1、唐伽佳奇安信天眼 高级总监实战化下的全流量威胁发现实践01|实战化下，“组织化”攻击是常态保障业务系统安全的前提，明确目标系统，不限制攻击路径，以提权、控制业务、获取数据为最终目的。组织化 面对“有组织”的攻击，没有打不透的“墙”攻陷所有攻防演习系统权限，通过渗透搭建多层代理跳板获取该部委目标系统一、目标系统二、某核心业务系统、邮件系统等权限，并通过ITSM运维监控管理平台/堡垒机可以控制数千台内网服务器系统权限。获取覆盖全国的目标系统数十服务器权限，某省通过渗透搭建代理跳板经由互联网互联网内网隔离专网获取电子底账核心数据库权限、查询缓存服务器权限，可实时查询13亿条数据；获取某省核心业务查询

2、数据库权限，可实时查询1.7亿数据。发现部分系统存在SQL注入漏洞，通过数据库提权，可以获取该金融机构保险、基金、员工等信息，同时通过代码审计，发现在线客服系统存在任意文件上传0day，成功获取服务器权限；发现目标系统存在越权，可以越权查看百万级保单信息。攻陷所有攻防演习系统权限，通过渗透搭建多层代理跳板获取两个域控制器权限、110多万域内用户权限，同时获取SSO认证系统、DNS系统、账号管理系统、邮件系统、工控端网关产品、Y卡控制、Y卡调度员培训、TR气、网络视频监控等权限、内外网数千台服务器权限。攻陷所有攻防演习系统权限，通过渗透搭建多层代理跳板获取官网FMS融媒体制作发布平台权限，同时获

3、取核心数据库、内外网多台服务器权限。政府1政府2某企业某金融机构2某媒体从互联网侧发现某下属公司是可利用的入口点，搭建socks代理进入DMZ，在DMZ信息搜集，成功从DMZ区跳转到内网区，通过总行服务器接口获取到部分员工信息，并利用struts2反序列化漏洞拿下全资子公司Vcenter，搭建二层跳板进入内网，通过弱口令获取到数据库服务器权限并抓到域管理员哈希，通过域管理员哈希传递获取域控服务器最高管理权限。某金融机构1面对“有组织”的攻击，没有打不透的“墙”前期准备互联网突破内网渗透关键系统权限1、了解企业组织架构2、了解企业业务架构3、供应链信息获取4、攻击策略研究1、互联网侧检测到某二级

4、企业互联网侧系统使用Struts2框架，分析存在S2-045漏洞，获得主机权限；2、发现某公司域名存在黑客入侵历史残留后门程序，破解残留后门程序的密码，获得系统控制权限；3、某中心信息管理系统可SQL注入漏洞，成功利用漏洞获取数据库服务器控制权限；（仅利用5个互联网漏洞）1、通过以上5个应用系统漏洞，成功获得服务器控制权限，然后在获得权限的服务器上建立SOCKS代理隧道，即成功进入集团内网环境；2、其中，某市应急救援辅助决策系统理论上不能通整个集团，实际能通整个集团；3、通过在服务器上建立的SOCKS隧道，对内网资产进行扫描，梳理内网资产信息。通过发现的内网资产信息，利用内网资产弱口令、SQL

5、注入、Struts2、Weblogic反序列化等漏洞获取多台内网生产系统、信息系统、监控系统等应用服务器权限；共控制集团26个单位所辖的33个生产相关业务系统。5个个互联网常见漏洞与互联网常见漏洞与33个个业务系统的失陷业务系统的失陷有组织的攻击能力，超乎您想象控制权核心业务获取核心数据应用侧人员内网后渗透人员反编译人员社工人员黑客组织信息收集漏洞分析渗透测试后渗透资产发现端口扫描指纹识别敏感路径探测关联域名探测社工、钓鱼、水坑漏洞测试供应链研究公开资源研究创建攻击树扫描结果关联分析可利用效果验证WAF绕过反病毒检测监测机制回避逆向、流量分析常用WEB攻击模糊测试获取内网敏感信息横向渗透提权、

6、权限维持、长期控制建立隧道中间人劫持清理痕迹系统边界、应用安全主机安全网络设备及集权类设备安全生产网环境安全黑客组织开展攻击的常规操作实战化的攻击路径和纵深检测Nmap扫描端口扫描Webshell探测敏感目录探测内网渗透关键信息系统攻击互联网突破侦查侦查入侵入侵命令控制命令控制横向渗透横向渗透目的执行目的执行痕迹清理痕迹清理SQL注入等常见Web漏洞扫描心脏滴血、永恒之蓝中间件漏洞（如CVE-2019-2729等）弱口令、暴力破解(rdp、ssh、业务等，IP代理池)冰蝎后门连接中国菜刀连接中国蚁剑连接Jshell/JSPSPY各类大马连接MetasploitCobaltStrike远程控制木

7、马打域控（CVE-2019-1040、DCSync等）内网命令执行敏感数据窃取(获取源码、数据）DNS隧道端口扫描敏感目录探测钓鱼邮件-邮箱账号等钓鱼邮件-反弹Shell弱口令、暴力破解(rdp、ssh、业务等）批量漏洞扫描Metasploit（反弹shell等）CobaltStrike（反弹shell等）远程控制木马DNS隧道敏感数据窃取登录日志清理Web日志清理bash日志清理Metasploit（反弹shell等）CobaltStrike（反弹shell等）远程控制木马打域控（CVE-2019-1040、DCSync等）内网命令执行02|互联网突破威胁检测应用弱口令、默认口令应用系统账号

8、口令管理，运维管理应用网站安全漏洞应用架构安全、应用代码安全、业务逻辑安全服务器互联网暴露和外连风险互联网上存在可以直接访问的服务器、测试机及其他资产；内网服务器可发起对外连接，产生互联网出口。应用和中间件管理后台暴露应用系统后台、中间件后台、数据库互联网可直接访问互联网突破实战化攻击套路面对互联网突破的全流量威胁检测服务器区域3管理域流量镜像全流量采集奇安信威胁情报互联网服务器区域2服务器区域1分析平台全流量采集全流量采集全流量采集01020304响应处置 与服务器安全产品协同响应，对于疑似威胁快速联动分析，闭环处置 与边界设备，如防火墙产品快速联动，阻断实战化威胁情报 利用全网实时的感知，

9、实时同步攻击信息，将可机读IOC与本地流量日志及终端日志进行关联匹配，发现攻击全网协防全流量威胁检测 基于双向会话的攻击检测引擎，只对攻击成功进行告警；Webshell沙箱，对于上传web文件模拟执行，发现webshell以及后门大数据分析 基于日志和流量信息，采用大数据分析技术和内置多种专业攻防人员经验的检测模型，并结合专业的安全攻防专家的人工研判和分析实战化下全流量检测的关键技术对抗基于关键系统日志的攻击分析1、网站安全分析网站安全概况Web攻击分析Webshell后门分析攻击IP信息攻击IP威胁情报2、业务日志分析访问数据概况访问IP分析访问URL分析静态访问资源分析.实战检测效果某运营

10、商客户实战演习情况 网络攻击告警147624次、网页漏洞利用告警712条、webshell上传告警275条1.攻击监测情况攻击监测情况2.攻击处置情况攻击处置情况 针对扫描等高频事件发送对应报告321份 用户方据此确认并封禁IP（段）206个03|内网渗透-威胁检测内网渗透组织化攻击的常见套路1.计算机病毒与木马远控永恒之蓝、勒索病毒、远控木马等2.恶意攻击内网扫描、信息嗅探、文件窃取、异常行为等3.软件本身存在漏洞反序列化漏洞、通用命令执行/代码执行、SQL注入4.安全意识不强，存在弱口令暴力破解、弱口令漏洞防护技术难度低核心是管理和运维问题，非技术问题内网全流量威胁检测方案内网服务器区办公

11、区1办公区2管理域传感器与文件鉴定器分析平台集群云端威胁情报传感器与文件鉴定器传感器与文件鉴定器分支1 分支2 分支n传感器与文件鉴定器互联网诱捕探针EDR内网分支机构内网全流量检测核心检测对抗能力威胁情报技术威胁检测技术文件检测技术检测内容APT攻击永恒之蓝勒索病毒远控木马内网扫描信息嗅探文件窃取主动外联行为异常代理行为异地账号登录行为SQL注入暴力破解弱口令漏洞异常行为检测技术最大的行为样本库：总样本超200亿，每天新增超百万最大的域名信息库：每天查询300亿条，每天处理100亿条最大中文漏洞库：总漏洞数超过40万，每天新增可达500个国内唯一的指令模拟技术增强的反逃逸技术“动、静”结合检

12、测双向会话检测机器学习检测判断攻击结果基于“沙盒”的webshell检测欺骗诱捕技术网络虚拟诱捕技术基于芯片的不可篡改性扫描探测实战化下的内网检测效果对某航空公司业务区域的出口处进行全流量分析发现，邮件系统存在大量弱口令一台MySQL数据库服务器已被黑客安装了恶意程序，服务器已被远程控制04|关键产品和系统检测，综合威胁检测能力关键产品和服务系统实战化攻击套路弱口令、钓鱼邮件、暴力破解，仿冒邮件邮件服务器漏洞攻击，爆破攻击，域内的横向移动堡垒机/vpnvpn/域控DNS重绑定、DOS&DDOSDNSDNS服务器高风险、高价值，传统评估关注不够！邮件威胁检测方案服务器区域用户区域1用户区域2邮件

13、威胁感知系统奇安信云端威胁情报Mail服务器互联网邮件威胁检测核心技术和对抗反垃圾邮件附件恶意检测高级恶意软件、0day检测恶意邮件防扩散正文恶意检测静态检测：涵盖云查杀、数字签名、PE查杀引擎、非PE查杀引擎、APK检测引擎、机器学习引擎和AV引擎等8+种静态检测引擎。动态检测：采用虚拟环境模拟方法，全面分析恶意代码恶意行为，细粒度检测漏洞利用和恶意行为；沙箱检测技术钓鱼攻击检测和预防与机器学习和分析引擎，以提高实时检测凭证钓鱼和恶意网站。基于机器学习的钓鱼邮件检测依托于奇安信自有的多维度海量互联网数据、结合专业的数据挖掘和分析的 url 信誉库，能够提前洞悉包含在邮件中各种 url 威胁。

14、URL信誉库垃圾邮件库基于国内首屈一指的高质量威胁情报的大数据能力，可对APT攻击、新型木马、特种免杀木马进行规则化描述。用于快速识别邮件附件等其他组成部分的威胁。威胁情报匹配内置成熟庞大得垃圾邮件样本库，通过最先进的智能算法分析垃圾邮件样本，有效过滤各种垃圾邮件。-钓鱼邮件邮件威胁检测实战能力域控/SVN/VPN/堡垒机管理域流量镜像传感器移动联通电信服务器区域办公区域分析平台集群域控服务器、VPN堡垒机网络审计 日志审计核心价值与技术对抗KerberoastingMS14068金票据银票据委派攻击Pass The TicketPass The HashNtlmRelayDCSyncDCSh

15、adow对抗检测技术日志溯源分析深度分析检测引擎产生精准告警精准定位攻击者给出域内攻击路径检测手段检测结果数据源数据源网络数据网络数据和告警数据和告警数据全流量日志还原文件原始PCAPDNS邮件威胁情报威胁情报国内领先规则检测规则检测基于成功攻击的调查分析调查分析沙箱沙箱奇安信云查完整的威胁完整的威胁追踪溯源追踪溯源精准事件精准事件Web攻击APT攻击邮件攻击恶意软件新的事件线索新的事件线索异常行为未知威胁终端查杀终端查杀样本提取样本提取攻击攻击IPIP封禁封禁恶意流量阻断恶意流量阻断事件分析事件分析检测检测响应处置响应处置场景化场景化20多种机器学习行为分析模型资产和漏洞数据资产和漏洞数据流

16、量识别手工终端面对互联网突破和内网渗透检测的威胁检测思路实战化下的产品工具和平台能力全流量探针邮件威胁终端服务器/Web日志安全服务应急响应调查分析安全培训代码分析行为分析分析平台托管式检测响应服务应急渗透全流量威胁情报中心调查溯源精准检测引擎联动处置漏洞情报全量威胁情报TIP威胁运营威胁响应与处置攻防演习蜜罐诱捕探针服务工具TSSTSSTSSTSSTSSTSSTSS威胁IP情报下发云端协同分析专家打分规则IP云端信息整合多维度关联分析多源数据处理 多源数据处理数据有效性验证冗余数据去重延迟数据处理设备告警和tcp汇总日志上传 专家打分规则针对IP云端信息和多维关联分析结果，给定各维度打分规则

17、及权重，计算出IP威胁分值，超过给定分值则作为情报数据下发 多维度关联分析sip时间分布情况tcp sip对应多家单位情况告警sip对应多家单位情况告警sip对应多种攻击类型情况告警sip对应多家单位异常rsp_status情况多家单位相同告警file出现情况多家单位相同告警url出现情况多家单位相同告警host出现情况多家单位相同告警packet_data出现情况 IP云端信息整合地理位置ASN是否代理是否IDC相关域名解析历史恶意行为（web攻击、暴力破解、ddos、扫描）实战化下的情报数据运营能力人实战化下的安全分析能力23451APT高级告警分析传感器漏洞分析网站后门分析邮件安全分析数

18、据数据分析分析人工确认apt告警，对流量行为、资产特性、时间节点、客户性质和apt组织进行关联分析，排查告警产生原因、攻击路径和影响范围。人工确认告警，对受害IP与远控端的流量进行分析，并给出处置建议。分析传感器的webshell上传告警、网页漏洞告警和网络攻击告警，确认入侵成功事件、排查影响访问并给出处置建议；聚合传感器的攻击数据，梳理出高威胁IP。分析ftp、smb、oracle、mysql、mssql、ssh、postgresql、pop3、smtp等协议的登录失败行为进行分析，提取发起爆破行为的IP，判定是否爆破成功。深入分析网络流量，发现网络中存在的网站后门，溯源分析、行为分析、影响

19、分析并给出处置建议。深入分析数据系统登录行为、高风险数据操作语句，发现数据库系统异常登录、sql注入漏洞和系统命令执行等。通过插件化设计，后续将失陷检测、应急响应等功能插件化提供。深入分析邮件系统的登录行为，恶意邮件投递行为。APTIOC传感器爆破后门数据库邮件插件化服务实战化下的威胁分析威胁分析攻击者分析处于攻击阶段受害资产分析失陷状态基本信息基本信息攻击手段受害者威胁情报设备安全-以威胁事件为圆心分析受害资产、攻击者、威胁WEB安全邮件安全数据库安全中间件安全应用安全系统安全主机爆破弱口令未授权行为挖矿行为威胁行为分析威胁事件事件研判实战化下的威胁事件分析-对威胁事件做进一步分析研判APT

20、事件访问了域名DNS解析成功查看A记录外联地址1.1.1.1，查询流量查看WEB访问日志有1.通过WEB访问日志中agent可判断是否为人为通过浏览器访问2.确认受害者流量交互行为，如CC通信、信息泄露。需要对攻击IP进行封禁，对受害者进行病毒查杀。DNS解析失败疑似告警，有可疑受害者有查看TCP流量查看文件传输查看UDP流量有有有无确认告警，未发现交互行为，可对该IP进行封禁实战化下的受害资产分析受害资产命中了远控木马基本信息分组信息资产类型操作系统责任人失陷状态失陷失陷失陷处于攻击阶段侦察入侵命令控制横向渗透目的执行痕迹清理实战化下的攻击者分析个人信息地理位置信息所属组织：如匿名者国家信息使用的攻击手段攻击者攻击的对象Sql注入代码执行资产1资产2标记所有的攻击手法标记所有被攻击的资产标记档案实战化下的攻击分析实例如何基于全流量开展网络攻击行为分析互联网侧攻击行为分析互联网侧攻击行为分析内部攻击行为关联分析内部攻击行为关联分析主机事件关联分析主机事件关联分析攻击链综合分析攻击链综合分析THANKS