FIRST 2022 议题速递

FIRST 是成立于 1990 年的非营利组织，汇聚了全球的安全团队和安全研究人员，旨在共同维护全球互联网的安全。如今，已有全球 101 个国家的 635 个安全团队加入了 FIRST，其中中国大陆参加的组织包括中国国家计算机网络应急技术处理协调中心（CNCERT/CC）、中国移动、阿里、腾讯、奇安信等。

每年由 FIRST 牵头举办一个为期 4-5 天的大型安全会议，汇集来自世界各地的安全专家，分享他们的经验和专业知识。受疫情影响，2020 年与 2021 年的 FIRST 大会都是线上举行的，2022 年的 FIRST 大会则来到了爱尔兰的首都都柏林。

该会议遵循 TLP 规范，所以部分演讲并没有公开放出 PPT，或者有些演讲者不希望公开 PPT 的也没有相关材料。有些议题还是比较吸引人的，但是没有相关材料不知道具体内容讲了些什么，非常遗憾。例如，日本警察厅使用神经网络等技术来进行攻击归因：

乌克兰国家特殊通信和信息保护局与乌克兰 CERT 讲 2021 年乌克兰遭受的大规模网络攻击：

Google 安全研究员讲 2022 年的在野 0day 漏洞利用情况：

必须强调的是，在提供了公开材料的议题中，由于议题确实太多（50+），只选取了部分议题进行介绍。很多议题也只能选择其中较为亮点的、重要的部分进行一笔带过式的介绍，甚至有些议题没有在本文中被提及，请各位读者见谅。感兴趣的读者可以点击阅读原文跳转官网查看完整议程安排。

若是通过本文的介绍，或者是查看官网议程安排后，对其中某些议题感兴趣的话，就可以在官网下载议题对应的材料进行扩展阅读。(PS：笔者根据自身的认知局限与好恶为部分议题打了推荐查看的星级，不代表对议题实际内容高下的评判，只是为部分时间宝贵的读者再节约些时间，这部分议题相对来说可能更加值得一看)

防御者视角下的 EDR 内部探析 ⭐⭐⭐

这个工作可以说是做 EDR 必看的内容不算过分，以微软的 Microsoft Defender 为例剖析 EDR 的功能。Microsoft Defender 具备以下主要功能：

反病毒扫描
攻击面缩减
漏洞利用防护
应用程序控制
EDR 遥测
应急响应
漏洞管理
网络传感器
数据防泄漏

反病毒扫描

已经有安全研究员对 Microsoft Defender 使用的签名库做了深入的研究。

研究内容
https://github.com/commial/experiments/tree/master/windows-defender/VDM

如下所示，攻击者能够通过特定的配置使恶意软件绕过反病毒检测，但这不影响 EDR 与 ASR 的功能。

攻击面减少

Microsoft Defender 一共使用十余条规则来减少攻击面：

扩展阅读
https://blog.palantir.com/microsoft-defender-attack-surface-reduction-recommendations-a5c7d41c3cf8

应用程序控制

属于 AppLocker 的继任者，可基于以下属性进行阻拒：

代码签名证书
PE 头中的属性
微软全球安全图谱中的信誉
启动应用程序/文件的路径
父进程

EDR 遥测

通过 MsSense.exe 实现的遥测服务，收集文件类事件、网络类事件、可疑的 API 使用等。一些数量非常大的事件都会被采样后再写入日志。

MsSense.exe 是 MDE 的核⼼组件之⼀，收集遥测数据。查看跟踪记录元数据：

数据存储

用户要按照设备数量或者用户数量付费，为用户默认提供 30 天的详细数据+ 180 天的浓缩数据。

将数据复制到 Azure Dataspaces 或 Azure Sentinel 等其他解决⽅案，可以延⻓保留时间，每台设备每天大约产生 15-20MB 的数据。

配置数据

配置数据中包含对遥测数据源、过滤等的配置，大约 7 万行 JSON 共计监控 500+ 注册表路径、使用 65 个 ETW Provider。

IPv6 扫描与设备指纹 ⭐⭐⭐

对 IPv4 空间来说，Shadow Server 每天要重复 209.7 万亿次 UDP 探测、221.6 万亿次 TCP 探测、5080 亿次全协议连接。

TCP 扫描将完整空间根据随机种子分割成 250 份，使用整个集群对外扫描。HTCondor+Zmap+Zgrab。通常单服务扫描需要十分钟到三个小时不等，
UDP 扫描是单节点独立运行的，利用定制化的 Railgun 进行扫描。通常单服务扫描需要四个小时。

针对 IPv6 空间来说，扫描完整空间不可行，需要根据 SSL 证书、IPv6 Hitlist 等整理 IPv6 的列表，目前 Shadow Server 已经扫描到 8.14 亿 IPv6 地址，各家做网空探测引擎的可以对照一下自己的扫描能力。

Passive DNS 中的 AAAA 记录
IPv6 Hitlist （https://ipv6hitlist.github.io/）
证书透明度日志

在 IPv6 空间中，可使用的扫描工具更少了，也就有 zmap6（https://github.com/tumi8/zmap）+zgrab/zgrab2。

IPv4 扫描的潜在丢包速率为 500000 pps，极限 3500 并发。
IPv6 扫描的潜在丢包速率为 100000 pps，极限 1500 并发。

故而平均每秒可处理的 IP 数来看，IPv4 为 243116 个/秒，IPv6 为 58542 个/秒。

IPv6 整体的扫描情况：

目前线上已经部署了 1200 条扫描规则，能够识别 173 个供应商的设备，每天分类超过 2800 万台设备。

按照厂商进行统计：

按照国家/地区进行统计：

CISA 在疫情期间学到了什么？⭐⭐⭐

随着美国疫情的波动，美国网络安全和基础设施安全局（CISA）也在尽力开展相关基础设施的保卫工作：

疫情大流行为疫苗生产的全流程都带来了巨大的威胁：

网络攻击对医疗服务的打击是全方位的：

CISA 将相关组织按照重要程度进行了划分：

对疫苗研发和制造非常关键，最核心的三十个组织。为其提供量身定制的服务（红队评估、网络卫生评估、增强的信息共享、威胁狩猎等）。
对医疗物品供应链与物流很重要，中间的一百个组织。为其提供信息共享、国家态势感知系统、网络卫生评估等服务。
对维持提供医疗服务起到作用，外围的六千个组织。为其提供持续不断的基础安全服务。

CISA 通过特殊的临时机构招聘拥有专业知识的工作人员，在疫情大流行期间确保有尽可能多的专业人士在保障基础设施安全。

数据科学视角下的勒索软件 ⭐⭐

趋势科技的分析人员汇集了所有可用数据：

根据地理位置查看检出勒索软件较多的国家/地区：

攻击者挣到了数不尽的钱：

按行业进行统计，科技与金融类企业高居榜首：

按地域进行统计，北美与欧洲也是受到攻击最多的：

勒索软件组织浮浮沉沉：

例如一直活跃的 Conti 组织，攻击了很多组织但是大部分都未付款。

当然，各个国家都是未付款占绝大多数：

攻击者的胃口越来越大，赎金勒索越来越高：

攻击者总是倾向于在下班后动手攻击：

按照月份分析，似乎攻击者也会休寒暑假：

在付款的案例中，大概一半都是在一周内完成付款的：

如何使用开源工具构建恶意软件分析流水线 ⭐⭐

波兰 CERT 之前开源了许多分析工具：

在 2015 年左右建立第一个自动化恶意软件分析流水线。
在 2020 年左右开始实时跟踪多个僵尸网络。
在 2020 年后逐渐将许多工具开源。

例如僵尸网络跟踪流水线：

样本页面如下所示：

分析总集成组件 Karton

构建了基于队列的数据处理流水线，由数据驱动的任务路由，这一灵感来自加拿大网络安全中心。基于 Redis 和与 S3 兼容的 MinIO 提供服务。该组件通过微服务构建，每个处理模块专注一项任务，同时保证了即插即用。

线上运行着 133 个恶意家族的配置提取。已经处理了 240 万+ 恶意样本，提取了 6.7 万+ 配置信息，每天平均新增 700 个新样本。

样本相似

通过 Windows API 进行分类判断：

后续将会集成函数级查找相似代码的插件：

也提供 Python 库作为底层接口来访问数据：

Python 库
https://github.com/CERT-Polska/mwdblib

使用威胁情报与 ATT&CK 提升检测能力 ⭐⭐

目前新版本的 ATT&CK 已经有近六百种技术与子技术，情报可以作为缩小现有检测与相关威胁之间差距的“最佳实践”。

以 TTP 为中心的威胁情报构建：

依托社区的力量建成的 Control Validation Compass 提供了九千多技术控制策略、2100+ 安全测试，覆盖五百余个 ATT&CK 子技术。

GitHub 地址
https://controlcompass.github.io/

在信息战分析中应用钻石模型 ⭐⭐

以前的分析围绕着发布的内容、涉及的账号、传播的方式：

围绕叙事，构建钻石模型。也是横向技术轴，纵向社会-政治轴：

更详细的可以参见 Recorded Future 的分析报告。

分析报告
https://go.recordedfuture.com/hubfs/white-papers/diamond-model-influence-operations-analysis.pdf

使用 DNS 防御勒索软件攻击 ⭐

论使用 DNS 数据发现威胁，思科也算是业界的先行者了，守着 OpenDNS 的数据入口可以玩出许多花样。

在勒索软件攻击的多个阶段中，都能够利用 DNS 数据进行检测与防御。

根据思科的数据，在勒索软件攻击事件中，78% 都与 Cobalt Strike 有关。

Cobalt Strike 也会有 DNS 隐蔽信道的使用场景。在最后思科又老调重弹，强调了新发现域名的重要性，这块思科已经在多个场合讲过。

跟踪基于 Linux 的入侵增强运营能力 ⭐

CrowdStrike 分析 Linux 入侵的威胁狩猎方法论：

挑战之处

Linux 与 Windows 平台的遥测不同
进程的跟踪更有挑战
信噪比较高
对狩猎者提出了更高的要求

有利之处

恶意活动的来源通常有限，比如 SSH、WebShell、后门
通过命令行捕获更完整
对攻击者的攻击也提出了要求

攻击趋势

生成可运营、带有上下文的威胁情报 ⭐

在实践中，需要对威胁情报去除误报、添加上下文、验证相关性/完整性与质量：

依托 MISP 的数据，NVISO 的实践结果：

ELF 恶意软件分析 ⭐

Intezer 带来的这个议题是不错的，想要入门分析 ELF 恶意软件的可以阅读。该议题此前 Intezer 也在博客上写过一系列文章，可以查看：

博客文章
https://www.intezer.com/blog/malware-analysis/elf-malware-analysis-101-part-3-advanced-analysis/

使用 Ghidra 逆向 Golang 样本 ⭐

CUJO AI 带来的这个议题也是不错的，在 Go 恶意软件越来越多的大背景下：

议题中讲了有关字符串恢复、函数名恢复等常见的场景，建议学习。

分析 Cobalt Strike ⭐

Didier Stevens 大神介绍如何分析 Cobalt Strike，例如对 Beacon 进行分析、对流量进行分析等。Didier Stevens 写过一系列关于分析 Cobalt Strike 的文章，都是值得一看的。相关的分析脚本，读者可以尝试自行分析实践。

GitHub 地址
https://github.com/DidierStevens/Beta

攻击组织对电信企业的觊觎

爱立信这种电信巨头一直是攻击者青睐的攻击目标，攻击者想要获取特殊数据，例如国家级黑客感兴趣的 CDR 数据。

爱立信详细介绍了自己被 LightBasin / UNC1945 攻击的案例。

针对赌博行业攻击的犯罪团伙

之前在 BotConf 中，趋势科技也介绍了发现的专门攻击赌博网站的 APT 组织 GamblingPuppet。趋势科技也撰写了一系列的博客进行介绍，这次在 FIRST 上披露了更多内容。

攻击者通过对 App 植入后门：

攻击者通过一个 Electron 实现的聊天软件针对平台分别加载对应的恶意软件。

主要针对中国的博彩行业发起攻击，也有其他目标受害，例如美国、俄罗斯的国防、教育、制造行业的各个公司。

攻击者构建了庞大的攻击基础设施，包含 50 多个 C&C 域名，150 多个子域名，13 个不同的 RAT 家族背后都有独立的后端。

通过协作和集群发展推动网络安全产业高质量发展

说了一堆爱尔兰网络安全产业的好话，不加赘述了。

其中提到阻碍公司成长的主要因素：

技能短缺：60% 的公司都面临此类问题
融资问题：26% 的公司受到规模扩张、现金流等问题的困扰
研发碎片化、项目规模小、协同研发水平低
小微企业数量多，但缺乏提供高价值服务的企业

以爱尔兰的视角来看，在公司成长中容易成为阻碍的主要就是员工素质、资本融资和管理水平。各公司可以进行一下对照检查，能不能摆脱这种阻碍，高速发展成为业界巨擘。

国际合作新规则

2004 年，联合国成立联合国政府间专家组（UN GGE），用以评估科学技术发展对国家安全与军事事务的影响。2019 年起，联合国成立不限成员名额工作组（OEWG），以支持 UN GGE 的工作。这两个组织都隶属于联合国第一委员会，负责处理影响国际社会的裁军、全球挑战和和平威胁，并寻求国际安全制度挑战的解决方案。