背景

經歷過最近幾年的勒索行業的暴利與虛擬貨幣的繁榮后，許多的行業從業人員對入侵檢測的認知明顯加強了甚至不少組織也深受其害，在數字化業務快速增長的同時，安全風險的暴露面同時也是快速的增長，在日趨完善的法律合規與攻擊者的虎視眈眈的背景下也迫使組織人員對安全體系建設問題嚴陣以待。

安全建設的主要方向粗略的看主要也分成二個大類，安全合規與反入侵;合規的驅動力為首要業務典型類似于ISO27001、等級保護等維度。而在反入侵的方向是以保護現有業務的CIA屬性為主要的出發點，以攻擊者的視角審視當前的風險并加以防護與檢測，相比于法律合規當中明確了各項指標與參數的checklist，反入侵的工作開展難度明顯要復雜的多，面臨的挑戰與技術的積累也要求更高。安全工作的本質上還是攻防雙方之間人與之間的對抗、攻擊技術與檢測技術的對抗、流程與組織架構之間的對抗。

常見的攻擊場景

知己知彼百戰不殆，如果很多反入侵人員對黑客的常見入侵手法都不理解，最后往往會陷入了一個”自high”的圈子里面，想當然的認為只要我利用XXX的熱門技術做了XXXX功能、就應對XXXX的場景，最后還是脫離了安全建設的本質;從對應的場景來看個人習慣往往可以簡單的分為3類主要的攻擊場景：

• 以挖礦、DDOS僵尸網絡、網站惡意掛馬SEO、黑鏈菠菜為主的黑灰產場景下的流程化攻擊;
• 以勒索、定向攻擊、竊密軟件為主的高持續隱蔽的攻擊團伙;
• 以數據重放、惡意爬蟲、優惠券活動、撞庫為主的業務安全攻擊團伙。

挖礦、僵尸網絡與黑鏈

從自己安全運營的反饋數據來看第一類的挖礦、僵尸網絡的流程化攻擊流量基本上可以占到到惡意攻擊70%以上，其中以熱門的幾個挖礦團伙最為活躍如8220挖礦團伙、Bluehero挖礦團伙、H2Miner、Myking等團伙的攻擊流量。

由于目前挖礦幾乎按照了蠕蟲模式的流程化攻擊，導致中毒的主機也成為了發起攻擊的來源，部分企業的資產尤其一些邊緣資產中毒之后沒有感知導致繼續傳播。這些挖礦的攻擊方式也相對比較簡單主要以一些熱門的Nday的RCE漏洞、各類應用暴力破解、webshell上傳、未授權訪問等攻擊場景為主，典型的如Docker、Jenkins、Redis、K8sAPI、Spark、Hadoop Yarn REST API未授權訪問;Shiro/Fastjson的反序列化、S2全系列的RCE、weblogic的全系列RCE;暴力破解主要為一些SSH、RDP、web應用、數據庫應用的的弱口令為主。部分盡職盡責的團伙往往也比較內卷，也會快速的融入一些新的EXP以提高成功率，前不久剛剛披露的log4j很快就被安排上了。

除了搶占先機之外，由于大部分都是存量市場，除了新的武器庫之外，此類場景的攻擊者往往還普遍從四個思路上出發：

• 干掉同行、排除異己獨占資源;
• 增長持久化方法、防止被基礎的操作給清理掉;
• 增加雙平臺的支持、不滿足于window的場景也要兼容linux場景;
• 擴大攻擊目標，主戰場放在了安全建設相對脆弱的內網環境。

目前此類攻擊場景技術維度上相對比較單一，常規的手法都是通過各類手法獲取到一個shell之后執行一些下載命令從互聯網的一個地址上拉取對應的挖礦套件(包含挖礦的配置文件、挖礦程序主體、內向傳播的payload、資產發現模塊、互聯網探測模塊等)、有腳本類類的Powershell、bat以及linux下的shell腳本，也有PE類的文件與ELF的程序主體。

部分攻擊者為了躲避查殺還會利用一些系統白進程進行惡意代碼的執行，典型的如一些mshta.exe、certifi.exe的程序往往payload甚至可以做到不落盤;根據最近幾年的技術觀察不得不承認做黑灰產也是一項很內卷的行業，稍微不注意技術上就容易掉隊。

從排除異己的角度出發，畢竟挖礦的主要依靠的還是計算資源，臥榻之上豈容他人鼾睡，很多Linux的樣本普遍就是在腳本里面內置很多其他同行的挖礦文件的路徑和腳本，運行之前就先清理戰場歷史痕跡，甚至利用Iptables將現存在的風險基于訪問控制進行封堵，防止后面別的團伙再次入侵，少數團伙甚至還會利用preload做一些進程的隱藏(這個的確有點卷)。

從持久化的方法出發，各種操作就更多一些如一些計劃任務、系統服務、WMI、開機啟動的常規操作，之前還偶然間接觸過部分團伙利用MSSQL CLR寫后門的處理起來還真的是挺棘手的，重要數據在手里每一條sql的查詢命令都是小心翼翼的敲，就擔心后續的攻擊者如果都開始嘗試用rootkit、文件替換、甚至驅動文件來進行做后門隱藏就真心有點麻煩了。

DDOS的僵尸網絡遇見的概率也小了很多，不知道的是流量清洗技術的成熟、還是CDN、云抗D的已經應用更加廣泛，抑或是自身的安全數據匱乏一些，此類型的僵尸網絡除了少數的XorDDos、XnoteDDos、billgates的樣本之外也沒有太熱門的樣本，此類攻擊手法普遍還是比較簡單且純粹，以SSH的暴力破解為主要的入侵手法。

之前一時好奇曾在互聯網上搞了一個VP_S測試一下cowrie的蜜罐，結果意外的抓到了不少此類的樣本。對于很多對業務連續性、可用性要高的業務除了常規的DDOS之外，還有很大部分是請求正常的高并發流量與BOT流量的管理對抗場景。從web業務場景來也同時存在大量的web入侵進行批量掛馬、輪鏈、黑鏈、菠菜類的攻擊流量，此類攻擊場景普遍攻擊手法也比較單一主要依靠webshell的上傳漏洞為主，網頁木馬的質量與功能都異常豐富，環環相扣。

從應對措施的角度來思考，此類場景下的攻擊手法雖然較多但總體上的技術門檻并不是很高，從安全風險的維度的來主要主要是二個關鍵問題：漏洞與弱口令。都是安全建設當中二個繞不開的問題，漏洞的存在一方面來源與自身的開發過程當中的的疏忽，另一方面來源于外部的風險輸入。

自身的安全開發可以通過安全開發的基線、代碼的審查、流程規范與借助于相應的安全檢測工具(IAST、DAST)進行規避，對于很多明顯的上傳漏洞、存在安全風險的配置項目，已經存在高危風險的框架與組件都能積極的影響。同時借助于人工的滲透測試，從源頭上能盡可能的減少存在的明顯風險;對于很多新披露的漏洞能做到的一個及時的修復或者緩解。

伴隨著當前安全檢測技術的成熟，從一定程度上來講以現有的防火墻、入侵檢測與防御、web防火墻、以及各種概念包裝后各不相同的態勢感知，對此類攻擊的行為的檢出率基本上都沒有什么挑戰(及時更新規則庫)。經過了3年的攻防演練之后，普遍能夠對一些熱門的攻擊事件進行有效的應對，如當前熱門的自動化聯動響應(SOAR)通過多個安全產品的共同舉證與處置，在此類場景下反而存在一些天然的優勢(攻擊劇本的paybook相對比較固定)也可較大程度上的減少安全運營的工作量。

所以這種廣撒網的收割方式看似進攻猛烈異常，實際有效性的成功案例相對較少，少部分缺少安全防御與邊緣資產、歷史遺留的那部分資產反而是成為一個主要的受害群體中毒后對原本安全的內網造成了較大的威脅，所以最近一個關于ASM(攻擊資產暴露面)的新品類出現，主要從互聯網側以紅隊的思路去發現更多未在防護清單內的”帶病上線”資產。

勒索、定向攻擊與竊密

大多數時候都喜歡把挖礦勒索放在一起討論，都是一些常見的黑產的一種能力變現的方式，從遇見的頻率和所用的技術層面來區分的話，二者之間的入侵思路與模式都有著較大的區別。區別于廣撒網的收割模式，目前大量的勒索團伙采取的方式更加趨近于APT的模式，針對性的廣泛信息收集、步步為營的入侵模式、摸清家底后的快速攤牌。

從熱門的wannacry廣泛的使用MS17-010與RDP、SMB暴力破解進行傳播擴散、后續部分GlobeImposter開始利用mimikatz抓取密碼后的批量勒索、到現在熱門的勒索phobos家族的爆發，可以明顯的感知到勒索的過程當中人工參與的成分逐漸增大。之前參與過多起勒索的事件的溯源與復盤，印象深刻的一次發現攻擊者入侵時間長達5個月之久，并在內網當中廣泛的收集各類信息尋找核心的業務資產與服務器，內網橫向階段逐漸拋棄了低級的RDP爆破方式取而代之的是慢速的內網探測與基于主機信息收集后的定向RDP登錄，甚至還有清理痕跡刪除日志的習慣。

針對部分安裝有終端殺毒的終端便是更加簡單粗暴的用一些驅動層面的工具進行卸載，以至于在多數被勒索的主機的回收箱與操作記錄當中，都有一些應急工具的痕跡。禍患常積于忽微，對比批量的RCE與漏洞探測，伴隨大部分的惡意行為脫離了原本的攻擊特征之后以至于市面上大部分的安全產品與方案顯得心有余而力不足。從一定程度來講當前的勒索產業鏈(勒索即服務)后端的入侵路徑和定向攻擊的的手法別無二致，技術上也更加難以識別期望依靠單個產品或者方案，想一勞永逸的避免這類事件的發現就顯得有些的盲目自信了。

之所以把勒索、定向攻擊與竊密場景歸類在一起，是從入侵的手法來看具有高度的一致性，只是在最后目的各有其表;由于最近連續3年的攻防演練的活動，直接把對抗這件很專業的事件擺上了明面上來對比，很多參演方最后都發現很多安全產品的能力在真實的對抗場景當中的易用性、安全能力、場景適配上都存在較大的差距。簡單總結一下，目前相對成功率較高的主要打點途徑為：

• 存在高危漏洞、未在安全防護出的邊緣資產，借此跳板接入內網網絡;
• 針對辦公網的員工發起的釣魚、釣鯨郵件攻擊;
• 針對熱門/行業性的應用軟件、網絡設備、安全設備的0-day利用;
• 結合信息收集與配置不當、泄露賬號的業務層面攻擊。

另外一個比較大的特點在于安全廠商針對每一年的攻防演練進行復盤的的時候，也會結合一些典型案例進行專項的提升，也就變相的推動攻擊手法的推陳出新，之前使用過的手法不加以改良的話在后續的活動當中的成功率會下降很多，甚至直接暴露自己。

于是可以看到當前很多攻擊的隱蔽性得到了明顯的提升，比如當前熱門的DOH域前置技術、webshell的變形對抗、基于TCP/UDP的隧道通信、白進程遠程/本地加載惡意dll、基于Java增強字節碼的內存馬后門、無文件攻擊、CS馬的bypassEDR、各類自定義加密的webshell通信流量、TV向日葵做遠程軟件等過手法已經屢見不鮮，即使在真實的打點過程當中，也可構造一些惡意的漏洞探測流量以瞞天過海，分散運營人員的精力。

還需要時刻提防來自于針對應用的各類0day、從安全建設方的角度來看，在此類場景下始終還是處于一個被動防守的過程，甚至不知道攻擊者來自何處、使用什么攻擊方式、攻擊那些資產，雖然短時間也主推過欺騙防御技術卻無法解決好二個主要的問題(業務仿真、漏洞反制)。

在大多數的群體當中安全人員往往投入的精力是資源相對有限，對網絡資產的梳理都不甚清晰，在業務快速增長的背景下風險出現的更加頻繁，僅僅依靠目前主流的安全設備進行監測在應對高隱蔽的攻擊場景還存在較大的差距，現在很多場景開始主推威脅狩獵(Threat hunting)本著主動發現威脅的思路從蛛絲馬跡處定位這些高級威脅。

業務安全

安全建設的比較麻煩的一個問題在于如何去體現工作帶來的價值，不出事的時候感覺沒有什么存在感，有點安全問題的時候就顯得日常的工作不完善，年底總結的時候比較常規的方式是總結一年的時間里面抵御了多少次XXX攻擊，發現XXX個病毒、應急了XXX個事件;但是從業務安全的角度去思考的方式，就逐漸清晰了很多如果能說幫助業務減少了XXXX的經濟損失，保護了XXX用戶的信息安全、是不是就量化的比較明顯了，從一定程度上說業務安全的建設比基礎的安全建設更容易體現價值。

從web安全的的視角看，基礎的web漏洞如sql Inject、XSS、文件包含類的出現的頻率也逐步減少，伴隨著開發人員的安全意識提升、各類框架提供的安全組件、安全廠商的設備覆蓋，SDL的流程限制、以及少部分的開源RASP與基于Nginx類中間件的安全模塊加持，此類漏洞的危害度被逐步減少。以至于在比較多的滲透測試場景更加偏好于對業務安全的漏洞挖掘、典型如賬號撞庫、越權訪問、請求包重放、條件競爭、任意賬號密碼重置、短信驗證碼爆破等場景。

但是此類攻擊往往造成的損失是在應用層面，典型的就是在前幾年很多起步階段的電商平臺，很多都存在身份校驗不嚴格導致的任意訂單取消、支付漏洞、遍歷訂單的安全風險，此類場景下的安全建設往往需要貼合具體的業務場景進行剖析。

從技術的角度看，業務安全的視角最關鍵還是需要解決流程自動化攻擊的問題，需要確認當前提交請求的發起對象是個人還是機器，個人用戶在終端上的操作頻率與輸入都相對有限，解決好很多掃描工具、數據包發起工具、爬蟲也能減少較多沒有實際價值的告警噪聲;同時在應對各類貓池、分布式的請求、養號等細分領域的背景下也依賴業務處不同地方的埋點與行為分析，定位隱藏在正常的業務邏輯下的惡意請求。

應對入侵-威脅檢測

當前主要的入侵檢測類設備主要的形態有三大類，基于網絡流量類、終端檢測類、日志分析類;典型的網絡流量類主要覆蓋由Snort、Suricata衍生系列的各類IPS/IDS/FW/NTA類、終端檢測類主要覆蓋一些世面上常見的殺毒軟件(啟發式文件查殺、Yara特征)、行為檢測類(IOA)，依靠對操作系統層面的網絡行為(發起、接收)、進程/服務行為(拉起、創建)、文件行為(打開、寫入、更新、刪除)進行采集分析。

日志分析類常見的如splunk、日志易或者基于ES的二次開發的SIEM分析平臺，主要數據源可以分析不同的安全設備的告警日志、部分web應用的日志、操作系統的日志等。除開熱門的三大類之外還有一些專項的能力比如威脅情報、沙箱、蜜罐類的產品有等不同的產品形態。

稍微總結一些可以發現，此類安全產品主要的工作原理基本上都比較類似，基本上都是采集數據、處理數據、分析數據(場景分析、特征工程)、產生安全告警。區別在于不同的產品采集的數據對象并不相同，并且有不同的優勢場景，比如在識別SSH暴力破解的場景，流量層的產品往往無法識別此類加密流量的數據內容因此只能從行為側判斷，但是在終端側通過登錄日志的分析可以輕易的獲取到攻擊者的源IP、登錄的賬號、時間等信息。

在數據泄露的場景依靠流量層的數據對保護對象的外發流量，從上行包、下行包的大小、頻率進行統計或者異常檢測時，相對于終端層面的開銷與易用性層面就存在明顯的優勢。但是換一個思路的話可以發現，無論是終端數據的分析抑或是流量層的數據分析，最后需要識別的攻擊場景基本上都是保持高度一層，花開兩朵各表一枝，本身攻擊行為就無法離開終端、網絡與日志而獨立存在至少之前缺少對應的探針(Sensor)進行采集，做安全運營、分析、溯源的人員都應該都知道，采集到的數據越全面描述一個攻擊行為就越細致越準確，從安全效果的術語描述即高檢出、低誤報。

采集數據雖然各不相同，處理數據的思路卻基本一致分字段進行拆解形成多個維度的key-value的鍵值對進行存儲，數據量較少的時候以ES為主，單節點的ES經過性能優化EPS差不多在2W左右，少數數據量的場景可應用集群場景，針對海量數據普遍無論是分布式的存儲還是當前熱門的數據湖的概念，都是針對于格式化數據的存儲方案(部分商業產品以流式引擎為主不存儲原始數據)。

而呈現在用戶面前的安全效果的價值，就更加依賴于對安全檢測的人員具體能從這一批原始的數據當中能夠提取到那些有用的信息;分析數據是比較能夠體現一個人/團隊安全能力與工程化能力的階段，首要階段是需要先確定具體應該識別怎么樣的安全問題，以及過程中需要用什么那些數據、使用什么樣的檢測方法、預期達到什么樣的效果。

關于具體的安全場景選擇本身就是一個關鍵點，需要了解當前白帽子常用的攻擊手法有那些，有一些的衍生的出來的變種，是在什么樣的場景下會選擇怎么樣的攻擊方式。比如從今年的攻防演練當中發現攻擊者普遍大量的使用釣魚郵件作為主要的攻擊手法，就需要剖析一下這個場景我們需要采集到什么樣的數據。

流量層的SMTP、Pop3、HTTP-webmail等內容、如果是加密的https的webmail或者私有協議，很大可能性就無法通過標準化的流量sensor獲取到相關信息，終端的sensor能夠識別到新增文件的執行并能對樣本做進一步的查殺、卻無法獲取到郵件正文的內容，是否可以從流量側去識別中毒后主機的C2過程?應對的免殺的樣本是否有新的方法作為補充?等等一系列問題，都有依賴于安全研究的人員去思考，拿出一套切實可行的方案出來。

安全檢測的思路

安全檢測主要思路粗略分基本就二種：基于模式匹配的誤用檢測、基于算法基線的異常檢測。當前使用范圍較廣的依然是誤用檢測的邏輯，安全研究人員通過對已知黑樣本/攻擊手法當中提取對應的特征字段、可能是某一個特定傳輸協議的某一個特定的字符串內容、字符串集合，典型的如開源的yara規則識別惡意樣本的場景。

 

由于攻擊者的手法普遍變化較快導致一些規則過于嚴格的策略，無法識別到變種的攻擊行為，從而在犧牲誤報率的同時，提升檢出率。單個特征的檢測模式雖然準確、快速有效但依然面臨著較大的安全挑戰，尤其是特征維度增加的時候(多條件判斷)，針對于每個不同維度的特征的權重就尤為重要了，手工去調整存在較大的誤差性，那是否可以交給代碼去完成了?答案是肯定的，目前很多的AI+安全思路本質上是解決了此類問題，以代碼化的方式表示設定的好特征，通過大量的已分類的優質樣本訓練，最后將抽象的判斷轉化了多維向量的相乘(安全的盡頭竟然是數學?)。

但由此以來也增加了很多的不確定性，導致很多安全問題最后無法被得到了一個準確的描述;而且此類方案有一個非常致命的問題，現有的安全能力是通過對已知的攻擊手法的整理而得出的，也就意味著如果是一個全新的攻擊方式，或者不在特征規則范圍的行為將會被漏掉，而目前大量的已知的攻擊同樣也在衍生出更多的新的特點，導致安全研究人員需要不斷的增加的知識，提取新的規則、識別新的風險，從這個背景看的話在對抗的過程中依然處于弱勢地位，單純的被動響應。

我們更加希望能夠一個主動出擊的方式，去應對各類威脅，通過對被保護的資產從細的顆粒度進行一定的時間的學習定位”出廠配置”的標準行為，只要后續的行為符合滿足基線的訪問即為正常、反之則為異常?；谶@種思路即使對于各類變化多端的攻擊行為，依然能夠作為不變以應對萬變，思路的確是相對新穎，但過程中對于百行為基線的建立、以具體場景和行為去建立基線卻是當前最為主要的挑戰，同時針對業務復雜/變更頻繁的保護對象適用性也相對較差。長期來看二類不同的檢測思路最終依然會走向一個統一的方向，以適應當前日益加劇的攻防不對等的思路。

很多做紅隊的大佬普遍思維比較活躍、奇思妙想且出人意料用安全行話說就是：表哥姿勢真多，但如何將個人能力轉化成一個產品的能力，將攻擊的能力轉化成防守的能力卻依然有很多的挑戰需要去面對。

最后一個話題是關于安全效果的評估的，感覺前幾年的確是缺少一個合理的方式或者工具去評估現有安全產品的能力的，普遍都是各個產品或者廠家提供一批”公平公正”的優勢POC的樣本集，最后無論怎么測試反正都是自己最強，其他的都不行。直到最近的攻防演練反而成為一個最佳的實踐方法，頗有一個不服跑個分的錯覺，應該沒有什么比實戰的環境下的能力評估更有效、也更有說服力了。

安全效果依賴于運營，安全運營的發現的問題(誤報、漏報)能夠反作用于安全效果的改進，大家都試圖在檢出率與誤報率之間尋求一個相對合理的平衡點，也頗有一種生成對抗網絡的邏輯只是安全運營的工作更加依賴于白帽子的努力。

總結

無論是在甲方(單場景)還是在安全廠商的乙方(多場景)目標都是保護業務免受安全風險，保護的業務可能有較大差異，但在面臨的攻擊手法與檢測技術領域卻是高度相似，從安全源頭出發減少開發階段出現的風險、上線后加以對應的安全防護與檢測、出現安全問題的響應與溯源復盤，安全是一件很專業的事情，本質從來都是攻防技術的對抗。

由于今年寫了比較多的內部文檔頗有一些身心俱疲的無力感，剛好元旦三天有些許空閑時間總結自己一些對于反入侵技術的一些個人理解與趨勢，文檔之中頗有疏漏煩請各位斧正，如果有不同見解或思路，歡迎提出討論。