企业动态

在物理世界，所有人都明白隐蔽战线的伟大。

1931年4月24日，当时的中央特科负责人之一顾顺章在武汉被捕，随即叛变。

万幸的是，这一消息很快被地下党员、“龙潭三杰”之一钱壮飞侦知。钱壮飞意识到事态的严重性，党组织可能已经完全暴露，因此他必须赶在敌人前面，连夜向“特工之王”李克农报信。

他们二人明白，这是与敌人进行的一番生死较量，早一分钟转移，党组织就少一分危险。

由于情报传递及时，党内很多重要同志几乎擦着敌人的“刺刀”完成了转移。

回过头来看，钱壮飞获取的这份情报，可谓是挽狂澜于既倒，扶大厦之将倾。

而在网络空间里，为了帮助一线安全服务和安全运营工程师准确掌握攻击者的动向，也有这么一群人专门搜集攻击者的情报，让原本未知的威胁在短时间内变成已知威胁，从而使他们的攻击手法能够被安全设备检测出来。这就像给犯罪分子下发了通缉令一样，所有人都知道他长什么样。

根据对象的不同，网络安全的情报主要分为两类：

一类是漏洞情报，它主要关注系统本身存在的漏洞情况，核心是知己；还有一类是威胁情报，它更关注攻击者所使用的资源如IP、域名、恶意样本以及攻击者的技战术手法等相关信息，核心是知彼。

搞情报需要记住两个准则，一个是准，另一个是快。

一 漏洞情报篇

第一步：漏洞信息搜集

人们对于漏洞的恐惧，主要来源于未知，这也就是0day漏洞可以成为战略资源的最重要原因。在经历一遍遍的风险筛查过后，突然又有这么多没见过的漏洞冒出来，甲方的安全团队感觉如鲠在喉。

果不其然，有人开始坐不住了：这些漏洞啥情况？我们受影响么？有没有防护方法？需不需要临时下线？我不会已经被打穿了吧？

要想帮助客户把这些事情都搞清楚，首先要把所有漏洞相关的信息都搜集全了，看看到底是谁在作祟。这件事对于聚集了7万多名白帽子的补天漏洞响应平台而言，可以说是小菜一碟。

白帽子最擅长干什么事？没错，就是提交漏洞。要知道，补天平台每年都可向国家信息安全漏洞共享平台报送至少五万个漏洞。

有七万多名白帽子的帮助，就相当于多了七万多双眼睛，这颇有点“朝阳群众”、“西城大妈”的意思，不信你看下面这张图。

图 补天运营的奇安信攻防社区截图

第二步：漏洞研判

有一点需要注意，这些经过初步汇总的漏洞信息，还不能称之为情报。

什么是漏洞信息，什么又是漏洞情报，他们之间是怎样的关系？

简单来说漏洞信息是原材料，即和所有漏洞相关的信息，其真实性和完整性尚待考证；而漏洞情报是加工后的成品，应包含漏洞的成因、危害程度、影响范围、防护方法等多个元素。

并且，情报的价值，在于能为后续行动提供现实指导意义。

例如，如果有人说某牌子的防盗门不用钥匙也能打开。那么问题来了，是所有型号还是只有部分型号的产品存在此类问题？到底谁家装了存在问题的防盗门？是更换锁芯就能解决还是需要将整个门换掉？

显然，“某牌子防盗门不用钥匙也能打开”这个信息，并不能给出答案。正儿八经的情报应该是：某牌子旗下某型号的防盗门存在风险，建议及时更换锁芯，具体销售信息可通过CRM系统查阅。

从漏洞信息变成漏洞情报，这是个既费时又费力的技术活。因为并不是所有的漏洞信息都是准确的，即便漏洞真实存在，其危害也需要经过缜密的分析研判才能确认。

为了大幅缩减漏洞研判所需要的时间，提升工作效率，经过初步筛查，奇安信CERT将所有的“漏洞信息”分成了以下三大类：

第一类就不是漏洞。要么就是信息本身就是凭空捏造，只为博人眼球；要么是“假漏洞”，或许是密码过于简单被攻击者猜出来了，或许是产品的防护规则不全没有检测出攻击行为（安全产品特有）等等原因，并不是产品本身的逻辑缺陷。

第二类是老旧漏洞，也称Nday，即官方早就发布了补丁或者相应的缓解措施，奇安信天眼、云锁、天擎、NGSOC等安全产品也都已经更新的对应的检测规则，能够检出利用这些漏洞的攻击行为。此次闹事儿的漏洞大多属于此类，那些对老旧漏洞“听之任之”的机构，没准着了道。解决它们最好的办法安装官方补丁，当然也可以部署奇安信安全产品或者采取官方的缓解措施。

第三类是公众甚至软件厂商都所未知的漏洞，也称0day，约莫有七八个。它们没有公开的官方补丁或者缓解措施（拔网线除外），也不知道影响哪些版本，因此十分凶险。从去年开始，0day漏洞的利用就逐渐成为了攻防演习期间最重要的攻击手法之一。补天平台的大胜说，抓住0day是我们一项非常重要的工作。

当然，0day漏洞的处置也有优先级。

有公开POC或者利用代码的排最前面，优先处置，很可能它们就会被其他攻击者拿去使用。其中最危险的是那些无需交互就能执行任意命令同时又影响广泛的漏洞，容易造成大范围传播，2017年肆虐的永恒之蓝漏洞最为典型。

那些影响用户数量多但需要一定交互的漏洞次之，该类漏洞触发难度相对高一些，但利用得当，同样可以执行APT攻击或者造成大量用户中招；再次是那些触发方式稳定但影响范围不大的漏洞，它们主要被攻击者用于在特定环境下，向目标发动定向攻击。

至于为什么这么排序，实际上大多数客户的修复顺序也是这么排的。

第三步：防护规则更新

接下来就是真正比拼速度的时候了，漏洞的成因、风险定级、复现以及处置方案要一气呵成，尤其是有两枚主流OA系统的漏洞已经被发现在野利用行为，中招用户数量不明。

形势万分危急，客户肯定等不起官方补丁。所以，奇安信安全产品必须要能在短时间内，实现对漏洞利用的精准检测。

这就需要根据漏洞的原理，提取通用的检测规则。举个例子，假设小区的院墙有一处破损，但凡从破损处翻墙进来的，都会经过绿化带，而从正门进来的则不会。从绿化带往小区里走，就是这个破损处（漏洞）的通用监测规则。

战果很快就交付了，包括漏洞的成因、危害、影响范围、修复建议和奇安信相关产品的防御方法。让客户都没想到的是，从第一条漏洞信息公开到最后一条漏洞情报交付，这中间不过一个小时多一点。

这么算下来，平均一个0day，从发现确认到交付给客户相应的防护也就要不了十分钟。即便其他攻击者想要利用该漏洞，如果不是早有准备，其实也做不了太多事情。哪怕发送一封钓鱼邮件，十分钟没准还没打开呢，更别提触发漏洞了。

二 威胁情报篇

从恶意样本检测到关联分析

不过，十分钟绝不是漏洞的终结。一个0day漏洞的出现，很可能会伴随着利用该漏洞的大量恶意样本。如果说漏洞是攻击者攻入堡垒的暗道，那么恶意样本就是攻击者手中使用的武器。

提到恶意样本检测，有一项技术不得不提，那就是沙箱。

简单来说，沙箱就是一个隔离环境，用于运行安全性未知的程序，观察该程序是否会含有恶意特征或者执行恶意行为，从而判断该程序是否为恶意程序的一项技术。

一旦确定样本为恶意样本，威胁情报的分析师们就会一拥而上，用最短的时间，将新检出的恶意样本的相关信息生产成威胁情报，帮助各类检测设备提早发现攻击行为。

和漏洞情报一样，威胁情报每慢一秒钟，可能就有若干个攻击行为被检测设备漏掉了。

第一步：除掉恶意样本的伪装

说时迟那时快，实战攻防演习开始仅仅一上午的工夫，奇安信威胁情报中心的分析师们，就发现旗下红雨滴云沙箱已经收到了上万个各种类型的文件，这其中包括了正常的文件，当然恶意程序可能也混迹其中。

能看出来，经历过多次演习考验的员工，在安全意识方面有了很大的提升。在确定文件安全性之前，先放到沙箱中检测一番。

显然，但从文件数量而言，这是一场处理海量文件和从海量文件中找出恶意文件的速度比拼。

不过，恶意文档是从来不会在脑门上直接写上“恶意”俩字儿，还得套上几层“伪装”，比如将恶意程序与攻击者之间的通信流量加密，再比如隐藏在一些合法应用的背后进行捆绑运行（白利用）。所以你得把它的伪装一层一层的剥开，漏出它真面目。

威胁情报最擅长的事情之一，就是揭开恶意样本的伪装。

首先是通过QOWL猫头鹰反病毒引擎，对可疑文件进行静态深度解析，把所有用于伪装的“外衣”、“面具”等通通脱掉，漏出其真面目。不管什么类型的文件，doc、xls、pdf、exe、zip、rar、lnk、dll等等，都能给你分析的明明白白，看看是不是存在一些恶意特征，顺便识别部分文档类的漏洞利用。
就像医院体验一样，检查你的血糖、血压等等指标是否在正常范围内。

其次是通过文件深度分析系统，对可疑文件进行深度动态扫描，观察其是否会执行恶意代码、漏洞利用、非法外连恶意等行为，并且结合威胁情报，还原攻击者的攻击手法，判断攻击者来源于哪个攻击团伙。

就像有些“病根”隐藏的比较深，要是真没病就让它走两步，让恶意代码执行起来，才能发现问题所在。

检测完成后，系统会根据样本存在的潜在恶意特征和行为，为样本的恶意程度打分，最低0分，最高10分，分数从低到高恶意程度也越来越高。对于难以分辨的样本，奇安信威胁情报中心的分析师再介入进行人工研判。

图 某个被打10分的恶意样本

经过小半天的运转，红雨滴云沙箱共计检测样本近两万个，检测出超过100个恶意样本。这些恶意样本的特征经过加工，几乎在检测完成的同时，就摇身一变成了可直接用于检测的威胁情报（IOC），并且下发给各类安全设备和检测引擎，进行机器学习训练。与此同时，这些威胁情报还能够以既定的共享机制，提升整个行业的检测水平。

第二步：完善恶意样本线索

在抓到坏人之后，如何提审又是一项技术活，你得让他把自己的犯罪事实、犯罪同伙、后续动作都交代的清清楚楚。有经验的预审专员能施展各种“套路”，从嫌疑人口中拿到自己想要的信息，从而端掉他背后的整个团伙。

沙箱也是一样。

举个例子。在所有检出的100多个恶意样本中，有一例以“xx个人简历—JAVA工程师.rar”为诱饵的恶意样本，引起了分析师们的兴趣。

经过QOWL引擎对恶意样本的深度分析，红雨滴云沙箱提取出了攻击者的C2服务器信息，威胁情报显示该C2服务器属于“毒云藤”APT组织。

与此同时，RAS引擎还发现，该样本一旦解压就会触发WinRAR软件的漏洞，将木马程序植入系统的根目录，达到控制计算机的目的。

经验丰富的分析师怎么会放过如此重要的线索，顺藤摸瓜，挖出了5个具有相同C2的样本列表，一举捕获了“毒云藤”组织在此次攻击中，所有的恶意样本投递行为。

这个过程，对沙箱的性能要求很高。如前文所说，沙箱检测不仅仅要能精准找出恶意样本，还要能在最短的时间内，检测更多的样本。样本的处理速度不够，又上哪儿去关联搜索呢？

沙箱检测速度过慢，还会在一定程度上影响业务的正常运转。对于一个拥有数万乃至数十万人的集团型企业而言，每天需要执行沙箱检测的文件，绝不在少数，这些文件决不能都堆在沙箱等待排队检测。

例如对于招聘组的同学而言，如果检测时间过长，他们可能一天到晚都看不了几个简历，更别说招到合适的候选人了。

所以红雨滴云沙箱放弃了传统的虚拟机，而采用了基于真实底层系统的仿真沙箱，极大地提升了沙箱处理样本的效率，使更多的样本能在短时间内表现出恶意行为。

总结