不是所有經(jīng)驗豐富的“老警察”真的都很“老”，比如 1982 年出生的薛鋒，他長得就很年輕。

薛鋒，現(xiàn)任主打威脅情報業(yè)務(wù)的創(chuàng)業(yè)公司“微步在線”CEO。這位從亞馬遜出來的專家，讓這家創(chuàng)業(yè)兩年多的安全公司發(fā)展到 70 多人的規(guī)模，三個月前完成了1.2億人民幣的 B 輪融資。

薛鋒的主要任務(wù)，就是帶領(lǐng)一群“偵查員”（俗稱分析師），盡可能多地收集更多的情報，在千絲萬縷中找出關(guān)聯(lián)，最后分析結(jié)果，“預(yù)測”哪些企業(yè)、哪些人、哪些地方將被網(wǎng)絡(luò)上看似來無影、去無蹤的黑客們“凌虐”。

以前，有一種“古老”的網(wǎng)絡(luò)追蹤手段叫做“人肉”，但追蹤一個黑客，比這個可復(fù)雜多了。

薛鋒等人的研究對象，比這個可能再復(fù)雜100倍——他們面對的大多數(shù)不是單兵作戰(zhàn)的黑客，而是行動迅速，配合默契的精英黑客團體。而這個世界現(xiàn)在有上百個精英黑客團體，從溫暖的東南亞分布到寒風(fēng)凜冽的西伯利亞。

強大的對手

這是一個復(fù)雜而艱巨的任務(wù)，在了解“怎么做”之前，我們先看看對手有多強大。

薛鋒對雷鋒網(wǎng)宅客頻道（微信ID：letshome）說，賽博世界的黑暗對手可能比現(xiàn)實世界的高智商罪犯更可怕?！皦娜恕北取昂萌恕庇袔讉€優(yōu)勢：

1.敵在暗，我在明。

攻擊者在發(fā)動攻擊之前，已經(jīng)將攻擊對象的情況摸了個底朝天，防衛(wèi)系統(tǒng)警報已經(jīng)拉響，就算應(yīng)急響應(yīng)再快，從知道到正確處置，這段時間差依然可以“發(fā)生很多事兒”。

2.不得不說，壞人的“老板”更舍得花錢，這意味著，壞人的資源和工具很多。

最近，雷鋒網(wǎng)宅客頻道看到了一個段子——

領(lǐng)導(dǎo)：我們安全很重要，要好好搞啊

安全負(fù)責(zé)人：好，公司可以花多少錢搞安全建設(shè)？

領(lǐng)導(dǎo)：要多少錢？

安全負(fù)責(zé)人：百把萬吧。

領(lǐng)導(dǎo)：我們能租嗎？

……

壞人已經(jīng)拿上了AK-47，好人還在小米加步槍。

“壞人手上的東西這些年變化非常大，增長也非常快。防護方企業(yè)花錢去買工具，老板會問投入產(chǎn)出比，我們很難回答，因為企業(yè)在安全方面的花費屬于成本，是在防止損失。壞人就不一樣，他買一個工具就可以搶銀行，投入產(chǎn)出比很高?！毖︿h對雷鋒網(wǎng)宅客頻道說。

3.人數(shù)不對等。

一個企業(yè)的安全團隊如果有數(shù)十人，已經(jīng)算“安全力量很強”，一般也就三四人，但卻要面對手拿重型武器、跨區(qū)域合作的黑客團體，還不止一個黑客團體。

4.買買買，但買的工具發(fā)現(xiàn)沒什么用，也不知道怎么用。

不管邊界圍得多好，敵人一定會進來。所以，邊界已經(jīng)不是企業(yè)的問題，敵人進來之后如果沒有更多的部署（比如，探針），很多工作根本沒法開展。

5.不知道對手是誰。企業(yè)跟對手的博弈，就像在打空氣。

發(fā)現(xiàn)了一臺機器中招，就把它當(dāng)一個普通的病毒格式化，但并不知道對手要干什么，不掌握對手的信息。

敵眾我寡、敵暗我明都這樣了，怎么玩？

這種情況下，當(dāng)然只能選擇“持久戰(zhàn)”，跟蹤敵手動態(tài)，從而在對方露出將要下手的蛛絲馬跡時，更早察覺、更早抵抗，從而彌補上面守衛(wèi)者所處的劣勢，消解反對方的優(yōu)勢。

這就是我們要說的“怎么做”。之前提到，薛鋒等人是“搞情報”的。從數(shù)據(jù)和情報收集到分析情報，有一個重要步驟——薛鋒將它稱之為“黑客畫像”，并要像偵探一般，挖出是誰在黑你，他們的動機是什么？

2015年，微步在線成立了一個名為 x.threatbook.cn 的情報社區(qū)。一開始，薛鋒只是想做個情報搜索引擎，后來才變成了情報社區(qū)，這個社區(qū)有幾萬注冊用戶，日活在幾千人左右，每天新情報的貢獻量保持在20萬~30萬條。

有兩類人比較積極地貢獻情報。

第一類，是報復(fù)式“貢獻”，別人搞我，我就曝光它。

前兩天有一個用戶留言稱，有2000個 IP 轟炸他們的短信、網(wǎng)關(guān)，他想曝光這 2000 個IP。這是一種心理——反正你搞我了，被我發(fā)現(xiàn)了，我就要還擊，共享你的信息，讓你搞不了別人。

第二類，是合作式貢獻，共享信息是為了獲得更多信息。對一個威脅事件進行共享后，隨后共享者會收到其他關(guān)于這次威脅事件的補充信息——了解事件全貌。

除了這些獨有信息，搞情報的安全公司都會有一些“不可說”的數(shù)據(jù)合作渠道，基于這些數(shù)據(jù)進行分析，為黑客畫像添上一筆。

薛鋒等人跟蹤的是黑客團伙，比如這個團伙有 A、B、C 三個人，以搶銀行為類比，他們最近是不是又搶了銀行？這次搶銀行又開的是什么車，用的什么新方法？要掌握這個團伙的歷史、行動軌跡以及它掌握的資產(chǎn)資源，如木馬、域名、數(shù)字證書等。

“如果這個黑客團伙有 10 輛車，5 輛停在地庫，根本沒有出來過，你怎么掌握？也許只有一個辦法，查證這些車是否登記在同一個駕駛證下。如果他的車從來都沒有開出來或者上過牌照怎么辦？我只能用他刷信用卡支付的記錄，來看他是不是買車了。”薛鋒說。

這是一個簡單的比喻，防守者利用關(guān)聯(lián)分析等掌握黑客團伙的情況。

當(dāng)然，之前也提到，世界上的精英團伙有幾百個，但他們這種專門做威脅情報分析的公司現(xiàn)在撐死也就70多個人，賽博世界瞬息萬變，怎么才能保持“眼睛”一直盯在這些黑客團伙身上？

薛鋒認(rèn)為：“很多的黑客團伙手里有很多東西，大家還有各種各樣的東西、兵器等，光靠分析師，速度、時間跟不上，對他們的這些監(jiān)測肯定要自動化。”

好的，說了半天，原來你告訴我除了分析師 A ，還有 A 的機器分身 A1 、A2、A3 等在幫他干活。事實上，除了自動化跟蹤及初步分析關(guān)鍵各類數(shù)據(jù)，還有自動修復(fù)。

但這是一個尚未實現(xiàn)的美好愿景。比如，對今后驗證過的補丁，可以自動化打補丁。比較理想的狀況是發(fā)現(xiàn)一家公司被攻擊了，系統(tǒng)連接第三方軟件直接打補丁。

案例：如何追蹤暗云三代木馬攻擊事件

by 微步在線首席分析師樊興華

微步在線通過溯源模型，對有印度政府背景的黑客團伙的白象、越南政府海蓮花以及針對金融行業(yè)的攻擊團伙進行分析。我們對國內(nèi)的黑產(chǎn)也在做一些分析。目前我們對全球上百個主流的攻擊事件，還有國內(nèi)黑產(chǎn)的小團伙也在做分析，我們通過畫像系統(tǒng)追蹤了上百個組織，進行追蹤分析，追蹤的團伙覆蓋了國內(nèi)大金融，包括能源、政府、互聯(lián)網(wǎng)主流的行業(yè)。

1.我們到底如何追蹤？

傳統(tǒng)意義上的溯源分兩種，一種是基于內(nèi)部的溯源，另一種是基于外部的溯源，內(nèi)部的溯源包括企業(yè)內(nèi)部入侵環(huán)境的分析、黑客使用工具、攻擊目的等。

下面聊的是基于外部的溯源分析，因為我們內(nèi)部的取證的環(huán)節(jié)已經(jīng)完成，如何根據(jù)內(nèi)部取證信息。如木馬、域名等進一步分析，拿到攻擊者畫像信息，比如攻擊者可能是誰，除了這次攻擊事件，他在其他的攻擊事件里還使用了哪些網(wǎng)絡(luò)資產(chǎn)，以及這個攻擊者喜歡使用哪些黑客工具，攻擊的目標(biāo)、行業(yè)、所在的地區(qū)等。

暗云攻擊工具從 2015 年開始發(fā)展及被發(fā)現(xiàn)，在2016年演變成暗云二代，2017年發(fā)展到三代。我們發(fā)現(xiàn)，暗云攻擊工具的目的從最開始通過推廣廣告、流量劫持到2017年已經(jīng)發(fā)展成了DDoS攻擊。

從技術(shù)來說，暗云非常高級的攻擊工具，它是內(nèi)核級的，為了躲避查殺，有一個合法的數(shù)字簽名。在執(zhí)行過程中，包括在最開始安裝、感染過程中，很多用戶名基于Shellcode。暗云也可以對國內(nèi)主流的殺軟進行對抗。

今年 6 月，客戶發(fā)現(xiàn)內(nèi)部機器一直在對外發(fā)起大流量的攻擊，但取證分析了很久，一直沒有找到任何可疑文件。如何溯源？是怎么被攻陷的？完全不清楚，這是我們在溯源過程中的一些挑戰(zhàn)，體現(xiàn)在三點：完全內(nèi)核級的攻擊工具取證非常難；樣本分析非常難，因為它是模塊化的，很多功能從服務(wù)器，通過遠控的命令下載下來，模塊非常多；它是基于Shellcode的，暗云控制的基礎(chǔ)設(shè)施非常多，在全球的感染量保持在數(shù)百萬臺的量級，流量非常大。

在客戶沒有任何樣本的情況下，找到了我們，我們拿到的唯一信息是一個惡意域名。經(jīng)過分析，這個域名是暗云在執(zhí)行過程中會下載一些插件，或者進行配制時使用一個惡意域名。

我們有一個溯源模型，在溯源過程中，也是基于這個溯源模型進行分析。我們拿到了攻擊者的其他攻擊資產(chǎn)，與其二代的關(guān)聯(lián)，分析出暗云三代的大概輪廓。

它的基礎(chǔ)設(shè)施有幾個特點，第一，暗云攻擊工具的解析IP集中分布在兩個網(wǎng)段；第二，暗云的主控域名習(xí)慣使用這個服務(wù)器作為它的域名解析服務(wù)器。第三；暗云感染量非常大，暗云采用了一些方式加速訪問。

最終，我們破解了暗云木馬背后的攻擊者所用的 80余個攻擊資產(chǎn)，通過溯源模型在分鐘級時間內(nèi)還原了暗云背后團伙的畫像信息。

2.追蹤的兩個維度

暗云追蹤分兩個維度，一個基于樣本的維度，一個是基于網(wǎng)絡(luò)資產(chǎn)的維度。

我們通過基于Yara的安全狩獵方式，提取了一些自解碼，還有它的一些函數(shù)名。整個暗云的追蹤主要基于網(wǎng)絡(luò)資產(chǎn)。比如同一個域名在 2016 年 4 月和 2016 年 11 月經(jīng)過溯源模型分析后，發(fā)現(xiàn)了明顯的改變，其新增的域名就是暗云三代的主控網(wǎng)絡(luò)資產(chǎn)，我們發(fā)現(xiàn)了暗云三代的簡單活動跡象。

2016 年 11 月，暗云二代的主控資產(chǎn)又產(chǎn)生了新的關(guān)聯(lián)信息，就是我們在暗云三代分析的過程中拿到的第一個，也是惟一一個網(wǎng)絡(luò)資產(chǎn)。

怎么追蹤？我們通過這種對比方式，發(fā)現(xiàn)暗云三代的大概時間是在2016年的11月，這跟國內(nèi)公司得出來的結(jié)論不太一致，很多公司認(rèn)為可能是在 2017 年4、5月。只不過在 6 月，暗云的活躍量很小，感染范圍很小。

我們在暗云的分析過程中應(yīng)用了樣本分析能力、溯源分析能力、畫像沉淀能力、監(jiān)控追蹤的能力。

以及通過Yara的方式做一些追蹤，以及監(jiān)控追蹤的模型。

3.上述四個能力怎么建設(shè)，具體方法是什么？

樣本分析是我們做安全分析的最原始、基本的能力。Yara這塊可以有一個簡單的比較好的方法。此外行為簽名，我們基于沙箱的行為簽名，通過沙箱對樣本的惡意行為做一些關(guān)鍵行為分析，形成一個行為的簽名，行為簽名在我們樣本分析里也是非常重要的。第五個就是ATT  CK，這是美國非營利機構(gòu)發(fā)布的關(guān)于攻擊事件、攻擊團伙常用的手法分析，它跟行為簽名非常類似。

打造溯源分析能力就是進行基于深度學(xué)習(xí)的溯源模型的建設(shè)。模型的輸入可以是域名、IP、Hash、PDNS、注冊電子郵件、注冊人。我們先畫一張原始的網(wǎng)狀圖，這張圖類似于蜘蛛網(wǎng)，非常復(fù)雜，這時如果用這種方法做溯源肯定是不可行的，里面有很多無用信息，我們需進一步過濾。過濾完之后，可能還會有很多黑的和灰的攙雜，我們還需進一步判定，最終才能得到我們想要的理想化模型。

具體的關(guān)聯(lián)模型是什么樣？我們模型首先域名它會有一些子域名，這個域名曾經(jīng)解析過哪些IP，歷史上解析過哪些 IP，當(dāng)前解析的 IP 是哪些，域名曾經(jīng)有哪些惡意樣本，或者非惡意樣本都可以，通過這種沙箱的數(shù)據(jù)，或者基礎(chǔ)網(wǎng)絡(luò)行為數(shù)據(jù)，通過畫像的方式會得到網(wǎng)狀的圖。

下一步，過濾，我們可能會通過多種維度去除無用的信息，里面可能會有很多的域名，其實不是這個攻擊者擁有的，可能有一千多個域名在一個IP上，往往是黑客或者正常人都會有這個行為。過濾完后進一步的判定，我們通過幾個維度，威脅情報訂閱、社區(qū)情報等等。最終通過過濾和判定，才能得到有效的信息，紅色的一般就是我們判定出來有問題的，跟這個攻擊事件關(guān)聯(lián)非常大的一個結(jié)果。

最后就是監(jiān)控追蹤能力。我們基于這種數(shù)據(jù)，再加上追蹤模型，最終得到疑似的結(jié)果。這里面最關(guān)鍵的有兩個，一就是基礎(chǔ)數(shù)據(jù)一定要足夠豐富，覆蓋度一定要足夠全，而不能只覆蓋國內(nèi)的，這樣國外的團伙追蹤效果很差。

下面說一下樣本追蹤的方法，同源的樣本非常類似。

第一，通過暗云事件，我們從一個攻擊資產(chǎn)可以發(fā)現(xiàn)背后攻擊者所擁有的80多個攻擊資產(chǎn)。

第二，達到一窩端的效果。對一個木馬進行分析，分析完的樣本信息，得出這個樣本的CC，這個報告就結(jié)束了。但是對我們來說遠遠不夠，我們通過溯源分析，拿到了這次攻擊事件、歷史攻擊事件的全部數(shù)據(jù)，放在我們的設(shè)備里，可以對攻擊者做全方面攔截，最終達到一窩端的效果。

第三，通過二代拿到三代的主控域名，我們可以在其發(fā)起攻擊前就實施攔截。

第四，通過預(yù)測，可以做防御。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。