干貨:2015中國網絡安全大會之大師講堂
《內存戰爭20年》
騰訊玄武實驗室負責人于旸
史前
1972年,James P· Anderson在為美國空軍寫《計算安全技術規劃研究》,非常清晰地描述了木馬、后門以及緩沖器溢出的細節。
1988年Morris蠕蟲在數小時內感染了當時互聯網所有服務器的10%,但即使在Morris蠕蟲發生很長一段時間之后,很多程序員仍然認為緩沖區溢出類的用戶只是導致一部分程序崩潰的Bug,相關技術只在非常小的圈子里被討論。
正史
1995年,出現了第一篇公開討論漏洞利用技術的文章,之前沒有防御者,只有攻擊者,所以不能稱之為戰爭。
1997年,Sun公司在Solaris2.6中借助SPARC處理器的新特性,實現了禁止執行堆棧上的代碼。同年,StackGuard技術出現。至此基于軟件和硬件的兩套漏洞防御思路,同在1997年誕生。與此同時,繞過這兩種技術的對抗技術也誕生了。
“那段時間,整個安全研究界的氣氛是非常好的,非常多的聰明人在這個領域里,而且毫無保留地發表自己各種想法。但從整體來說對漏洞的認識進展仍然比較緩慢,包括一開始大家認為緩沖區溢出的問題只能在Unix系統上實現。”
1998年到1999年,安全社區提出了成熟的Windows緩沖區溢出漏洞利用技術。如DilDog寫的緩沖區溢出,這主要是堆棧溢出。還有一篇針對 Sun SPARPC硬件體系的分析文章。
2003年,微軟新發布的Visual Studio中新增了類似StackGuard的軟件保護機制。
2009年,神仙打架的戰場從從服務器燒到個人電腦,之后又燒到了手機。Android系統在2009年引入了類似StackGuard的機制,2010年引入了內存不可執行(No-EXecute),2011年引入了地址隨機化(ASLR),2013年把SEAndroid技術引進進去。
總結
總結一下漏洞相關的技術,可以粗略地與人類文明的發展相對照。人類文明經歷原始狩獵采集、農業耕種養殖和工業制造與合成。漏洞的挖掘、攻擊和防御這三塊領域其實也類似。
漏洞挖掘在早期是靠個人動手,逐步發展開始有一些自動化和工程化,到了今天已經發展成非常成熟的工業體系。攻擊也是這樣。最早我們可以把早期的漏洞攻擊方法抽象成為利用內存中的數據,發展中期則是創造數據的技術,到今天發展為在內存中進行字節級的控制。相應的防御領域已經發展到“縱深防御”的階段,最典型的廠商就是微軟。
微軟的思路是減少可利用的漏洞:
以微軟新推出的延遲釋放和隔離堆等技術為代表;
降低漏洞利用成功率;
增加漏洞代碼編寫成本,對抗最終是成本對抗;
降低漏洞利用帶來的危害,以沙箱技術為代表。
從更大的視角來看,漏洞防御已經從早期的單點發展到造的一個詞“全時視野”,從設計時到開發時、到編譯時、到運行時,每一時都有相應的技術體系和方法去保障。同時,通過業界合作,上游、下游,微軟相當于在中間,上游是英特爾,下游以Adobe為代表的開展業界合作。我們知道與Adobe合作,微軟把Adobe漏洞納入到自己的安全公告體系里。社區建設,包括贊助活動、舉辦會議、懸賞獎勵等等。
無論是攻擊還是防御技術,都已經進入綜合、融合、協同、多維度的發展階段。在內存戰爭進行了20年后的今天,我們會議一下這20年中發生和發展的事情,再去想象一下未來的這種戰爭。首先是沒有結束,其次會更加精彩!#p#
《心臟出血漏洞一周年》
知道創宇COO楊冀龍
一、漏洞說明
這個堪稱跨紀元危害的漏洞,其原理很簡單。在訪問加密服務器時,這個漏洞會隨機泄露64K的內存。刷新量大的話,比如1千萬次,1億次,就能刷出很多有價值的信息出來,如用戶名、密碼、賬戶余額、購物信息等。
“當時有個笑話,漏洞出現的當天,全中國的黑客要么在買硬盤,要么在買硬盤的路上。”
二、漏洞影響態勢
漏洞第一天,全球23萬臺主機受到影響。美國受影響面積最廣,朝鮮例外。越南比較神奇排第三。
美國重要的信息系統,或加密使用的信息系統占了34%,中國占了1%,有一種說法,美國是中國互聯網發達的34倍。還有一種重要的解讀,中國還有重要的信息系統,但沒有加密,所以不能這樣算。換個角度來說,美國重要的信息系統注重安全性也是中國的34倍。
三、漏洞修復態勢
漏洞第三天,在漏洞修復率上可看出全球網絡應對能力的比例。美國49%、澳大利亞46%,法國45%、越南43%、日本32%,馬來西亞25%等等,中間省略了100個,然后到中國18%。中國的應對能力和中國的足球差不多一個水平。還有墊底的兄弟,韓國、中國臺灣、俄羅斯、費率等等,所以我們也不能妄自菲薄。
從行業上來看,美國眾議院、聯邦貿易委員會它的軍事裝備提供商銀行,還有電力、天然氣承包商、石油運輸公司、電信承包商等等第一天就做了安全修復。
一周年之后,全球修復率85%。日本以及中國臺灣、德國已經趕上,但中國只有互聯網廠商在漏洞爆發第一天很快修復。中國的國家政策和安全意識還是需要提高的,一方面風險應急能力是國家的事兒,另一方面也是企業的事兒、法律的事兒、還有公眾意識的事兒。所以,從一個漏洞來看,中國互聯網應變能力相比全球它是在下降的。但漏洞泄露隱私關系到我們每個人,里面有很多的工作可做。國家做行政機構,個人甚至服務商三方應該互動把漏洞問題進一步解決,而且通過感知能力,相比全球中國還是有很多發展空間。#p#
《沒牙的老虎這些年》
IDF聯合實驗室創始人萬濤
1987年國家信息中心信息安全處成立,這是中國在信息安全事業上的起步。
1988年小球病毒(乒乓病毒)傳入中國。
1991年,瑞星防病毒卡問世。后來是江民,整個產業的繁榮差不多一直可以算到2008年,之后就開始走下坡路。
其中的一些關鍵人物:
CIH病毒的制造者陳盈豪,本月的烏云白帽子大會上會見到他。
熊貓燒香的作者李俊,出獄后大家知道,又進去了。
做黑客教學的孤獨劍客,一不小心自己還是進去了。
1995年,趨勢借殼再次進入中國市場。
1999年,廣東成立全國第一個成立省級信息安全協會。當時安全一個重要的事件就是千年蟲。
2001年,中美黑客大戰以后,中國憤青黑客登上舞臺。此事在安全圈有很大的爭議,但它客觀上對安全還是起了一個作用。當時中美黑客大戰爆發,啟明星辰成為第一個采取應對行動的公司。藍盾則在2001年推出藍盾防火墻,后來這家公司上市了。
“中國的安全產業值得拍個紀錄片,故事、段子非常豐富,非常多的事情,所以我稱之為‘暗度陳倉’。”
之后安全公司處于蓬勃發展期,1998年國家信息安全委員會舉辦的第一屆中國信息安全會議,只有30家左右的安全公司。只有5家做信息安全,其他25家全部是做加密、保密方面。自2001年之后,每年大概有200家左右的增幅,最多時候防火墻品牌大概50多個。
到了2005年、06年奇虎360出現,發起反流氓軟件的運動,之后就是3Q大戰。
“3Q大戰也是重要的里程碑,兩虎相爭,成語說必有一傷,我們說不是,是一地雞毛。”
2005年之后黑產逐步形成,從2005年到2014年是由粗放到明確的模式,它和縱深安全體系是完全不同的,它是完全碎片化的,比如專門有賣庫的,有專門做中介的。還有專門做AV產業的中介,要把AV網站的庫脫了找人去做,然后賣給另外一家新創的AV公司。也有掛馬以后做文件整理的,像電子垃圾一樣把文件打包賣,在QQ群貼出一些截圖,讓你大概看一些內容,然后像買玉賭石一樣來談,有可能是公開的東西沒有用,也有可能是好東西。這種交易是明目張膽的。
從提權買站刷庫交易代理化也有,在微博私信里有一些小黑單,有一些在交易群里,有明顯的代理化的趨勢。社工庫量級已經非常客觀了,只是有些做得好的,變成可以做檢索的,加上數據庫索引把一些庫做成并庫,通過不斷裝庫去擴大它。隨著移動端的發展,短信攔截木馬等等產業也可以逐步細化,形成專業分工。
黑客工具,早期有刷掛工具交你學黑客,逐漸變成黑產的工具,以前熊貓燒香寫出來之后別人拿著這個工具去倒手,有人去做代理和分發。所以,李俊并沒有得到多少錢,但產業鏈大概2000萬左右。它也只是提供服務,只是租軟件,還有DDOS。
網絡黑產升級趨勢,資金敲詐還是比較頭疼的問題,它已經成為產業化的趨勢。前段時間有網絡運營商在海外有500臺物理機,想遷到云端,他唯一的理由是每天有200個DDOS,誰能幫我解決?
虎變三十而立,從1986到2015年,差不多30年,這是只打盹的老虎。未來場景下虎變還有哪些因素決定這個虎的成長?
一是網速問題,推“互聯網+”,很重要的一個因素,要網速提起來。
二是終端+云端的變化,現在大家都在博,不管雷軍的小米還是華為,還是周教授……硬件并不重要,只是一個終端而已,這些都對安全模式會產生影響,可以看到產業里一些動作,不管阿里還是騰訊的并購,BAT的一些并購,大家布局的格局已經很大層面加強云端的安全,終端基本上只是在手機上,PC上免費的模式已經基本形成。
三是智能硬件,就是萬物互聯的影響……隨著Wi-Fi的推廣,安全問題日益嚴重。360工程師在3.15上建議不要用Wi-Fi,要用主流運營商的3G、4G網絡。這也是一種安全環境和挑戰。
“沒牙的老虎”是指這個行業的顏值和關注度足夠了,但它真的有威懾力嗎?網絡安全能力俄羅斯第一,中國不算最差,與美國都有一定程度的接近……《穹頂之下》影響很大,還是沒牙的老虎,因為懲罰成本太低了。
2014年整個信息安全的收入,賽迪的數據是738億,超出當初我們在2005年左右的評估……美國是做全球市場的,我們主要是中國市場,這個空間還有很大的上升空間,隨著國安委的成立和態勢演繹,絕對不只是中美之間的PK,它確實會有很大的競合空間。所以,我們相信它會有更大的成長。
雖然有老虎的體量,但還沒有老虎的牙齒,雖然本身很喧嘩,沒有產業的力量,它不能對外抗衡,保護我們互聯網產業的能力。
“我相信技術會改變世界,但我們做安全的會一直呵護未來。謝謝大家!”#p#
《Threat Intelligence:信息還是情報?》
瀚海源創始人方興
現代情報學對情報重新進行了定義,信息是原料,情報是產品,情報是我們基于信息并且加上人工自然推測,人智能在里面,最后生成的對一個東西的分析,包括一些預測在里面,把這些稱之為情報。
“中國的情報在這個定義是在走反方向的。1992年科委有個情報司,但1992年叫科技信息司,他不認為是情報,認為情報是信息。”
情報學里強調情報是幫助組織獲得競爭優勢的,所以它對的是你決策這一層。安全情報當中,不僅是贏得對抗的優勢,因為在競爭情報學當中你是有對手的,情報與安全的情報學當中也是有對手的,但在傳統的情報學當中它不會描述你的對手。在核心工作上就有了很典型的差異,傳統情報學強調我要把有價值的信息給找到就OK了,我只是找。但是競爭情報學,情報與安全學強調預測、決策,情報的使命是幫助預測一件事情,補充組織上層做出合理的決策……所以,情報與安全信息學當中,“9·11”之后針對反恐分支當中特別強調它很大工作,就是要去關注組織和人的關系描述,包括人的行為和意圖的分析。
現在我們知道威脅情報的定義,最有名的幾家,比如McAfee、FREEZE,強調所有的信息將惡意的樣本庫、情報庫稱之為情報,最多只能叫信息和知識,它們可以說是情報嗎?可以說是,嚴格來說只是傳統的情報,但延伸出有價值的信息,并不能真正幫助組織去做抉擇,幫助組織做預測,不能鎖定你對抗的對手是誰。所有產業都把情報延續著老式的圖書館情報學對威脅情報的定義,他們的威脅情報的定義我認為不適應現代真正的競爭。因為我們現在已經明確知道,安全當中我們最大的威脅是來自于組織的對抗,來自于跟人和組織的對抗,而不是你知道是誰定義的。
作為防御者、最終用戶角度來說他首先要知道我的弱點在哪里,不僅知道攻擊者在哪兒,怎么打進來的,你能把整個攻擊脈絡告訴我,做不到,你告訴他攻擊的脈絡有什么用。那么對手是什么樣的,對手在哪里?有什么樣的攻擊能力?對手是誰?核心目標是什么?他有什么意圖?所有產業提出的威脅情報我認為都不能回答用戶這種問題。或許通過這種威脅情報能夠增加一些防御者的能力,但并不能夠真正為防御者解決真正的問題。
威脅方來說一定要摸清楚防御方我想偷你的東西,竊取有價值的東西,破壞你的東西,一定要了解你的價值點在哪里?你有什么東西值得我破壞,你系統的內部構成是怎樣的,我怎樣通過這個脈絡拿到我的東西,你的防御體系是怎樣,你的組織架構是怎樣,可能單純靠技術點攻破不了你,但單純通過組織架構,ATP的思路,人際關系來跳過攻擊。所以,要靠一套攻擊體系。研究ATP的都知道他有專門的團隊做分工的,有專門的團隊做信息分析,發起攻擊。防御者也需要一套自己的防御知識情報和體系,來和攻擊者進行對抗。要從入侵事件里要找到你最原始,被開始被攻入的點,最弱點在哪里,攻擊者有什么攻擊手段你才能應對它。你Block這一個攻擊,可能攻擊者已經在里面很長時間,已經把你所有資產拿走,這時候一個IP你能知道你的受害范圍和損失到底有多大,最后了解攻擊者的意圖和攻擊者的身份。
如果能幫防御者建立起這樣一套完整的知識和情報體系,才能更加有效對抗有組織的攻擊。
實際上威脅情報要回答清楚三個問題:過去、現在和未來。過去,攻擊者通過什么樣的路徑進來。現在攻擊者在你的內部控制了多少點,他做了多少事情。最后才是著眼于未來,當中可以看到威脅的知識并不是真正的威脅情報,雖然語義上可以對它進行區分。
威脅情報,并且在情報真正業界認可的情報概念是遠遠超出我們現在產業界對威脅情報的定義。阿里定義的整套威脅體系非常類似于現代經濟學當中的競爭情報和安全情報競爭信息,而不是LIS圖書館情報學的定義。它的使命是什么?我們要贏得對抗的優勢,不僅僅是告訴你一個知識,要幫助你贏得和對手勝利,降低你整個組織的風險。所以,在核心工作上我們要做到能幫助用戶應對威脅,決策應對威脅的手段,包括重大事件的取證。
產品型公司還大多停留在產品思想,而這個時代不是再以產品為核心的時代,而是以數據為核心的時代,而且要解決用戶個性化需求。傳統業界把威脅知識給定義成威脅情報,我認為它不能真正為用戶解決問題。#p#
《特種木馬攻擊與溯源》
天融信阿爾法實驗室安全研究員郭勇生
一旦被公開大家都在用的遠控不能稱之為特種木馬了,我認為特種木馬是針對特定目的開發定制的繞過沙箱的軟件木馬。作為后門或惡意程序有兩大點是最主要的,它進入木馬網絡后怎么樣穿透網絡,能連接出來,這一點是很重要的。第二是它和殺毒軟件的對抗,現在每臺電腦都有殺毒軟件,如何避過殺毒軟件查殺是要點所在。
特種木馬對網絡的穿透性:
1. 代理的穿透性。比如模仿HTTP在線驗證,獲得你的帳號密碼,再進行穿透。
2. 繞過流量監控和惡意地址檢測。
3. 采用多種協議穿透。比如同時支持TMP、DNS、ICMP等等,自適應網絡協議進行連接。
4. 協議加密繞過IPS/IDS防火墻。
5. 插入白名單程序繞單機防火墻。
一些惡意程序與殺毒軟件的對抗:
對抗虛擬機環境檢測。比如搜索虛擬環境中的進程,文件系統、注冊表,修改文件,當它發生這樣的行動就政策它是惡意的,你可以自測所運行的環境不是用戶真實的環境。既然它是虛擬機就不可能完全模擬到用戶的操作,它可能認某個程序沒有惡意行為就放行、繞過,針對這種檢測。
對抗啟發式檢測。啟發式軟件分析惡意程序和正常程序會有差別,惡意程序會盡量少調用一些API,使用動態的方式加載,做成Shellcode方式,或者用比較大的開源程序。
目前大多數殺毒軟件軟肋問題。現在殺毒軟件和前些年已經有了本質上的不一樣,原來通過修改特征碼,惡意程序通過修改特征碼,幾個跳轉就可以查殺,現在做不到了,現在不管虛擬機、沙箱還是云都非常嚴格。它們的軟肋在于白名單機制,它必然要有一些機制,要有白名單,要有一些程序放行的,這一塊成為最大的問題。
360有個比較嚴格的機制“非白即黑”,意思是我不能判斷你這個程序是無害的程序那么我就認為你是有害的程序,這是非常極端的機制做法。如果要這樣的做法必然要排除第三方軟件和共享軟件。問題就在于,白名單程序你怎么樣能確定它確確實實是白名單程序呢?這個東西你肯定也要有病毒分析師分析這個程序,它究竟是不是白名單,有沒有危害,這個工作量是相當巨大的。360病毒分析師的工作量基本13分鐘要判斷一個文件是白是黑或者是灰。
特種木馬的溯源:
1. 溯源之難。網絡上的隱藏成本非常低,在國外可以輕輕松松買到VPN。如果去溯源,查到一個惡意IP在境外,得到它了想進一步走怎么辦?境外協調這個事情是協調不了了的,國家和國家之間這個機制是不完善的……
在溯源時要考慮一個問題,我們的對手是誰。蘭德報告把黑客分為頂級黑客、一流黑客、二流黑客,他說頂級黑客的數目可能不會太多,大多數黑客會把局勢搞亂,可能行動會驚動敵人,并把目標暴露給目標集合。對二流黑客來說,他們最合適的工作是繪制目標網絡拓撲和翻查對方用戶文件。我們遇到頂級黑客不是特別多,關于頂級黑客也是個傳說。即便是二流黑客,你對他的溯源也不是那么容易。
2. 如何發現特種木馬。目前來看,最好的方法還是大數據的方式。國內大型殺毒軟件部署的量特別大,他們采集樣本肯定沒有問題,只有在這個基礎上再去做大數據分析,找特種攻擊相對來說還是比較有勝算的。
3. 基于調試信息的溯源。拿到病毒樣本之后去做二進制分析,反編譯其留下的調試路徑。而這個調試路徑包含了它的用戶名,也就是說它把原代碼編譯時放到了桌面上,編譯以后他桌面上的用戶名被編譯到了里面……大家是不是都喜歡把自己的東西放到桌面上,你的用戶名又是什么呢?是不是和你自身的名字和單位放在一起呢?相信80%都是這樣的。
4. 基于IP的一個溯源案例。有一次拿到一個惡意軟件的樣本,它回鏈一個地址,處于非激活狀態,IP已經連不通了,無法通過二進制分析。但它通過反連的IP到DomainTools去發行,它曾經對域名解析到了一個IP地址,有了這個域名之后你可以對域名進行溯源,有了注冊人信息,有了注冊人信息你可以再一步步走,這依賴于DomainTools國外一個服務商,它號稱12年的注冊記錄,包括域名的所有權、域名注冊記錄、托管數據、截圖和其他DNS記錄等信息。你覺得這個域名把它解析到了IP地址,之后解析到別處,認為是安全的,其實不是,你做的過程很可能被這樣的服務商給記錄下來。
5. 基于蜜罐的分析。如果發現了目標攻擊,這個攻擊正在進行的話,你可以通過設一些蜜罐獲取對方的真實地址,方法其實可以很簡單,在各種文檔中插入一些網絡的資源如圖片,把IP地址暴露出來,難的不是設蜜罐,難的是怎么樣讓他相信你,這是很難的。
6. 一層VPN的溯源。下面有討論,如果我剝了一層國外的VPN到國外的網站你能不能查到是我干的呢?假設這個網站的日志你可以看到,而攻擊者必然是在這個時刻的前后連接過境外的VPN,這也是有鏈接的,即便它是隧道,它加密了,但加密之前最初驗證時肯定是有驗證的,這時候你通過了GFW,它肯定能記錄下來,是沒有疑問的。這么一個理論就形成了,境外VPN攻擊了一個被攻擊的網站,而同時你又連了這個VPN,只要去防火墻上查一查,在網站被攻擊時,國內哪個IP連接了國外的VPN就可以知道是誰了。
現在關鍵是在這里,入口這個地方會不會做這個記錄呢?有人說能,有人說不能。我覺得思路上來講是能的,但具體實現上是很難的,因為網絡的出口流量特別大,如果做這個記錄你得需要多大的存儲空間,事實上是很難的,即便你剝了一層VPN,會追溯到你的可能性也不會很大,當然剝了兩層和你這個思路就更行不通了。
7. 基于日志的分析。它難就難在大量的數據分析,大量設備日志聯動起來,形成一條攻擊鏈然后找到對方。成功的也有,比如多,有時候網站上大量日志都是境外IP進行掃描,結果突然斷了一下,又境內的IP,這時候VPN斷了,掃描功能還在繼續,這是存在的。
