亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

本文為微步在線威脅情報沙龍華南站的嘉賓樊興華的現(xiàn)場分享，樊興華是微步在線安全分析團隊負責人，他將回顧微步在線對暗云木馬的分析過程，并揭秘微步在線的追蹤溯源能力如何“煉成”。

今天給大家簡單分享一下我們在追蹤溯源方向上的一些經(jīng)驗和積累。

在分享開始之前，我想先向大家明確溯源的概念。通常意義上的溯源分兩種，一種是內部溯源，當企業(yè)被攻擊之后，企業(yè)的應急響應人員和安全管理人員需要對入侵做取證和分析，去尋找最開始的突破口，以及評估此次攻擊的影響，這個過程就屬于內部溯源。

另外一種屬于外部溯源。在內部溯源過程結束之后，安全人員會拿到入侵者所使用的木馬等工具。此時，安全人員要進一步把攻擊事件背后的信息提煉出來，做成畫像，進行溯源。比如攻擊者的個人信息，他是誰，他是哪里的人，他在攻擊中用了哪些資產(chǎn)，他的攻擊過程是否有一定的針對性？是針對行業(yè)還是針對地區(qū)？這個過程就是外部溯源。我今天分享的內容就屬于外部溯源。

先簡單介紹一下暗云木馬。暗云木馬經(jīng)歷了三代，從15年到17年，每年有一代更新。我們最近一次溯源分析是在17年4月份，也就是暗云三代木馬。

暗云木馬的目的其實很簡單，在早期是刷流量、做推廣、騙點擊，從而獲利。到了17年4月份，暗云木馬演化到第三代的時候，主要用來發(fā)起DDoS攻擊——它建立一個非常龐大的DDoS僵尸網(wǎng)絡，背后大概有四五百萬臺被控主機，暗云正是利用這樣一個龐大的DDoS僵尸網(wǎng)絡，發(fā)起一些DDoS攻擊，通過這種方式獲利。

暗云木馬另外一個顯著的特點，就是隱蔽性非常強。第一，暗云木馬完全基于內核，執(zhí)行過程中所有插件的下載、包括配置文件的下載，都是直接基于內存，沒有任何文件實體。第二，最開始的樣本有合法的數(shù)字簽名，來自深圳的一家公司。第三，因為暗云木馬是完全基于內核的，所以暗云木馬可以對抗主流的殺毒軟件，直接把相關殺毒軟件的主動防御功能關閉。

我們如果要調查暗云木馬，會面臨很多挑戰(zhàn)，第一，樣本取證非常困難，因為它是內核級的，所以我們只能通過DDoS的流量做簡單的流量分析，拿到一個主控域名。第二，暗云木馬在執(zhí)行過程中是通過Shellcode，所以我們的樣本分析也很困難。第三點是事后的分析，我們分析完之后，發(fā)現(xiàn)暗云木馬或者說木馬背后的攻擊者，他們的基礎設施網(wǎng)絡非常復雜、龐大。這是當時業(yè)界去溯源暗云木馬事件的時候碰到的幾個挑戰(zhàn)。

那么，微步在線是怎么分析的呢？

我們前面說到，我們當時拿到了一個唯一的域名，其實就是www.acsewle.com，我們在后端有一個追蹤溯源系統(tǒng)，通過追蹤溯源系統(tǒng)對這個域名做了分析之后，我們有了兩個發(fā)現(xiàn)：第一，就是上面這張圖，我們發(fā)現(xiàn)在那個紅色方框這塊里面的叫ads.haossk.com 這個域名，其實就是暗云二代的主控域名，而暗云二代的主控域名和暗云三代的唯一域名被我們的溯源系統(tǒng)發(fā)現(xiàn)有一定關聯(lián)性。第二，圖里的被紅色框圈出來的這些域名，也在分析后被認定是暗云三代木馬在執(zhí)行過程中所使用的其它的cc域名，也就是說，暗云木馬在執(zhí)行過程中，不只使用了一個主控域名，而是使用了多個主控域名，當然這個圖也只是列出了一部分。

我們最終的溯源分析結果如上圖所示，我們發(fā)現(xiàn)，第一，暗云三代的域名跟暗云二代的這個主控域名 haossk.com存在一定關聯(lián)，因為它們曾經(jīng)在某個時間段同時解析到23.234.26.89這個IP上面。第二個，通過四五級的往下拓線的關聯(lián)分析，我們發(fā)現(xiàn)了暗云木馬其實不止這一個主控域名。第三，我們也得到了暗云木馬基礎設施上的一些特點，首先暗云木馬解析的IP是集中分布在這兩個CC網(wǎng)站上，其次因為感染量大，流量很大，所以暗云木馬使用了CDN加速的方案，使用了國內一家CDN廠商提供的服務，再次，暗云三代的很大一部分主控域名使用了xundns的NS服務器，最終結果也顯示，這是國內的一家廠商。我們是通過前面這些，拿到了暗云三代以及背后團伙所擁有的80條資產(chǎn)，也就是80條域名。

這個效果其實是非常明顯的，因為我們整個分析過程中，只輸入了一個域名。通過對這個域名做追蹤溯源分析，我們就拿到了暗云三代所擁有的80個域名資產(chǎn)。

再說一下暗云木馬的追蹤。這張圖是在16年4月18號我們通過溯源系統(tǒng)得到的結果。

下面這張圖是大概半年之后，16年的11月3號，我們通過同樣的域名再做一次分析，發(fā)現(xiàn)輸出多了一個域名，就是標紅的域名ms.maimai666.com，其實我們事后分析，它就是暗云三代的一個域名。

一個月后，這個ip上又形成了一個叫www.acsewle.com，這個域名就是我們當時追蹤溯源暗云三代事件的時候，我們拿到的唯一域名。

這三張圖是為了說明什么？

第一，我們發(fā)現(xiàn)暗云三代開始活動時間是在16年11月份，這一點跟我們國內的其他廠商發(fā)布的結論可能不太一致。

第二，因為我們直接通過域名的ip的解析，只能定位到暗云木馬大概的活躍時間是從12年10月份開始，所以我們做了一個比較事后諸葛亮的假設，如果我們在16年的4月18號通過溯源系統(tǒng)對暗云木馬做日常的監(jiān)控，我們其實可以在16年11月3號就發(fā)現(xiàn)暗云三代開始活動的跡象，也就是新增的、從未被使用過的域名，而且一個月后又出現(xiàn)一個新的域名。

假如，我們在16年的時候，能夠去監(jiān)控暗云三代開始活動的跡象，同時把這個監(jiān)控的結果下發(fā)給的客戶，或者把這些信息公開披露出來放到我們的情報社區(qū)里共享給安全界，可能就不會導致幾百萬臺機器感染暗云三代木馬。

這是我們說的暗云木馬追蹤的一個案例。下面分享一下，我們在這個事件中抽象出的追蹤溯源方法論。

第一，我們必須有一定的樣本分析能力。通過樣本分析，我們可以提煉出樣本里面木馬所使用的cc、樣本的靜態(tài)特征，比如Yara特征等，然后我們可以通過溯源分析系統(tǒng)，對這個cc做一個追蹤溯源分析，就像分析暗云木馬的樣本。

在溯源分析完成之后，我們可以把這些結果存儲到數(shù)據(jù)庫，我們有一個監(jiān)控追蹤系統(tǒng)，每天更新黑客畫像系統(tǒng)里面錄入的域名、cc等信息。我們先做一個監(jiān)控，可以在第一時間發(fā)現(xiàn)它們的一些變化，這是具體的方法論。而樣本分析能力是所有安全分析師都必須具備的一種能力，我們通過多引擎或者沙箱去做分析，然后提取出像引擎的病毒名、家族名、主控域名等信息，還有像Yara行為簽名、ATT&CK模型等。我們微步在線其實也有一款微步在線云沙箱，從2015年公司創(chuàng)立，就已經(jīng)在內部研發(fā)并使用，只不過我們在2017年底才開始計劃把它拿到前臺，目前已經(jīng)上線，還在beta階段。

我們把沙箱從我們原來的社區(qū)里拆分出來，結合我們自己使用時的需求做成一條單獨的產(chǎn)品線。我們的沙箱完全免費，基于SaaS化，而且里面集成了我們自己情報分析情報提取的系統(tǒng)，最終輸出在安全報告里，可以用于事件分析以及安全設備，去做攔截的IOC。另外，我們還集成了數(shù)以千計的行為簽名，可以對樣本的行為做非常直觀的翻譯。

目前沙箱已經(jīng)支持了主流Windows、Linux、安卓等主流操作系統(tǒng)，數(shù)十種文件類型。區(qū)別于其他傳統(tǒng)廠商提供的沙箱服務，我們的沙箱能夠直接判定某個樣本是惡意還是非惡意，判定結果基于我們機器學習的決策樹算法。另外，我們的沙箱中也集成了微步在線五款情報分析系統(tǒng)，提取出來的情報IOC可以直接在報告里面反饋給用戶，用戶拿到這些IOC后，可以放到設備里面去做檢測和攔截。

剛剛說到樣本分析能力，我們在溯源分析的時候，應該如何著手去做呢？其實有幾個步驟，首先就是我們那個溯源模型里要有一些關鍵因子。

常見的因子包括域名、IP、Hash值，以及Passive DNS，再比如域名的注冊郵箱、域名的DNS記錄等，這些是比較基礎的關鍵因子。具體關聯(lián)模型其實很簡單，我們所說的關聯(lián)呢其實就是我們認為兩個因子之間有一定的關聯(lián)關系，那么我們就會用一條線來連接，最終產(chǎn)出的就是一個非常復雜，看起來不可讀的網(wǎng)狀結構。

我舉個簡單的例子，上圖是我們具體關聯(lián)模型里面關聯(lián)的一些點，比如就是域名的話，如果說他有他的子域名，他有二級子域名，我們認為這個域名跟他的子域名是有關聯(lián)的，另外就是域名曾經(jīng)解析的ip，包括當前解析ip，包括哪些樣本曾經(jīng)跟這個域名發(fā)生通信，這個域名的注冊郵箱注冊人信息等，這些我們都認為可能會有一定的關聯(lián)。

通過前面的關聯(lián)因子的關聯(lián)模型，最終得到一個原始結果：一張看起來非常亂非常不可讀的一張圖。那么如何把圖中的無關信息除掉呢？我們有幾個思路。第一，過濾原始結果，過濾的方法包括幾個模型，比如我們要識別域名販子的模型，因為我們做過濾的目的是要把那些跟攻擊者不相關的信息噪音剔除掉。域名販子是專門有一批人通過倒賣域名去盈利，典型的場景就是這個域名可能是在某一個域名販子的名下注冊，但是使用者可能已經(jīng)是另外的人了。這種情況下，這個域名雖然被使用，但已經(jīng)不屬于攻擊者的資產(chǎn)，我們就要剔除掉。類似的思路比如像CDN，因為CDN的IP其實也是類似的就是很多域名去共享IP，這些IP跟攻擊者沒有任何關聯(lián)，也不是攻擊者的資產(chǎn)，這些我們也要剔除掉。

過濾之后是判定。判定的方法也有幾個維度。第一，微步在線在云端有數(shù)十萬量級的商業(yè)情報庫；第二，我們自建了微步在線情報社區(qū)，每年有很多熱心的用戶給我們提交每年幾十萬的情報。一個典型的例子就是圖上的down2.b591.com，這是我們一個用戶提交的域名，最后被我們發(fā)現(xiàn)其實是一個主控域名。第三是類似DGA的隨機域名識別，正常域名可能不大用DGA模型去識別，只有一些惡意軟件和木馬為了躲避檢測才會使用DGA的算法，我們就可以通過這些模型去識別出隨機域名，然后對它做一個惡意判定。

其它類似仿冒域名、相似度、沙箱判定規(guī)則這些我們也會使用。在過濾和判定之后，我們的判定模型就已經(jīng)出來了，這就是我們溯源分析的模型。

其實我們所說的溯源模型就是微步在線的自動追蹤溯源的系統(tǒng)（Z），Z系統(tǒng)最大的特點就是支持一鍵自主溯源，支持對域名、IP、Hash等因子的分析。另外，Z系統(tǒng)里繼承了一些智能化分析模型，能夠去除無關的干擾。第三個特點是可以“一窩端”，最典型的就是暗云木馬，輸入一個域名，輸出背后攻擊者的80多條資產(chǎn)，攻擊者不管用什么方式發(fā)起攻擊，都會被攔截掉。

追蹤溯源系統(tǒng)適用的場景就是一些攻擊案件的調查溯源，比如高級APT攻擊，以及像普通的黑產(chǎn)類這種攻擊事件，都可以支持。此外我們是基于SaaS的服務，可以提供API，只需要將域名輸入，點一下自動分析，就不需要再做任何操作了。

下面說一下我們在監(jiān)控追蹤這方面的能力。我們后臺是有一個自動狩獵（Hunting）的系統(tǒng)，這個系統(tǒng)每天處理云端新增的數(shù)百萬的樣本及每天新增數(shù)百萬域名，這些新增數(shù)據(jù)都會被放到我們這個系統(tǒng)里去做規(guī)則的匹配。具體匹配的模型分兩種，一種是基于樣本維度的追蹤模型，另外一種是基于域名和IP的追蹤模型，最終我們能夠從這百萬級的樣本和數(shù)百萬級的域名里面輸出可能跟這個事件相關的一些結果，再加上分析師人工去確認。但是對于一些我們目前比較熟悉的黑客組織，比如像印度的白象，我們也基本不需要人工再去干預。

具體到樣本追蹤的模型，大概分這幾個維度：一是我們會基于多引擎輸出的樣本，比如名字和家族，二是通過代碼化的這種相似度的判定，比如像2017年5月份發(fā)生的WannaCry的事件，我們在追蹤溯源的時候，都是通過樣本里面某些代碼的相似度是一來初步判斷，然后去做Yara規(guī)則、行為簽名的模型。

前面說到的追蹤溯源Z系統(tǒng)是我們的付費產(chǎn)品，但是產(chǎn)品里的數(shù)據(jù)是從我們的X社區(qū)來的，大家應該比較熟悉了，在座很多人都用過。

X社區(qū)的一個特點是嗯有非常豐富的技術數(shù)據(jù)和情報數(shù)據(jù)，我們有七年的PDNS數(shù)據(jù)以及16年的Whois歷史數(shù)據(jù)。另外，我們在2017年也開始嘗試從原來單純的域名IP分析，轉變成情報共享社區(qū)，目前X社區(qū)是我們國內最大的情報共享社區(qū)。我們做X社區(qū)的初衷是，要在這個社區(qū)實現(xiàn)一站式的威脅分析，域名的信息、注冊人信息、DNS解析信息，運營商樣本信息，以及跟事件相關的信息都能夠在這里查詢。此外，X社區(qū)還提供了豐富、齊全的云端API。

那么，通過我們抽樣出的方法論，我們能做到什么效果呢？

效果一共有四個方面。第一，評估威脅等級，比如我們發(fā)現(xiàn)暗云木馬背后有80多個域名，我們就認為暗云的危險等級非常高，因為攻擊規(guī)模非常大。第二，還原所有攻擊者資產(chǎn)，一窩端。第三，預測未來攻擊，暗云是個很好的例子，當我們監(jiān)控了暗云已有的域名時，將來某一個時間點暗云木馬再次發(fā)起攻擊時，它所使用的資產(chǎn)就可以在被我們監(jiān)測到以后，第一時間攔截下來，變相達到了我們去預測攻擊的目的，也達到了我們主動防御的效果。

我們的黑客畫像系統(tǒng)會覆蓋到全球近三年來活躍的上百個APT組織，比如白象、海南花、Lazarus等，覆蓋的行業(yè)呢大概也是跟我們公司的客戶是保持一致的，也就是說像金融能源政府互聯(lián)網(wǎng)這些行業(yè)和領域，我們都在保持關注和監(jiān)控。

我們希望更多的分析師加入我們，歡迎有意愿的安全同行加入微步在線。我的分享就是這些，謝謝大家！