網(wǎng)絡(luò)空間需要“看得清”更需要“看得見”，在KCon2019上我提出了網(wǎng)絡(luò)空間測繪的兩個核心：“一是，獲取更多的數(shù)據(jù)。二是，賦予數(shù)據(jù)靈魂。”，“獲取更多的數(shù)據(jù)”那是為了“看得清”，而只有“看得見”才能“賦予數(shù)據(jù)靈魂”，“看得清”是能力的體現(xiàn)，是“器”，而“看得見”就是思想的體現(xiàn)，那最后關(guān)聯(lián)的是“道”。[1]

　　「網(wǎng)絡(luò)空間測繪就是對網(wǎng)絡(luò)空間數(shù)據(jù)的挖掘，其本質(zhì)在于通過對數(shù)據(jù)的采集、存儲、加工處理后形成新的“知識”，知識進一步升華為“智慧”，并最終幫助決策者做出合理的決策?！筟2]

　　數(shù)據(jù)-->知識-->智慧-->決策

　　「網(wǎng)絡(luò)空間數(shù)據(jù)挖掘是一個“仁者見仁、智者見智”的事情，取決于實施者的對數(shù)據(jù)的認(rèn)知、理解、思維視角及層次，而最終得到不同的知識結(jié)論。」[2]

　　換句話說就是取決于實施者的“視野”、“格局”、“道”，這也就是古代先賢們告訴我們“以道御器”之法。

　　3W問題（“What？Where？Who？”）是網(wǎng)絡(luò)空間測繪要解決的基本問題。[3]

　　也就是“是什么？”、“分布在哪里”、“是誰的？”，很多時候遇到的場景都是在于前面兩個W問題圍繞著最后一個W問題展開，也就是從設(shè)備指紋及相關(guān)分布等相關(guān)數(shù)據(jù)入手，最終想解決是誰的設(shè)備這個問題。然而今天我們提到的主題“行為測繪”則是反其道而行之：從“Who?”入手，反查“What？Where？”

　　行為測繪

　　「行為是人類或動物在生活中表現(xiàn)出來的生活態(tài)度及具體的生活方式，它是在一定的條件下，不同的個人、動物或群體，表現(xiàn)出來的基本特征，或?qū)?nèi)外環(huán)境因素刺激所做出的能動反應(yīng)?！梗ò俣劝倏疲?/p>

　　不同的群體，可能表現(xiàn)出基本的獨有的特征，當(dāng)我們能掌握到這個特征，那么我們就能盡可能識別出這個群體里的所有個體，而這些所謂的行為特征在網(wǎng)絡(luò)空間測繪里表現(xiàn)出的是這個設(shè)備各個端口協(xié)議里的banner特征，目前在網(wǎng)絡(luò)空間測繪里常用的通用組件指紋識別形成的指紋庫就是利用了通用組件通用的默認(rèn)配置特征這個“行為”來進行識別的，很顯然這個充分利用了人類“懶惰”的這個性格引起的通用默認(rèn)配置的“行為”進行測繪的，但是也就忽視那些進行自定義的配置的目標(biāo)，而這些目標(biāo)是本文要闡述的主要對象。

　　在這些自定義過程中不同的群體又可能表現(xiàn)出不一樣的獨有特征，我們利用這些行為特征進行網(wǎng)絡(luò)空間測繪，這就是所謂的“行為測繪”了。通過實踐經(jīng)驗“行為測繪”在威脅情報領(lǐng)域、國家基礎(chǔ)設(shè)施測繪、APT/botnet/黑產(chǎn)等組織測繪上有巨大應(yīng)用空間及震撼的效果。

　　以道御器之?dāng)厥仔袆?/p>

　　「斬首行動是一個軍事術(shù)語，指用巡航導(dǎo)彈和精確制導(dǎo)導(dǎo)彈對敵方進行軍事打擊，通過精準(zhǔn)打擊，首先消滅對方的首腦和首腦機關(guān)，徹底摧毀對方的抵抗意志?！梗ò俣劝倏疲?/p>

　　我們經(jīng)常在影視作品中可以看到一些場景，比如營救人質(zhì)或夜襲敵方糧草，甚有直取敵方主帥大營等，所有這些行動是建立在目標(biāo)判斷明確的基礎(chǔ)上。一個樸素的防御思想告訴我們核心敏感的地方往往會優(yōu)先部署相對強大的防御工事，也就是說防御工事越多越強大的地方很可能就是相對比較核心敏感的設(shè)施，比如人質(zhì)關(guān)押的地方、主帥大營等地方往往相對多的巡查士兵，巡查頻率也相對較高，由此可以判斷哪些地方是“斬首行動”的目標(biāo)地點。

　　回歸到網(wǎng)絡(luò)空間用上面提到的“道”來指導(dǎo)我們?nèi)プ鲆恍┨剿鳎诰W(wǎng)絡(luò)空間里我們可以通過尋找某些安全設(shè)備的分布來確定目標(biāo)可能的防御重點分布。

　　準(zhǔn)與不準(zhǔn)

　　在軍事上很多時候我們也會用到偽裝手法來躲避偵查，比如迷彩的運用等，在網(wǎng)絡(luò)空間里也一樣存在各種網(wǎng)絡(luò)安全設(shè)備來干擾探測影響探測結(jié)果，比如蜜罐、防火強等設(shè)備，從而欺騙誤導(dǎo)網(wǎng)絡(luò)空間探測引擎規(guī)則，如果使用者過度的依賴這些探測規(guī)則就很容易被誤導(dǎo)而忽視這些目標(biāo)，當(dāng)然我也曾留意到某些做測繪的同行寫文章批判吐槽過這些不準(zhǔn)的情況，實際上他們忽視了這個“不準(zhǔn)”也是一種“異常行為”，俗話說：“反常必妖”，而這個很可能就是別人苦苦追尋的目標(biāo)！

　　所以“準(zhǔn)與不準(zhǔn)”應(yīng)該是平臺實事求是并盡可能全的展示探測器探測到的banner（元數(shù)據(jù)）并展示，而不是局限于探測的規(guī)則二次加工后的表象來簡單評判，這點認(rèn)知我認(rèn)為對于相關(guān)平臺設(shè)計上及數(shù)據(jù)轉(zhuǎn)變?yōu)橹R等方面上有至關(guān)重要的作用。

　　曾經(jīng)有一次發(fā)現(xiàn)ZoomEye上某些IP端口的banner被顯示為一個固定的攔截信息，通過Google搜索確定發(fā)現(xiàn)這是某國際上著名的安全廠商生產(chǎn)的某安全設(shè)備導(dǎo)致的，也正是因為這個設(shè)備的原因成功欺騙了ZoomEye的服務(wù)識別規(guī)則而導(dǎo)致識別結(jié)果出現(xiàn)偏差。隨即針對這個攔截信息的數(shù)據(jù)分布進行分析發(fā)現(xiàn)在多個國家或地區(qū)有分布，這個也說明了這個國際大廠的市場地位是無容置疑的，在分布最多的國家地區(qū)里再結(jié)合ZoomEye獨有的行業(yè)標(biāo)注庫的標(biāo)注，發(fā)現(xiàn)這些目標(biāo)集中分布在某核心基礎(chǔ)設(shè)施行業(yè)里，進一步通過網(wǎng)絡(luò)拓?fù)浞治鲎罱K都指向了的同一個設(shè)備地址。

　?。ㄗⅲ涸撛O(shè)備的搜索指紋在各大網(wǎng)絡(luò)空間搜索引擎里的數(shù)據(jù)分布）

　　以道御器之僵尸網(wǎng)絡(luò)測繪及APT測繪

　　通過之前我發(fā)布一些文章可以看出基于網(wǎng)絡(luò)空間搜索引擎ZoomEye這種主動探測模式在僵尸網(wǎng)絡(luò)組織及APT組織追蹤上有著非常重要的應(yīng)用，而這里主要是說明“行為測繪”這個思想在僵尸網(wǎng)絡(luò)組織、APT組織追蹤及威脅情報領(lǐng)域的應(yīng)用實戰(zhàn)。

　　下面我用Trickbot這個作為例子進行說明，在前段時間在推特上看到某開源情報例舉了幾個關(guān)于Trickbot C2的地址：https://twitter.com/TheDFIRReport/status/1427604874053578756

　　通過curl訪問發(fā)現(xiàn)185.56.76.94:443訪問不到，而24.162.214.166:443及60.51.47.65:443 訪問到的banner及證書基本一致：

　　~ ? curl -i https://24.162.214.166 -k

　　HTTP/1.1 403 Forbidden

　　Server: nginx/1.14.2

　　Date: Tue, 17 Aug 2021 14:07:25 GMT

　　Content-Length: 9

　　Connection: keep-alive

　　Forbidden%

　　~ ? curl -i https://60.51.47.65 -k

　　HTTP/1.1 403 Forbidden

　　Server: nginx/1.14.0 （Ubuntu）

　　Date: Tue, 17 Aug 2021 14:08:03 GMT

　　Content-Length: 9

　　Connection: keep-alive

　　Forbidden%

　　證書內(nèi)容部分關(guān)鍵內(nèi)容為：

　　subject: C=AU; ST=Some-State; O=Internet Widgits Pty Ltd

　　issuer: C=AU; ST=Some-State; O=Internet Widgits Pty Ltd

　　所以這些都是很典型的“群體行為”，結(jié)合https的返回banner及證書內(nèi)容進行行為特征匹配搜索：

　　“HTTP/1.1 403 Forbidden” +“Server: nginx” +“Content-Length: 9” +“Connection: close” +“Issuer: C=AU,ST=Some-State,O=Internet Widgits Pty Ltd”

　　https://www.zoomeye.org/searchResult?q=%22HTTP%2F1.1%20403%20Forbidden%22%20%2B%22Server%3A%20nginx%22%20%2B%22Content-Length%3A%209%22%20%2B%22Connection%3A%20close%22%20%2B%22Issuer%3A%20C%3DAU%2CST%3DSome-State%2CO%3DInternet%20Widgits%20Pty%20Ltd%22

　　當(dāng)時找到172條數(shù)據(jù)（注意這里沒有指定時間范圍），這些數(shù)據(jù)通過多個威脅情報平臺進行了查詢匹配，最終我們用virustotal的數(shù)據(jù)進行匹配發(fā)現(xiàn)126條被標(biāo)記過惡意，命中率為：126/172=73%。另外針對沒有被virustotal標(biāo)記的進行了手工匹配包括微步在線、奇安信、推特及我司（知道創(chuàng)宇）的一些情報庫進行分析可以看出曾經(jīng)或者C段曾經(jīng)被標(biāo)注過惡意，可能考慮到威脅情報的實效性的問題而被加白，還包括一些最新的目標(biāo)IP這些平臺樣本覆蓋問題而沒有被標(biāo)注可能，當(dāng)然尤其是在APT領(lǐng)域還可能存在“假旗行動”，不過我這篇文章發(fā)出去后，可能不會出現(xiàn)這種所謂的“假旗行動”，因為假旗本身就是一種行為，而且是已知的惡意行為！

　　到這里可以說明通過我們對這個Trickbot樣本進行行為特征提取，再通過ZoomEye測繪得到的結(jié)果是行之有效的，另外我們也留意到各個威脅情報平臺在標(biāo)簽里對Trickbot標(biāo)簽非常少（基本少于5個），更多的標(biāo)記為其他組織或者惡意掃描、垃圾郵件等標(biāo)簽。這里很多原因是由于目前威脅情報平臺對組織分類取決于惡意樣本分析提煉，對網(wǎng)絡(luò)行為的更多只能依靠惡意掃描垃圾郵件這種行為進行描述，所以可能出現(xiàn)很多歸類不清楚的，甚至很可能多個被標(biāo)注的不同組織的實際上最后有同一個源頭。

　　所以基于網(wǎng)絡(luò)空間“行為測繪”對僵尸網(wǎng)絡(luò)甚至APT組織使用的服務(wù)器的各種特征可以彌補傳統(tǒng)純粹依賴惡意樣本東西覆蓋不全及歸類不準(zhǔn)等方面的不足。

　　“動態(tài)測繪”下的“行為測繪”

　　在2020年知道創(chuàng)宇提出了“動態(tài)測繪才是真測繪！”的觀點[4],在其看來動態(tài)測繪是？種視角，更是？種思維模式或理念，可以從動態(tài)變化上進？更多？度或者維度的思考，“動態(tài)測繪”強調(diào)“時空測繪”，關(guān)注資產(chǎn)的動態(tài)變化。如果說前文提到的“行為測繪”可以一次“一網(wǎng)打盡”，那么結(jié)合“動態(tài)測繪”可以實現(xiàn)持續(xù)的穩(wěn)定檢測，如果這些群體組織在后續(xù)的采用新的IP域名就可以直接被我們監(jiān)控捕獲。實際上我們已經(jīng)把這些都做成了完整的解決方案：

　　ZoomEye線上用戶方案：

　　實際上根據(jù)“動態(tài)測繪”理念在ZoomEye線上我們實現(xiàn)“數(shù)據(jù)訂閱”功能，線上的用戶可以利用這個功能直接訂閱實現(xiàn)，數(shù)據(jù)結(jié)果會通過郵件及站內(nèi)消息提醒，但是這個有個缺點是：依賴ZoomEye本身節(jié)點的探測頻率及端口協(xié)議覆蓋，這個完全取決于ZoomEye探測集群的隨機算法，當(dāng)然我們對于單個IP或者IP段我們目前是支持主動觸發(fā)探測的。

　　ZoomEye雷達(dá)用戶方案：

　　ZoomEye雷達(dá)是ZoomEye私有化硬件部署方案，可以更加靈活的調(diào)配支持端口協(xié)議覆蓋及隨時主動探測IP集，可以更加靈活根據(jù)目標(biāo)群體行為特征進行主動實時探測。

　　NDR流量監(jiān)控系統(tǒng)聯(lián)動方案：

　　「知道創(chuàng)宇NDR流量監(jiān)測系統(tǒng)是一款通過對網(wǎng)絡(luò)全流量深度分析的軟硬件一體化產(chǎn)品，其最大支持10GBPS的實時流量，在網(wǎng)絡(luò)抓包和流量處理方面都取得了突破性地性能改進，通過APT威脅告警和全流量溯源取證實現(xiàn)APT攻擊檢測和響應(yīng)。」

　　知道創(chuàng)宇，公眾號：知道創(chuàng)宇

　　NDR流量監(jiān)測系統(tǒng)，積極應(yīng)對的APT攻擊防御利器

　　我們可以通過NDR流量監(jiān)控系統(tǒng)捕獲到已知或未知的APT相關(guān)惡意樣本，整理梳理相關(guān)組織使用服務(wù)器設(shè)備相關(guān)“行為”特征，通過ZoomEye相關(guān)產(chǎn)品一網(wǎng)打盡并結(jié)合上面提到的“動態(tài)測繪”方案，實時監(jiān)控擴充最新上線的IP域名，最后再次回歸到NDR流量監(jiān)控系統(tǒng)實現(xiàn)對相關(guān)APT攻擊的流量進行監(jiān)控。

　　總結(jié)：

　　“你見或者不見，他就在哪里！” ，看見取決于格局、取決于道行，所謂“以道御器”就需要我們“看見還沒有看見的，看清我們已經(jīng)看見的”，知道創(chuàng)宇一直立志于“俠之大者，為國為民”，只有足夠高的視角及格局，才能看得見前進的方向，利用好技術(shù)積累的優(yōu)勢做更多的實事！

　　參考：

　　[1] 領(lǐng)先一代的技術(shù)或早已出現(xiàn)

　　https://mp.weixin.qq.com/s/2fAgi_d9QhGXKyMAcqUM-w

　　[2] 談?wù)劸W(wǎng)絡(luò)空間測繪在國家級斷電斷網(wǎng)事件上的應(yīng)用

　　https://mp.weixin.qq.com/s/VHOoWg8r8VPSUiMfVkcy-w

　　[3] 趣訪“漏洞之王”黑哥，探尋知道創(chuàng)宇十年網(wǎng)絡(luò)資產(chǎn)測繪之路

　　https://mp.weixin.qq.com/s/dvFAVH17AnDS_r0kOG620A

　　[4] 再談“動態(tài)測繪”

　　https://zhuanlan.zhihu.com/p/183952077

　　[5] NDR流量監(jiān)測系統(tǒng)，積極應(yīng)對的APT攻擊防御利器

　　https://mp.weixin.qq.com/s/EoPgIRcrYp99I5qn-sO3SQ

　　[6] 再談 ZoomEye：打造世界領(lǐng)先網(wǎng)絡(luò)空間測繪能力

　　https://mp.weixin.qq.com/s/A3-DdTQJI02gcsyCe20NAA

　　[7] ZoomEye * 真測繪，全球賽博空間測繪領(lǐng)導(dǎo)者