(luò)就可以很容易的變現(xiàn)，而且我們可以看到現(xiàn)在更多的攻擊者他也可以刷流量，也可以刷廣告，惡意推廣，這樣的也非常多，當然這些其實是交織在一起的。我們的對手也是，套用蘋果的話，我們的對手是Bigger than bigger，越來越強大，原來就是一個小偷，現(xiàn)在慢慢的就變成了政府的部門，對手越來越強大，的確很難防。

我們其實可以從另外一個角度來探討，從沖擊波、振蕩波、CodeRedll、Zotob這幾個病毒的發(fā)現(xiàn)時間來看，當時的確對于整個產(chǎn)業(yè)來說沖擊非常大，但是咱們可以看到，從感知來講，CodeRedll是8月3日發(fā)現(xiàn)的，我們分析完以后，也是8月3日釋放出來的，一天都不到就被感知到了。沖擊波是8月12日發(fā)現(xiàn)的，我們發(fā)現(xiàn)是8月11日轉(zhuǎn)的，那個時候的感知能力相對來說是比較強的。從2010年以后，從震網(wǎng)、Duqu和火焰病毒來看，我們是2012年7月份發(fā)現(xiàn)的，其實從2009年6月份就開始在地下傳播了，Duqu也是，在這個時代，感知能力就是以年為單位了，就是基本上感受不到了。

很重要的一點，為什么感知不到？其實跟我們傳統(tǒng)的工作原理有關(guān)系，比如我們的IPS、IDS、殺毒，它的工作原理就是我拿來一個樣本，抽取里面的特征，當然這個是最傳統(tǒng)的，他們也有一些啟發(fā)式的算法，那肯定不是主流。這樣的話，你沒有樣本就感知不到，那是很顯然的。所以說，包括我們的IPS做簽名也是，我原來在McAfee做簽名的，要有事件，要有漏洞，知道這個漏洞，才能針對這個漏洞寫一個基于觸發(fā)原理和特征做的檢測，這樣的話，就變成了一個能夠識別已知的問題。現(xiàn)在我一直講要主動的解決未知的東西，已知的東西不可怕。我們能夠有一些很好的機制，比如事后簽名機制，其實可以通過事后去解決問題。但是現(xiàn)在的問題是，攻擊者都是潛伏的，都是非常有耐心的，變成了未知的攻擊。

我想打個比方，為什么咱們的機制會失敗？有個例子我覺得還是比較恰當?shù)摹Ｔ?010年以前，我們的小偷偷東西，夜里潛入到你的家里來，他們的做事風格是我來也，他在你的墻上貼一個”我來也”，說我把你攻破了，這是在2010年。剛才李主任也談到，比如伊朗的那個網(wǎng)軍部隊，他明目張膽的跟你說，我把你攻破了，我的病毒大肆傳播，證明我的能力，那個時候還不是利益為主導，還不是經(jīng)濟為主導。現(xiàn)在2010年以后互聯(lián)網(wǎng)經(jīng)濟很容易套現(xiàn)了，那個小偷進來變成他偷偷摸摸了，看到你什么好東西，重要的資料給你拍了一個照片，然后他走了，就是這么一個區(qū)別，你很難感知，因為他也沒有偷你的東西，在互聯(lián)網(wǎng)上利用這種電子設(shè)備拷貝一下，你也感受不到。其實在我看來，攻擊者的行為模式發(fā)生了變化，導致了我們這種產(chǎn)業(yè)的解決方案已經(jīng)不能適應我們現(xiàn)在的那種攻擊模式。現(xiàn)在講的就是，大家都聽到APT，APT最核心的東西就是我現(xiàn)在不告訴你，我現(xiàn)在就要偷偷的來攻擊你。

在這種情況下，肯定很難去解決現(xiàn)有的未知攻擊和未知威脅。2013年他們發(fā)了一個報告，說IPS測一個漏洞，很多家IPS，簡單的變換了一下，做了一個變形，病毒也是，稍微變一個形，這也是好多家公司，有幾家公司檢測到了。就說明總體上檢測能力不足，不足以應付現(xiàn)在的這種攻擊模式和攻擊場景。一般的未知攻擊怎么來檢測？現(xiàn)在產(chǎn)業(yè)界有一個聲音，我們一直在提的就是基于攻擊的特性，其實攻擊是有一定的特性的。我們檢測，比如說你的文檔里面有沒有內(nèi)嵌的手法一系列的攻擊手法，我不單純從一個漏洞或者一個病毒去著手，我是在你攻擊直接的點上面去抓這個東西，這是攻擊特性。還有就是基于行為分析的，F(xiàn)ireye開了一個先例，他把動態(tài)沙盒的東西，直接推送到用戶的場景當中，原來的工作原理就是一般的殺毒廠商都會有后臺的分析，這個的問題就是說，很多樣本要等到提交到你這里以后，F(xiàn)ireye做了這個方案以后引起了很好的反應，所以他們快速的就上市了。還有基于流量的檢測，還有就是基于黑白名單的，黑白名單的很成功的一個例子就是國外的Bit9，他的解決方法是非白即黑。就說如果不是白的，那全把你加到黑的，當然這個應用場景在有些場合可以去應用，可能效果會比較好，但是有些場景，比如在互聯(lián)網(wǎng)企業(yè)部署，這些東西會比較差，因為它的隨意性比較大，這種場景可能需要區(qū)分。

我們是采用什么說法？其實我們的想法就是，不管是什么解決算法，我們分析整個攻擊的過程，哪個算法好用就用哪個。其實在我們的產(chǎn)品里面是有非常多的檢測點，非常多的算法，不像原來的就檢測一個簽名，比如說原來的IDS，就檢測一個流量。其實整個攻擊的鏈條里面有非常多的攻擊點，往往其中你要檢測一個點的時候，你是很容易漏過。但是你是通過層層的這種縱深的防御，層層的這種點去檢測，一般攻擊者較難繞過。比如說你有七八個攻擊點都是在這個攻擊點里面，那我就可以提高這種檢測的準確度。

我們的產(chǎn)品叫星云。我們其實是聚焦在未知威脅，我們針對的點就是新一代網(wǎng)絡(luò)威脅，其實現(xiàn)在出現(xiàn)了攻擊者的手法，攻擊者的攻擊能力已經(jīng)遠遠的走在了傳統(tǒng)的這種，或者是原來這種安全的設(shè)備廠商或者安全廠商的前面了。而且我們是多維度，我們希望通過不同的維度去阻截這種攻擊，不同的點來防御和檢測這種攻擊。我們是想幫助企業(yè)解決一些問題，企業(yè)有很多的困擾，比如部署了傳統(tǒng)的殺病毒的，IDS、IPS，很多新型的攻擊，很多新型的病毒還是爆發(fā)，我們怎么來發(fā)現(xiàn)？其實我們現(xiàn)在相當于變成了一個盲人了，攻擊在你面前，你感知不到，其實是非常危險的。

很多用戶想知道，比如你真的攻擊了，它有哪些危害行為？我們想去告訴用戶，比如說你是這個病毒，你這個攻擊他做了什么事情，你看是不是要處置？用戶其實是想知道更多的信息，而不是簡單的告訴你一個點說123，這樣的話用戶感知非常差，用戶怎么處理？我們想告訴用戶，我們要幫你確認真正是哪些繼續(xù)中招了，比如說現(xiàn)在IDS為什么做得不好？隨便掃描一下，就會產(chǎn)生一大堆的報警，問題是簡單的掃描攻擊者有沒有成功呢？還是簡單的小黑客掃一下，你怎么來處理？你也不能區(qū)分到底是誰中招了，誰被掃了一下，比如誰發(fā)了一個郵件，點擊了中招了，還是說誰的安全性比較高？那個是要分別區(qū)別對待的。我們就要告訴是哪些中招了，要去處理的，這是我們經(jīng)過嚴格篩選的，告訴你這個中招了，要處理。

還有一個很大的問題，當前整個安全這輩的大問題就是，其實IDS、IPS報了很多警，用戶沒法運維，你報了很多的警告，你又不區(qū)分什么是確認的。基本上IPS當IDS用，IDS當擺設(shè)用，很多都當擺設(shè)了。其實我們的設(shè)備是想真正的讓用戶能夠運維起來，哪怕我們現(xiàn)在推的能夠連接我們的云端，對接我們的運維團隊，我們在設(shè)備上直接對每一個預警做確認，這樣的話，就會大大的減少運維團隊的成本，就是要建一個威脅情報分析團隊代價非常大。

其實我們一直在沿著攻擊者的思路去做產(chǎn)品，攻擊者現(xiàn)在就變成了他要想方設(shè)法進來，不被發(fā)現(xiàn)，他要想方設(shè)法在你的網(wǎng)絡(luò)里面找到他要的東西，他也不要發(fā)現(xiàn)。他要想方設(shè)法把找到的東西傳出去，也不能發(fā)現(xiàn)，這樣的話，他們的攻擊思路就完全跟我們現(xiàn)在的防御體系不一樣，原來比如說病毒是有樣本，再做簽名，再推給很多人，這種機制下你沒有樣本，你感知不到怎么做，其實這就相當于是一個挑戰(zhàn)。從我們的角度來講，我們希望能覆蓋更多的點，它的攻擊其實是一個鏈條，我們希望覆蓋更多的點，減少這種檢測盲點。我們希望通過多種技術(shù)手段來檢測，而不是說簡單的一個手段就把事情解決了，在我們看來還遠遠不夠。我們檢測的層級也是多維度的，比如檢測攻擊負載，有PDF、惡意文檔、URL、HTML5的負載、Java的負載，我們還有沙盒的行為分析，把網(wǎng)絡(luò)上捕獲的東西直接推到我們的沙盒里面，自動化的判斷他的行為，讓我們的用戶能夠及時的感知。我們還有更多網(wǎng)絡(luò)層的，比如木馬協(xié)議、異常流量等等，去做這種監(jiān)控。

剛才講了，我們是貫穿整個攻擊過程，包括一個惡意文檔來的話，我們會檢測這些惡意文檔是不是有些壞的元素，我們能不能檢測出來？它的小馬，小馬一般是Shellcode里面有一個小馬做這個事情。小馬執(zhí)行起來，會在網(wǎng)上拖一個大的木馬回來，這個大的木馬，一般會做成一個通用的馬，還有C&C通道，基本上會貫穿整個攻擊的鏈條，而不是整個的點。剛才說了，我們會在網(wǎng)絡(luò)面和主機層做聯(lián)動和關(guān)聯(lián)，我們可以在主機層的檢測動態(tài)行為分析以后，動態(tài)跑出C&C，然后再動態(tài)的導入網(wǎng)絡(luò)層，這個都可以在一個設(shè)備上去解決。多維度、多技術(shù)的事件關(guān)聯(lián)，已知簽名，其實我們內(nèi)嵌也有一些殺病毒引擎，也有內(nèi)嵌一些已知的規(guī)則，其實已知是必須的，已知能夠告訴用戶這是什么東西，未知的話只能去識別。

我們捕獲了一些攻擊實踐，WPS 0day是我們2013年12月份捕獲的，這是國內(nèi)第一個真正報道出來利用設(shè)備捕獲的利用0day攻擊的事件，很顯然可以看到，這個郵件其實是非常高大上的，當時有一個中國經(jīng)濟形勢解析高層報告組委會，我們在網(wǎng)上查了一下，的確有這個會議，它的攻擊目標的確是政府的一些要員。它用的就是我們WPS的一個0day，打開以后就告訴你，讓你去下一個WPS2012的Office，如果你已經(jīng)是WPS的話，你打開以后直接就會中招。網(wǎng)上我們也有分析報告，這個其實是利用了一個RTF的一個0day。我們后來分析發(fā)現(xiàn)，其實WPS在國產(chǎn)辦公軟件里面用得非常多，基本上很多部委、國企都在用，所以說國產(chǎn)軟件的安全性也要注意，也會成為一個攻擊對象。你只要應用廣，黑客就會想方設(shè)法通過你這個有漏洞的東西鉆進來，他有縫就會鉆。你打開以后，它就會釋放幾個文件，釋放文件以后會連接遠程的C&C通道，我們后來發(fā)現(xiàn)是在美國的，我們后來定性的確是境外組織對國內(nèi)的一個定向攻擊。它的木馬是一個Pile的一個變種框架。

這是我們協(xié)助用戶處理的，是2013年的12月1日我們捕獲了這個事件，當天我們就確認了這個0day，然后通知用戶。第二天我們的分析報告也出來了，事件報告也出來了，然后協(xié)同用戶做處置，下午我們就進行了發(fā)布。基本上很快，我們一發(fā)布，攻擊者就把這個C&C通道關(guān)掉了。

其實這些都是部署在企業(yè)內(nèi)網(wǎng)的一個檢測點，比如說我們捕獲到了很多掛馬事件，利用CVE-2014-0502這個漏洞，這是一個老動作，但是出來沒有幾天，可能一個星期或者兩個星期，就被人快速的應用到了現(xiàn)場里面去。其實這個我們?nèi)?nèi)叫二次攻擊，一般的第一手資料可能是最原始的攻擊者拿到的，然后再慢慢會擴散到安全社區(qū)。一旦安全社區(qū)拿到了以后，公告出來以后，很容易就會變成更多人，更多的攻擊者拿到，很容易看到，比如這次的殺蟲事件，一旦安全公司公告出來以后，更多的人拿到這個樣本以后，二次攻擊就會爆發(fā)。所以最近一段時間咱們可以看到，沙盒攻擊可能還會持續(xù)的會爆發(fā)出來。

這是我們經(jīng)過情報分析發(fā)現(xiàn)，這是在一個韓國的攻擊事件，而且下面可以看到，基本上這種木馬和攻擊載體，或者攻擊的程序是國外的一個免費的網(wǎng)站，你可以提交你的樣本，能把國內(nèi)外能見到的所有殺毒引擎在上面跑一遍，這樣的話，就能知道這個病毒能不能被檢測出來。我們當時也掃了一下，基本上51個殺毒引擎只有2個能查到，有一個攻擊體，基本上51個殺病毒引擎也只有2個能查到。只有兩三個引擎，能掃到的，基本上可以認為這是一個未知的東西。他在幾十幾款殺毒引擎里面，總會被一家引擎給攔掉。

我們分析出來以后，發(fā)現(xiàn)里面到底是哪個用戶，或者是哪個郵箱地址去發(fā)起這個攻擊，然后我們又經(jīng)過進一步的分析發(fā)現(xiàn)，這個組織是從2012年就開始活動了，然后他們這個組織擅長使用網(wǎng)頁木馬，我們常說的叫水坑攻擊，中國人喜歡叫網(wǎng)頁掛馬。這是國外的一個軍事論壇，如果你訪問這個論壇的人，只要補丁沒有打好就會中招。這是我們部署到企業(yè)里面，企業(yè)里面的人去訪問這些外部的論壇，說白了，其實這是一個入口點，一旦你這個人訪問了這個網(wǎng)站被掛馬了，你中招了，說白了人家就跳到你的內(nèi)網(wǎng)里面去了，只要你的內(nèi)網(wǎng)沒隔離。當然內(nèi)網(wǎng)隔離剛才也講到了，也有一些辦法他去進來。這個很多受害者都在韓國，韓國的異地響應中心也跟我們合作，一起去分析這個東西到底是怎么回事。

應急響應這個事情其實非常耗時間，也耗人，這其實是情報分析很重要的一個點，我們的響應也算及時，包括這種殺蟲的APP攻擊事件，我們是第一個分析出來漏洞的原理。這個公司是叫isightpartners，他報告了這個殺蟲APT事件。我們第一時間分析，公布了這次漏洞的大概成因，第一個分析了這是一個什么馬，大概要做什么事情。我們早上報出來，我們開始應急做分析，在晚點的時候我們就發(fā)了一個事件，基本上在當天，我們就會把這個報道發(fā)出來，告訴用戶這個東西是怎么回事，到底會造成什么危害，影響程度多廣。其實這個0day攻擊剛才說了，就是俄羅斯打北約的一個0day攻擊，是危害非常大的，因為是一個邏輯漏洞。它的漏洞就是他放兩個文件，Slidel和Slides，后面又有一個漏洞，他就會點擊右鍵，執(zhí)行這個安裝。這個功能非常強大，可以改名，驅(qū)動安裝就是靠它做的，所以這是一個邏輯性漏洞，有防病毒，還有微軟的很多措施，在它的這種攻擊面前是失效的，它就是邏輯漏洞，說白了這是它的功能，只是被惡意利用了。他前兩天沒有補好，都是偷懶，或者有可能有他的討論方式，把你從網(wǎng)上下來的這個標記為不安全的。所以說你安裝的時候他會彈出來UAC，告訴你這是不安全的。咱們的研究人員又非常厲害，他發(fā)現(xiàn)可以用另外的措施，也可以不談UAC，現(xiàn)在又出了一個漏洞，其實也是0day。最近一段時間大家注意，有人給你發(fā)PPS的，一定要注意，或者改名，或者用WPS打開看看。我們在第二天增加了攻擊的演示，可以看到，雙擊PPS，你的機器就中招了，就是這么簡單，殺毒軟件肯定也不會報，或者第一批也不會有阻截。

我們后面又對木馬進行了分析，我們識別出來木馬就是一個變種，經(jīng)過回溯我們發(fā)現(xiàn)，這個在2007年的時候就已經(jīng)在俄羅斯的地下網(wǎng)絡(luò)里面流傳了，Quedagh這個組織也發(fā)起了一系列的針對于烏克蘭的攻擊，他們說了，這個0day攻擊就有可能是來自這個組織，而且有一些對抗，其實是一個PE文件，他抹掉了這個PE頭，來對抗靜態(tài)檢測。為什么叫殺蟲事件，殺蟲APT？其實它在C&C里面，后面這一串就是美國科幻作家寫的一篇作品Dune，所以說咱們的研究團隊，或者是國內(nèi)外的研究團隊就把它命名為殺蟲。所以這個命名很有意思，很多有意思的攻擊事件命名都是有蛛絲馬跡可循的，就是他能夠從各種情報分析里面分析出來他的一些特性。比如極光攻擊，它的攻擊的總載體里面就帶有”極光”的英文，所以他們命名為這個東西。

這是我們的時間軸，其實對于我們的響應團隊是非常辛苦，要快速響應，持續(xù)趕緊。其實沙蟲這個事件對于咱們的產(chǎn)品來說有些需要反思的地方，它是一個邏輯漏洞，對于我們其實有內(nèi)容分析，沒有辦法解決這種未知的攻擊。我們在考慮，后面有沒有辦法靜態(tài)的、快速的把邏輯的東西解決出來。我們的沙盒動態(tài)分析其實也沒有檢測到我剛才說的PPS，我們檢測到的其實是PPS攻擊完了以后下面過來的馬被我們檢測到了。所以我們一直強調(diào)為什么要縱深的防御？當然對于我們的改進來說，我們后來要慢慢的支持這個播放，不能被人繞過。其實我們檢測到了后面的未知負載，運用動態(tài)分析技術(shù)去檢測出來的。

國外的研究團隊后來發(fā)現(xiàn)，殺盒的APT事件也是相關(guān)的，我們的分析團隊經(jīng)驗不足，需要長期的分析，這是一個非常耗人力的事情。即使現(xiàn)在沙盒能檢測出來，或者某一個廠家號稱我的沙盒就能夠檢測出來這個漏洞。但是現(xiàn)實的問題就是，你在線網(wǎng)里面的文檔是非常多的，你不可能把所有的文檔都丟進去。線網(wǎng)里面在線的檢測可以做一個，這里面有性能的問題，比如某一個沙盒能跑幾萬個對象，比如一般的簽到網(wǎng)絡(luò)里面，每天的文件有上百萬個，至少是五六十萬個，絕對會有。如果全把這些文件丟進去的話，你的沙盒就爆掉了，這其實也是一種挑戰(zhàn)，就是怎么在性能和檢測率上做平衡，達到一個真正可用的。當然有些廠家現(xiàn)在做的是獨立殺，分析沒有問題，丟一個進去，我能全部跑一遍沒有問題。但是真正到線網(wǎng)里面，就會遭受到這種性能的挑戰(zhàn)。

我們還幫用戶去處置很多未知的馬，我們在去年就幫用戶處置了一個Wormsharp的蠕蟲，這是攻擊者自己命名的，他在他的PDF字符串里面，就把這個命名成Wormsharp，他的文件就是這個名字，所以我們命名為蠕蟲。我們可以看到，基本上這種未知攻擊，現(xiàn)在殺病毒軟件很難做到，很多木馬都是開源的，或者自己寫一個。我們還會跟用戶做一些建議，比如我們幫用戶做排查和定位，會告訴怎么來停止服務，怎么來關(guān)閉這些，說白了就是清除控制，怎么在網(wǎng)絡(luò)層面做一些攔截、阻截，不能被控。

其實還有一個就是我們一直在跟蹤的事件，這個事件也是很嚴重的，發(fā)生在國內(nèi)金融部門的。我們盯了大概有一年的時間，這個事件至少在2012年之前已經(jīng)發(fā)生了，還在持續(xù)發(fā)生。我們已經(jīng)幫用戶處理了一些事件，但是過一段時間還會復發(fā)。說明我們還沒有真正跟客戶一起找到攻擊的通道，這其實是非常關(guān)鍵的。要解決這個事情，一定要把攻擊通道掐斷，這其實需要雙方的配合和信任，來一起做這個事情，但是這個難度比較大。

它的攻擊模式框架很復雜，還做了分布式、動態(tài)擴展，比如說有Web服務器、攻擊服務器，還有郵箱系統(tǒng)，還做這種橫向的百度，拆解口令。但是它的拆解口令定向性非常強，不是隨便的全部破解，那樣很容易發(fā)現(xiàn)，他的定向性非常強，他要知道打哪臺機器。這個事件比較高級，時間上非常持續(xù)，好幾年了，在我分析至少四五年了，一直在搞這個事情。技術(shù)上來講，國內(nèi)我們常見的360、McAfee、賽可達、趨勢等等，你只要沒有把通道打掉，他一直在更新。它對抗虛擬機，不發(fā)作。還有更多的圖片夾帶加密信息，實現(xiàn)動態(tài)功能，通過模塊的更新、任務的下發(fā)等等。還要進行內(nèi)網(wǎng)滲透，還會進行數(shù)據(jù)搜集。其實我們現(xiàn)在發(fā)現(xiàn)，它很克制，不是前網(wǎng)撒向的，非常克制。其實可以看到，我們現(xiàn)在分析了半天，沒有分析他的意圖，我們能捕獲這個事件，但是我們跟蹤了一年，我們還沒有搞清楚他的意圖，他到底想做什么。為什么說情報分析難？如果真正要按照意圖來講，或者說他偷你東西的時候，或者他真正行動的時候，比如格式化你的東西了，這樣的話，有可能就要長期布控，布控這種專門的點，才能真正把握到他到底想做什么事情，我們星云設(shè)備不會是非常多的未知威脅。

在APT檢測的路上我們還做了一些工作，就是APT Group分組，想做的目的就是這個樣本我們要識別出來，到底是屬于哪一波人做的，這個其實對于情報分析來說非常有意義。我們也做了一些在互聯(lián)網(wǎng)上的嘗試，類似做了一些免費的服務，我們在網(wǎng)上叫文件B超，有一些文件的檢測，APT的檢測，漏洞驗證等等一些功能，大家可以上網(wǎng)上去看一下。如果你有些未知的東西，或者說疑問可以提交上去，我們馬上也會集成國內(nèi)外的50幾款殺病毒引擎，也會接入進來，我們也在做一些C&C庫和木馬協(xié)議庫的分析。其實APT有很多挑戰(zhàn)，攻防是不對稱的，舉一個例子，比如說一堆沙子，一堆米，其實攻擊者就像拿了一把沙子丟到米里面去，那樣非常容易。攻擊者就想，我要想從這個沙子和米的混合體當中把這個米挑出來，那就非常難了。還有點和面的問題，攻擊者只是打一個點。

最后再講一下挑戰(zhàn)，為什么現(xiàn)在APT有很多挑戰(zhàn)？我們可以看到，現(xiàn)在很多公司冒出來做APT檢測和未知檢測，有很多的挑戰(zhàn)在里面。從事件來講，你攻擊的不是一次性的，是持續(xù)的，而且事件不是孤立的，你要從看似孤立的事件中還原出來，讓用戶能夠理解你這種攻擊。而且攻擊點來講，它能夠做到無文件，無馬，能夠繞過你的這個部署點，可以做到漏洞觸發(fā)和Payload的分離，而且我們可以看到，惡意程序都是一個攻擊框架，沒有真實意圖，真實意圖只等他要想干壞事他才會做。我們可以總結(jié)出來一些流量的異常，因為流量是更高維度的檢測點。

進入APT時代，我們就是要面對未知威脅和未知攻擊，主要的力量投入在上面。APT攻擊其實是人和人在數(shù)字空間的較量，智力對抗，所以說沒有終極的辦法。因為人是活的，手段是可以無窮的。我們還需要考慮成本、性能和用戶的體驗和感知，所以對于APT類的檢測產(chǎn)品，需要在上面這個限制的條件下，最大程度的提高攻擊者的攻擊門檻，降低風險，要形成一個新的攻防平衡點。

我就講到這里，謝謝！