《內(nèi)存戰(zhàn)爭(zhēng)20年》

[[138955]]

騰訊玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸

史前

1972年，James P· Anderson在為美國(guó)空軍寫《計(jì)算安全技術(shù)規(guī)劃研究》，非常清晰地描述了木馬、后門以及緩沖器溢出的細(xì)節(jié)。

1988年Morris蠕蟲在數(shù)小時(shí)內(nèi)感染了當(dāng)時(shí)互聯(lián)網(wǎng)所有服務(wù)器的10%，但即使在Morris蠕蟲發(fā)生很長(zhǎng)一段時(shí)間之后，很多程序員仍然認(rèn)為緩沖區(qū)溢出類的用戶只是導(dǎo)致一部分程序崩潰的Bug，相關(guān)技術(shù)只在非常小的圈子里被討論。

正史

1995年，出現(xiàn)了第一篇公開討論漏洞利用技術(shù)的文章，之前沒(méi)有防御者，只有攻擊者，所以不能稱之為戰(zhàn)爭(zhēng)。

1997年，Sun公司在Solaris2.6中借助SPARC處理器的新特性，實(shí)現(xiàn)了禁止執(zhí)行堆棧上的代碼。同年，StackGuard技術(shù)出現(xiàn)。至此基于軟件和硬件的兩套漏洞防御思路，同在1997年誕生。與此同時(shí)，繞過(guò)這兩種技術(shù)的對(duì)抗技術(shù)也誕生了。

“那段時(shí)間，整個(gè)安全研究界的氣氛是非常好的，非常多的聰明人在這個(gè)領(lǐng)域里，而且毫無(wú)保留地發(fā)表自己各種想法。但從整體來(lái)說(shuō)對(duì)漏洞的認(rèn)識(shí)進(jìn)展仍然比較緩慢，包括一開始大家認(rèn)為緩沖區(qū)溢出的問(wèn)題只能在Unix系統(tǒng)上實(shí)現(xiàn)。”

1998年到1999年，安全社區(qū)提出了成熟的Windows緩沖區(qū)溢出漏洞利用技術(shù)。如DilDog寫的緩沖區(qū)溢出，這主要是堆棧溢出。還有一篇針對(duì) Sun SPARPC硬件體系的分析文章。

2003年，微軟新發(fā)布的Visual Studio中新增了類似StackGuard的軟件保護(hù)機(jī)制。

2009年，神仙打架的戰(zhàn)場(chǎng)從從服務(wù)器燒到個(gè)人電腦，之后又燒到了手機(jī)。Android系統(tǒng)在2009年引入了類似StackGuard的機(jī)制，2010年引入了內(nèi)存不可執(zhí)行(No-EXecute)，2011年引入了地址隨機(jī)化(ASLR)，2013年把SEAndroid技術(shù)引進(jìn)進(jìn)去。

總結(jié)

總結(jié)一下漏洞相關(guān)的技術(shù)，可以粗略地與人類文明的發(fā)展相對(duì)照。人類文明經(jīng)歷原始狩獵采集、農(nóng)業(yè)耕種養(yǎng)殖和工業(yè)制造與合成。漏洞的挖掘、攻擊和防御這三塊領(lǐng)域其實(shí)也類似。

漏洞挖掘在早期是靠個(gè)人動(dòng)手，逐步發(fā)展開始有一些自動(dòng)化和工程化，到了今天已經(jīng)發(fā)展成非常成熟的工業(yè)體系。攻擊也是這樣。最早我們可以把早期的漏洞攻擊方法抽象成為利用內(nèi)存中的數(shù)據(jù)，發(fā)展中期則是創(chuàng)造數(shù)據(jù)的技術(shù)，到今天發(fā)展為在內(nèi)存中進(jìn)行字節(jié)級(jí)的控制。相應(yīng)的防御領(lǐng)域已經(jīng)發(fā)展到“縱深防御”的階段，最典型的廠商就是微軟。

微軟的思路是減少可利用的漏洞：

以微軟新推出的延遲釋放和隔離堆等技術(shù)為代表;

降低漏洞利用成功率;

增加漏洞代碼編寫成本，對(duì)抗最終是成本對(duì)抗;

降低漏洞利用帶來(lái)的危害，以沙箱技術(shù)為代表。

從更大的視角來(lái)看，漏洞防御已經(jīng)從早期的單點(diǎn)發(fā)展到造的一個(gè)詞“全時(shí)視野”，從設(shè)計(jì)時(shí)到開發(fā)時(shí)、到編譯時(shí)、到運(yùn)行時(shí)，每一時(shí)都有相應(yīng)的技術(shù)體系和方法去保障。同時(shí)，通過(guò)業(yè)界合作，上游、下游，微軟相當(dāng)于在中間，上游是英特爾，下游以Adobe為代表的開展業(yè)界合作。我們知道與Adobe合作，微軟把Adobe漏洞納入到自己的安全公告體系里。社區(qū)建設(shè)，包括贊助活動(dòng)、舉辦會(huì)議、懸賞獎(jiǎng)勵(lì)等等。

無(wú)論是攻擊還是防御技術(shù)，都已經(jīng)進(jìn)入綜合、融合、協(xié)同、多維度的發(fā)展階段。在內(nèi)存戰(zhàn)爭(zhēng)進(jìn)行了20年后的今天，我們會(huì)議一下這20年中發(fā)生和發(fā)展的事情，再去想象一下未來(lái)的這種戰(zhàn)爭(zhēng)。首先是沒(méi)有結(jié)束，其次會(huì)更加精彩!#p#

《心臟出血漏洞一周年》

[[138956]]

知道創(chuàng)宇COO楊冀龍

一、漏洞說(shuō)明

這個(gè)堪稱跨紀(jì)元危害的漏洞，其原理很簡(jiǎn)單。在訪問(wèn)加密服務(wù)器時(shí)，這個(gè)漏洞會(huì)隨機(jī)泄露64K的內(nèi)存。刷新量大的話，比如1千萬(wàn)次，1億次，就能刷出很多有價(jià)值的信息出來(lái)，如用戶名、密碼、賬戶余額、購(gòu)物信息等。

“當(dāng)時(shí)有個(gè)笑話，漏洞出現(xiàn)的當(dāng)天，全中國(guó)的黑客要么在買硬盤，要么在買硬盤的路上。”

二、漏洞影響態(tài)勢(shì)

漏洞第一天，全球23萬(wàn)臺(tái)主機(jī)受到影響。美國(guó)受影響面積最廣，朝鮮例外。越南比較神奇排第三。

美國(guó)重要的信息系統(tǒng)，或加密使用的信息系統(tǒng)占了34%，中國(guó)占了1%，有一種說(shuō)法，美國(guó)是中國(guó)互聯(lián)網(wǎng)發(fā)達(dá)的34倍。還有一種重要的解讀，中國(guó)還有重要的信息系統(tǒng)，但沒(méi)有加密，所以不能這樣算。換個(gè)角度來(lái)說(shuō)，美國(guó)重要的信息系統(tǒng)注重安全性也是中國(guó)的34倍。

三、漏洞修復(fù)態(tài)勢(shì)

漏洞第三天，在漏洞修復(fù)率上可看出全球網(wǎng)絡(luò)應(yīng)對(duì)能力的比例。美國(guó)49%、澳大利亞46%，法國(guó)45%、越南43%、日本32%，馬來(lái)西亞25%等等，中間省略了100個(gè)，然后到中國(guó)18%。中國(guó)的應(yīng)對(duì)能力和中國(guó)的足球差不多一個(gè)水平。還有墊底的兄弟，韓國(guó)、中國(guó)臺(tái)灣、俄羅斯、費(fèi)率等等，所以我們也不能妄自菲薄。

從行業(yè)上來(lái)看，美國(guó)眾議院、聯(lián)邦貿(mào)易委員會(huì)它的軍事裝備提供商銀行，還有電力、天然氣承包商、石油運(yùn)輸公司、電信承包商等等第一天就做了安全修復(fù)。

一周年之后，全球修復(fù)率85%。日本以及中國(guó)臺(tái)灣、德國(guó)已經(jīng)趕上，但中國(guó)只有互聯(lián)網(wǎng)廠商在漏洞爆發(fā)第一天很快修復(fù)。中國(guó)的國(guó)家政策和安全意識(shí)還是需要提高的，一方面風(fēng)險(xiǎn)應(yīng)急能力是國(guó)家的事兒，另一方面也是企業(yè)的事兒、法律的事兒、還有公眾意識(shí)的事兒。所以，從一個(gè)漏洞來(lái)看，中國(guó)互聯(lián)網(wǎng)應(yīng)變能力相比全球它是在下降的。但漏洞泄露隱私關(guān)系到我們每個(gè)人，里面有很多的工作可做。國(guó)家做行政機(jī)構(gòu)，個(gè)人甚至服務(wù)商三方應(yīng)該互動(dòng)把漏洞問(wèn)題進(jìn)一步解決，而且通過(guò)感知能力，相比全球中國(guó)還是有很多發(fā)展空間。#p#

《沒(méi)牙的老虎這些年》

[[138957]]

IDF聯(lián)合實(shí)驗(yàn)室創(chuàng)始人萬(wàn)濤

1987年國(guó)家信息中心信息安全處成立，這是中國(guó)在信息安全事業(yè)上的起步。

1988年小球病毒(乒乓病毒)傳入中國(guó)。

1991年，瑞星防病毒卡問(wèn)世。后來(lái)是江民，整個(gè)產(chǎn)業(yè)的繁榮差不多一直可以算到2008年，之后就開始走下坡路。

其中的一些關(guān)鍵人物：

CIH病毒的制造者陳盈豪，本月的烏云白帽子大會(huì)上會(huì)見到他。

熊貓燒香的作者李俊，出獄后大家知道，又進(jìn)去了。

做黑客教學(xué)的孤獨(dú)劍客，一不小心自己還是進(jìn)去了。

1995年，趨勢(shì)借殼再次進(jìn)入中國(guó)市場(chǎng)。

1999年，廣東成立全國(guó)第一個(gè)成立省級(jí)信息安全協(xié)會(huì)。當(dāng)時(shí)安全一個(gè)重要的事件就是千年蟲。

2001年，中美黑客大戰(zhàn)以后，中國(guó)憤青黑客登上舞臺(tái)。此事在安全圈有很大的爭(zhēng)議，但它客觀上對(duì)安全還是起了一個(gè)作用。當(dāng)時(shí)中美黑客大戰(zhàn)爆發(fā)，啟明星辰成為第一個(gè)采取應(yīng)對(duì)行動(dòng)的公司。藍(lán)盾則在2001年推出藍(lán)盾防火墻，后來(lái)這家公司上市了。

“中國(guó)的安全產(chǎn)業(yè)值得拍個(gè)紀(jì)錄片，故事、段子非常豐富，非常多的事情，所以我稱之為‘暗度陳倉(cāng)’。”

之后安全公司處于蓬勃發(fā)展期，1998年國(guó)家信息安全委員會(huì)舉辦的第一屆中國(guó)信息安全會(huì)議，只有30家左右的安全公司。只有5家做信息安全，其他25家全部是做加密、保密方面。自2001年之后，每年大概有200家左右的增幅，最多時(shí)候防火墻品牌大概50多個(gè)。

到了2005年、06年奇虎360出現(xiàn)，發(fā)起反流氓軟件的運(yùn)動(dòng)，之后就是3Q大戰(zhàn)。

“3Q大戰(zhàn)也是重要的里程碑，兩虎相爭(zhēng)，成語(yǔ)說(shuō)必有一傷，我們說(shuō)不是，是一地雞毛?！?/p>

2005年之后黑產(chǎn)逐步形成，從2005年到2014年是由粗放到明確的模式，它和縱深安全體系是完全不同的，它是完全碎片化的，比如專門有賣庫(kù)的，有專門做中介的。還有專門做AV產(chǎn)業(yè)的中介，要把AV網(wǎng)站的庫(kù)脫了找人去做，然后賣給另外一家新創(chuàng)的AV公司。也有掛馬以后做文件整理的，像電子垃圾一樣把文件打包賣，在QQ群貼出一些截圖，讓你大概看一些內(nèi)容，然后像買玉賭石一樣來(lái)談，有可能是公開的東西沒(méi)有用，也有可能是好東西。這種交易是明目張膽的。

從提權(quán)買站刷庫(kù)交易代理化也有，在微博私信里有一些小黑單，有一些在交易群里，有明顯的代理化的趨勢(shì)。社工庫(kù)量級(jí)已經(jīng)非?？陀^了，只是有些做得好的，變成可以做檢索的，加上數(shù)據(jù)庫(kù)索引把一些庫(kù)做成并庫(kù)，通過(guò)不斷裝庫(kù)去擴(kuò)大它。隨著移動(dòng)端的發(fā)展，短信攔截木馬等等產(chǎn)業(yè)也可以逐步細(xì)化，形成專業(yè)分工。

黑客工具，早期有刷掛工具交你學(xué)黑客，逐漸變成黑產(chǎn)的工具，以前熊貓燒香寫出來(lái)之后別人拿著這個(gè)工具去倒手，有人去做代理和分發(fā)。所以，李俊并沒(méi)有得到多少錢，但產(chǎn)業(yè)鏈大概2000萬(wàn)左右。它也只是提供服務(wù)，只是租軟件，還有DDOS。

網(wǎng)絡(luò)黑產(chǎn)升級(jí)趨勢(shì)，資金敲詐還是比較頭疼的問(wèn)題，它已經(jīng)成為產(chǎn)業(yè)化的趨勢(shì)。前段時(shí)間有網(wǎng)絡(luò)運(yùn)營(yíng)商在海外有500臺(tái)物理機(jī)，想遷到云端，他唯一的理由是每天有200個(gè)DDOS，誰(shuí)能幫我解決?

虎變?nèi)?，?986到2015年，差不多30年，這是只打盹的老虎。未來(lái)場(chǎng)景下虎變還有哪些因素決定這個(gè)虎的成長(zhǎng)?

一是網(wǎng)速問(wèn)題，推“互聯(lián)網(wǎng)+”，很重要的一個(gè)因素，要網(wǎng)速提起來(lái)。

二是終端+云端的變化，現(xiàn)在大家都在博，不管雷軍的小米還是華為，還是周教授……硬件并不重要，只是一個(gè)終端而已，這些都對(duì)安全模式會(huì)產(chǎn)生影響，可以看到產(chǎn)業(yè)里一些動(dòng)作，不管阿里還是騰訊的并購(gòu)，BAT的一些并購(gòu)，大家布局的格局已經(jīng)很大層面加強(qiáng)云端的安全，終端基本上只是在手機(jī)上，PC上免費(fèi)的模式已經(jīng)基本形成。

三是智能硬件，就是萬(wàn)物互聯(lián)的影響……隨著Wi-Fi的推廣，安全問(wèn)題日益嚴(yán)重。360工程師在3.15上建議不要用Wi-Fi，要用主流運(yùn)營(yíng)商的3G、4G網(wǎng)絡(luò)。這也是一種安全環(huán)境和挑戰(zhàn)。

“沒(méi)牙的老虎”是指這個(gè)行業(yè)的顏值和關(guān)注度足夠了，但它真的有威懾力嗎?網(wǎng)絡(luò)安全能力俄羅斯第一，中國(guó)不算最差，與美國(guó)都有一定程度的接近……《穹頂之下》影響很大，還是沒(méi)牙的老虎，因?yàn)閼土P成本太低了。

2014年整個(gè)信息安全的收入，賽迪的數(shù)據(jù)是738億，超出當(dāng)初我們?cè)?005年左右的評(píng)估……美國(guó)是做全球市場(chǎng)的，我們主要是中國(guó)市場(chǎng)，這個(gè)空間還有很大的上升空間，隨著國(guó)安委的成立和態(tài)勢(shì)演繹，絕對(duì)不只是中美之間的PK，它確實(shí)會(huì)有很大的競(jìng)合空間。所以，我們相信它會(huì)有更大的成長(zhǎng)。

雖然有老虎的體量，但還沒(méi)有老虎的牙齒，雖然本身很喧嘩，沒(méi)有產(chǎn)業(yè)的力量，它不能對(duì)外抗衡，保護(hù)我們互聯(lián)網(wǎng)產(chǎn)業(yè)的能力。

“我相信技術(shù)會(huì)改變世界，但我們做安全的會(huì)一直呵護(hù)未來(lái)。謝謝大家!”#p#

《Threat Intelligence：信息還是情報(bào)?》

[[138958]]

瀚海源創(chuàng)始人方興

現(xiàn)代情報(bào)學(xué)對(duì)情報(bào)重新進(jìn)行了定義，信息是原料，情報(bào)是產(chǎn)品，情報(bào)是我們基于信息并且加上人工自然推測(cè)，人智能在里面，最后生成的對(duì)一個(gè)東西的分析，包括一些預(yù)測(cè)在里面，把這些稱之為情報(bào)。

“中國(guó)的情報(bào)在這個(gè)定義是在走反方向的。1992年科委有個(gè)情報(bào)司，但1992年叫科技信息司，他不認(rèn)為是情報(bào)，認(rèn)為情報(bào)是信息?！?/p>

情報(bào)學(xué)里強(qiáng)調(diào)情報(bào)是幫助組織獲得競(jìng)爭(zhēng)優(yōu)勢(shì)的，所以它對(duì)的是你決策這一層。安全情報(bào)當(dāng)中，不僅是贏得對(duì)抗的優(yōu)勢(shì)，因?yàn)樵诟?jìng)爭(zhēng)情報(bào)學(xué)當(dāng)中你是有對(duì)手的，情報(bào)與安全的情報(bào)學(xué)當(dāng)中也是有對(duì)手的，但在傳統(tǒng)的情報(bào)學(xué)當(dāng)中它不會(huì)描述你的對(duì)手。在核心工作上就有了很典型的差異，傳統(tǒng)情報(bào)學(xué)強(qiáng)調(diào)我要把有價(jià)值的信息給找到就OK了，我只是找。但是競(jìng)爭(zhēng)情報(bào)學(xué)，情報(bào)與安全學(xué)強(qiáng)調(diào)預(yù)測(cè)、決策，情報(bào)的使命是幫助預(yù)測(cè)一件事情，補(bǔ)充組織上層做出合理的決策……所以，情報(bào)與安全信息學(xué)當(dāng)中，“9·11”之后針對(duì)反恐分支當(dāng)中特別強(qiáng)調(diào)它很大工作，就是要去關(guān)注組織和人的關(guān)系描述，包括人的行為和意圖的分析。

現(xiàn)在我們知道威脅情報(bào)的定義，最有名的幾家，比如McAfee、FREEZE，強(qiáng)調(diào)所有的信息將惡意的樣本庫(kù)、情報(bào)庫(kù)稱之為情報(bào)，最多只能叫信息和知識(shí)，它們可以說(shuō)是情報(bào)嗎?可以說(shuō)是，嚴(yán)格來(lái)說(shuō)只是傳統(tǒng)的情報(bào)，但延伸出有價(jià)值的信息，并不能真正幫助組織去做抉擇，幫助組織做預(yù)測(cè)，不能鎖定你對(duì)抗的對(duì)手是誰(shuí)。所有產(chǎn)業(yè)都把情報(bào)延續(xù)著老式的圖書館情報(bào)學(xué)對(duì)威脅情報(bào)的定義，他們的威脅情報(bào)的定義我認(rèn)為不適應(yīng)現(xiàn)代真正的競(jìng)爭(zhēng)。因?yàn)槲覀儸F(xiàn)在已經(jīng)明確知道，安全當(dāng)中我們最大的威脅是來(lái)自于組織的對(duì)抗，來(lái)自于跟人和組織的對(duì)抗，而不是你知道是誰(shuí)定義的。

作為防御者、最終用戶角度來(lái)說(shuō)他首先要知道我的弱點(diǎn)在哪里，不僅知道攻擊者在哪兒，怎么打進(jìn)來(lái)的，你能把整個(gè)攻擊脈絡(luò)告訴我，做不到，你告訴他攻擊的脈絡(luò)有什么用。那么對(duì)手是什么樣的，對(duì)手在哪里?有什么樣的攻擊能力?對(duì)手是誰(shuí)?核心目標(biāo)是什么?他有什么意圖?所有產(chǎn)業(yè)提出的威脅情報(bào)我認(rèn)為都不能回答用戶這種問(wèn)題?；蛟S通過(guò)這種威脅情報(bào)能夠增加一些防御者的能力，但并不能夠真正為防御者解決真正的問(wèn)題。

威脅方來(lái)說(shuō)一定要摸清楚防御方我想偷你的東西，竊取有價(jià)值的東西，破壞你的東西，一定要了解你的價(jià)值點(diǎn)在哪里?你有什么東西值得我破壞，你系統(tǒng)的內(nèi)部構(gòu)成是怎樣的，我怎樣通過(guò)這個(gè)脈絡(luò)拿到我的東西，你的防御體系是怎樣，你的組織架構(gòu)是怎樣，可能單純靠技術(shù)點(diǎn)攻破不了你，但單純通過(guò)組織架構(gòu)，ATP的思路，人際關(guān)系來(lái)跳過(guò)攻擊。所以，要靠一套攻擊體系。研究ATP的都知道他有專門的團(tuán)隊(duì)做分工的，有專門的團(tuán)隊(duì)做信息分析，發(fā)起攻擊。防御者也需要一套自己的防御知識(shí)情報(bào)和體系，來(lái)和攻擊者進(jìn)行對(duì)抗。要從入侵事件里要找到你最原始，被開始被攻入的點(diǎn)，最弱點(diǎn)在哪里，攻擊者有什么攻擊手段你才能應(yīng)對(duì)它。你Block這一個(gè)攻擊，可能攻擊者已經(jīng)在里面很長(zhǎng)時(shí)間，已經(jīng)把你所有資產(chǎn)拿走，這時(shí)候一個(gè)IP你能知道你的受害范圍和損失到底有多大，最后了解攻擊者的意圖和攻擊者的身份。

如果能幫防御者建立起這樣一套完整的知識(shí)和情報(bào)體系，才能更加有效對(duì)抗有組織的攻擊。

實(shí)際上威脅情報(bào)要回答清楚三個(gè)問(wèn)題：過(guò)去、現(xiàn)在和未來(lái)。過(guò)去，攻擊者通過(guò)什么樣的路徑進(jìn)來(lái)?，F(xiàn)在攻擊者在你的內(nèi)部控制了多少點(diǎn)，他做了多少事情。最后才是著眼于未來(lái)，當(dāng)中可以看到威脅的知識(shí)并不是真正的威脅情報(bào)，雖然語(yǔ)義上可以對(duì)它進(jìn)行區(qū)分。

威脅情報(bào)，并且在情報(bào)真正業(yè)界認(rèn)可的情報(bào)概念是遠(yuǎn)遠(yuǎn)超出我們現(xiàn)在產(chǎn)業(yè)界對(duì)威脅情報(bào)的定義。阿里定義的整套威脅體系非常類似于現(xiàn)代經(jīng)濟(jì)學(xué)當(dāng)中的競(jìng)爭(zhēng)情報(bào)和安全情報(bào)競(jìng)爭(zhēng)信息，而不是LIS圖書館情報(bào)學(xué)的定義。它的使命是什么?我們要贏得對(duì)抗的優(yōu)勢(shì)，不僅僅是告訴你一個(gè)知識(shí)，要幫助你贏得和對(duì)手勝利，降低你整個(gè)組織的風(fēng)險(xiǎn)。所以，在核心工作上我們要做到能幫助用戶應(yīng)對(duì)威脅，決策應(yīng)對(duì)威脅的手段，包括重大事件的取證。

產(chǎn)品型公司還大多停留在產(chǎn)品思想，而這個(gè)時(shí)代不是再以產(chǎn)品為核心的時(shí)代，而是以數(shù)據(jù)為核心的時(shí)代，而且要解決用戶個(gè)性化需求。傳統(tǒng)業(yè)界把威脅知識(shí)給定義成威脅情報(bào)，我認(rèn)為它不能真正為用戶解決問(wèn)題。#p#

《特種木馬攻擊與溯源》

[[138959]]

天融信阿爾法實(shí)驗(yàn)室安全研究員郭勇生

一旦被公開大家都在用的遠(yuǎn)控不能稱之為特種木馬了，我認(rèn)為特種木馬是針對(duì)特定目的開發(fā)定制的繞過(guò)沙箱的軟件木馬。作為后門或惡意程序有兩大點(diǎn)是最主要的，它進(jìn)入木馬網(wǎng)絡(luò)后怎么樣穿透網(wǎng)絡(luò)，能連接出來(lái)，這一點(diǎn)是很重要的。第二是它和殺毒軟件的對(duì)抗，現(xiàn)在每臺(tái)電腦都有殺毒軟件，如何避過(guò)殺毒軟件查殺是要點(diǎn)所在。

特種木馬對(duì)網(wǎng)絡(luò)的穿透性：

1. 代理的穿透性。比如模仿HTTP在線驗(yàn)證，獲得你的帳號(hào)密碼，再進(jìn)行穿透。

2. 繞過(guò)流量監(jiān)控和惡意地址檢測(cè)。

3. 采用多種協(xié)議穿透。比如同時(shí)支持TMP、DNS、ICMP等等，自適應(yīng)網(wǎng)絡(luò)協(xié)議進(jìn)行連接。

4. 協(xié)議加密繞過(guò)IPS/IDS防火墻。

5. 插入白名單程序繞單機(jī)防火墻。

一些惡意程序與殺毒軟件的對(duì)抗：

對(duì)抗虛擬機(jī)環(huán)境檢測(cè)。比如搜索虛擬環(huán)境中的進(jìn)程，文件系統(tǒng)、注冊(cè)表，修改文件，當(dāng)它發(fā)生這樣的行動(dòng)就政策它是惡意的，你可以自測(cè)所運(yùn)行的環(huán)境不是用戶真實(shí)的環(huán)境。既然它是虛擬機(jī)就不可能完全模擬到用戶的操作，它可能認(rèn)某個(gè)程序沒(méi)有惡意行為就放行、繞過(guò)，針對(duì)這種檢測(cè)。

對(duì)抗啟發(fā)式檢測(cè)。啟發(fā)式軟件分析惡意程序和正常程序會(huì)有差別，惡意程序會(huì)盡量少調(diào)用一些API，使用動(dòng)態(tài)的方式加載，做成Shellcode方式，或者用比較大的開源程序。

目前大多數(shù)殺毒軟件軟肋問(wèn)題?，F(xiàn)在殺毒軟件和前些年已經(jīng)有了本質(zhì)上的不一樣，原來(lái)通過(guò)修改特征碼，惡意程序通過(guò)修改特征碼，幾個(gè)跳轉(zhuǎn)就可以查殺，現(xiàn)在做不到了，現(xiàn)在不管虛擬機(jī)、沙箱還是云都非常嚴(yán)格。它們的軟肋在于白名單機(jī)制，它必然要有一些機(jī)制，要有白名單，要有一些程序放行的，這一塊成為最大的問(wèn)題。

360有個(gè)比較嚴(yán)格的機(jī)制“非白即黑”，意思是我不能判斷你這個(gè)程序是無(wú)害的程序那么我就認(rèn)為你是有害的程序，這是非常極端的機(jī)制做法。如果要這樣的做法必然要排除第三方軟件和共享軟件。問(wèn)題就在于，白名單程序你怎么樣能確定它確確實(shí)實(shí)是白名單程序呢?這個(gè)東西你肯定也要有病毒分析師分析這個(gè)程序，它究竟是不是白名單，有沒(méi)有危害，這個(gè)工作量是相當(dāng)巨大的。360病毒分析師的工作量基本13分鐘要判斷一個(gè)文件是白是黑或者是灰。

特種木馬的溯源：

1. 溯源之難。網(wǎng)絡(luò)上的隱藏成本非常低，在國(guó)外可以輕輕松松買到VPN。如果去溯源，查到一個(gè)惡意IP在境外，得到它了想進(jìn)一步走怎么辦?境外協(xié)調(diào)這個(gè)事情是協(xié)調(diào)不了了的，國(guó)家和國(guó)家之間這個(gè)機(jī)制是不完善的……

在溯源時(shí)要考慮一個(gè)問(wèn)題，我們的對(duì)手是誰(shuí)。蘭德報(bào)告把黑客分為頂級(jí)黑客、一流黑客、二流黑客，他說(shuō)頂級(jí)黑客的數(shù)目可能不會(huì)太多，大多數(shù)黑客會(huì)把局勢(shì)搞亂，可能行動(dòng)會(huì)驚動(dòng)敵人，并把目標(biāo)暴露給目標(biāo)集合。對(duì)二流黑客來(lái)說(shuō)，他們最合適的工作是繪制目標(biāo)網(wǎng)絡(luò)拓?fù)浜头閷?duì)方用戶文件。我們遇到頂級(jí)黑客不是特別多，關(guān)于頂級(jí)黑客也是個(gè)傳說(shuō)。即便是二流黑客，你對(duì)他的溯源也不是那么容易。

2. 如何發(fā)現(xiàn)特種木馬。目前來(lái)看，最好的方法還是大數(shù)據(jù)的方式。國(guó)內(nèi)大型殺毒軟件部署的量特別大，他們采集樣本肯定沒(méi)有問(wèn)題，只有在這個(gè)基礎(chǔ)上再去做大數(shù)據(jù)分析，找特種攻擊相對(duì)來(lái)說(shuō)還是比較有勝算的。

3. 基于調(diào)試信息的溯源。拿到病毒樣本之后去做二進(jìn)制分析，反編譯其留下的調(diào)試路徑。而這個(gè)調(diào)試路徑包含了它的用戶名，也就是說(shuō)它把原代碼編譯時(shí)放到了桌面上，編譯以后他桌面上的用戶名被編譯到了里面……大家是不是都喜歡把自己的東西放到桌面上，你的用戶名又是什么呢?是不是和你自身的名字和單位放在一起呢?相信80%都是這樣的。

4. 基于IP的一個(gè)溯源案例。有一次拿到一個(gè)惡意軟件的樣本，它回鏈一個(gè)地址，處于非激活狀態(tài)，IP已經(jīng)連不通了，無(wú)法通過(guò)二進(jìn)制分析。但它通過(guò)反連的IP到DomainTools去發(fā)行，它曾經(jīng)對(duì)域名解析到了一個(gè)IP地址，有了這個(gè)域名之后你可以對(duì)域名進(jìn)行溯源，有了注冊(cè)人信息，有了注冊(cè)人信息你可以再一步步走，這依賴于DomainTools國(guó)外一個(gè)服務(wù)商，它號(hào)稱12年的注冊(cè)記錄，包括域名的所有權(quán)、域名注冊(cè)記錄、托管數(shù)據(jù)、截圖和其他DNS記錄等信息。你覺得這個(gè)域名把它解析到了IP地址，之后解析到別處，認(rèn)為是安全的，其實(shí)不是，你做的過(guò)程很可能被這樣的服務(wù)商給記錄下來(lái)。

5. 基于蜜罐的分析。如果發(fā)現(xiàn)了目標(biāo)攻擊，這個(gè)攻擊正在進(jìn)行的話，你可以通過(guò)設(shè)一些蜜罐獲取對(duì)方的真實(shí)地址，方法其實(shí)可以很簡(jiǎn)單，在各種文檔中插入一些網(wǎng)絡(luò)的資源如圖片，把IP地址暴露出來(lái)，難的不是設(shè)蜜罐，難的是怎么樣讓他相信你，這是很難的。

6. 一層VPN的溯源。下面有討論，如果我剝了一層國(guó)外的VPN到國(guó)外的網(wǎng)站你能不能查到是我干的呢?假設(shè)這個(gè)網(wǎng)站的日志你可以看到，而攻擊者必然是在這個(gè)時(shí)刻的前后連接過(guò)境外的VPN，這也是有鏈接的，即便它是隧道，它加密了，但加密之前最初驗(yàn)證時(shí)肯定是有驗(yàn)證的，這時(shí)候你通過(guò)了GFW，它肯定能記錄下來(lái)，是沒(méi)有疑問(wèn)的。這么一個(gè)理論就形成了，境外VPN攻擊了一個(gè)被攻擊的網(wǎng)站，而同時(shí)你又連了這個(gè)VPN，只要去防火墻上查一查，在網(wǎng)站被攻擊時(shí)，國(guó)內(nèi)哪個(gè)IP連接了國(guó)外的VPN就可以知道是誰(shuí)了。

現(xiàn)在關(guān)鍵是在這里，入口這個(gè)地方會(huì)不會(huì)做這個(gè)記錄呢?有人說(shuō)能，有人說(shuō)不能。我覺得思路上來(lái)講是能的，但具體實(shí)現(xiàn)上是很難的，因?yàn)榫W(wǎng)絡(luò)的出口流量特別大，如果做這個(gè)記錄你得需要多大的存儲(chǔ)空間，事實(shí)上是很難的，即便你剝了一層VPN，會(huì)追溯到你的可能性也不會(huì)很大，當(dāng)然剝了兩層和你這個(gè)思路就更行不通了。

7. 基于日志的分析。它難就難在大量的數(shù)據(jù)分析，大量設(shè)備日志聯(lián)動(dòng)起來(lái)，形成一條攻擊鏈然后找到對(duì)方。成功的也有，比如多，有時(shí)候網(wǎng)站上大量日志都是境外IP進(jìn)行掃描，結(jié)果突然斷了一下，又境內(nèi)的IP，這時(shí)候VPN斷了，掃描功能還在繼續(xù)，這是存在的。

原文地址：??http://www.aqniu.com/neo-points/8404.html??