談談網絡空間“行為測繪”

網絡空間需要“看得清”更需要“看得見”，在KCon2019上我提出了網絡空間測繪的兩個核心：“一是，獲取更多的數據。二是，賦予數據靈魂。”，“獲取更多的數據”那是為了“看得清”，而只有“看得見”才能“賦予數據靈魂”，“看得清”是能力的體現，是“器”，而“看得見”就是思想的體現，那最后關聯的是“道”。[1]

「網絡空間測繪就是對網絡空間數據的挖掘，其本質在于通過對數據的采集、存儲、加工處理后形成新的“知識”，知識進一步升華為“智慧”，并最終幫助決策者做出合理的決策。」[2]

數據-->知識-->智慧-->決策

「網絡空間數據挖掘是一個“仁者見仁、智者見智”的事情，取決于實施者的對數據的認知、理解、思維視角及層次，而最終得到不同的知識結論。」[2] 

換句話說就是取決于實施者的“視野”、“格局”、“道”，這也就是古代先賢們告訴我們“以道御器”之法。

3W問題（“What？Where？Who？”）是網絡空間測繪要解決的基本問題。[3]

也就是“是什么？”、“分布在哪里”、“是誰的？”，很多時候遇到的場景都是在于前面兩個W問題圍繞著最后一個W問題展開，也就是從設備指紋及相關分布等相關數據入手，最終想解決是誰的設備這個問題。然而今天我們提到的主題”行為測繪“則是反其道而行之：從"Who?"入手，反查“What？Where？”

行為測繪

「行為是人類或動物在生活中表現出來的生活態度及具體的生活方式，它是在一定的條件下，不同的個人、動物或群體，表現出來的基本特征，或對內外環境因素刺激所做出的能動反應。」（百度百科）

不同的群體，可能表現出基本的獨有的特征，當我們能掌握到這個特征，那么我們就能盡可能識別出這個群體里的所有個體，而這些所謂的行為特征在網絡空間測繪里表現出的是這個設備各個端口協議里的banner特征，目前在網絡空間測繪里常用的通用組件指紋識別形成的指紋庫就是利用了通用組件通用的默認配置特征這個“行為”來進行識別的，很顯然這個充分利用了人類“懶惰“的這個性格引起的通用默認配置的”行為“進行測繪的，但是也就忽視那些進行自定義的配置的目標，而這些目標是本文要闡述的主要對象。

在這些自定義過程中不同的群體又可能表現出不一樣的獨有特征，我們利用這些行為特征進行網絡空間測繪，這就是所謂的“行為測繪”了。通過實踐經驗“行為測繪”在威脅情報領域、國家基礎設施測繪、APT/botnet/黑產等組織測繪上有巨大應用空間及震撼的效果。

以道御器之斬首行動

「斬首行動是一個軍事術語，指用巡航導彈和精確制導導彈對敵方進行軍事打擊，通過精準打擊，首先消滅對方的首腦和首腦機關，徹底摧毀對方的抵抗意志。」（百度百科）

我們經常在影視作品中可以看到一些場景，比如營救人質或夜襲敵方糧草，甚有直取敵方主帥大營等，所有這些行動是建立在目標判斷明確的基礎上。一個樸素的防御思想告訴我們核心敏感的地方往往會優先部署相對強大的防御工事，也就是說防御工事越多越強大的地方很可能就是相對比較核心敏感的設施，比如人質關押的地方、主帥大營等地方往往相對多的巡查士兵，巡查頻率也相對較高，由此可以判斷哪些地方是“斬首行動”的目標地點。

回歸到網絡空間用上面提到的“道”來指導我們去做一些探索，在網絡空間里我們可以通過尋找某些安全設備的分布來確定目標可能的防御重點分布。

準與不準

在軍事上很多時候我們也會用到偽裝手法來躲避偵查，比如迷彩的運用等，在網絡空間里也一樣存在各種網絡安全設備來干擾探測影響探測結果，比如蜜罐、防火強等設備，從而欺騙誤導網絡空間探測引擎規則，如果使用者過度的依賴這些探測規則就很容易被誤導而忽視這些目標，當然我也曾留意到某些做測繪的同行寫文章批判吐槽過這些不準的情況，實際上他們忽視了這個“不準”也是一種“異常行為”，俗話說：“反常必妖”，而這個很可能就是別人苦苦追尋的目標！

所以“準與不準”應該是平臺實事求是并盡可能全的展示探測器探測到的banner（元數據）并展示，而不是局限于探測的規則二次加工后的表象來簡單評判，這點認知我認為對于相關平臺設計上及數據轉變為知識等方面上有至關重要的作用。

曾經有一次發現ZoomEye上某些IP端口的banner被顯示為一個固定的攔截信息，通過Google搜索確定發現這是某國際上著名的安全廠商生產的某安全設備導致的，也正是因為這個設備的原因成功欺騙了ZoomEye的服務識別規則而導致識別結果出現偏差。隨即針對這個攔截信息的數據分布進行分析發現在多個國家或地區有分布，這個也說明了這個國際大廠的市場地位是無容置疑的，在分布最多的國家地區里再結合ZoomEye獨有的行業標注庫的標注，發現這些目標集中分布在某核心基礎設施行業里，進一步通過網絡拓撲分析最終都指向了的同一個設備地址。

（注：該設備的搜索指紋在各大網絡空間搜索引擎里的數據分布）

以道御器之僵尸網絡測繪及APT測繪

通過之前我發布一些文章可以看出基于網絡空間搜索引擎ZoomEye這種主動探測模式在僵尸網絡組織及APT組織追蹤上有著非常重要的應用，而這里主要是說明“行為測繪”這個思想在僵尸網絡組織、APT組織追蹤及威脅情報領域的應用實戰。

下面我用Trickbot這個作為例子進行說明，在前段時間在推特上看到某開源情報例舉了幾個關于Trickbot C2的地址：https://twitter.com/TheDFIRReport/status/1427604874053578756

通過curl訪問發現185.56.76.94:443訪問不到，而24.162.214.166:443及60.51.47.65:443 訪問到的banner及證書基本一致：

~ ? curl -i https://24.162.214.166 -k  
HTTP/1.1 403 Forbidden
Server: nginx/1.14.2
Date: Tue, 17 Aug 2021 14:07:25 GMT
Content-Length: 9
Connection: keep-alive
Forbidden%
~ ? curl -i https://60.51.47.65 -k                                  
HTTP/1.1 403 Forbidden
Server: nginx/1.14.0 (Ubuntu)
Date: Tue, 17 Aug 2021 14:08:03 GMT
Content-Length: 9
Connection: keep-alive
Forbidden%

證書內容部分關鍵內容為：

subject: C=AU; ST=Some-State; O=Internet Widgits Pty Ltd
issuer: C=AU; ST=Some-State; O=Internet Widgits Pty Ltd

所以這些都是很典型的“群體行為”，結合https的返回banner及證書內容進行行為特征匹配搜索：

"HTTP/1.1 403 Forbidden" +"Server: nginx" +"Content-Length: 9" +"Connection: close" +"Issuer: C=AU,ST=Some-State,O=Internet Widgits Pty Ltd"
https://www.zoomeye.org/searchResult?q=%22HTTP%2F1.1%20403%20Forbidden%22%20%2B%22Server%3A%20nginx%22%20%2B%22Content-Length%3A%209%22%20%2B%22Connection%3A%20close%22%20%2B%22Issuer%3A%20C%3DAU%2CST%3DSome-State%2CO%3DInternet%20Widgits%20Pty%20Ltd%22

當時找到172條數據（注意這里沒有指定時間范圍），這些數據通過多個威脅情報平臺進行了查詢匹配，最終我們用virustotal的數據進行匹配發現126條被標記過惡意，命中率為：126/172=73%。另外針對沒有被virustotal標記的進行了手工匹配包括微步在線、奇安信、推特及我司(知道創宇)的一些情報庫進行分析可以看出曾經或者C段曾經被標注過惡意，可能考慮到威脅情報的實效性的問題而被加白，還包括一些最新的目標IP這些平臺樣本覆蓋問題而沒有被標注可能，當然尤其是在APT領域還可能存在“假旗行動”，不過我這篇文章發出去后，可能不會出現這種所謂的“假旗行動”，因為假旗本身就是一種行為，而且是已知的惡意行為！

到這里可以說明通過我們對這個Trickbot樣本進行行為特征提取，再通過ZoomEye測繪得到的結果是行之有效的，另外我們也留意到各個威脅情報平臺在標簽里對Trickbot標簽非常少（基本少于5個），更多的標記為其他組織或者惡意掃描、垃圾郵件等標簽。這里很多原因是由于目前威脅情報平臺對組織分類取決于惡意樣本分析提煉，對網絡行為的更多只能依靠惡意掃描垃圾郵件這種行為進行描述，所以可能出現很多歸類不清楚的，甚至很可能多個被標注的不同組織的實際上最后有同一個源頭。

所以基于網絡空間“行為測繪”對僵尸網絡甚至APT組織使用的服務器的各種特征可以彌補傳統純粹依賴惡意樣本東西覆蓋不全及歸類不準等方面的不足。

“動態測繪”下的“行為測繪”

在2020年知道創宇提出了“動態測繪才是真測繪！”的觀點[4],在其看來動態測繪是?種視角，更是?種思維模式或理念，可以從動態變化上進?更多?度或者維度的思考，“動態測繪”強調“時空測繪”，關注資產的動態變化。如果說前文提到的“行為測繪”可以一次“一網打盡”，那么結合“動態測繪”可以實現持續的穩定檢測，如果這些群體組織在后續的采用新的IP域名就可以直接被我們監控捕獲。實際上我們已經把這些都做成了完整的解決方案：

ZoomEye線上用戶方案：

實際上根據“動態測繪”理念在ZoomEye線上我們實現“數據訂閱”功能，線上的用戶可以利用這個功能直接訂閱實現，數據結果會通過郵件及站內消息提醒，但是這個有個缺點是：依賴ZoomEye本身節點的探測頻率及端口協議覆蓋，這個完全取決于ZoomEye探測集群的隨機算法，當然我們對于單個IP或者IP段我們目前是支持主動觸發探測的。

ZoomEye雷達用戶方案：

ZoomEye雷達是ZoomEye私有化硬件部署方案，可以更加靈活的調配支持端口協議覆蓋及隨時主動探測IP集，可以更加靈活根據目標群體行為特征進行主動實時探測。

NDR流量監控系統聯動方案：

「知道創宇NDR流量監測系統是一款通過對網絡全流量深度分析的軟硬件一體化產品，其最大支持10GBPS的實時流量,在網絡抓包和流量處理方面都取得了突破性地性能改進，通過APT威脅告警和全流量溯源取證實現APT攻擊檢測和響應。」

知道創宇，公眾號：知道創宇

NDR流量監測系統，積極應對的APT攻擊防御利器

我們可以通過NDR流量監控系統捕獲到已知或未知的APT相關惡意樣本，整理梳理相關組織使用服務器設備相關“行為”特征，通過ZoomEye相關產品一網打盡并結合上面提到的“動態測繪”方案，實時監控擴充最新上線的IP域名，最后再次回歸到NDR流量監控系統實現對相關APT攻擊的流量進行監控。

總結：

“你見或者不見，他就在哪里！” ，看見取決于格局、取決于道行，所謂“以道御器”就需要我們“看見還沒有看見的，看清我們已經看見的”，知道創宇一直立志于“俠之大者，為國為民”，只有足夠高的視角及格局，才能看得見前進的方向，利用好技術積累的優勢做更多的實事！

參考：

[1] 領先一代的技術或早已出現 

https://mp.weixin.qq.com/s/2fAgi_d9QhGXKyMAcqUM-w

[2] 談談網絡空間測繪在國家級斷電斷網事件上的應用 

https://mp.weixin.qq.com/s/VHOoWg8r8VPSUiMfVkcy-w

[3] 趣訪“漏洞之王”黑哥，探尋知道創宇十年網絡資產測繪之路 

https://mp.weixin.qq.com/s/dvFAVH17AnDS_r0kOG620A

[4] 再談“動態測繪” 

https://zhuanlan.zhihu.com/p/183952077

[5] NDR流量監測系統，積極應對的APT攻擊防御利器 

https://mp.weixin.qq.com/s/EoPgIRcrYp99I5qn-sO3SQ

[6] 再談 ZoomEye：打造世界領先網絡空間測繪能力 

https://mp.weixin.qq.com/s/A3-DdTQJI02gcsyCe20NAA

[7] ZoomEye * 真測繪，全球賽博空間測繪領導者 

https://www.zoomeye.org/