不是所有經(jīng)驗(yàn)豐富的“老警察”真的都很“老”，比如 1982 年出生的薛鋒，他長(zhǎng)得就很年輕。

薛鋒，現(xiàn)任主打威脅情報(bào)業(yè)務(wù)的創(chuàng)業(yè)公司“微步在線”CEO。這位從亞馬遜出來(lái)的專家，讓這家創(chuàng)業(yè)兩年多的安全公司發(fā)展到 70 多人的規(guī)模，三個(gè)月前完成了1.2億人民幣的 B 輪融資。

薛鋒的主要任務(wù)，就是帶領(lǐng)一群“偵查員”（俗稱分析師），盡可能多地收集更多的情報(bào)，在千絲萬(wàn)縷中找出關(guān)聯(lián)，最后分析結(jié)果，“預(yù)測(cè)”哪些企業(yè)、哪些人、哪些地方將被網(wǎng)絡(luò)上看似來(lái)無(wú)影、去無(wú)蹤的黑客們“凌虐”。

以前，有一種“古老”的網(wǎng)絡(luò)追蹤手段叫做“人肉”，但追蹤一個(gè)黑客，比這個(gè)可復(fù)雜多了。

薛鋒等人的研究對(duì)象，比這個(gè)可能再?gòu)?fù)雜100倍——他們面對(duì)的大多數(shù)不是單兵作戰(zhàn)的黑客，而是行動(dòng)迅速，配合默契的精英黑客團(tuán)體。而這個(gè)世界現(xiàn)在有上百個(gè)精英黑客團(tuán)體，從溫暖的東南亞分布到寒風(fēng)凜冽的西伯利亞。

強(qiáng)大的對(duì)手

這是一個(gè)復(fù)雜而艱巨的任務(wù)，在了解“怎么做”之前，我們先看看對(duì)手有多強(qiáng)大。

薛鋒對(duì)雷鋒網(wǎng)宅客頻道（微信ID：letshome）說(shuō)，賽博世界的黑暗對(duì)手可能比現(xiàn)實(shí)世界的高智商罪犯更可怕?！皦娜恕北取昂萌恕庇袔讉€(gè)優(yōu)勢(shì)：

1.敵在暗，我在明。

攻擊者在發(fā)動(dòng)攻擊之前，已經(jīng)將攻擊對(duì)象的情況摸了個(gè)底朝天，防衛(wèi)系統(tǒng)警報(bào)已經(jīng)拉響，就算應(yīng)急響應(yīng)再快，從知道到正確處置，這段時(shí)間差依然可以“發(fā)生很多事兒”。

2.不得不說(shuō)，壞人的“老板”更舍得花錢(qián)，這意味著，壞人的資源和工具很多。

最近，雷鋒網(wǎng)宅客頻道看到了一個(gè)段子——

領(lǐng)導(dǎo)：我們安全很重要，要好好搞啊

安全負(fù)責(zé)人：好，公司可以花多少錢(qián)搞安全建設(shè)？

領(lǐng)導(dǎo)：要多少錢(qián)？

安全負(fù)責(zé)人：百把萬(wàn)吧。

領(lǐng)導(dǎo)：我們能租嗎？

……

壞人已經(jīng)拿上了AK-47，好人還在小米加步槍。

“壞人手上的東西這些年變化非常大，增長(zhǎng)也非?？?。防護(hù)方企業(yè)花錢(qián)去買(mǎi)工具，老板會(huì)問(wèn)投入產(chǎn)出比，我們很難回答，因?yàn)槠髽I(yè)在安全方面的花費(fèi)屬于成本，是在防止損失。壞人就不一樣，他買(mǎi)一個(gè)工具就可以搶銀行，投入產(chǎn)出比很高?！毖︿h對(duì)雷鋒網(wǎng)宅客頻道說(shuō)。

3.人數(shù)不對(duì)等。

一個(gè)企業(yè)的安全團(tuán)隊(duì)如果有數(shù)十人，已經(jīng)算“安全力量很強(qiáng)”，一般也就三四人，但卻要面對(duì)手拿重型武器、跨區(qū)域合作的黑客團(tuán)體，還不止一個(gè)黑客團(tuán)體。

4.買(mǎi)買(mǎi)買(mǎi)，但買(mǎi)的工具發(fā)現(xiàn)沒(méi)什么用，也不知道怎么用。

不管邊界圍得多好，敵人一定會(huì)進(jìn)來(lái)。所以，邊界已經(jīng)不是企業(yè)的問(wèn)題，敵人進(jìn)來(lái)之后如果沒(méi)有更多的部署（比如，探針），很多工作根本沒(méi)法開(kāi)展。

5.不知道對(duì)手是誰(shuí)。企業(yè)跟對(duì)手的博弈，就像在打空氣。

發(fā)現(xiàn)了一臺(tái)機(jī)器中招，就把它當(dāng)一個(gè)普通的病毒格式化，但并不知道對(duì)手要干什么，不掌握對(duì)手的信息。

敵眾我寡、敵暗我明都這樣了，怎么玩？

這種情況下，當(dāng)然只能選擇“持久戰(zhàn)”，跟蹤敵手動(dòng)態(tài)，從而在對(duì)方露出將要下手的蛛絲馬跡時(shí)，更早察覺(jué)、更早抵抗，從而彌補(bǔ)上面守衛(wèi)者所處的劣勢(shì)，消解反對(duì)方的優(yōu)勢(shì)。

這就是我們要說(shuō)的“怎么做”。之前提到，薛鋒等人是“搞情報(bào)”的。從數(shù)據(jù)和情報(bào)收集到分析情報(bào)，有一個(gè)重要步驟——薛鋒將它稱之為“黑客畫(huà)像”，并要像偵探一般，挖出是誰(shuí)在黑你，他們的動(dòng)機(jī)是什么？

2015年，微步在線成立了一個(gè)名為 x.threatbook.cn 的情報(bào)社區(qū)。一開(kāi)始，薛鋒只是想做個(gè)情報(bào)搜索引擎，后來(lái)才變成了情報(bào)社區(qū)，這個(gè)社區(qū)有幾萬(wàn)注冊(cè)用戶，日活在幾千人左右，每天新情報(bào)的貢獻(xiàn)量保持在20萬(wàn)~30萬(wàn)條。

有兩類人比較積極地貢獻(xiàn)情報(bào)。

第一類，是報(bào)復(fù)式“貢獻(xiàn)”，別人搞我，我就曝光它。

前兩天有一個(gè)用戶留言稱，有2000個(gè) IP 轟炸他們的短信、網(wǎng)關(guān)，他想曝光這 2000 個(gè)IP。這是一種心理——反正你搞我了，被我發(fā)現(xiàn)了，我就要還擊，共享你的信息，讓你搞不了別人。

第二類，是合作式貢獻(xiàn)，共享信息是為了獲得更多信息。對(duì)一個(gè)威脅事件進(jìn)行共享后，隨后共享者會(huì)收到其他關(guān)于這次威脅事件的補(bǔ)充信息——了解事件全貌。

除了這些獨(dú)有信息，搞情報(bào)的安全公司都會(huì)有一些“不可說(shuō)”的數(shù)據(jù)合作渠道，基于這些數(shù)據(jù)進(jìn)行分析，為黑客畫(huà)像添上一筆。

薛鋒等人跟蹤的是黑客團(tuán)伙，比如這個(gè)團(tuán)伙有 A、B、C 三個(gè)人，以搶銀行為類比，他們最近是不是又搶了銀行？這次搶銀行又開(kāi)的是什么車，用的什么新方法？要掌握這個(gè)團(tuán)伙的歷史、行動(dòng)軌跡以及它掌握的資產(chǎn)資源，如木馬、域名、數(shù)字證書(shū)等。

“如果這個(gè)黑客團(tuán)伙有 10 輛車，5 輛停在地庫(kù)，根本沒(méi)有出來(lái)過(guò)，你怎么掌握？也許只有一個(gè)辦法，查證這些車是否登記在同一個(gè)駕駛證下。如果他的車從來(lái)都沒(méi)有開(kāi)出來(lái)或者上過(guò)牌照怎么辦？我只能用他刷信用卡支付的記錄，來(lái)看他是不是買(mǎi)車了。”薛鋒說(shuō)。

這是一個(gè)簡(jiǎn)單的比喻，防守者利用關(guān)聯(lián)分析等掌握黑客團(tuán)伙的情況。

當(dāng)然，之前也提到，世界上的精英團(tuán)伙有幾百個(gè)，但他們這種專門(mén)做威脅情報(bào)分析的公司現(xiàn)在撐死也就70多個(gè)人，賽博世界瞬息萬(wàn)變，怎么才能保持“眼睛”一直盯在這些黑客團(tuán)伙身上？

薛鋒認(rèn)為：“很多的黑客團(tuán)伙手里有很多東西，大家還有各種各樣的東西、兵器等，光靠分析師，速度、時(shí)間跟不上，對(duì)他們的這些監(jiān)測(cè)肯定要自動(dòng)化?！?/p>

好的，說(shuō)了半天，原來(lái)你告訴我除了分析師 A ，還有 A 的機(jī)器分身 A1 、A2、A3 等在幫他干活。事實(shí)上，除了自動(dòng)化跟蹤及初步分析關(guān)鍵各類數(shù)據(jù)，還有自動(dòng)修復(fù)。

但這是一個(gè)尚未實(shí)現(xiàn)的美好愿景。比如，對(duì)今后驗(yàn)證過(guò)的補(bǔ)丁，可以自動(dòng)化打補(bǔ)丁。比較理想的狀況是發(fā)現(xiàn)一家公司被攻擊了，系統(tǒng)連接第三方軟件直接打補(bǔ)丁。

案例：如何追蹤暗云三代木馬攻擊事件

by 微步在線首席分析師樊興華

微步在線通過(guò)溯源模型，對(duì)有印度政府背景的黑客團(tuán)伙的白象、越南政府海蓮花以及針對(duì)金融行業(yè)的攻擊團(tuán)伙進(jìn)行分析。我們對(duì)國(guó)內(nèi)的黑產(chǎn)也在做一些分析。目前我們對(duì)全球上百個(gè)主流的攻擊事件，還有國(guó)內(nèi)黑產(chǎn)的小團(tuán)伙也在做分析，我們通過(guò)畫(huà)像系統(tǒng)追蹤了上百個(gè)組織，進(jìn)行追蹤分析，追蹤的團(tuán)伙覆蓋了國(guó)內(nèi)大金融，包括能源、政府、互聯(lián)網(wǎng)主流的行業(yè)。

1.我們到底如何追蹤？

傳統(tǒng)意義上的溯源分兩種，一種是基于內(nèi)部的溯源，另一種是基于外部的溯源，內(nèi)部的溯源包括企業(yè)內(nèi)部入侵環(huán)境的分析、黑客使用工具、攻擊目的等。

下面聊的是基于外部的溯源分析，因?yàn)槲覀儍?nèi)部的取證的環(huán)節(jié)已經(jīng)完成，如何根據(jù)內(nèi)部取證信息。如木馬、域名等進(jìn)一步分析，拿到攻擊者畫(huà)像信息，比如攻擊者可能是誰(shuí)，除了這次攻擊事件，他在其他的攻擊事件里還使用了哪些網(wǎng)絡(luò)資產(chǎn)，以及這個(gè)攻擊者喜歡使用哪些黑客工具，攻擊的目標(biāo)、行業(yè)、所在的地區(qū)等。

暗云攻擊工具從 2015 年開(kāi)始發(fā)展及被發(fā)現(xiàn)，在2016年演變成暗云二代，2017年發(fā)展到三代。我們發(fā)現(xiàn)，暗云攻擊工具的目的從最開(kāi)始通過(guò)推廣廣告、流量劫持到2017年已經(jīng)發(fā)展成了DDoS攻擊。

從技術(shù)來(lái)說(shuō)，暗云非常高級(jí)的攻擊工具，它是內(nèi)核級(jí)的，為了躲避查殺，有一個(gè)合法的數(shù)字簽名。在執(zhí)行過(guò)程中，包括在最開(kāi)始安裝、感染過(guò)程中，很多用戶名基于Shellcode。暗云也可以對(duì)國(guó)內(nèi)主流的殺軟進(jìn)行對(duì)抗。

今年 6 月，客戶發(fā)現(xiàn)內(nèi)部機(jī)器一直在對(duì)外發(fā)起大流量的攻擊，但取證分析了很久，一直沒(méi)有找到任何可疑文件。如何溯源？是怎么被攻陷的？完全不清楚，這是我們?cè)谒菰催^(guò)程中的一些挑戰(zhàn)，體現(xiàn)在三點(diǎn)：完全內(nèi)核級(jí)的攻擊工具取證非常難；樣本分析非常難，因?yàn)樗悄K化的，很多功能從服務(wù)器，通過(guò)遠(yuǎn)控的命令下載下來(lái)，模塊非常多；它是基于Shellcode的，暗云控制的基礎(chǔ)設(shè)施非常多，在全球的感染量保持在數(shù)百萬(wàn)臺(tái)的量級(jí)，流量非常大。

在客戶沒(méi)有任何樣本的情況下，找到了我們，我們拿到的唯一信息是一個(gè)惡意域名。經(jīng)過(guò)分析，這個(gè)域名是暗云在執(zhí)行過(guò)程中會(huì)下載一些插件，或者進(jìn)行配制時(shí)使用一個(gè)惡意域名。

我們有一個(gè)溯源模型，在溯源過(guò)程中，也是基于這個(gè)溯源模型進(jìn)行分析。我們拿到了攻擊者的其他攻擊資產(chǎn)，與其二代的關(guān)聯(lián)，分析出暗云三代的大概輪廓。

它的基礎(chǔ)設(shè)施有幾個(gè)特點(diǎn)，第一，暗云攻擊工具的解析IP集中分布在兩個(gè)網(wǎng)段；第二，暗云的主控域名習(xí)慣使用這個(gè)服務(wù)器作為它的域名解析服務(wù)器。第三；暗云感染量非常大，暗云采用了一些方式加速訪問(wèn)。

最終，我們破解了暗云木馬背后的攻擊者所用的 80余個(gè)攻擊資產(chǎn)，通過(guò)溯源模型在分鐘級(jí)時(shí)間內(nèi)還原了暗云背后團(tuán)伙的畫(huà)像信息。

2.追蹤的兩個(gè)維度

暗云追蹤分兩個(gè)維度，一個(gè)基于樣本的維度，一個(gè)是基于網(wǎng)絡(luò)資產(chǎn)的維度。

我們通過(guò)基于Yara的安全狩獵方式，提取了一些自解碼，還有它的一些函數(shù)名。整個(gè)暗云的追蹤主要基于網(wǎng)絡(luò)資產(chǎn)。比如同一個(gè)域名在 2016 年 4 月和 2016 年 11 月經(jīng)過(guò)溯源模型分析后，發(fā)現(xiàn)了明顯的改變，其新增的域名就是暗云三代的主控網(wǎng)絡(luò)資產(chǎn)，我們發(fā)現(xiàn)了暗云三代的簡(jiǎn)單活動(dòng)跡象。

2016 年 11 月，暗云二代的主控資產(chǎn)又產(chǎn)生了新的關(guān)聯(lián)信息，就是我們?cè)诎翟迫治龅倪^(guò)程中拿到的第一個(gè)，也是惟一一個(gè)網(wǎng)絡(luò)資產(chǎn)。

怎么追蹤？我們通過(guò)這種對(duì)比方式，發(fā)現(xiàn)暗云三代的大概時(shí)間是在2016年的11月，這跟國(guó)內(nèi)公司得出來(lái)的結(jié)論不太一致，很多公司認(rèn)為可能是在 2017 年4、5月。只不過(guò)在 6 月，暗云的活躍量很小，感染范圍很小。

我們?cè)诎翟频姆治鲞^(guò)程中應(yīng)用了樣本分析能力、溯源分析能力、畫(huà)像沉淀能力、監(jiān)控追蹤的能力。

以及通過(guò)Yara的方式做一些追蹤，以及監(jiān)控追蹤的模型。

3.上述四個(gè)能力怎么建設(shè)，具體方法是什么？

樣本分析是我們做安全分析的最原始、基本的能力。Yara這塊可以有一個(gè)簡(jiǎn)單的比較好的方法。此外行為簽名，我們基于沙箱的行為簽名，通過(guò)沙箱對(duì)樣本的惡意行為做一些關(guān)鍵行為分析，形成一個(gè)行為的簽名，行為簽名在我們樣本分析里也是非常重要的。第五個(gè)就是ATT  CK，這是美國(guó)非營(yíng)利機(jī)構(gòu)發(fā)布的關(guān)于攻擊事件、攻擊團(tuán)伙常用的手法分析，它跟行為簽名非常類似。

打造溯源分析能力就是進(jìn)行基于深度學(xué)習(xí)的溯源模型的建設(shè)。模型的輸入可以是域名、IP、Hash、PDNS、注冊(cè)電子郵件、注冊(cè)人。我們先畫(huà)一張?jiān)嫉木W(wǎng)狀圖，這張圖類似于蜘蛛網(wǎng)，非常復(fù)雜，這時(shí)如果用這種方法做溯源肯定是不可行的，里面有很多無(wú)用信息，我們需進(jìn)一步過(guò)濾。過(guò)濾完之后，可能還會(huì)有很多黑的和灰的攙雜，我們還需進(jìn)一步判定，最終才能得到我們想要的理想化模型。

具體的關(guān)聯(lián)模型是什么樣？我們模型首先域名它會(huì)有一些子域名，這個(gè)域名曾經(jīng)解析過(guò)哪些IP，歷史上解析過(guò)哪些 IP，當(dāng)前解析的 IP 是哪些，域名曾經(jīng)有哪些惡意樣本，或者非惡意樣本都可以，通過(guò)這種沙箱的數(shù)據(jù)，或者基礎(chǔ)網(wǎng)絡(luò)行為數(shù)據(jù)，通過(guò)畫(huà)像的方式會(huì)得到網(wǎng)狀的圖。

下一步，過(guò)濾，我們可能會(huì)通過(guò)多種維度去除無(wú)用的信息，里面可能會(huì)有很多的域名，其實(shí)不是這個(gè)攻擊者擁有的，可能有一千多個(gè)域名在一個(gè)IP上，往往是黑客或者正常人都會(huì)有這個(gè)行為。過(guò)濾完后進(jìn)一步的判定，我們通過(guò)幾個(gè)維度，威脅情報(bào)訂閱、社區(qū)情報(bào)等等。最終通過(guò)過(guò)濾和判定，才能得到有效的信息，紅色的一般就是我們判定出來(lái)有問(wèn)題的，跟這個(gè)攻擊事件關(guān)聯(lián)非常大的一個(gè)結(jié)果。

最后就是監(jiān)控追蹤能力。我們基于這種數(shù)據(jù)，再加上追蹤模型，最終得到疑似的結(jié)果。這里面最關(guān)鍵的有兩個(gè)，一就是基礎(chǔ)數(shù)據(jù)一定要足夠豐富，覆蓋度一定要足夠全，而不能只覆蓋國(guó)內(nèi)的，這樣國(guó)外的團(tuán)伙追蹤效果很差。

下面說(shuō)一下樣本追蹤的方法，同源的樣本非常類似。

第一，通過(guò)暗云事件，我們從一個(gè)攻擊資產(chǎn)可以發(fā)現(xiàn)背后攻擊者所擁有的80多個(gè)攻擊資產(chǎn)。

第二，達(dá)到一窩端的效果。對(duì)一個(gè)木馬進(jìn)行分析，分析完的樣本信息，得出這個(gè)樣本的CC，這個(gè)報(bào)告就結(jié)束了。但是對(duì)我們來(lái)說(shuō)遠(yuǎn)遠(yuǎn)不夠，我們通過(guò)溯源分析，拿到了這次攻擊事件、歷史攻擊事件的全部數(shù)據(jù)，放在我們的設(shè)備里，可以對(duì)攻擊者做全方面攔截，最終達(dá)到一窩端的效果。

第三，通過(guò)二代拿到三代的主控域名，我們可以在其發(fā)起攻擊前就實(shí)施攔截。

第四，通過(guò)預(yù)測(cè)，可以做防御。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。