压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

本文為微步在線威脅情報(bào)沙龍華南站的嘉賓樊興華的現(xiàn)場(chǎng)分享，樊興華是微步在線安全分析團(tuán)隊(duì)負(fù)責(zé)人，他將回顧微步在線對(duì)暗云木馬的分析過(guò)程，并揭秘微步在線的追蹤溯源能力如何“煉成”。

今天給大家簡(jiǎn)單分享一下我們?cè)谧粉櫵菰捶较蛏系囊恍┙?jīng)驗(yàn)和積累。

在分享開始之前，我想先向大家明確溯源的概念。通常意義上的溯源分兩種，一種是內(nèi)部溯源，當(dāng)企業(yè)被攻擊之后，企業(yè)的應(yīng)急響應(yīng)人員和安全管理人員需要對(duì)入侵做取證和分析，去尋找最開始的突破口，以及評(píng)估此次攻擊的影響，這個(gè)過(guò)程就屬于內(nèi)部溯源。

另外一種屬于外部溯源。在內(nèi)部溯源過(guò)程結(jié)束之后，安全人員會(huì)拿到入侵者所使用的木馬等工具。此時(shí)，安全人員要進(jìn)一步把攻擊事件背后的信息提煉出來(lái)，做成畫像，進(jìn)行溯源。比如攻擊者的個(gè)人信息，他是誰(shuí)，他是哪里的人，他在攻擊中用了哪些資產(chǎn)，他的攻擊過(guò)程是否有一定的針對(duì)性？是針對(duì)行業(yè)還是針對(duì)地區(qū)？這個(gè)過(guò)程就是外部溯源。我今天分享的內(nèi)容就屬于外部溯源。

先簡(jiǎn)單介紹一下暗云木馬。暗云木馬經(jīng)歷了三代，從15年到17年，每年有一代更新。我們最近一次溯源分析是在17年4月份，也就是暗云三代木馬。

暗云木馬的目的其實(shí)很簡(jiǎn)單，在早期是刷流量、做推廣、騙點(diǎn)擊，從而獲利。到了17年4月份，暗云木馬演化到第三代的時(shí)候，主要用來(lái)發(fā)起DDoS攻擊——它建立一個(gè)非常龐大的DDoS僵尸網(wǎng)絡(luò)，背后大概有四五百萬(wàn)臺(tái)被控主機(jī)，暗云正是利用這樣一個(gè)龐大的DDoS僵尸網(wǎng)絡(luò)，發(fā)起一些DDoS攻擊，通過(guò)這種方式獲利。

暗云木馬另外一個(gè)顯著的特點(diǎn)，就是隱蔽性非常強(qiáng)。第一，暗云木馬完全基于內(nèi)核，執(zhí)行過(guò)程中所有插件的下載、包括配置文件的下載，都是直接基于內(nèi)存，沒(méi)有任何文件實(shí)體。第二，最開始的樣本有合法的數(shù)字簽名，來(lái)自深圳的一家公司。第三，因?yàn)榘翟颇抉R是完全基于內(nèi)核的，所以暗云木馬可以對(duì)抗主流的殺毒軟件，直接把相關(guān)殺毒軟件的主動(dòng)防御功能關(guān)閉。

我們?nèi)绻{(diào)查暗云木馬，會(huì)面臨很多挑戰(zhàn)，第一，樣本取證非常困難，因?yàn)樗莾?nèi)核級(jí)的，所以我們只能通過(guò)DDoS的流量做簡(jiǎn)單的流量分析，拿到一個(gè)主控域名。第二，暗云木馬在執(zhí)行過(guò)程中是通過(guò)Shellcode，所以我們的樣本分析也很困難。第三點(diǎn)是事后的分析，我們分析完之后，發(fā)現(xiàn)暗云木馬或者說(shuō)木馬背后的攻擊者，他們的基礎(chǔ)設(shè)施網(wǎng)絡(luò)非常復(fù)雜、龐大。這是當(dāng)時(shí)業(yè)界去溯源暗云木馬事件的時(shí)候碰到的幾個(gè)挑戰(zhàn)。

那么，微步在線是怎么分析的呢？

我們前面說(shuō)到，我們當(dāng)時(shí)拿到了一個(gè)唯一的域名，其實(shí)就是www.acsewle.com，我們?cè)诤蠖擞幸粋€(gè)追蹤溯源系統(tǒng)，通過(guò)追蹤溯源系統(tǒng)對(duì)這個(gè)域名做了分析之后，我們有了兩個(gè)發(fā)現(xiàn)：第一，就是上面這張圖，我們發(fā)現(xiàn)在那個(gè)紅色方框這塊里面的叫ads.haossk.com 這個(gè)域名，其實(shí)就是暗云二代的主控域名，而暗云二代的主控域名和暗云三代的唯一域名被我們的溯源系統(tǒng)發(fā)現(xiàn)有一定關(guān)聯(lián)性。第二，圖里的被紅色框圈出來(lái)的這些域名，也在分析后被認(rèn)定是暗云三代木馬在執(zhí)行過(guò)程中所使用的其它的cc域名，也就是說(shuō)，暗云木馬在執(zhí)行過(guò)程中，不只使用了一個(gè)主控域名，而是使用了多個(gè)主控域名，當(dāng)然這個(gè)圖也只是列出了一部分。

我們最終的溯源分析結(jié)果如上圖所示，我們發(fā)現(xiàn)，第一，暗云三代的域名跟暗云二代的這個(gè)主控域名 haossk.com存在一定關(guān)聯(lián)，因?yàn)樗鼈冊(cè)?jīng)在某個(gè)時(shí)間段同時(shí)解析到23.234.26.89這個(gè)IP上面。第二個(gè)，通過(guò)四五級(jí)的往下拓線的關(guān)聯(lián)分析，我們發(fā)現(xiàn)了暗云木馬其實(shí)不止這一個(gè)主控域名。第三，我們也得到了暗云木馬基礎(chǔ)設(shè)施上的一些特點(diǎn)，首先暗云木馬解析的IP是集中分布在這兩個(gè)CC網(wǎng)站上，其次因?yàn)楦腥玖看螅髁亢艽螅园翟颇抉R使用了CDN加速的方案，使用了國(guó)內(nèi)一家CDN廠商提供的服務(wù)，再次，暗云三代的很大一部分主控域名使用了xundns的NS服務(wù)器，最終結(jié)果也顯示，這是國(guó)內(nèi)的一家廠商。我們是通過(guò)前面這些，拿到了暗云三代以及背后團(tuán)伙所擁有的80條資產(chǎn)，也就是80條域名。

這個(gè)效果其實(shí)是非常明顯的，因?yàn)槲覀冋麄€(gè)分析過(guò)程中，只輸入了一個(gè)域名。通過(guò)對(duì)這個(gè)域名做追蹤溯源分析，我們就拿到了暗云三代所擁有的80個(gè)域名資產(chǎn)。

再說(shuō)一下暗云木馬的追蹤。這張圖是在16年4月18號(hào)我們通過(guò)溯源系統(tǒng)得到的結(jié)果。

下面這張圖是大概半年之后，16年的11月3號(hào)，我們通過(guò)同樣的域名再做一次分析，發(fā)現(xiàn)輸出多了一個(gè)域名，就是標(biāo)紅的域名ms.maimai666.com，其實(shí)我們事后分析，它就是暗云三代的一個(gè)域名。

一個(gè)月后，這個(gè)ip上又形成了一個(gè)叫www.acsewle.com，這個(gè)域名就是我們當(dāng)時(shí)追蹤溯源暗云三代事件的時(shí)候，我們拿到的唯一域名。

這三張圖是為了說(shuō)明什么？

第一，我們發(fā)現(xiàn)暗云三代開始活動(dòng)時(shí)間是在16年11月份，這一點(diǎn)跟我們國(guó)內(nèi)的其他廠商發(fā)布的結(jié)論可能不太一致。

第二，因?yàn)槲覀冎苯油ㄟ^(guò)域名的ip的解析，只能定位到暗云木馬大概的活躍時(shí)間是從12年10月份開始，所以我們做了一個(gè)比較事后諸葛亮的假設(shè)，如果我們?cè)?6年的4月18號(hào)通過(guò)溯源系統(tǒng)對(duì)暗云木馬做日常的監(jiān)控，我們其實(shí)可以在16年11月3號(hào)就發(fā)現(xiàn)暗云三代開始活動(dòng)的跡象，也就是新增的、從未被使用過(guò)的域名，而且一個(gè)月后又出現(xiàn)一個(gè)新的域名。

假如，我們?cè)?6年的時(shí)候，能夠去監(jiān)控暗云三代開始活動(dòng)的跡象，同時(shí)把這個(gè)監(jiān)控的結(jié)果下發(fā)給的客戶，或者把這些信息公開披露出來(lái)放到我們的情報(bào)社區(qū)里共享給安全界，可能就不會(huì)導(dǎo)致幾百萬(wàn)臺(tái)機(jī)器感染暗云三代木馬。

這是我們說(shuō)的暗云木馬追蹤的一個(gè)案例。下面分享一下，我們?cè)谶@個(gè)事件中抽象出的追蹤溯源方法論。

第一，我們必須有一定的樣本分析能力。通過(guò)樣本分析，我們可以提煉出樣本里面木馬所使用的cc、樣本的靜態(tài)特征，比如Yara特征等，然后我們可以通過(guò)溯源分析系統(tǒng)，對(duì)這個(gè)cc做一個(gè)追蹤溯源分析，就像分析暗云木馬的樣本。

在溯源分析完成之后，我們可以把這些結(jié)果存儲(chǔ)到數(shù)據(jù)庫(kù)，我們有一個(gè)監(jiān)控追蹤系統(tǒng)，每天更新黑客畫像系統(tǒng)里面錄入的域名、cc等信息。我們先做一個(gè)監(jiān)控，可以在第一時(shí)間發(fā)現(xiàn)它們的一些變化，這是具體的方法論。而樣本分析能力是所有安全分析師都必須具備的一種能力，我們通過(guò)多引擎或者沙箱去做分析，然后提取出像引擎的病毒名、家族名、主控域名等信息，還有像Yara行為簽名、ATT&CK模型等。我們微步在線其實(shí)也有一款微步在線云沙箱，從2015年公司創(chuàng)立，就已經(jīng)在內(nèi)部研發(fā)并使用，只不過(guò)我們?cè)?017年底才開始計(jì)劃把它拿到前臺(tái)，目前已經(jīng)上線，還在beta階段。

我們把沙箱從我們?cè)瓉?lái)的社區(qū)里拆分出來(lái)，結(jié)合我們自己使用時(shí)的需求做成一條單獨(dú)的產(chǎn)品線。我們的沙箱完全免費(fèi)，基于SaaS化，而且里面集成了我們自己情報(bào)分析情報(bào)提取的系統(tǒng)，最終輸出在安全報(bào)告里，可以用于事件分析以及安全設(shè)備，去做攔截的IOC。另外，我們還集成了數(shù)以千計(jì)的行為簽名，可以對(duì)樣本的行為做非常直觀的翻譯。

目前沙箱已經(jīng)支持了主流Windows、Linux、安卓等主流操作系統(tǒng)，數(shù)十種文件類型。區(qū)別于其他傳統(tǒng)廠商提供的沙箱服務(wù)，我們的沙箱能夠直接判定某個(gè)樣本是惡意還是非惡意，判定結(jié)果基于我們機(jī)器學(xué)習(xí)的決策樹算法。另外，我們的沙箱中也集成了微步在線五款情報(bào)分析系統(tǒng)，提取出來(lái)的情報(bào)IOC可以直接在報(bào)告里面反饋給用戶，用戶拿到這些IOC后，可以放到設(shè)備里面去做檢測(cè)和攔截。

剛剛說(shuō)到樣本分析能力，我們?cè)谒菰捶治龅臅r(shí)候，應(yīng)該如何著手去做呢？其實(shí)有幾個(gè)步驟，首先就是我們那個(gè)溯源模型里要有一些關(guān)鍵因子。

常見的因子包括域名、IP、Hash值，以及Passive DNS，再比如域名的注冊(cè)郵箱、域名的DNS記錄等，這些是比較基礎(chǔ)的關(guān)鍵因子。具體關(guān)聯(lián)模型其實(shí)很簡(jiǎn)單，我們所說(shuō)的關(guān)聯(lián)呢其實(shí)就是我們認(rèn)為兩個(gè)因子之間有一定的關(guān)聯(lián)關(guān)系，那么我們就會(huì)用一條線來(lái)連接，最終產(chǎn)出的就是一個(gè)非常復(fù)雜，看起來(lái)不可讀的網(wǎng)狀結(jié)構(gòu)。

我舉個(gè)簡(jiǎn)單的例子，上圖是我們具體關(guān)聯(lián)模型里面關(guān)聯(lián)的一些點(diǎn)，比如就是域名的話，如果說(shuō)他有他的子域名，他有二級(jí)子域名，我們認(rèn)為這個(gè)域名跟他的子域名是有關(guān)聯(lián)的，另外就是域名曾經(jīng)解析的ip，包括當(dāng)前解析ip，包括哪些樣本曾經(jīng)跟這個(gè)域名發(fā)生通信，這個(gè)域名的注冊(cè)郵箱注冊(cè)人信息等，這些我們都認(rèn)為可能會(huì)有一定的關(guān)聯(lián)。

通過(guò)前面的關(guān)聯(lián)因子的關(guān)聯(lián)模型，最終得到一個(gè)原始結(jié)果：一張看起來(lái)非常亂非常不可讀的一張圖。那么如何把圖中的無(wú)關(guān)信息除掉呢？我們有幾個(gè)思路。第一，過(guò)濾原始結(jié)果，過(guò)濾的方法包括幾個(gè)模型，比如我們要識(shí)別域名販子的模型，因?yàn)槲覀冏鲞^(guò)濾的目的是要把那些跟攻擊者不相關(guān)的信息噪音剔除掉。域名販子是專門有一批人通過(guò)倒賣域名去盈利，典型的場(chǎng)景就是這個(gè)域名可能是在某一個(gè)域名販子的名下注冊(cè)，但是使用者可能已經(jīng)是另外的人了。這種情況下，這個(gè)域名雖然被使用，但已經(jīng)不屬于攻擊者的資產(chǎn)，我們就要剔除掉。類似的思路比如像CDN，因?yàn)镃DN的IP其實(shí)也是類似的就是很多域名去共享IP，這些IP跟攻擊者沒(méi)有任何關(guān)聯(lián)，也不是攻擊者的資產(chǎn)，這些我們也要剔除掉。

過(guò)濾之后是判定。判定的方法也有幾個(gè)維度。第一，微步在線在云端有數(shù)十萬(wàn)量級(jí)的商業(yè)情報(bào)庫(kù)；第二，我們自建了微步在線情報(bào)社區(qū)，每年有很多熱心的用戶給我們提交每年幾十萬(wàn)的情報(bào)。一個(gè)典型的例子就是圖上的down2.b591.com，這是我們一個(gè)用戶提交的域名，最后被我們發(fā)現(xiàn)其實(shí)是一個(gè)主控域名。第三是類似DGA的隨機(jī)域名識(shí)別，正常域名可能不大用DGA模型去識(shí)別，只有一些惡意軟件和木馬為了躲避檢測(cè)才會(huì)使用DGA的算法，我們就可以通過(guò)這些模型去識(shí)別出隨機(jī)域名，然后對(duì)它做一個(gè)惡意判定。

其它類似仿冒域名、相似度、沙箱判定規(guī)則這些我們也會(huì)使用。在過(guò)濾和判定之后，我們的判定模型就已經(jīng)出來(lái)了，這就是我們溯源分析的模型。

其實(shí)我們所說(shuō)的溯源模型就是微步在線的自動(dòng)追蹤溯源的系統(tǒng)（Z），Z系統(tǒng)最大的特點(diǎn)就是支持一鍵自主溯源，支持對(duì)域名、IP、Hash等因子的分析。另外，Z系統(tǒng)里繼承了一些智能化分析模型，能夠去除無(wú)關(guān)的干擾。第三個(gè)特點(diǎn)是可以“一窩端”，最典型的就是暗云木馬，輸入一個(gè)域名，輸出背后攻擊者的80多條資產(chǎn)，攻擊者不管用什么方式發(fā)起攻擊，都會(huì)被攔截掉。

追蹤溯源系統(tǒng)適用的場(chǎng)景就是一些攻擊案件的調(diào)查溯源，比如高級(jí)APT攻擊，以及像普通的黑產(chǎn)類這種攻擊事件，都可以支持。此外我們是基于SaaS的服務(wù)，可以提供API，只需要將域名輸入，點(diǎn)一下自動(dòng)分析，就不需要再做任何操作了。

下面說(shuō)一下我們?cè)诒O(jiān)控追蹤這方面的能力。我們后臺(tái)是有一個(gè)自動(dòng)狩獵（Hunting）的系統(tǒng)，這個(gè)系統(tǒng)每天處理云端新增的數(shù)百萬(wàn)的樣本及每天新增數(shù)百萬(wàn)域名，這些新增數(shù)據(jù)都會(huì)被放到我們這個(gè)系統(tǒng)里去做規(guī)則的匹配。具體匹配的模型分兩種，一種是基于樣本維度的追蹤模型，另外一種是基于域名和IP的追蹤模型，最終我們能夠從這百萬(wàn)級(jí)的樣本和數(shù)百萬(wàn)級(jí)的域名里面輸出可能跟這個(gè)事件相關(guān)的一些結(jié)果，再加上分析師人工去確認(rèn)。但是對(duì)于一些我們目前比較熟悉的黑客組織，比如像印度的白象，我們也基本不需要人工再去干預(yù)。

具體到樣本追蹤的模型，大概分這幾個(gè)維度：一是我們會(huì)基于多引擎輸出的樣本，比如名字和家族，二是通過(guò)代碼化的這種相似度的判定，比如像2017年5月份發(fā)生的WannaCry的事件，我們?cè)谧粉櫵菰吹臅r(shí)候，都是通過(guò)樣本里面某些代碼的相似度是一來(lái)初步判斷，然后去做Yara規(guī)則、行為簽名的模型。

前面說(shuō)到的追蹤溯源Z系統(tǒng)是我們的付費(fèi)產(chǎn)品，但是產(chǎn)品里的數(shù)據(jù)是從我們的X社區(qū)來(lái)的，大家應(yīng)該比較熟悉了，在座很多人都用過(guò)。

X社區(qū)的一個(gè)特點(diǎn)是嗯有非常豐富的技術(shù)數(shù)據(jù)和情報(bào)數(shù)據(jù)，我們有七年的PDNS數(shù)據(jù)以及16年的Whois歷史數(shù)據(jù)。另外，我們?cè)?017年也開始嘗試從原來(lái)單純的域名IP分析，轉(zhuǎn)變成情報(bào)共享社區(qū)，目前X社區(qū)是我們國(guó)內(nèi)最大的情報(bào)共享社區(qū)。我們做X社區(qū)的初衷是，要在這個(gè)社區(qū)實(shí)現(xiàn)一站式的威脅分析，域名的信息、注冊(cè)人信息、DNS解析信息，運(yùn)營(yíng)商樣本信息，以及跟事件相關(guān)的信息都能夠在這里查詢。此外，X社區(qū)還提供了豐富、齊全的云端API。

那么，通過(guò)我們抽樣出的方法論，我們能做到什么效果呢？

效果一共有四個(gè)方面。第一，評(píng)估威脅等級(jí)，比如我們發(fā)現(xiàn)暗云木馬背后有80多個(gè)域名，我們就認(rèn)為暗云的危險(xiǎn)等級(jí)非常高，因?yàn)楣粢?guī)模非常大。第二，還原所有攻擊者資產(chǎn)，一窩端。第三，預(yù)測(cè)未來(lái)攻擊，暗云是個(gè)很好的例子，當(dāng)我們監(jiān)控了暗云已有的域名時(shí)，將來(lái)某一個(gè)時(shí)間點(diǎn)暗云木馬再次發(fā)起攻擊時(shí)，它所使用的資產(chǎn)就可以在被我們監(jiān)測(cè)到以后，第一時(shí)間攔截下來(lái)，變相達(dá)到了我們?nèi)ヮA(yù)測(cè)攻擊的目的，也達(dá)到了我們主動(dòng)防御的效果。

我們的黑客畫像系統(tǒng)會(huì)覆蓋到全球近三年來(lái)活躍的上百個(gè)APT組織，比如白象、海南花、Lazarus等，覆蓋的行業(yè)呢大概也是跟我們公司的客戶是保持一致的，也就是說(shuō)像金融能源政府互聯(lián)網(wǎng)這些行業(yè)和領(lǐng)域，我們都在保持關(guān)注和監(jiān)控。

我們希望更多的分析師加入我們，歡迎有意愿的安全同行加入微步在線。我的分享就是這些，謝謝大家！