制高点、地雷阵和火力支援 ——纵深防御体系中的能力点思考 安天 肖新光 （2015/07/09 ●阿里安全峰会） 引子：从塔防说起 页面引自中油瑞飞黄晟《关于网络纵深防御的思考》 2014年10月的一个雾霾深重的下午，我在某机构小会议室第一次听 到黄晟（JOE）讲解“塔防”的思想，并为了听完报告错过了航班。 www.antiy.com 第2页 对手.武器 引自演讲者报告《寻找APT的关键词（2013）》 用户.装备 引自演讲者报告《寻找APT的关键词（2013）》 对手.实战 攻击可能是这样的 Fanny DoubleFantasy 升级版本 约2008-2011 约2004-2012 TripleFantasy 升级版本 约2012-至今 win32m.sys nls_933w.dll 硬盘控制器 插件 硬盘固件 确认目标后，使用 更复杂的组件 EquationLaser EquationDrug 升级版本 2001-2003 升级版本 2003-2013 GrayFish 2008-至今 WINDOWS控制过程 MSNADT.EXE 电脑加电 BIOS自检 内嵌库 MSDIRECTX.EXE MSCFG32.EXE 核心平台API C&C通信协调器 平台通信 内存分配 逆向DNS解析器 Rootkit通信 内存存储 压缩 MSCFG32.DLL MBR MSCFG32_KS.DLL SVCHOST32.EXE 插件库 SVCHOST32.DLL 键盘记录器 信息收集器 进程/文件操作 UNITAY.DLL 网络嗅探器 数据压缩 浏览器监控 MSNDSRV.SYS 网络扫描仪 加密存储 密码窃取器 MSSVC32.VXD VFS管理 硬盘刷新 C&C通信 ----------------Win Sockets WinLnet WinHTTP 驱动程序 网络嗅探器 键盘记录器 NETVT.SYS Windows OS Loader 驱动签名 INSTV4.BAT Windows Kernel ntoskrnl DESERTWINTERD RIVER.SYS Windows Logon HRILIB.SYS 文件系统数据修复 INSTV4.BAT INSTV3.BAT VBR MSNDSRV.SYS MSCFG32.DLL 但攻击也可能是这样的 文件系统过滤器 ... 批处理自删除 执行程序 驱动程序 图引自安天《方程式（EQUATION）组件加密策略分析》 图引自安天《Hangover样本的跟踪挖掘》 19  神一样的对手： 有充足的0day储备 载荷部分高度复杂，高度模块化 本地加密抗分析，网络严格加密通讯和伪装 不一定通过网络植入，可能为人工植入和物流链劫持。 基本上完整普及了无文件载体技术，内存分段抗分析 持久化向深度扩展（固件），向广度扩展（防火墙、邮件网 关、局网内横向移动） 完整的覆盖所有操作系统平台（含移动） 功能程序 但 不 管 是 哪 样 的 对 手 ， 都 把 我 们 “ 搞 定 了 ” 8 27 7 42 3 猪一样的对手： 缺乏0day储备，很少使用 载荷编写质量低下 严重依赖网络投放 没有采用必要的Rootkit手段 90 37 缺少必要的持久化能力 主要针对Windows系统平台 ver2 ver1 41 67 ver3 ver2 ver1 ver4 Method_A 24 42 ver2 ver3 ver1 ver3 81 16 ver2 ver1 ver4 189 189 29 Method_B Method_C Method_D 127 Method_A+B 345 www.antiy.com 13 第5页 防御.现状 防火墙、IDS – 未加电或配置为直通状态 – 未得到有效的关注 反病毒 – 由于物理隔离导致一个月到半年升级一次 – 因担心带来不稳定和其他问题不升级 主机环境 – 多半为默认配置，未经过有效的配置强化 – 缺少统一的补丁机制，导致不能打补丁 – 因担心对业务的影响不敢打补丁 www.antiy.com 第6页 高点.布防  一种必须部署的基本能力  一种能够杀伤普通对手的能力  一种高级攻击者必须绕过的能 力  传统的AV等基础检测能力才是 “制高点”。  我们没有神话制高点 不论在防御和进攻中制高点都能产 生一定的有利效果,这种效果是必须 考虑的.....就便于运动这一点来说,高 处的军队并不是绝对有利的,也不是 在任何场合都是有利的。 ——克劳塞维茨 www.antiy.com 第7页 导向.重读 关于不基于特征的未知威胁检测的导向 – 恶意代码 – 0day漏洞利用：shellcode、多种格式文件 2013美国国防预算法案932.b – 为了克服当前面临的问题和局限性，（下一代网络安 全）系统不应依赖于： – a. 已知特征机制； – b. 需要经常更新的特征机制； – c. 需要以数据库形式存储下来的特征机制。 932.B真的宣告了传统AV技术的消亡么？ 指标.疑惑 Email MPS CMS 1 SMTP 2 Inbound 3 MVX 6 Outbound HTTP Callback Server 5 4 Web MPS Multi-vector blended attack 1 – Email with weaponized pdf 2 – Executed in MVX (Email MPS) – phish suspected 3 – Web MPS notified via CMS 4 – Callback over HTTP to C&C server 5 – Callback detected by Web MPS and blocked 6 – End user defended from multi-vector attack 为什么FE对PE载荷的检出率很低？ 图片引自Fireeye产品PPT，与本页主题无关 沙箱.反思  沙箱的核心优势是针对攻击中数 据->指令转换的弱点。  在复合鉴定器中，绝大多数检出 率是以传统AV为主导的静态机制 贡献的。特别是针对PE、脚本等 传统载荷。  沙箱针对PE对抗没有必然的优势， 但其是行为细节（动态向量）的 供应器。  沙箱本身是传统基础，其本身不 是“下一代”技术。对格式攻击 等的深度检测能力，以及对载荷 行为的有效呈现才是其根本建制。 www.antiy.com 图片引自Fireeye产品文档，与本页主题无关 第10页 支点.平衡 FE的六的技术支点 • 场景组合分析 • 复杂流量分析 • 多向量分析 • 信息关联分析 • 云端能力 • 实时防护 图片引自Fireeye产品文档 相关思路的精华是什么？ • 安全性与保密性的平衡 • 云端能力和本地能力的平衡 www.antiy.com 第11页 沙箱的有无不解决问题 完整性 有效性 准确性 信息淹没 沙箱不是合规型环节。 做好沙箱需细腻的工作，长期维护出细活。 背景图片抓取自某开源沙箱对HT泄露事件中的 某0day检测结果。 www.antiy.com 第12页 （AV）软肋.再看 AV-一种可以低成本获得的安全资源 多引擎扫描工程已经非常成熟 第13页 （安全产品）软肋.泛化 APT时代的为达成目标可以获取感知一切周边环节 和阻碍的要素。 能力的获取 能力 意图 威胁 能力的探测 动机 能力 动力 目标价值 意图 攻击者 坚定性 实施APT 承担攻击成 本的能力 知识支撑与双向筛选 可信 白名单 可信厂商的签名体系 黑 云检测 传统反病毒 引擎 白 用户端信誉 判定的高风险对象 已知的高风险对象 未判定对象 不可信的 已知黑名单对象 信誉 域名与网址 信誉 可疑的对象 生僻的对象 www.antiy.com 第15页 地雷阵.不确定性 通过制造不确定性来应对攻击，以及一个有趣的 例子。 但攻击方同样可以通过承担成本的方式来判定不 确定性对攻击方的影响。 只可言传，不可打字，因此省略若干字。 可探测性 产品能力是提供给 用户的，但也是暴 露在攻击者面前的。 安天后台分析系统运维界面截图 产品能力来自其更 大的支撑纵深。 但其同样是可探测 的。 从误报构造攻击说起 感染 低质量的特征 被病毒和攻击者利 用的第三方软件 壳 特征提取 自解压包 编译器 公共控件和驱动 采集点 样本判定 开源软件 误报问题 权值设置 未知检测 被修改的文件 标志关系不当 不充分的格式识别 脚本 引擎机理 哈希碰撞 图引自安天《反病毒产品误报问题白皮书》 以我们目前经验判断，Symantec对微软系统文件的误杀，可能是 外部发起的一系列误报构造攻击碰撞到了Symantec后台分析系统 的一个错误的对比定义翻转。 ——《关于赛门铁克查杀中文XP系统文件问题的事件分析（内部版）》 反馈是一种微妙东西 反馈本身是信息采集的动力 但反馈也增加攻击者探测分析的成功率 注：友商图片仅供装饰使用 www.antiy.com 第19页 “Camberdada”计划的警示 左上、右上两图引自斯诺登泄露文档《An Easy Win：Using SIGINT to Learn about New Virues|Project Camberdada》