前言
红队和蓝队的兄弟们都辛苦了,趁夜深人静的时候写了一点东西,算是一点心得与体会,谈谈安全对抗的本质,仅供大家参考。
今年的活动,笔者和去年一样,镇守公司,运筹帷幄之中,决胜千里之外,记得去年笔者写过一篇文章《攻防演练后的一点随记》,里面有段内容,如下:
今年笔者团队的工作与去年基本一致,主要处理各个兄弟团队和各渠道提交过来的样本以及一些应急响应分析溯源的工作,笔者团队需要对样本进行快速的分析输出分析报告,因为样本太过集中,量也会比较大,不可能每个样本都人工分析,那样效率太低,太浪费资源和时间成本了,笔者已经预测今年的样本肯定比去年更多,而且技术手段会更高,我们需要留出时间和精力去应对那些高极复杂对抗型的样本,普通样本我们需要自动化处理帮我们节省时间。
为了提升团队的整体分析效率,也基于上面的需求点,笔者团队从去年就开始进行自研沙箱的开发与研究工作,主要工作就是基于开源沙箱,进行二次的开发,再增加一些样本反调试反沙箱以及样本威胁情报提取关联等功能,同时在原有沙箱的基础之上,增加了样本定制化分析报告的快速产出能力,通过攻防演练实战很好的验证沙箱自动化分析和产出能力,团队的分析效率获得了客户以及兄弟团队的大力认可,对于一些对抗型沙箱解决不了的样本,再去人工详细分析,整体而言今年团队的整体分析效率以及应急响应的能力又进步了不少,人力成本大幅度降低,沙箱能力也在平时不断分析样本的过程中相比去年年初搭建起来的时候也提升了不少,一些无法使用沙箱分析的样本,在经过专业的分析人员人工分析之后,能迅速将分析能力赋能到咱们自研沙箱上面,可以极大的提升了沙箱的自动化分析能力。
沙箱是安全分析团队最重要的工具之一,同时安全分析能力也是一家专业安全公司最核心能力之一,分析能力是解决问题的关键,沙箱能快速生产样本威胁情报,能自动化关联,提升团队的安全分析效率,使大部分简单的样本能迅速通过沙箱输出威胁情报以及分析报告,提供给需要的客户,可以满足一部分客户的基本需求,对于一些沙箱跑不出来的高端样本,需要安全分析人员对样本进行分析找到具体原因,再将相应的分析能力赋能给沙箱,不断提升沙箱的能力,但是也并不是所有的样本,沙箱都能解决,对于一些高端复杂攻击活动的样本,基本只能通过安全分析人员人工进行详细分析再产出报告,这类分析报告也是成本最高的,同时也是价值最高的,可能并不是每个客户都需要,只针对有高端需求的客户进行输出,经过笔者团队人员对沙箱的持续改进和运营,大部分普通样本都可以通过沙箱快速输出相关的威胁情报以及分析报告,从拿到样本到输出报告只要几分钟的时候不到,还可以制定化报告的相关内容,通过沙箱的自动化输出及时有效的反馈给客户,获取客户的认可,同时也减少专业安全分析人员的工作量,在真实的黑客攻击活动当中,专业的安全分析人员需要给客户提供样本的更详细分析报告,里面包含:样本的攻击技术、免杀技术、感染传播技术、漏洞详情、样本家族及黑客组织关联信息等,同时还需要提供样本的清除、检测、防御解决方案等,这就需要专业的安全分析人员进行详细分析了。
沙箱不是什么高深莫测的东西,更不是什么新鲜的玩意,都十几年前的东西了,记得笔者十几年前在某杀毒安全公司工作的时候,就已经有专门的团队在研发沙箱,然而几年之后就没有专业的人去维护了,逐渐也就消失了,国外很多专业的安全公司都有自己的沙箱,这些沙箱有些可能已经持续运营了十几年了,其中比较有名的沙箱JOE、Intezer、Hybrid-Analysis等,还有最近几年发展速度非常快的Any.Run沙箱,国内也有一些安全公司在研发自己的沙箱,虽然任何安全公司和安全分析团队都可以搭建自己的分析沙箱,然而目前国内能做好沙箱的公司和团队并不多,主要的原因就是因为没有专业的安全分析人员去分析改进,也没有真正懂安全的人去持续运营,搭建一个沙箱很容易,然而能持续运营好又是一回事了,就跟现在安全行业出现的各种各样的概念、平台和框架一样,这些新概念说起来很容易,平台和框架要搭起来也很容易了,难的是怎么样持续赋能给这些平台和框架,并让这些平台和框架能帮助客户解决实际问题,很多团队做不成其中一个主要的原因就是对安全的认知和理解不够深,又不愿去花时间去深入学习和研究,没有透过表层现象去研究事物的本质,仅仅停留在很表层的东西上面,没有去深入理解安全的核心到底是什么。
很多人可能不明白为啥一些专业的安全公司都要做自己的沙箱,就想知道要做沙箱,也不明白该如何去做好沙箱,不理解做好沙箱的关键因素又是什么?其实这些说白了就是对安全的认知水平还不够,就像现在很多人都会说安全的未来可能是做服务,但又有多少人真正懂应该如何做或者做好服务呢?企业最需要的安全服务又究竟是什么呢?不太懂安全的人可能会去天天追着问客户,你需要什么?我做什么才能满足你?其实真正理解安全的人,不会天天去追问客户,它会主动去帮助客户发现安全问题,帮助他们解决可能遇到的或者已经发生的安全问题,这就像以前扁鹊见蔡桓公,只要一见面就知道问题所在了,安全厂商一定比客户对安全的理解更深,走在客户的前面,做安全真正要研究的是每天全球发现的各种安全问题,要从这些安全问题中去找解决方案,去找答案,这些答案正是客户需要的,而不是你整天去追问客户想要什么?安全厂商要做的是能解决各种各样的安全问题,然后客户有需求了,自然就会过来找你买产品,买服务了。
笔者团队的自动化分析沙箱也才开始运营一年多的时间,深知未来的路还很长,真正想做好安全分析要学的东西还有很多,也并不仅仅只是做沙箱,就像笔者之前说的,沙箱并不能解决所有问题,专业的安全分析能力是必不可少的,这和沙箱一样都需要长时间的积累,通过不断的分析和研究,才能对安全理解更深,认知水平也会提升,这是一个长期的过程,做安全绝对不是短期搞几个什么大新闻,做做宣传,忽悠一下就可以的,是需要长期坚持才能做好的,未来你的客户会越来越懂安全,对安全的需求也会越来越高,遇到的安全事件会更复杂,你需要比客户更懂安全,更踏实,更靠谱,客户才会相信你,做生意其实跟做人一样信任永远是基础,安全之路,路漫漫其修远兮 吾将上下而求索。
很多事情并不一定都是非常高深莫测,不是造原子弹导弹等高精尖科技,更多的是看你能不能坚持去把它做的更好,做到与时俱进,不断学习,自我成长,这才是最重要的。笔者的团队并不是在做什么高深莫测的东西,也没啥高上大可言,不会去吹嘘各种什么新名词,新概念,沙箱就是十几年前的东西,我们其实做的都是一些很基础性的安全分析研究工作,安全分析能力是团队的核心能力,在我看来其实不管做什么事,只要是正确的事,就一定要坚持到底,可能坚持才是最重要的,其它东西并不重要,很多事情之所以没有做成,很大的一部分原因可能就是没有坚持去做正确的事,总是被表象或者眼前的一点点利益蒙蔽了双眼,这里搞搞,那里搞搞,最后才发现到头来一场空,因为只有坚持才能做到厚积薄发,只有坚持才能比别人走到更远,只有坚持才能比别人对某个方向的理解更深,认知也会更高,这种坚持可能需要十几年,几十年坚持,才会有一点点积累,人生起起浮浮,能专心做好一件事就已经很不错了,做安全更是如此,安全就是一条“不归路”,没有终点,永远都在攻防对抗的路上,就看你能走多远了。
演练
此处删除两千字......送大家一张图(本图片相关内容娱乐为主,纯属虚构,如有雷同,纯属巧合),自行体会,因为每个人对安全的认知和理解程度不同,体会也会不同,我们更多的是要学会透过一些表层的现象,去看事物的本质,攻防演练常态化。
对抗
目前全球每天发生的各种真实安全攻击事件主要还是通过钓鱼社工以及一些0day/1day/Nday等漏洞作为攻击的入口点,再通过各种恶意软件或黑客工具进行更深入的攻击活动,威胁情报的准确性及时性以及终端安全对抗能力的强弱在真实的安全攻击事件当中就显得尤为重要了,安全厂商能不能通过自己的产品捕获到各种最新的安全攻击事件,并及时通知客户进行安全防御,各种终端安全产品能不能防住已经被黑客突破的边界防御体系,在终端上帮助客户守住安全的最后防线,成为了安全的核心。
有时候我常常会想,客户为啥会中招?也有很多朋友不理解安全的核心为啥是对抗?当安全厂商的产品遇到一个未知的C2地址的时候到底是拦还是不拦?一般情况下只有当这个C2地址匹配到厂商的威胁情报库,才会被标黑,如果这个C2地址不在厂商的威胁情报库,没有及时拦截的话,很有可能会从这个C2上下载安装了恶意软件或者通过这个C2执行了某个漏洞,这个时候就只能靠终端安全产品来拦截可疑的操作和行为了,网络解决不了的问题,也只能交给终端解决了,然而大部分的恶意软件都使用了免杀技术,终端安全产品可能并不能第一时间识别出这个样本是不是恶意的,所以就需要基于样本的行为做进一步的分析和预判,这就需要有一些常用的恶意样本规则来判断哪些行为可能是恶意的,才能第一时间拦截和识别可疑样本,再基于可疑的样本行为来标记这个样本可能是恶意样本,如果产品最终还不能完全确定的情况下,还得由人工进行二次确认和分析。
上面所说的C2威胁情报库以及恶意样本行为规则又从哪里来呢?其实就是从样本中提取出来的,没有样本就没有这些精确的C2威胁情报信息和行为检测规则,而这些样本又是从哪里来的呢?在真实的安全攻击事件中,这些恶意样本不就是黑客组织开发的吗?黑客组织不断开发和研究各种免杀的恶意软件家族样本及最新变种,以逃避安全厂商终端安全的检测,再通过这些样本对受害者进行攻击行为,安全厂商通过不断捕获这些可疑样本,再由专业的安全分析人员进行详细分析,提取样本里面的威胁情报和规则行为,赋能给安全产品,不断提升自身的安全产品能力以及威胁情报库数据,再去发现更多可疑的恶意软件家族最新攻击样本,是一个持续积累的过程。
针对恶意样本的攻防对抗已经讲了,下面我也来说说漏洞层面,很多人会问那我又怎么防0day/1day/Nday呢?很多人一提到漏洞就觉得好像很厉害的感觉,首先我们要弄清漏洞产出的原理是什么,利用过程又是什么,黑客能利用这些漏洞做什么,是RCE远程加载执行,还是提权,还是其他什么目的,只有弄清了漏洞的原理,我们才能做相应的检测和防御,其实跟我上面提到的检测最新的恶意样本一样,没啥区别,我们想一下漏洞是怎么发现的,也就明白漏洞需要怎么防御了,孙子兵法,知已知彼,百战不殆,有人问我为啥你每天都要不断的去研究各种恶意软件技术以及最新的恶意软件家族样本?我来告诉你,只有你不断的去研究各种新型的恶意软件,通过这些最新的恶意软件去了解黑客使用了什么最新的攻击和免杀技术,理解这些样本的底层原理,才能提升自己的安全分析能力,并将这些样本使用的安全技术转化为产品的检测防御能力,同样产品检测防御各种0day/1day/Nday漏洞的原理也是一样的,只有去研究这些漏洞产生的原理,漏洞触发执行过程,漏洞利用的目的才能不断的提升防御0day/1day/Nday漏洞的能力,这也是一个持续积累的过程。
上面从恶意软件和漏洞两个层面讲了安全对抗的本质,其实恶意软件和漏洞一样,你永远不知道黑客的会使用的下一个0day漏洞会在哪里,你也永远不知道下一个新型免杀恶意软件家族会被用于怎样的攻击活动当中,我们能做的就是不断的去研究最新的恶意软件攻击技术与漏洞技术,通过研究这些恶意软件和漏洞技术,不断的提升和弥补我们的安全检测和防御能力,就有可能会拦截到一些异常点,这些异常点可能就是某个新型的恶意软件,或者有可能是某个0day漏洞这类的,然后再由安全研究人员进行更深入的分析和调查,这就是以攻促防了,站在黑客攻击的角度去促进产品的安全能力,走在黑客前面。
防守方就是只会封IP?但是大家又有没有想这些IP从哪里来的呢?是怎么判断这些IP存在攻击行为的呢?又是如何发现各种0day/1day/Nday漏洞的呢?这背后其实是做了很多安全能力积累的,这些积累就是我上面所说的,专业的安全分析人员不断的去分析和研究各种安全事件的样本和漏洞,通过样本和漏洞提取出威胁情报和检测以及防御方法,再赋能给产品,不断提升产品的安全检测能力,会就在真实的攻击过程中产出各种威胁情报信息给客户,封IP仅仅是一种表层的现象,本质是产品的防御能力,产品的防御能力其实是平时不断建立起来的。
很多事情说起来都很容易,做起来难,能坚持不懈的持续做下去可能就更难,安全是一个持续的过程,没有哪个安全厂商会广告宣传自己的什么产品就能抵御未来所有的黑客攻击,现在的客户已经不像以前那么好忽悠了,安全认知在提升,客户不看广告,只看疗效,安全问题仍然会一直存在,要做到攻防演练的“常态化”。
全球所有安全攻击事件的背后其实都是人,安全对抗也就是人与人的对抗,各种新型的恶意软件是人开发的,各种0day/1day/Nday漏洞是人挖掘的,所有攻击活动背后的组织者也都是人,黑客组织在不断的研究新的攻击手法,开发新的免杀攻击家族样本,各种攻击平台和武器,挖掘各种各样的最新的0day利用漏洞,安全研究人员也需要不断的去研究各种新型的恶意软件攻击技术,新型的免杀利用技术,研究各种系统、软件平台组件中可能产生漏洞利用点,对系统中的可疑进程、网络、内存以及可能产生漏洞的攻击点进行安全检测和防御,还需要不断的提升自身的安全能力,提升安全应急响应的速度,只有比黑客跑的更快,也许才可能在最短最快的时间内检测和防御各种新型的恶意软件和0day/1day/Nday漏洞攻击吧。
总结
好了,不知不觉已经写了快七千字了,就暂时先聊到这里吧,通过攻防演练提升对安全的认知水平,理解安全对抗的核心本质是什么,以攻助防提高安全意识,加强政府以及企业安全防范措施,也许才是攻防演练真正的价值,本篇内容比较多,不谈攻防演练,只谈安全对抗的本质,里面有些内容可能需要读者朋友们慢慢去阅读理解,有些内容可能需要你参与到真实的安全攻击事件的应急响应和分析溯源的过程中才能体会,还有一些内容如果你没有去深入的分析和研究样本、漏洞,通过分析溯源弄清楚黑客组织的整个攻击过程以及攻击技术底层原理,光看我讲这些东西,也很难真正理解明白,也很难提升自己的安全认知水平。
就像笔者最开始说的,为什么很多专业的安全公司都做沙箱,做沙箱的真正作用是什么?其实很多人是不太明白的,这就是安全认知水平的问题,需要花很多时间和精力去深入研究才能提升的,安全分析能力是一家专业安全公司安全团队最核心的能力之一,同时也是各位安全研究人员最核心的能力,不管你是做恶意样本或者是漏洞方面的研究,还是做其他安全研究工作,安全分析都是必不可少的技能,企业遇到的一些比较复杂的安全问题,如果你不去深入分析和研究,其实是根本解决不了的,甚至你可能都不知道发生了啥,只有去深入的分析和研究安全攻击事件中涉及到的各种样本和漏洞,才有可能找到解决方法,才能摸清整个黑客攻击的流程,使用了哪些攻击方式和攻击技术,这才是安全对抗和安全攻防技术,这才是更深层次的较量,全球的安全攻击事件最核心的也就两样东西:一个样本,一个漏洞,至于其他各种威胁情报信息也都是基于这两样东西关联产生的,如果没有这两样,大多数的威胁情报信息其实是没啥用的,或者是不准确没啥依据的,黑客组织主要利用的就是样本和漏洞,再加上一些攻击手法,安全厂商主要需要解决的也是样本和漏洞,安全厂商应急响应和分析溯源能力,以及自身产品的安全能力都需要基于这两样东西来提升能力。
笔者一直从事与恶意软件威胁情报等相关安全分析与研究工作,包含挖矿、勒索、远控后门、僵尸网络、加载器、APT攻击样本、CS木马、Rootkit后门木马等,涉及到多种不同的平台(Windows/Linux/Mac/Android/iOS),笔者做安全研究的兴趣就是喜欢研究一些最新的恶意软件家族样本,跟踪国内外报道的各种安全事件中涉及到的攻击样本等,通过详细分析各种安全攻击事件中涉及的样本、漏洞和攻击技巧等,可以了解全球黑客组织最新的攻击技术以及攻击活动趋势等,同时还可以推判出他们大概准备做什么,发起哪些攻击活动,以及客户可能会受到什么危害等,通过研究全球的黑客组织以及攻击活动,做到知已知彼,各位读者朋友如果有遇到什么新的恶意软件家族样本或最新的家族变种都可以私信发给笔者,感谢给笔者提供样本的朋友们!
做安全,不忘初心,与时俱进,方得始终!
版权归原作者 熊猫正正 所有, 如有侵权,请联系我们删除。