干货|2015中国网络安全大会之大师讲堂
作者:星期五, 七月 3, 20150

《内存战争20年》

0_副本腾讯玄武实验室负责人于旸

史前

1972年,James P· Anderson在为美国空军写《计算安全技术规划研究》,非常清晰地描述了木马、后门以及缓冲器溢出的细节。
1988年Morris蠕虫在数小时内感染了当时互联网所有服务器的10%,但即使在Morris蠕虫发生很长一段时间之后,很多程序员仍然认为缓冲区溢出类的用户只是导致一部分程序崩溃的Bug,相关技术只在非常小的圈子里被讨论。

正史

1995年,出现了第一篇公开讨论漏洞利用技术的文章,之前没有防御者,只有攻击者,所以不能称之为战争。

1997年,Sun公司在Solaris2.6中借助SPARC处理器的新特性,实现了禁止执行堆栈上的代码。同年,StackGuard技术出现。至此基于软件和硬件的两套漏洞防御思路,同在1997年诞生。与此同时,绕过这两种技术的对抗技术也诞生了。

“那段时间,整个安全研究界的气氛是非常好的,非常多的聪明人在这个领域里,而且毫无保留地发表自己各种想法。但从整体来说对漏洞的认识进展仍然比较缓慢,包括一开始大家认为缓冲区溢出的问题只能在Unix系统上实现。”

1998年到1999年,安全社区提出了成熟的Windows缓冲区溢出漏洞利用技术。如DilDog写的缓冲区溢出,这主要是堆栈溢出。还有一篇针对 Sun SPARPC硬件体系的分析文章。

2003年,微软新发布的Visual Studio中新增了类似StackGuard的软件保护机制。
2009年,神仙打架的战场从从服务器烧到个人电脑,之后又烧到了手机。Android系统在2009年引入了类似StackGuard的机制,2010年引入了内存不可执行(No-EXecute),2011年引入了地址随机化(ASLR),2013年把SEAndroid技术引进进去。

总结

总结一下漏洞相关的技术,可以粗略地与人类文明的发展相对照。人类文明经历原始狩猎采集、农业耕种养殖和工业制造与合成。漏洞的挖掘、攻击和防御这三块领域其实也类似。

漏洞挖掘在早期是靠个人动手,逐步发展开始有一些自动化和工程化,到了今天已经发展成非常成熟的工业体系。攻击也是这样。最早我们可以把早期的漏洞攻击方法抽象成为利用内存中的数据,发展中期则是创造数据的技术,到今天发展为在内存中进行字节级的控制。相应的防御领域已经发展到“纵深防御”的阶段,最典型的厂商就是微软。

微软的思路是减少可利用的漏洞:

以微软新推出的延迟释放和隔离堆等技术为代表;

降低漏洞利用成功率;

增加漏洞代码编写成本,对抗最终是成本对抗;

降低漏洞利用带来的危害,以沙箱技术为代表。

 

从更大的视角来看,漏洞防御已经从早期的单点发展到造的一个词“全时视野”,从设计时到开发时、到编译时、到运行时,每一时都有相应的技术体系和方法去保障。同时,通过业界合作,上游、下游,微软相当于在中间,上游是英特尔,下游以Adobe为代表的开展业界合作。我们知道与Adobe合作,微软把Adobe漏洞纳入到自己的安全公告体系里。社区建设,包括赞助活动、举办会议、悬赏奖励等等。

无论是攻击还是防御技术,都已经进入综合、融合、协同、多维度的发展阶段。在内存战争进行了20年后的今天,我们会议一下这20年中发生和发展的事情,再去想象一下未来的这种战争。首先是没有结束,其次会更加精彩!
《心脏出血漏洞一周年》

1_副本 - 副本知道创宇CTO杨冀龙

一、漏洞说明

这个堪称跨纪元危害的漏洞,其原理很简单。在访问加密服务器时,这个漏洞会随机泄露64K的内存。刷新量大的话,比如1千万次,1亿次,就能刷出很多有价值的信息出来,如用户名、密码、账户余额、购物信息等。

“当时有个笑话,漏洞出现的当天,全中国的黑客要么在买硬盘,要么在买硬盘的路上。”

二、漏洞影响态势

漏洞第一天,全球23万台主机受到影响。美国受影响面积最广,朝鲜例外。越南比较神奇排第三。

美国重要的信息系统,或加密使用的信息系统占了34%,中国占了1%,有一种说法,美国是中国互联网发达的34倍。还有一种重要的解读,中国还有重要的信息系统,但没有加密,所以不能这样算。换个角度来说,美国重要的信息系统注重安全性也是中国的34倍。

三、漏洞修复态势

漏洞第三天,在漏洞修复率上可看出全球网络应对能力的比例。美国49%、澳大利亚46%,法国45%、越南43%、日本32%,马来西亚25%等等,中间省略了100个,然后到中国18%。中国的应对能力和中国的足球差不多一个水平。还有垫底的兄弟,韩国、台湾、俄罗斯、费率等等,所以我们也不能妄自菲薄。

从行业上来看,美国众议院、联邦贸易委员会它的军事装备提供商银行,还有电力、天然气承包商、石油运输公司、电信承包商等等第一天就做了安全修复。

一周年之后,全球修复率85%。日本以及台湾、德国已经赶上,但中国只有互联网厂商在漏洞爆发第一天很快修复。中国的国家政策和安全意识还是需要提高的,一方面风险应急能力是国家的事儿,另一方面也是企业的事儿、法律的事儿、还有公众意识的事儿。所以,从一个漏洞来看,中国互联网应变能力相比全球它是在下降的。但漏洞泄露隐私关系到我们每个人,里面有很多的工作可做。国家做行政机构,个人甚至服务商三方应该互动把漏洞问题进一步解决,而且通过感知能力,相比全球中国还是有很多发展空间。

《没牙的老虎这些年》

1_副本IDF联合实验室创始人万涛

1987年国家信息中心信息安全处成立,这是中国在信息安全事业上的起步。

1988年小球病毒(乒乓病毒)传入中国。

1991年,瑞星防病毒卡问世。后来是江民,整个产业的繁荣差不多一直可以算到2008年,之后就开始走下坡路。

其中的一些关键人物:

CIH病毒的制造者陈盈豪,本月的乌云白帽子大会上会见到他。

熊猫烧香的作者李俊,出狱后大家知道,又进去了。

做黑客教学的孤独剑客,一不小心自己还是进去了。

1995年,趋势借壳再次进入中国市场。

1999年,广东成立全国第一个成立省级信息安全协会。当时安全一个重要的事件就是千年虫。

2001年,中美黑客大战以后,中国愤青黑客登上舞台。此事在安全圈有很大的争议,但它客观上对安全还是起了一个作用。当时中美黑客大战爆发,启明星辰成为第一个采取应对行动的公司。蓝盾则在2001年推出蓝盾防火墙,后来这家公司上市了。

“中国的安全产业值得拍个纪录片,故事、段子非常丰富,非常多的事情,所以我称之为‘暗度陈仓’。”

之后安全公司处于蓬勃发展期,1998年国家信息安全委员会举办的第一届中国信息安全会议,只有30家左右的安全公司。只有5家做信息安全,其他25家全部是做加密、保密方面。自2001年之后,每年大概有200家左右的增幅,最多时候防火墙品牌大概50多个。

到了2005年、06年奇虎360出现,发起反流氓软件的运动,之后就是3Q大战。

“3Q大战也是重要的里程碑,两虎相争,成语说必有一伤,我们说不是,是一地鸡毛。”

2005年之后黑产逐步形成,从2005年到2014年是由粗放到明确的模式,它和纵深安全体系是完全不同的,它是完全碎片化的,比如专门有卖库的,有专门做中介的。还有专门做AV产业的中介,要把AV网站的库脱了找人去做,然后卖给另外一家新创的AV公司。也有挂马以后做文件整理的,像电子垃圾一样把文件打包卖,在QQ群贴出一些截图,让你大概看一些内容,然后像买玉赌石一样来谈,有可能是公开的东西没有用,也有可能是好东西。这种交易是明目张胆的。

从提权买站刷库交易代理化也有,在微博私信里有一些小黑单,有一些在交易群里,有明显的代理化的趋势。社工库量级已经非常客观了,只是有些做得好的,变成可以做检索的,加上数据库索引把一些库做成并库,通过不断装库去扩大它。随着移动端的发展,短信拦截木马等等产业也可以逐步细化,形成专业分工。

黑客工具,早期有刷挂工具交你学黑客,逐渐变成黑产的工具,以前熊猫烧香写出来之后别人拿着这个工具去倒手,有人去做代理和分发。所以,李俊并没有得到多少钱,但产业链大概2000万左右。它也只是提供服务,只是租软件,还有DDOS。

网络黑产升级趋势,资金敲诈还是比较头疼的问题,它已经成为产业化的趋势。前段时间有网络运营商在海外有500台物理机,想迁到云端,他唯一的理由是每天有200个DDOS,谁能帮我解决?

虎变三十而立,从1986到2015年,差不多30年,这是只打盹的老虎。未来场景下虎变还有哪些因素决定这个虎的成长?

一是网速问题,克强总理推“互联网+”,很重要的一个因素,要网速提起来。

二是终端+云端的变化,现在大家都在博,不管雷军的小米还是华为,还是周教授……硬件并不重要,只是一个终端而已,这些都对安全模式会产生影响,可以看到产业里一些动作,不管阿里还是腾讯的并购,BAT的一些并购,大家布局的格局已经很大层面加强云端的安全,终端基本上只是在手机上,PC上免费的模式已经基本形成。

三是智能硬件,就是万物互联的影响……随着Wi-Fi的推广,安全问题日益严重。360工程师在3.15上建议不要用Wi-Fi,要用主流运营商的3G、4G网络。这也是一种安全环境和挑战。

“没牙的老虎”是指这个行业的颜值和关注度足够了,但它真的有威慑力吗?网络安全能力俄罗斯第一,中国不算最差,与美国都有一定程度的接近……《穹顶之下》影响很大,还是没牙的老虎,因为惩罚成本太低了。

2014年整个信息安全的收入,赛迪的数据是738亿,超出当初我们在2005年左右的评估……美国是做全球市场的,我们主要是中国市场,这个空间还有很大的上升空间,随着国安委的成立和态势演绎,绝对不只是中美之间的PK,它确实会有很大的竞合空间。所以,我们相信它会有更大的成长。

虽然有老虎的体量,但还没有老虎的牙齿,虽然本身很喧哗,没有产业的力量,它不能对外抗衡,保护我们互联网产业的能力。

“我相信技术会改变世界,但我们做安全的会一直呵护未来。谢谢大家!”

《Threat Intelligence:信息还是情报?》

3_副本瀚海源创始人方兴

现代情报学对情报重新进行了定义,信息是原料,情报是产品,情报是我们基于信息并且加上人工自然推测,人智能在里面,最后生成的对一个东西的分析,包括一些预测在里面,把这些称之为情报。

“中国的情报在这个定义是在走反方向的。1992年科委有个情报司,但1992年叫科技信息司,他不认为是情报,认为情报是信息。”

情报学里强调情报是帮助组织获得竞争优势的,所以它对的是你决策这一层。安全情报当中,不仅是赢得对抗的优势,因为在竞争情报学当中你是有对手的,情报与安全的情报学当中也是有对手的,但在传统的情报学当中它不会描述你的对手。在核心工作上就有了很典型的差异,传统情报学强调我要把有价值的信息给找到就OK了,我只是找。但是竞争情报学,情报与安全学强调预测、决策,情报的使命是帮助预测一件事情,补充组织上层做出合理的决策……所以,情报与安全信息学当中,“9·11”之后针对反恐分支当中特别强调它很大工作,就是要去关注组织和人的关系描述,包括人的行为和意图的分析。

现在我们知道威胁情报的定义,最有名的几家,比如McAfee、FREEZE,强调所有的信息将恶意的样本库、情报库称之为情报,最多只能叫信息和知识,它们可以说是情报吗?可以说是,严格来说只是传统的情报,但延伸出有价值的信息,并不能真正帮助组织去做抉择,帮助组织做预测,不能锁定你对抗的对手是谁。所有产业都把情报延续着老式的图书馆情报学对威胁情报的定义,他们的威胁情报的定义我认为不适应现代真正的竞争。因为我们现在已经明确知道,安全当中我们最大的威胁是来自于组织的对抗,来自于跟人和组织的对抗,而不是你知道是谁定义的。

作为防御者、最终用户角度来说他首先要知道我的弱点在哪里,不仅知道攻击者在哪儿,怎么打进来的,你能把整个攻击脉络告诉我,做不到,你告诉他攻击的脉络有什么用。那么对手是什么样的,对手在哪里?有什么样的攻击能力?对手是谁?核心目标是什么?他有什么意图?所有产业提出的威胁情报我认为都不能回答用户这种问题。或许通过这种威胁情报能够增加一些防御者的能力,但并不能够真正为防御者解决真正的问题。

威胁方来说一定要摸清楚防御方我想偷你的东西,窃取有价值的东西,破坏你的东西,一定要了解你的价值点在哪里?你有什么东西值得我破坏,你系统的内部构成是怎样的,我怎样通过这个脉络拿到我的东西,你的防御体系是怎样,你的组织架构是怎样,可能单纯靠技术点攻破不了你,但单纯通过组织架构,ATP的思路,人际关系来跳过攻击。所以,要靠一套攻击体系。研究ATP的都知道他有专门的团队做分工的,有专门的团队做信息分析,发起攻击。防御者也需要一套自己的防御知识情报和体系,来和攻击者进行对抗。要从入侵事件里要找到你最原始,被开始被攻入的点,最弱点在哪里,攻击者有什么攻击手段你才能应对它。你Block这一个攻击,可能攻击者已经在里面很长时间,已经把你所有资产拿走,这时候一个IP你能知道你的受害范围和损失到底有多大,最后了解攻击者的意图和攻击者的身份。

如果能帮防御者建立起这样一套完整的知识和情报体系,才能更加有效对抗有组织的攻击。

实际上威胁情报要回答清楚三个问题:过去、现在和未来。过去,攻击者通过什么样的路径进来。现在攻击者在你的内部控制了多少点,他做了多少事情。最后才是着眼于未来,当中可以看到威胁的知识并不是真正的威胁情报,虽然语义上可以对它进行区分。

威胁情报,并且在情报真正业界认可的情报概念是远远超出我们现在产业界对威胁情报的定义。阿里定义的整套威胁体系非常类似于现代经济学当中的竞争情报和安全情报竞争信息,而不是LIS图书馆情报学的定义。它的使命是什么?我们要赢得对抗的优势,不仅仅是告诉你一个知识,要帮助你赢得和对手胜利,降低你整个组织的风险。所以,在核心工作上我们要做到能帮助用户应对威胁,决策应对威胁的手段,包括重大事件的取证。

产品型公司还大多停留在产品思想,而这个时代不是再以产品为核心的时代,而是以数据为核心的时代,而且要解决用户个性化需求。传统业界把威胁知识给定义成威胁情报,我认为它不能真正为用户解决问题。

《特种木马攻击与溯源》

2_副本天融信阿尔法实验室安全研究员郭勇生

一旦被公开大家都在用的远控不能称之为特种木马了,我认为特种木马是针对特定目的开发定制的绕过沙箱的软件木马。作为后门或恶意程序有两大点是最主要的,它进入木马网络后怎么样穿透网络,能连接出来,这一点是很重要的。第二是它和杀毒软件的对抗,现在每台电脑都有杀毒软件,如何避过杀毒软件查杀是要点所在。

特种木马对网络的穿透性

1. 代理的穿透性。比如模仿HTTP在线验证,获得你的帐号密码,再进行穿透。

2. 绕过流量监控和恶意地址检测。

3. 采用多种协议穿透。比如同时支持TMP、DNS、ICMP等等,自适应网络协议进行连接。

4. 协议加密绕过IPS/IDS防火墙。

5. 插入白名单程序绕单机防火墙。

一些恶意程序与杀毒软件的对抗

对抗虚拟机环境检测。比如搜索虚拟环境中的进程,文件系统、注册表,修改文件,当它发生这样的行动就政策它是恶意的,你可以自测所运行的环境不是用户真实的环境。既然它是虚拟机就不可能完全模拟到用户的操作,它可能认某个程序没有恶意行为就放行、绕过,针对这种检测。

对抗启发式检测。启发式软件分析恶意程序和正常程序会有差别,恶意程序会尽量少调用一些API,使用动态的方式加载,做成Shellcode方式,或者用比较大的开源程序。

目前大多数杀毒软件软肋问题。现在杀毒软件和前些年已经有了本质上的不一样,原来通过修改特征码,恶意程序通过修改特征码,几个跳转就可以查杀,现在做不到了,现在不管虚拟机、沙箱还是云都非常严格。它们的软肋在于白名单机制,它必然要有一些机制,要有白名单,要有一些程序放行的,这一块成为最大的问题。

360有个比较严格的机制“非白即黑”,意思是我不能判断你这个程序是无害的程序那么我就认为你是有害的程序,这是非常极端的机制做法。如果要这样的做法必然要排除第三方软件和共享软件。问题就在于,白名单程序你怎么样能确定它确确实实是白名单程序呢?这个东西你肯定也要有病毒分析师分析这个程序,它究竟是不是白名单,有没有危害,这个工作量是相当巨大的。360病毒分析师的工作量基本13分钟要判断一个文件是白是黑或者是灰。

特种木马的溯源

1. 溯源之难。网络上的隐藏成本非常低,在国外可以轻轻松松买到VPN。如果去溯源,查到一个恶意IP在境外,得到它了想进一步走怎么办?境外协调这个事情是协调不了了的,国家和国家之间这个机制是不完善的……

在溯源时要考虑一个问题,我们的对手是谁。兰德报告把黑客分为顶级黑客、一流黑客、二流黑客,他说顶级黑客的数目可能不会太多,大多数黑客会把局势搞乱,可能行动会惊动敌人,并把目标暴露给目标集合。对二流黑客来说,他们最合适的工作是绘制目标网络拓扑和翻查对方用户文件。我们遇到顶级黑客不是特别多,关于顶级黑客也是个传说。即便是二流黑客,你对他的溯源也不是那么容易。

2. 如何发现特种木马。目前来看,最好的方法还是大数据的方式。国内大型杀毒软件部署的量特别大,他们采集样本肯定没有问题,只有在这个基础上再去做大数据分析,找特种攻击相对来说还是比较有胜算的。

3. 基于调试信息的溯源。拿到病毒样本之后去做二进制分析,反编译其留下的调试路径。而这个调试路径包含了它的用户名,也就是说它把原代码编译时放到了桌面上,编译以后他桌面上的用户名被编译到了里面……大家是不是都喜欢把自己的东西放到桌面上,你的用户名又是什么呢?是不是和你自身的名字和单位放在一起呢?相信80%都是这样的。

4. 基于IP的一个溯源案例。有一次拿到一个恶意软件的样本,它回链一个地址,处于非激活状态,IP已经连不通了,无法通过二进制分析。但它通过反连的IP到DomainTools去发行,它曾经对域名解析到了一个IP地址,有了这个域名之后你可以对域名进行溯源,有了注册人信息,有了注册人信息你可以再一步步走,这依赖于DomainTools国外一个服务商,它号称12年的注册记录,包括域名的所有权、域名注册记录、托管数据、截图和其他DNS记录等信息。你觉得这个域名把它解析到了IP地址,之后解析到别处,认为是安全的,其实不是,你做的过程很可能被这样的服务商给记录下来。

5. 基于蜜罐的分析。如果发现了目标攻击,这个攻击正在进行的话,你可以通过设一些蜜罐获取对方的真实地址,方法其实可以很简单,在各种文档中插入一些网络的资源如图片,把IP地址暴露出来,难的不是设蜜罐,难的是怎么样让他相信你,这是很难的。

6. 一层VPN的溯源。下面有讨论,如果我剥了一层国外的VPN到国外的网站你能不能查到是我干的呢?假设这个网站的日志你可以看到,而攻击者必然是在这个时刻的前后连接过境外的VPN,这也是有链接的,即便它是隧道,它加密了,但加密之前最初验证时肯定是有验证的,这时候你通过了GFW,它肯定能记录下来,是没有疑问的。这么一个理论就形成了,境外VPN攻击了一个被攻击的网站,而同时你又连了这个VPN,只要去防火墙上查一查,在网站被攻击时,国内哪个IP连接了国外的VPN就可以知道是谁了。

现在关键是在这里,入口这个地方会不会做这个记录呢?有人说能,有人说不能。我觉得思路上来讲是能的,但具体实现上是很难的,因为网络的出口流量特别大,如果做这个记录你得需要多大的存储空间,事实上是很难的,即便你剥了一层VPN,会追溯到你的可能性也不会很大,当然剥了两层和你这个思路就更行不通了。

7. 基于日志的分析。它难就难在大量的数据分析,大量设备日志联动起来,形成一条攻击链然后找到对方。成功的也有,比如多,有时候网站上大量日志都是境外IP进行扫描,结果突然断了一下,又境内的IP,这时候VPN断了,扫描功能还在继续,这是存在的。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章