筆者是一名網絡安全從業者,畢業至今已經在這個行當里混跡了5年之久,雖然還遠遠談不上資深,但這幾年來也見過了不少安全事件,自己作為技術支持,也處理了其中一些。就在我慢慢覺得這一行已經沒有了當初的新鮮感的時候,公司派我去一家網絡新聞媒體協助解決他們最近遇到的安全問題。未曾想到,這一次“難忘”的工作經歷讓我對網絡安全又有了新的認識。
事情發生在一個夜晚,即將入眠的我突然接到了公司一線銷售人員的求助電話,電話中說到這家網絡新聞媒體的數據遭到了丟失、篡改,運維人員卻無法找到此次攻擊的根源所在。
“有點意思……”掛斷電話的我,從床上慢慢坐了起來,思忖着。
“未知”的“未知”
既然被攻擊的原因與所有已知的漏洞與威脅都不匹配,我經過分析之后,覺得客戶應該是被一種新的攻擊手段入侵了,用網絡安全界的行話,這叫做“未知威脅”。未知威脅又分為兩種,一種是能預測到可能會發生的,可以一定程度上進行防范的,稱為“已知的未知威脅”,而另一種則是無法預測,因此讓人覺得無從防范的,則稱為“未知的未知威脅”。
客戶作為一家網絡新聞媒體,鐵肩擔道義,妙筆著文章,為社會傳遞了大量的正能量,有着極大的社會影響。但是,仍有不法分子為了牟取自身利益,利用“未知的未知威脅”對這家客戶進行網絡攻擊,居心不可謂不叵測。憤慨之余,我深感責無旁貸,一定要幫助客戶掃除威脅,還客戶一片網絡凈土。
“摸着石頭過河”
越來越多的未知攻擊是如今安全攻防的一個最大的特點,客戶所面臨的攻擊工具可能是之前從來沒有使用過的,甚至是身邊的監控視野從來沒有看到過的。如何有效地應對未知威脅的確是一個令人頭大的問題,傳統入侵檢測方法基於的是特征碼或規則,要求軟件必須提前“知道”入侵的“定義”,才可以識別對應的入侵。但是,面對全新品種的惡意軟件,其特定入侵指標(IOC)自然就不為人知,傳統入侵檢測方法又如何能檢測出未知攻擊呢?
既然傳統的方式行不通,我決定改變思路。雖然所謂“未知的未知攻擊”在之前並沒有出現過,但是既然攻擊了客戶的系統,就總會留下一些異常的痕跡,正如業內一位德高望重的前輩告訴我的那樣,異常不一定是威脅,但一般來說威脅一定有異常。需要將“未知的未知威脅”轉為“已知的未知威脅”來控制問題,如果能夠從業務的運轉中,抽取生成內在的監控指標,並對指標進行持續地觀測和分析,那么無論遇到什么攻擊,都會引起指標變化而被察覺。
與客戶溝通了我的這些想法之后,我們在客戶的服務器集群上部署了青藤萬相·主機自適應安全平台,根據客戶的業務運行狀況設立數萬個監測指標,對文件進程、主機訪問、業務關系等建立多維度、多層次的縱深檢測體系,可以無間斷對入侵行為進行監控,實現實時的入侵檢測和快速響應,一旦發現異常情況,就會進行毫秒級報警。
憑借着青藤萬相·主機自適應安全平台強大的持續監控能力,終於找到了客戶系統被攻擊的根本原因,原來是攻擊者制作了一個新的更輕量級、功能更全的Webshell。找到原因,剩下的工作就簡單多了。於是,我們順利地協助客戶守護了他們的數據安全。
這次的工作經歷給我的網絡安全職業生涯上了重要的一課,要守護網絡安全,不僅要在技術上強過攻擊者,更要在意識上領先於攻擊者,對“未知的未知”給予足夠的重視,未雨綢繆,只有這樣,才能做到固若金湯,不給黑客任何可乘之機。
無論公司企業還是個人消費者,都對零日攻擊擔心不已,怕保護不好自己的數據。如果都不知道威脅長什么樣子,談何御威脅於家門之外?
一段時間以來,以防御未知威脅為目的的安全工具不斷涌現,但零日攻擊利用新漏洞或新技術的本質,讓此類攻擊難以被傳統安全軟件檢測。
以殺毒軟件和反惡意軟件工具為例,用戶不得不持續安裝更新的原因,就是新品系或新版本的惡意軟件特征碼要不斷加入到這些防護軟件的字典中。沒有特定惡意軟件的定義,這些軟件就對該特定惡意軟件視而不見,任其長驅直入。
檢測惡意軟件的傳統方法依賴發現入侵指標(IOC)。這一方法的問題在於,通過IOC檢測惡意軟件需要之前“看到”過這些IOC。
這基本上就是基於特征碼和基於規則的方法,要求軟件必須“知道”入侵的“定義”才可以識別入侵。可想而知,既然零日惡意軟件是全新品種的惡意軟件,其特定IOC自然就不為人所知,這種必須先見過才能檢測的方法又怎么能檢測得出零日攻擊呢?
這些傳統應用程序在防御已知威脅上表現良好。但我們又是否能訓練機器來發現之前從未觀測過的惡意軟件呢?換句話說,機器能檢測零日攻擊嗎?
當然可以。
行為分析,也就是我們所謂的“新”方法,就是特別適合檢測零日攻擊的,與以上傳統方法完全不同的另一條路。其中秘訣在於,幾乎所有惡意軟件,包括零日惡意軟件,都會展現出昭示攻擊進行時的一些行為。
行為分析的核心是用異常檢測來查找這些異於常規軟件的行為。所有惡意軟件在行為上或多或少都有些異常,因而也就能被分析檢測。
依賴行為而非特征碼的另一個巨大優勢在於,所謂的“無文件惡意軟件”也能被檢測出來。如其名稱所顯示的,無文件惡意軟件並不將自身保存成主機上的文件,而是寄生內存之中,基於文件特征碼的傳統掃描和白名單技術幾乎不可能檢測到。但即便是無文件惡意軟件,也要表現出一些能被檢測的行為。
我們不妨考慮一下最壞的場景:零日無文件攻擊。這種最壞情況下,行為分析檢測過程是怎樣的呢?
首先,網絡釣魚郵件將一份惡意Word文檔投放到你電腦上。然后,惡意軟件嘗試在被感染主機上獲取立足點;微軟Word啟動PowerShell,注冊表鍵被篡改。接下來,PowerShell與命令與控制(C&C)中心通聯,准備好攻擊載荷。最后,載荷被下載執行。攻擊任務完成。
零日惡意軟件的情況下,因為之前沒“見過”該惡意軟件,你的殺毒軟件不能在惡意軟件進入到主機時識別出來。加之這還是個無法被掃描的無文件攻擊,不會在主機上安裝任何新的可執行代碼,還只利用主機已有程序作惡。殺軟就更加無法發現了。但是,上述入侵過程中它所進行的很多活動都是可以被行為分析工具打上“不正常行為”標簽的。
Word啟動PowerShell就是個不正常的父-子進程。C&C域名查詢會觸發異常DNS頻率和時刻報警。協議隧道的建立則會表現出該協議的不正常網絡負載。諸如此類。這種情況下,即便零日威脅本身是完全未知的,但其導致的行為變化是無法隱藏的。