今年RSA大会上，Cato Networks的安全服务主管Tal Darsan和高级安全战略主任Etay Maor通过三个真实案例，为我们分享了他们在威胁捕获过程中收获的经验教训，和利用网络进行威胁捕获的一些技巧。

概述

单点故障（Single Point of Failure）指：在一个系统中，单一成分的失效使整个系统无法正常运转。主讲人Tal Darsan认为目前对于安全事件的新闻报道过分关注单点故障，让人误以为“防守方只疏忽了某一个点就导致了整个安全事件”。Tal Darsan又挑战了一个传统观点：“攻击方只需做对一件事，而防守方需要做对所有事”。他认为恰恰相反：攻击方要想达到最终目标需要做对很多事，这意味着防守方必然存在多项疏忽。

主讲人通过发问“你是否知道，在自己公司网络的所有云应用中，抖音（TikTok）的使用量排名在20左右？”，来体现多数公司对自己的网络环境知之甚少。他论证：企业安全部门一定要明白，部署各式各样的安全设备到底是“肌肉”还是“脂肪”。

真实案例1：钓鱼

攻击者首先拿到了受害者朋友的邮箱，然后向受害者发送钓鱼邮件。受害者点击邮件中伪装成PDF的链接后，访问了攻击者利用ClickUp和Glitch托管的假的Office365 OneNote网站。整个攻击极其隐蔽，因为钓鱼邮件拥有合法的发件人，且假站点被托管在合法服务器上，并包含真实站点的所有功能。主讲人认为：发现、应对这个攻击的最佳方法是人工阅读或者用机器学习处理网页的HTML源代码。随后使用evilginx演示了钓鱼的全过程。

真实案例2：恶意程序

Houdini远程访问木马可以对受害者主机进行如下载文件、数据窃取、远程控制等一系列恶意行为。它的攻击流程如下：首先将包含恶意VBS脚本的钓鱼邮件发给受害者。受害者上钩点击后，该木马控制受害者主机，同时可以通过U盘传播给更多主机。失陷主机将与攻击者的CnC（Command and Control）服务器通讯，并将受害者的敏感数据传回CnC服务器。主讲人认为：可以通过木马与CnC通讯时使用HTTP user-agent中的特殊<hostname>和<username>字段来发现它。

接着，主讲人介绍了另一种恶意程序：ChaChi后门木马。这种木马使用DNS隧道进行加密通讯，最终向受害者投放PYSA（Protect Your System Amigo）勒索软件。主讲人认为：可以通过训练针对DNS流量的机器学习模型来发现异常DNS流量。

真实案例3：勒索软件

勒索软件存在两个特殊的共性：

1. 加密受害者文件以后，往往还会修改文件的后缀名。
2. 为了确定加密哪些文件，勒索软件会遍历本地目录和SMB（Server Message Block）网络文件共享。

主讲人提出两种对应的发现勒索软件的思路：使用机器学习检测异常的文件后缀名；或者利用众多勒索软件在生成勒索文本后才加密SMB的特点，检查SMB共享流量的载荷。

绿盟解读

会议开头提出的，对“单点故障”视角的反驳非常新颖，值得防守方和新闻媒体反思。一次成功的攻击往往意味着防守方的多项疏忽——需要注意的是，这里的“多项疏忽”既可以是同一时间点发生的，也可以是由一段时间内的单次疏忽积累而成的；后者容易被长期潜伏、伺隙进攻的APT所利用。

主讲人随后给出的三个例子非常有代表性，会议中穿插的视频演示制作精良。我们学习到主讲提出的应对思路同时，还应该思考如何泛化这些应用场景。比如，主讲建议用机器学习的方法去发现DNS隧道，但DNS隧道只是众多隐秘通信的方法之一。检测多种隐秘信道的能力或许可以帮助企业场景无关地发现特定威胁。

会议内容给我们的主要启发是：企业需要对自己的网络环境有全面、整体的认识，发现安全治理中的盲点。企业还要根据自身情况，部署结合机器学习和专家意见的全方位解决方案。防守方不能只寄希望于发现IoC，而是要防患于未然，在攻击者达到最终目标前发现征兆并及时处理。

伏影实验室

研究目标包括Botnet、APT高级威胁，DDoS对抗，WEB对抗，流行服务系统脆弱利用威胁、身份认证威胁，数字资产威胁，黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险，缓解威胁伤害，为威胁对抗提供决策支撑。