网络空间危机四伏，如何发现威胁的蛛丝马迹？

云风 发自 凹非寺 量子位 编辑 | QbitAI

核心技术是强国之匙，当今世界，信息技术的迅猛发展特别是互联网技术的广泛应用，极大地促进了全球的经济文化发展。但与此同时，技术是一把“双刃剑”， 网络安全也正临新挑战。

首次采用“万人在线”的云会议模式的第八届互联网安全大会（ISC 2020），为全球万千参会者打造永不闭幕的云上安全交流平台。8月13日-16日的技术日多个论坛中，更是行业领军专家、全球技术大咖等齐聚“云端“，共同探讨等保2.0时代，网络空间测绘、ATT&CK安全能力衡量、安全分析技术、XDR分析检测等信息技术领域，构筑网络安全建设”合规之路“。

网络空间对抗升级，ATT&CK 框架构建安全基石

ATT&CK作为近几年最火的攻击框架，对于安全行业的实际检测有很强的指导性价值。它覆盖的攻击技术非常庞杂和具体，大概有200多项技术点。而随着对抗的升级，域安全在红蓝对抗中越来越重要。

基于此，青藤云安全COO 程度以“ATT&CK高频攻击技术的分析与检测”为议题，围绕ATT&CK技术使用频率、攻击技术检测分析框架、ATT&CK技术需要收集的数据类型频率分布、ATT&CK数据源与事件日志、Valid Account 攻击等进行了深度探讨。

其中，ATT&CK高频技术方面还对Valid Account 攻击、Powershell 攻击、Masquerading攻击、Credential Dumping攻击、Scheduled Task攻击等五方面进行了详细的介绍和分析。

1、Valid Account 攻击

程度提出，攻击者会使⽤利⽤漏洞获取凭证访问的权限技术来窃取⼀个特定⽤户或服务账户的⽤户名密码或凭证，或者是通过社会⼯程学侦查获得特定⽤户或服务账户的⽤户名密码或证书，从⽽获得初始访问的权限。而攻击者可能使⽤的账户分为三类：默认账户、本地账户和域账户。

针对入侵分析，程度提出攻击者通过其他⼿段获取的邮箱账号可以作为持久化的⼀种⼿段，可直接登陆到系统，然后新建⼀个隐藏账号来实现持久化。

针对检测分析，程度列举出两类不同的数据源。

异常登陆，可监测所有登录时间，是否在非正常时间和非正常地点登录。

账号变更，可监测所有账号的新增，修改。

数据源为账号变更事件、异常登录事件

Windows系统：监视创建LSASS.exe的Windows日志，验证LSASS是否作为受保护进程启动；监视程序执行的进程和命令行参数。例如PowerSploit的Invoke-Mimikatz模块；监控域控制器日志以查找可能与DCSync相关的复制请求和其他未安排的活动；监视来自与已知域控制器无关的IP的网络协议 和其他复制请求。

Linux：要获取存储在内存中的密码和哈希，进程必须在/proc文件系统中打开要分析的进程的映射文件。该文件存储在/proc/maps路径下，其中目录的唯一的pid；AuditD监控工具，在许多Linux发行版中都提供，可用于监视在proc文件系统中打开此文件的恶意进程，警告pid，进程名称和此类程序的参数。

数据源为进程监控，进程命令行参数，API监控，PowerShell日志

2、Powershell 攻击

程度提出，攻击者可以使用PowerShell执行许多操作，包括信息发现和执行恶意代码。例如，使用Start-Process cmdlet运行恶意的可执行文件，使用Invoke-Command cmdlet在本地或远程计算机上执行命令。

针对入侵分析，程度提出了三点。

绕过本地权限执行，即上传xxx.ps1到目标服务器，在cmd的环境下，在目标服务器本地执行该脚本。

本地隐藏绕过权限执行脚本。

用IEX下载远程PS1脚本绕过权限执行。

针对检测分析，程度提出，如果攻击者获得管理员或系统访问权限，可能会通过注册表或命令行来定义自己的执行策略。可从以下几种方式进行检测：

监控与PowerShell特定程序集相关的artifacts的加载和执行，例如System.Management.Automation.dll（特别是异常的进程名称/位置）。

记录PowerShell日志，以更好的获知执行期间发生了什么（适用于.NET调用）。

在数据分析平台中收集PowerShell执行细节，以补充其他数据。

数据源为PowerShell日志，加载的DLL，DLL监控，Windows注册表，文件监控，进程监控，进程命令行参数。

3、Masquerading攻击

为了逃避防御和监控，攻击者会利⽤伪装，来操纵或滥⽤合法或恶意的可执⾏⽂件的名称或位置。

针对入侵分析，程度提出，会将windows伪装成svchost：把恶意exe⽂件重命名成svchost，放到其他系统⽬录中运⾏。

针对检测分析，程度提出，以下几点：

收集文件哈希，文件名与其预期的哈希值不匹配是可疑的。执行文件监控，具有已知名称但位于不寻常位置的文件是可疑的。同样，在更新或修补程序之外修改的文件也是可疑的。

磁盘文件名与二进制文件的PE元数据的文件名不匹配，则可能表示二进制文件在编译后已重命名。通过查看InternalName，OriginalFilename和ProductName是否与预期匹配来收集和比较二进制文件的磁盘和资源文件名可以提供有用的线索，但可能并不总是指示恶意活动。

对于RTLO，检测方法应包括在文件名中查找RTLO字符的常见格式，例如“\ u202E”，“[U + 202E]”和“％E2％80％AE”。防御者还应检查他们的分析工具，以确保他们不解释RTLO字符，而是打印包含它的文件的真实名称。

数据源为文件监控，进程监控，二进制文件元数据。

4、Credential Dumping攻击

程度提出，攻击者可以使⽤凭证执⾏横向移动并访问需要较⾼权限才能访问的信息，且攻击者和专业安全测试⼈员都可以使⽤此技术中提到的⼏种⼯具。也可能存在其他⾃定义⼯具。可以使⽤Mimikatz、Cain、creddump7在本地处理SAM数据库，以检索哈希值。

针对入侵分析，程度提出，lsass.exe的内存经常会被转储，以进⾏离线凭证窃取攻击。可以使⽤Windows任务管理器和管理权限，系统⼯具ProcDump，或者mimikatz来实现。

针对检测分析，程度提出以下几点：

攻击者⼀般都通过powershell执⾏恶意命令，⽽且在执⾏powershell时，必然需要使⽤参数 -execbypass来绕过执⾏安全策略，这是⼀个很强的检测点。

监控命令⾏和进程创建事件，mimikatz，reg save HKLM\sam sam，reg save HKLM\system system，reg save HKLM\security security，这些都是很好的特征。

数据源为进程监控，进程命令行参数，API监控，PowerShell日志 。

5、Scheduled Task攻击

程度提出，攻击者使⽤at、schtasks和Windows任务计划程序在某个时间执⾏程序或脚本。如果使⽤RPC（通过身份验证），并且⽂件和打印机共享都被打开的情况下，还可以在远程系统上执⾏计划任务；在远程系统上执⾏计划任务通常要求该成员是Administrators组的成员；攻击者可以在计划任务中执⾏恶意程序，从⽽实现持久化，获得SYSTEM权限，或者在指定帐户的上下⽂中运⾏进程。

针对入侵分析，程度提出在Windows系统下，管理员权限，攻击命令为创建计划任务。

而针对检测分析，数据源为Windows事件日志，监视进程和命令⾏参数以了解可⽤于创建任务的操作。

基于以上探讨，程度总结出“威胁狩猎系统=高质量数据+异构数据源的连接+强大的分析引擎+灵活的分析语言”。

深挖难点：空间测绘精准感知，筑牢安全防御体系

万物互联，攻击无孔不入，战场无处不在。伴随5G、IPv6、人工智能、云计算等新技术的涌入，数以百亿的资产设备暴露在未知威胁之下，世界级安全风险呈超指数级倍增。如何利用网络测绘手段精准、实时、智能的感知网络空间安全态势，及时感知威胁、识别定位资产，成为网络安全防御体系重要一环。

作为威胁分析、安全研究方面的专家，华顺信安联合创始人、首席安全官的邓焕就网络空间测绘技术现状进行了分析，并从攻击者视角分享了来自黑灰产业的真实攻击事件及华顺信安在网络空间测绘技术方面的思考和实践。

邓焕提出，当前，网络空间测绘技术存在攻防体系的不对称，如在技术层面防御通常比攻击慢半拍；信息不对称，攻击者 > 安全人员等问题，需具备攻击者视角。如以攻击者视角利用全网探索探索引擎快速搜集业务系统ICO、CERT证书、子域名、同IP/IP段信息。

邓焕强调，从攻击者视角来看，如果要入侵一台服务器，要从开放的端口服务、组件下手。那么第一步做的就是网络资产暴露面的梳理，主要围绕企业关键字如域名、IP、logo、ICP备案号、证书进行信息收集，以发现更多的企业资产，寻找突破口拿下目标。

邓焕谈到，随着网络资产数字化，用户正面临着监管资产难以快速、全面、精准地管理，传统产品扫描缓慢、无法第一时间发现安全风险及网络威胁等痛点。目前阶段防守方大多抵挡不住来自黑客的攻击，主要是因为攻击者关心的永远不是用户的IP资产，而是用户IP资产上对应的漏洞。

攻守有道，攻与守本身作为一对对立统一的矛盾，在互相对抗的同时又互相促进。邓焕认为这就意味着在数字时代局势下要转变以往的网络安全策略。只有实现网络资产的精准扫描，快速补漏，才能立于不败之地。

邓焕最后强调道，网络空间资产安全防护不足主要原因是我们甚至不知道服务器的存在，而网络空间测绘技术便解决了这个问题。近年来，华顺信安聚焦网络空间测绘技术，旗下的FOFA平台搜索引擎拥有全球联网IT设备更全的DNA信息。可以把全球暴露在公网上设备的端口、协议、应用，甚至漏洞进行纵深的扫描，对资产的安全进行建模刻画。相信未来网络空间测绘技术或将成为网络安全的基础技术。

深耕攻防之道，安全分析技术一网打尽前沿网安黑科技

随着大数据时代的来临，传统的实时检测与防御已不能胜任对海量数据中细微异常的甄别。相比主机层和应用层以日志、请求等为分析对象，网络流量分析面对更底层的网络数据包，其中包含更多信息元素。

绿盟科技伏影实验室安全研究员杜元正分享了关于“图卷集神经网络的样本家族分类”的相关研究进展。目前，可执行程序黑白二分类的技术相对成熟，在此基础上进行由功能、代码复用情况对恶意可执行程序进行多分类成为下一个突破方向。

演讲中，杜元正分享了其研究团队针对此方向的研究历程，团队首先使用API\LIB调用序列作为特征对可执行文件进行分类，但由于恶意样本家族之间的API\LIB调用序列的特异性不足，导致分类结果不理想。随后更换特征提取思路，以恶意样本的控制流图(Control Flow Graph, CFG)作为特征、使用可以采集图特征的图卷积神经网络（Graph Convolutional Nerual Network）进行多分类。

其中，控制流图具有图结构和和节点属性两个特征，且通过图卷积层对图结构与节点属性的特征采集，具有以下特征：

节点属性缩放

节点属性传播

针对排序池化层，杜元正提出，控制流图节点数量任意，因此特征图大小任意; 在分类前，使用排序池化层固定特征图的维度。而排序原则，即对于一个大小为M*N特征图，根据第N列的值排序，若相等，则比较第N-1列的值，以此类推。

理想·环境下的分类结果，杜元正表示，使用恶意样本控制流图作为多分类特征，然后使用图卷积神经网络对分类特征进行分类，理想环境下分类效果拔群。

恶意样本图节点属性缺失的情况下，分类：仅凭恶意样本的图结构进行分类

恶意样本增加图节点属性后，收敛的所需要的轮数减少了30%

与此同时，研究团队在此过程中遇到了两个工程问题但最终得以解决，其一是缺数据，最终通过做数据增强成功解决，其二是关于壳保护技术，研究发现利用“壳函数不会调用恶意样本自定义函数、恶意样本自定义函数不会调用壳函数”的这一特点，能够成功分离壳特征。就壳保护技术解决方案如下：

壳特征分离，可见恶意样本函数调用图，包括壳函数调用图以及恶意样本本地函数调用图。

基于“壳函数不会调用恶意样本本地函数，恶意样本本地函数不会调用壳函数”的观测结果，分离壳函数调用图与恶意样本本地函数调用图。

沙箱建设。通过注入插桩代码，在不影响程序动态执行结果的前提下，在程序执行过程中插入特定分析代码，实现对程序动态执行过程的监控与分析。

等保2.0时代，信息技术开启合规之路

等保2.0时代高位启航一周年有余，显然对信息技术运营者、使用单位等提出了新的要求，全面护航自身安全隐患和不足，提高信息技术的安全防护能力，成为一大难题。

中国工程院院士，国家集成电路产业发展咨询委员会委员，国家三网融合专家组成员，中央网信办专家咨询委员会顾问沈昌祥院士以“按等保2.0可信计算3.0筑牢新基建网络安全防线”为议题提出，按照国家网络安全法律、战略和等级保护制度要求，推广安全可信产品和服务，筑牢网络安全底线是历史的使命。新型基础设施是以数据和网络为核心，其发展前提是用主动免疫的可信计算筑牢安全防线。

沈昌祥从以下三个方面进行了详细分析：

1、用科学网络安全观构建新基建网络安全主动免疫新体系

“一种”新模式，计算同时进行安全防护。主动免疫可信计算是一种运算同时进行安全防护的新计算模式。

“二重”体系结构，计算部件+防护部件。建立免疫、反腐败子系统。

“三重”防护框架。可信安全管理中心支持下的主动免疫三重防护框架，“安全办公室”，“警卫室”，“安全快递”。

“四要素”人机可信交互。人机交互可信是发挥5G、数据中心等新基建动能作用的源头和前提，必须对人的操作访问策略四要素（主体、客体、操作、环境）进行可信度量、识别和控制。

“五环节”可信设施。加强基础设施全程安全管控，用可信密码等技术检测、预警、恢复等措施确保设施各环节安全可信。

“六不”防护效果，即攻击行为赖不掉、系统和信息改不了、非授权者重要信息拿不到、攻击者进不去、窃取保密信息看不懂、系统工作瘫不成。

2、打造主动免疫可信计算3.0新型产业空间

开创可信计算3.0时代 。中国可信计算源于1992年立项研制免疫的综合安全防护系统（智能安全卡），于1995年2月底通过测评和鉴定。经过长期军民融合攻关应用，形成了自主创新安全可信体系，开启了可信计算3.0时代。

抢占核心技术制高点 摆脱受制于人，完备的可信计算3.0产品链，将形成巨大的新型产业空间。如可信主机分多核CPU内实施可信并行结构和主板上加装TPCM+TCM模块，老设备可以方便地通过可信网络支撑平台把现有设备升级为可信计算机系统，而应用系统不用改动，便于新老设备融为一体，构成全系统安全可信。

3、按等保2.0构筑新基建网络安全底线

等保2.0新标准把云计算、移动互联网、物联网和工控等采用可信计算3.0作为核心要求，筑牢网络安全防线。

等保2.0新标准要求5G安全架构。5G网络在传统电信云的基础上引入NFV/SDN等技术进行ICT融合，将移动通信网络云化、虚拟化和软件化，使网络变得更灵活、敏捷和开放。

基于众多嘉宾的探讨，不难发现，当今网络安全市场， 等级保护新标准的发布与实施，对网络安全产品市场起到推波助澜的作用，使得多种技术和产品得到广泛的应用和部署，不仅促进此类产品的进一步发展，也促进了网络安全防护水平的进一步提升。

ISC2020技术日期间精彩不断，全球顶尖嘉宾接连聚焦热点、难点问题，共谋网路安全发展之道，还有安全开发与测试、XDR分析检测、漏洞管理与研究、移动安全等多个分论坛同步上线。未来几天，ISC2020产业日、人才日等主题日将陆续开启，还有ISC夜谈、ISC Talk、CXO等特色活动持续开播，为永不落幕的安全大会注入最前沿、最专业的基石。