"Ünlü Dedektif" Xue Feng: Sizi kimin hacklediğini ve bunun nedenini öğrenmek istiyorum
Deneyimli "yaşlı polislerin" hepsi gerçekten "yaşlı" değildir. Örneğin, 1982 doğumlu Xue Feng çok gençtir.
Xue Feng şu anda tehdit istihbaratına odaklanan bir başlangıç şirketi olan Weibu Online'ın CEO'su. Amazon'dan gelen bu uzman, iki yıldan fazla süredir faaliyet gösteren bu güvenlik şirketinin, 70 kişiden fazla bir ölçeğe ulaşmasına izin verdi ve üç ay önce 120 milyon yuan B tur finansmanını tamamladı.
Xue Fengin ana görevi, bir grup "araştırmacı" yı (genellikle analistler olarak bilinir) olabildiğince fazla bilgi toplamaya, karmaşık olanlar arasındaki bağlantıları bulmaya ve son olarak hangi şirketlerin ve hangilerinin İnternette iz bırakmadan gelip giden hackerlar tarafından insanlara ve yerlere "işkence" yapılacaktır.
Geçmişte, "insan eti" adı verilen "eski" bir ağ izleme yöntemi vardı, ancak bir bilgisayar korsanını izlemek bundan çok daha karmaşıktı.
Xue Feng ve diğerlerinin araştırma nesneleri bundan 100 kat daha karmaşık olabilir - bunların çoğu bireysel bilgisayar korsanları değil, hızlı hareket eden ve birbirleriyle işbirliği yapan elit hacker gruplarıdır. Ve bu dünyada sıcak Güneydoğu Asya'dan soğuk Sibirya'ya kadar yüzlerce elit hacker grubu var.
Güçlü rakip
Bu karmaşık ve zor bir iştir. "Nasıl yapılır" konusunu anlamadan önce, rakiplerimizin ne kadar güçlü olduğunu görelim.
Xue Feng, Lei Feng'in ev konuk kanalına (WeChat ID: Let'shome), siber dünyadaki karanlık rakiplerin gerçek dünyadaki yüksek IQ'lu suçlulardan daha korkunç olabileceğini söyledi. "Kötü adamların" "iyi adamlara" göre birçok avantajı vardır:
1. Düşman karanlıkta, ben ışığın içindeyim.
Saldırıyı başlatmadan önce, saldırgan saldırganın durumuna çoktan değinmiş ve savunma sistemi alarmı çalmıştır.Acil durum müdahalesi ne kadar hızlı olursa olsun, bilmek ve düzeltmek arasındaki zaman farkı "pek çok şey olabilir".
2. Kötü adamların "patronunun" para harcamaya daha istekli olduğunu söylemeliyim, bu da kötü adamların çok fazla kaynağı ve araca sahip olduğu anlamına gelir.
Son zamanlarda, Lei Feng'in ev konuk kanalı bir şaka gördü
Lider: Güvenliğimiz çok önemli, bunu iyi yapmalıyız
Güvenlikten sorumlu kişi: Tamam, şirket güvenlik konstrüksiyonu için ne kadar para harcayabilir?
Lider: Maliyeti ne kadar?
Güvenlikten sorumlu kişi: Milyonlarca dolar.
Lider: Kiralayabilir miyiz?
...
Kötü adamlar zaten AK-47'yi aldı ve iyi adamlar hala Xiaomi'ye tüfekler ekliyor.
"Kötü adamlar yıllar içinde çok değişti ve çok hızlı büyüdüler. Koruma şirketi alet satın almak için para harcıyor ve patron girdi-çıktı oranını soracak. Cevap vermemiz zor çünkü şirketin güvenlik harcamaları bir maliyet. Kayıpları önlemek. Kötü adamlar farklı. Bankayı soymak için bir araç satın alabilir ve girdi-çıktı oranı çok yüksek. "Xue Feng, Leifeng'in ev konuk kanalına söyledi.
3. Kişi sayısı eşit değil.
Bir kuruluşun güvenlik ekibinde düzinelerce kişi varsa, genellikle yalnızca üç veya dört kişi olmak üzere "güvenlik açısından çok güçlü" olarak kabul edilir, ancak ağır silahlarla ve bölgeler arası işbirliğiyle hacker gruplarıyla yüzleşmek zorundadır ve birden fazla hacker grubu vardır.
4. Satın alın, satın alın ve satın alın, ancak satın aldığım araçlar işe yaramıyor ve bunları nasıl kullanacağımı bilmiyorum.
Sınır ne kadar iyi olursa olsun düşman mutlaka içeri girecektir. Bu nedenle, sınır artık işletme için bir sorun olmaktan çıkmıştır.Düşman içeri girdikten sonra düşman daha fazla konuşlanmazsa (örneğin sondalar), çok fazla çalışma yapılamaz.
5. Rakibin kim olduğunu bilmiyorum. İşletme ile rakip arasındaki oyun, hava ile oynamak gibidir.
Bir makinenin işe alındığı tespit edildiğinde, onu normal bir virüs olarak biçimlendirdi, ancak rakibin ne yapacağını bilmiyordu ve rakibin bilgisine sahip değildi.
Düşman dul ve düşman karanlık ve parlak Nasıl oynanır?
Bu durumda, elbette, sadece "uzatmalı savaşı" seçebilir ve rakibin dinamiklerini takip edebilirsiniz, böylece rakip, başlamak üzere olduğuna dair işaretler ortaya çıkardığında, yukarıdaki muhafızların dezavantajlarını telafi etmek ve rakibini ortadan kaldırmak için daha erken tespit edip direnebilir. Avantaj.
Bu "nasıl" diyeceğiz. Daha önce de belirtildiği gibi, Xue Feng ve diğerleri "zeka" dır. Veri ve istihbaratın toplanmasından istihbarat analizine kadar önemli bir adım var - Xue Feng buna "hacker profili" diyor ve sizi kimin hacklediğini ve bunun nedenini bulmak için bir dedektif gibi olmak istiyor?
Weibu Online, 2015 yılında x.threatbook.cn adında bir istihbarat topluluğu kurdu. Başlangıçta, Xue Feng sadece bir istihbarat arama motoru olmak istiyordu ve daha sonra bir istihbarat topluluğu haline geldi.Bu topluluğun onbinlerce kayıtlı kullanıcısı var ve yaklaşık binlerce kişinin günlük yaşamı var ve yeni istihbaratın günlük katkısı 200.000 ila 300.000 arasında kalıyor. .
Zekaya aktif olarak katkıda bulunan iki tür insan vardır.
İlki misilleme amaçlı katkı dır. Başkaları benimle ilgilenirse, bunu ifşa ederim.
İki gün önce, bir kullanıcı SMS'lerini ve ağ geçitlerini bombalayan 2000 IP olduğunu ve bu 2000 IP'yi ifşa etmek istediğini söyleyen bir mesaj bıraktı. Bu bir tür psikoloji - her neyse, eğer benimle uğraştıysan ve öğrendim, karşı koyacağım ve bilgilerini paylaşacağım, böylece başkalarıyla uğraşamazsın.
İkinci tip ise işbirlikçi katkı, bilgi paylaşımı daha fazla bilgi elde etmektir. Bir tehdit olayını paylaştıktan sonra, paylaşan kişi, olayın tam resmini anlamak için tehdit olayı hakkında diğer ek bilgileri alacaktır.
Bu benzersiz bilgiye ek olarak, istihbaratla uğraşan güvenlik şirketleri, bilgisayar korsanlarının portresine eklemek için bu verilerin analizine dayanan bazı "tarif edilemez" veri işbirliği kanallarına sahip olacak.
Xue Feng ve diğerlerinin takip ettiği şey bir bilgisayar korsanı grubudur Örneğin, bu grupta A, B ve C olmak üzere üç kişi var. Banka soygununu benzetme olarak ele alırsak, yakın zamanda bir banka soydular mı? Bu sefer bankayı soyduğunuzda hangi arabayı kullandınız ve hangi yeni yöntemi kullandınız? Bu çetenin tarihini, eylemlerinin yörüngesini ve Truva atları, alan adları ve dijital sertifikalar gibi sahip olduğu varlıkları ve kaynakları kavramak gerekir.
"Bu bilgisayar korsanı grubunun 10 arabası varsa ve 5 araba bodrumda park etmişse ve hiç dışarı çıkmamışlarsa, nasıl anlarsınız? Bu arabaların aynı ehliyet altında kayıtlı olduğunu doğrulamanın tek bir yolu olabilir. Arabası hiç gitmediyse Bir ehliyet alırsam veya ehliyet alırsam ne yapmalıyım? Bir araba satın alıp almadığını görmek için sadece kredi kartı ödeme kaydını kullanabilirim. "Dedi Xue Feng.
Bu basit bir benzetmedir: Savunmacı, hacker grubunun durumunu anlamak için korelasyon analizini kullanır.
Elbette, daha önce de belirtildiği gibi, dünyada yüzlerce elit grup var, ancak tehdit istihbaratı analizinde uzmanlaşan şirketlerinde şu anda 70'den fazla kişi öldü.Siber dünya hızla değişiyor. "Gözlerimizi" nasıl açık tutabiliriz? Bu hacker gruplarında mı?
Xue Feng'e göre: "Birçok bilgisayar korsanı grubunun elinde pek çok şey vardır ve herkesin her türlü şey, silah vb. Vardır, tek başına analistlere güvenir, hız ve zaman ayak uyduramaz ve bunların izlenmesi otomatikleştirilmelidir."
Tamam, uzun bir süre konuştuktan sonra, bana analist A'ya ek olarak, işinde ona yardımcı olan A1, A2 ve A3 A makine klonları olduğunu söylediniz. Aslında, anahtar verilerin otomatik takibi ve ön analizine ek olarak, otomatik onarım da vardır.
Ancak bu, henüz gerçekleştirilmemiş güzel bir vizyon. Örneğin, gelecekte doğrulanacak yamalar otomatik olarak yamanabilir. İdeal durum, bir şirketin saldırıya uğradığını keşfetmektir ve sistem, onu doğrudan yamalamak için üçüncü taraf yazılımlara bağlanır.
Örnek Olay: Dark Cloud üçüncü nesil Truva atı saldırısı nasıl takip edilir
Weibu Online Baş Analisti Fan Xinghua tarafından
Weibu Online, Hint hükümeti geçmişine sahip hacker grubunun Beyaz Filini, Vietnam hükümeti Hailian'ı ve finans sektörünü hedefleyen saldırı grubunu analiz etmek için izlenebilirlik modelini kullanıyor. Yerli siyah üretimi konusunda da bazı analizler yapıyoruz. Şu anda, dünya çapında yüzlerce ana akım saldırıyı ve yerel suç çetelerini analiz ediyoruz. Yüzlerce örgütü portre sistemiyle takip ettik ve izleme analizi yaptık. İzlediğimiz çeteler, Ana akım enerji, hükümet ve İnternet endüstrileri.
1. Nasıl izleriz?
Geleneksel anlamda iki tür izlenebilirlik vardır, biri dahili izlenebilirliğe, diğeri ise harici izlenebilirliğe dayanır.Dahili izlenebilirlik, kurumun dahili izinsiz giriş ortamının analizini, bilgisayar korsanlarının araç kullanımını ve saldırı amaçlarını içerir.
Aşağıdakiler harici izlenebilirlik analizine dayanmaktadır, çünkü dahili adli tıp bağlantımız, dahili adli bilgilerin nasıl kullanılacağı ile tamamlanmıştır. Saldırganın kim olabileceği, bu saldırının yanı sıra diğer saldırılarda hangi ağ varlıklarını kullandığı ve bu saldırganın hangi hackerları kullanmayı sevdiği gibi saldırganın profil bilgilerini almak için Truva atları, alan adları gibi daha ileri analizler Araçlar, saldırı hedefleri, endüstriler, bölgeler vb.
Karanlık bulut saldırı araçları 2015'ten beri geliştirildi ve keşfedildi, 2016'da ikinci nesil Dark Cloud'a ve 2017'de üçüncü nesile dönüştü. Kara bulut saldırı araçlarının amacının, reklamcılık ve trafik kaçırmanın teşvik edilmesiyle 2017'de bir DDoS saldırısına dönüştüğünü gördük.
Dark Cloud teknik açıdan çok gelişmiş bir saldırı aracıdır.Kernel seviyesindedir.Kesinti ve öldürmeyi önlemek için yasal dijital imzası vardır. İlk yükleme ve bulaşma süreci dahil olmak üzere yürütme işlemi sırasında birçok kullanıcı adı Shellcode'a dayanır. Dark Cloud ayrıca yerel ana akım anti-yazılıma karşı da savaşabilir.
Bu yılın Haziran ayında müşteri, dahili makinelerin büyük hacimli saldırılar başlattığını keşfetti, ancak uzun süredir adli tıp analizinden sonra hiçbir şüpheli dosya bulunmadı. Kaynak nasıl izlenir? Nasıl yakalandı? Hiç net değil. Bunlar, izlenebilirlik sürecinde karşılaştığımız zorluklardan bazıları. Bunlar üç noktada yansıtılıyor: Tamamen çekirdek düzeyinde bir saldırı aracı için kanıt elde etmek çok zordur; örnek analizi çok zordur çünkü modülerdir ve birçok işlev sunucudan uzaktan kontrol edilir. İndirme komutları indirilir ve birçok modül vardır; Shellcode'a dayanmaktadır ve kara bulut tarafından kontrol edilen altyapı çok büyüktür.Global enfeksiyon hacmi milyonlarca birim düzeyinde kalır ve trafik çok büyüktür.
Müşteri bizi numunesiz bulduğunda, aldığımız tek bilgi kötü niyetli bir alan adıydı. Analizden sonra, bu alan adı, Dark Cloud'un yürütme sırasında bazı eklentileri indireceği veya yapılandırma sırasında kötü amaçlı bir alan adı kullanacağıdır.
Bir izlenebilirlik modelimiz var ve izlenebilirlik sürecinde analiz de bu izlenebilirlik modeline dayanıyor. Saldırganın diğer saldırı varlıklarını, ikinci nesil ile ilişkisini aldık ve üçüncü nesil Dark Cloud'un ana hatlarını analiz ettik.
Altyapısının birkaç özelliği vardır: Birincisi, karanlık bulut saldırı araçlarının çözüm IP'si iki ağ segmentinde yoğunlaşmıştır; ikincisi, bu sunucuyu alan adı çözümleme sunucusu olarak kullanmak için karanlık bulutun ana alan adı kullanılır. Üçüncüsü; Dark Cloud çok büyük miktarda enfeksiyona sahiptir ve Dark Cloud erişimi hızlandırmak için bazı yöntemler kullanır.
Sonunda, Dark Cloud Truva atının arkasındaki saldırganın kullandığı 80'den fazla saldırı varlığını kırdık ve izlenebilirlik modeli sayesinde Kara Bulut'un arkasındaki grubun portre bilgilerini dakikalar içinde geri yükledik.
2. İki izleme boyutu
Kara bulut izleme, biri örneklere, diğeri ağ varlıklarına dayalı olmak üzere iki boyuta ayrılmıştır.
Yara'ya dayalı güvenli arama yöntemiyle bazı kendi kendine kod çözme ve bazı işlev adlarını çıkardık. Tüm kara bulutun takibi esas olarak ağ varlıklarına dayalıdır. Örneğin, Nisan 2016 ve Kasım 2016'da aynı alan adının izlenebilirlik modeli analizinden sonra önemli değişiklikler bulundu.Yeni eklenen alan adı, Dark Cloud III'ün ana ağ varlığıdır. Dark Cloud III'ün basit aktivitelerini keşfettik. işaret.
Kasım 2016'da, ikinci nesil Dark Cloud'un ana varlığı, üçüncü nesil Dark Cloud analizi sırasında elde ettiğimiz ilk ve tek ağ varlığı olan yeni ilgili bilgiler üretti.
Nasıl takip edilir? Bu karşılaştırma yöntemiyle, Dark Cloud'un üçüncü neslinin yaklaşık süresinin Kasım 2016'da olduğunu gördük. Bu, yerli şirketlerin çıkardığı sonuçlarla tutarlı değil. Birçok şirket, Nisan veya Mayıs 2017'de olabileceğine inanıyor. Yalnızca Haziran ayında kara bulutların aktivitesi çok küçüktü ve enfeksiyon alanı çok küçüktü.
Karanlık bulut analiz sürecinde örnek analiz yetenekleri, izlenebilirlik analiz yetenekleri, görüntü çökeltme yetenekleri ve izleme ve takip yetenekleri uyguladık.
Ve Yara ile biraz izleme, ayrıca modelleri izleme ve takip etme.
3. Yukarıdaki dört yetenek nasıl oluşturulur ve belirli yöntemler nelerdir?
Numune analizi, güvenlik analizi yapmak için en ilkel ve temel yeteneğimizdir. Yara için basit ve daha iyi bir yöntem olabilir. Ek olarak, davranış imzaları, korumalı alan davranış imzalarına dayalı olarak, bir davranış imzası oluşturmak için sanal alan aracılığıyla örneğin kötü niyetli davranışına ilişkin bazı temel davranış analizleri yaparız.Davranış imzası da örnek analizimizde çok önemlidir. Beşincisi, Amerikan kar amacı gütmeyen kuruluşlar tarafından yaygın olarak kullanılan saldırı ve saldırı gruplarının analizi olan ATT CK, davranış imzalarına çok benziyor.
İzlenebilirlik analizi yeteneğini geliştirmek, derin öğrenmeye dayalı bir izlenebilirlik modeli oluşturmaktır. Modelin girişi, alan adı, IP, Hash, PDNS, kayıtlı e-posta, kayıt sahibi olabilir. Orijinal ağ benzeri bir resim çizelim Bu resim örümcek ağına benziyor ve çok karmaşık. Şu anda bu yöntemle kaynağın izini sürmek kesinlikle mümkün değil.İçinde çok fazla gereksiz bilgi var ve onu daha fazla filtrelememiz gerekiyor. Filtrelemeden sonra, çok fazla siyah ve gri karışımı olabilir. İstediğimiz ideal modeli nihayet elde edebilmemiz için daha fazla yargıya varmamız gerekiyor.
Spesifik ilişki modeli nedir? Öncelikle modelimizin alan adı bazı alt alan adlarına sahip olacaktır, hangi IP'lerin bu alan adıyla çözüldüğü, geçmişte hangi IP'lerin çözüldüğü, şu anda hangi IP'lerin çözüldüğü ve alan adı tarafından hangi kötü niyetli veya kötü niyetli olmayan örneklerin kullanıldığı. Sandbox verileri veya temel ağ davranışı verileri, portreler yoluyla ağ benzeri bir resim elde edecektir.
Bir sonraki adım olan filtrelemede, gereksiz bilgileri birden çok boyuttan kaldırabiliriz.İçinde bu saldırgana ait olmayan birçok alan adı olabilir.Bir IP üzerinde, genellikle bilgisayar korsanları veya normal olan binden fazla alan adı olabilir. İnsanlar bu davranışa sahip olacak. Filtrelemeden sonra, tehdit istihbaratı aboneliği, topluluk istihbaratı vb. Gibi çeşitli boyutlarda daha fazla yargıya varabiliriz. Sonunda, etkili bilgi filtreleme ve yargılama yoluyla elde edilebilir.Kırmızı olan, genellikle sorunlu olduğuna karar verdiğimiz bir sonuçtur ve bu saldırı olayı ile çok ilgilidir.
Sonuncusu, izleme ve izleme yetenekleridir. İzleme modeliyle birlikte bu verileri temel aldık ve sonunda şüpheli sonuçlar aldık. Burada iki önemli nokta var: Birincisi, temel verilerin yeterince zengin olması ve kapsamın yeterince kapsamlı olması ve sadece yerli olanlar değil, dolayısıyla yabancı çetelerin izleme etkisinin çok zayıf olmasıdır.
Örnek izleme yönteminden bahsedelim Aynı kaynağın örnekleri birbirine çok benziyor.
İlk olarak, kara bulut olayı sayesinde, bir saldırı varlığından arkasındaki saldırganın sahip olduğu 80'den fazla saldırı varlığını keşfedebiliriz.
İkincisi, bir yuva sonu etkisini elde etmek için. Bir Truva Atı'nı analiz edin, örnek bilgileri analiz edin ve bu örneğin CC'sini alın ve rapor biter. Ama bizim için yeterli değil ... İzlenebilirlik analizi sayesinde, bu saldırı ve tarihsel saldırı olaylarının tüm verilerini elde ettik ve saldırganın tüm yönlerini yakalayabilen ve nihayet bir yuva etkisi elde edebilecek ekipmanımıza koyduk. .
Üçüncüsü, ikinci nesil üzerinden üçüncü nesil ana alan adını elde ederek, bir saldırı başlatmadan önce onu durdurabiliriz.
Dördüncüsü, tahmin yoluyla savunma yapılabilir.
