科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全低调潜伏鹰,高调保安全

低调潜伏鹰,高调保安全

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

我们非常熟悉僵尸网络,说不准谁家里的电脑就是肉鸡,就是某个僵尸网络中的一个节点。僵尸网络在目前的状态下会受到更多的青睐,可能会有更大范围的普及。

来源:ZDNet安全频道【原创】 2014年9月25日

关键字: APT攻击 APT防御技术论坛 僵尸网络

  • 评论
  • 分享微博
  • 分享邮件

我们非常熟悉僵尸网络,说不准在座某些人家里的电脑就是肉鸡,就是某个僵尸网络中的一个节点。僵尸网络在目前的状态下会受到更多的青睐,可能会有更大范围的普及。我们采访过一些云服务商,他们特别关注,因为他们的公有云特别注重自己的安全,否则他们给客户开一堆的虚拟机,有可能很快被黑客攻成肉鸡。未来公有云的普及可能会给僵尸网络带来更大的生存空间。如何在未来的僵尸网络环境中生存呢?

APT技术防御论坛的接下来,谈的是APT的典型攻击手法。独立研究者、工程师潜伏鹰为大家讲解了先进持久对抗条件下降时网络的数据化生存。

 低调潜伏鹰,高调保安全


潜伏鹰主要演讲了在APT条件下,僵尸网络如何利用数据挖掘及统计手段,使它的生存能力更高。

我国从1949年建国以来的主要防御方针是积极防御,僵尸网络作为有效和有利的攻击手段,我们可以把它种植到我国的法律和技术手段不能部署的地区,及时获取敌方可能采取APT的策略。

僵尸网络需要部署在前端的bot肉机,即所谓部署在VPS上的,也有路由器上的,只要需要监测和检查的地方都需要部署。其次,我们的僵尸网络需要安全、隐蔽、可靠的回传。我们发现可以利用社交网络,还可以利用DNS基础设施。最后,这些信息传递到指控控制端。这就是我们见到的传统僵尸网络。这些的传统僵尸网络,不管是采用普通的杀虫模式,都会遇到危险,而如何提升它的生存能力呢?

以美国为首的北约集团发起的棱镜门,我们还采取过去的那种游击队手法,只有死亡。根据僵尸网络使用的样本和回联信息,他们给我们画了这么多的圈圈,我想其中部分圈圈是在座某些同志的,也有可能是国外的,我们都不希望自己的僵尸网络上这个圈圈。

在去年的XCon上,潜伏鹰提出作为一种可灵活运用于资源抢占、舆论引导、逆命通信、隐蔽渗透等积极防御业务的僵尸网络。美国人很多年前已经做到了这一点,他们的僵尸网络不是单打独斗的,希望我们的僵尸网络可以合在一块,团队作战。我们希望在使用僵尸网络的时候不再是界面上的简单的哪些僵尸回联。我们希望僵尸网络能够用数字和数据手段,实现联合作战。

从业务的角度谈一谈目前僵尸网络应用中广泛存在的问题。

很多专家在国内外发了很多文章,也公布了很多样本,我们看到更多的是先进的免杀、加壳、匿名的通讯手段。开发和使用的是两批人,开发者并不一定会用,用的人又不了解如何将僵尸网络很好的保护起来。一方面是在运维中,另一方面是在升级中,另一方面是应急处理中。我们制造了非常先进的僵尸网络,使用以后很快死掉,痛心疾首不已。

先进的僵尸网络就像先进的工具,需要成熟和有经验的团队去使用。很多团队花了很多钱做了很多僵尸,死的很快,买的也很快。我们的人才队伍不足,很多优秀的一线人员已经到了公司或者是出国,他们的丰富经验不能留存下来。他们在多次对抗中获得的各种方法也逐渐消失。这些问题怎么解决呢?

根据僵尸网络全生命周期的运行,在什么时候用什么样的漏洞或者是工具种植僵尸网络。使用僵尸网络的时候用哪一个跳板。面对某些目标和业务,上哪个方向、什么时间上。新版本的僵尸开发出来,新的免杀和协议出来,是不是第一时间部署到前沿去。

带着这些问题,进入到第二环节,如何使用数据挖掘构建基于中小规模的态势感知和辅助平台。一个巨大的地球上放了很多点,这些点有时间亮,有时候黑,翻译成常说的话是领导喜欢看闪一闪的东西。

我们理解僵尸网络全生命周期的运维,时间、僵尸的运行环境、僵尸的位置、僵尸在生存和业务过程中使用的结果。我们的僵尸网络应该成为成熟的工具,有必要把僵尸网络的业务指挥、运维、内审、内控、数据分析分为四个团队、四个模块、四个系统,独立控制使用。我想重点给大家介绍一下内审团队。近几年,僵尸网络消失的非常快,很大原因就是先进的反僵尸网络手段渗透到我们的僵尸网络中,很多的虚假服务器和虚假证书渗透到僵尸控制节点,我们需要利用成熟的僵尸网络集团对原有的僵尸网络进行内审内控,即所谓的自我行为分析。

我们有四个数据来源和四套不同的系统,分别将数据进行综合回传进行统一的数据处理。依托这些数据可以完成僵尸生存状态感知、僵尸对抗能力感知、全球对抗风险评估、僵尸网络分析总体对抗预测,主要目的是为了实现僵尸网络集群的协同业务自控和智能运维。

我们的僵尸网络只采与僵尸网络有关的。我们采目标的区域情况,包括用户使用规律、安全素质、安全防护水平和信息网络情况。我们还会采僵尸的种植方式的有效性、时间区域的有效性及不同版本的生存能力。我们可以按区域运用资源、按区域进行投放以及业务和升级管理方法。总体来说,将这些数据采集回来进行第一次处理,即所谓的特征提取。分成目标特征、木马特征,将它数字化,引入到真正的工程。进行目标价值评估、防御模式的识别、敌方工作规律和防御规律的预测、基于关联分析的辅助决策手段,最终目的是能够集成、传播和不断增量学习的知识库系统。

进行数据采集、单一化数据标识、同一数据格式,后面三个步骤需要专业的数据处理团队,包括进行统计分析、数据融合、聚类、预测、关联分析和异常检测。最后使用经济手段,通过样本的增量不断进行培训,选择出最优的反复使用的智能系统。

我们使用僵尸网络进行数据化管控和数据化业务指挥。最简单的,对僵尸网络传回的目标情况进行综合判断,分析出目标所属区域的价值。基于僵尸网络,通过回传信息,对僵尸网络使用的域名、博客、微博、僵尸帐号等等资源进行统计,分析出单个资源的可用性评估,找到最佳、最长时间可用的优质节点。通过僵尸网络的运行业务计算,找出最适合僵尸此次投入使用的最佳的通信协议、最佳的回联地址、最佳加密手段、最佳的配置文件手段。上一个是单个资源统计,下一个是集合资源统计,这决定了第三步采取何种策略。运维团队可以根据传输结果分析出不同僵尸之间的相互连接关系,构建本地的僵尸网络的拓扑架构图。一般的社交网络中会有自己的中级机群,也是敌对方的攻击重点所在,我们要做到的是提前改变连接方式,使之无法实现单点失败单点攻击的效果。

我们根据全方防御能力图的数据进行评判,预测对方的升级时间、升级区域和对方可能采取的埋设虚假代理服务器、主动攻击等等策略,提前预测、布防,避免我们的僵尸受到高级渗透。

我们近年来看到国外用机器学习的方法,针对部分国家和部分团队使用的僵尸网络特点,如采用的0day传播手段、样本,构建了这样的行为模式。为了提高我们僵尸网络的隐蔽能力,有必要将我们的僵尸自行提取出来。

在反复的攻防对抗中,我们是攻击方,也是防御方,我们也希望了解到对方的攻击集团对我国僵尸网络的主要攻击手段、攻击方法和资源调配。通过长期对其攻击资源的分析,我们可以了解到对方的资源来源或者是位置来源,提前让攻击团队进行分类处理,将其目标区域分析出来,避免投放过程中的错误。

低调潜伏鹰,高调保安全

我们的僵尸网络运用不要再像过去一样拍脑袋指挥,或者老经验指挥,我们希望用现在的资源和智慧搭建最好、最智能、自动化运维的辅助决策系统,在输入目标节点和资源的情况下,自动选出最佳的漏洞利用或者是僵尸类型,采取最佳的升级和业务策略,使得我们的僵尸在对抗过程中经久不衰。

人不犯我,我不犯人,人若犯我,我必犯人。我们是积极防御,除非人家打上门来,否则我们的僵尸网络永远是和平的。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章