攻防博弈：一场他逃、他追，他插翅难飞对抗之战

实战攻防演习“以攻促防”系列内容连载至今，已经覆盖了攻击方演习开始前的侦查、武器构建，以及载荷投递的各个步骤。在突破防守边界、完成载荷投递后，攻击者下一步要做的就是成功“投毒”，即目标植入。在这一阶段，从攻击者的视角来看防守，无非就是一场“他逃、他追，他插翅难飞”的博弈大戏。

1

江湖高手都是怎样成功投毒的？

在古龙武侠小说《多情剑客无情剑》中，有这样一位用毒高手，名为五毒童子，苗疆极乐峒峒主，擅长下毒，身形矮小如幼童，绝招为“极乐虫”与五毒水晶。五毒童子的用毒功夫可谓是出神入化，已经达到登峰造极的程度，可借用一切动植物为媒产生毒杀人，武林中人无不闻风丧胆。在追杀主人公李寻欢的过程中，曾言到：“到今夜为止，死在我手上的人已有三百九十二个，非但从来没有一人见到过我，根本连我的影子都看不到。”

这一幕中，李寻欢被误认为是梅花盗，田七和心眉大师押送李寻欢前往少林寺。五毒童子为给徒弟报仇，在半路多次截杀李寻欢。第一次，李寻欢打败另一个追杀者伊哭后，一行人在饭馆吃饭，李寻欢刚夹了块红烧豆腐送到嘴旁，就意识到菜中有毒，果不其然，邻桌四个和尚已经被毒死。第二次，李寻欢等人不敢吃喝，田七看到车夫吃馍喝汤后试图吃车夫的馍，李寻欢仍说有毒，田七掰了馍给路边的狗吃，狗被毒死了。第三次，田七看中了大街上穷孩子碗里的饽饽，认为五毒童子不会恰好选中这个孩子下毒，于是放心地吃饽饽，李寻欢仍坚持不吃，结果田七和心眉大师全都中了剧毒。

整个过程中，李寻欢等人在明处，五毒童子潜藏在暗处伺机而动。在被李寻欢杀死之前，五毒童子的所向披靡在于其高深的用毒水平，五毒童子会在什么时候下毒？毒药下在了哪里？用的又是什么毒、是否有药可解？这里面的两个关键点就是未知与隐匿，没有人能勘破的下毒手段和无人可解的剧毒，算计好了天时地利与众人的心理活动。

同样，在实战攻防演习中攻击者进行目标植入的阶段，也需要像五毒童子一样，思考怎样才能不被防守方发现成功将攻击武器植入目标内部。

通常情况下，攻击者基于白利用、高级后门、加壳、沙箱逃逸等多种技术方式，在目标机器上安装恶意软件、执行攻击代码并且实现持久化利用，逃避安全软件的查杀。

2

攻击者的“秘密武器”：0day、无文件攻击与高级后门

荆轲刺秦王式的图穷匕见并不是一个好的选择。早期的实战攻防演习聚焦内网边界的攻击，近几年则更流行供应链攻击、社工钓鱼等手段。攻击者的攻击手法五花八门，攻击样本多种多样，防守方的查杀水平也水涨船高。

大多数情况下，针对攻击行为，现有的查杀防护系统可以对比恶意软件特征库快速自行处置。但仍有个别极难被发现的“秘密武器”如0day漏洞攻击、无文件攻击和高级后门等。

顺应上文的说法，五毒童子下毒的高深之处关键在于未知与隐匿，那么0day漏洞恰好象征着未知，无需介质的无文件攻击和高级后门则代表着隐匿，这类攻击也是近年来攻击者最爱用的攻击手段。

• 从攻击者视角来看，0day漏洞攻击成功的关键在于穿透现有基于规则的防护技术，具有极强的突发性和破坏性。即使防守方在发现攻击后意识到了0day漏洞的存在，但仍然无法立即修复漏洞，多数情况下只能被迫关停服务器或者系统，等待厂商发布漏洞补丁。漏洞的复杂程度、影响范围不同，造成补丁发布的周期可能是几个小时，也可能是几天。最后，防守方还需要耗费较长时间验证修复。攻击者利用这种攻防信息的不对称发起攻击，往往战无不胜，可以直接威胁核心系统安全。对于防守方来说，这种看不见的、未知的威胁才是最可怕的。

• 另一种无文件攻击，其中一种常用的手段“内存马”，其历史可以追溯到十几年前。这种古老的攻击手段通过将木马注入到系统进程和删除自身进程的方式，来躲避杀毒软件的查杀和实现自身的隐藏。随着防守方的防护设备越来越专业、防线越来越牢固，很多传统的基于文件形式的Webshell很容易被检测到，以内存马为代表的无文件攻击在这几年的攻防演习中越来越流行，逐渐成为攻击者的必备武器。删除自身并且在内存中驻留隐藏，意味着内存马具有较强的隐蔽性，增加了检测难度，内存马之所以会受到攻击者青睐，不仅仅是这一特点。随着攻击目标和手段的变化，加上技术的发展，内存马也开始演变，其种类繁多，有二进制代码片段（Shellcode）、PowerShell脚本、Web中间件等类型，每种类型又可细分，不同类型内存马的执行方式、恶意代码触发机制各不相同，导致检测方式多样，同时，其攻击范围涵盖操作系统脚本、进程，Java容器和Web服务程序等，攻击方式多变且复杂。

• 还有一种是指令劫持类高级后门。此前，奇安盘古实验室发布报告，发现美国国家安全局的黑客组织“方程式”利用顶级后门“电幕行动（Bvp47），对包括中国在内的45个国家开展长达十几年的监控，再次证明类似“双脉冲星、鬼影变种”等这类高级后门绝非个例。它们普遍通过更改原本正常的指令控制流，进行额外的恶意逻辑判断或执行，从而实现攻击者的恶意目的。因此，当安全软件读取文件中的代码进行匹配时，攻击者就可以将更改过的、与内存中一致的数据返回给调用者，让其认为两者是一致的并不存在问题，从而绕过安全检测，实现隐匿效果。

隐蔽性强、种类多、范围广……这些攻击手段都让防守队如临大敌。

3

防守有道：新一代安全软件让威胁无所遁形

攻击者利用各种恶意软件发起攻击，来达到后续破坏系统、盗取数据或横向渗透等目的，常规的杀毒防护软件在面对未知且隐蔽性强的攻击时很难识别出来，对此，奇安信安全专家建议，防守方应尽快部署新一代安全软件，尤其是加强针对“免杀”、“高级后门”、“无文件恶意软件”的查杀能力。

• 针对服务器侧的恶意攻击，服务器安全管理系统（椒图）基于服务器轻量级Agent，能有效保护服务器操作系统及应用，通过资产清点、基线检查、漏洞检测、虚拟补丁、应用防护（RASP、IN-APP WAF）、系统加固、Webshell&病毒查杀、攻击溯源等功能，有效抵御黑客攻击和恶意代码，实现资产发现-漏洞检测-漏洞利用防护的闭环管理，帮助防守方从战前准备、攻防对抗、回溯分析三个阶段构建服务器端防护体系。

从网络攻防实战角度出发，椒图的实战化能力可以有效守护企业服务器安全，使操作系统内核、中间件、应用等具有免疫力。在攻防对抗阶段，针对各类恶意软件攻击，尤其是0day漏洞攻击和无文件攻击等，椒图聚焦服务内部的持续监测与响应，这也是其核心优势所在，通过内核探针、RASP探针、IN-APP WAF探针、Webshell沙盒、无文件攻击检测引擎等多项检测技术，构建服务器异常模型，在历年实战攻防演习期间，椒图曾多次帮助防守队发现0day攻击。

• 在实战攻防演习中，终端就是攻防对抗的“着陆点”、双方必争之地。随着攻防手段的不断升级，传统的已知病毒攻击、漏洞利用等攻击方式，攻守双方都已“知己知彼”。运用钓鱼、挖矿、无文件攻击、横向渗透等综合攻击手段对终端进行持续高级威胁输入，反而成为目前攻防演练和用户实际终端安全防护中的常见攻击方式。

因此，防守方可选择奇安信天擎终端安全管理系统（简称“天擎”），基于奇安信全新的“川陀”终端安全平台构建，集成高性能病毒查杀、漏洞防护、主动防御引擎，深度融合威胁情报、大数据分析和安全可视化等创新技术，充分满足防守方从备战到实战不同阶段的差异化防守需求。

依托奇安信深厚的攻防技术及安全大数据积累，自主研发的奇安信云安全引擎（QCE）、猫头鹰（QOWL）、海狮人工智能（QDE）、六合引擎（DLHE）以及天狗（QTVP）等多个主动防御引擎及高级威胁防御引擎，再结合奇安信强大的攻防研究能力及丰富的规则库储备及生产能力，奇安信天擎可提供强大的持续监测、响应能力，实现对可疑行为、未知高级威胁的高效检测、准确定位、完整溯源，为终端的安全运行提供有力保障。

• 针对0day问题和高级后门的问题，奇安信历时四年打造了全新一代安全技术“天狗”，并推出了领先业界的产品——奇安信天狗安全防护平台。

作为“冬奥安全保障”四大黑科技之首，该技术将安全检测能力下沉到内存指令层，基于内存指令执行序列进行安全检测的技术，配合“非白即黑”的安全策略，能够有效解决0day漏洞攻击问题。值得一提的是，针对高级后门，“天狗”还创新使用了CPU硬件能力，实现了对全控制流进行检测。利用该创新技术可以发现各类公开或未公开的指令劫持类高级后门，从而有效保障安全产品的能力不会被这些后门影响从而失去应有的效果，让安全检测结果可信。

目前，“奇安信天狗安全防护平台”已在多个重点客户处大规模使用，在0day和高级后门领域效果出色，曾帮助客户发现多起0day漏洞攻击和高级后门事件。

相关阅读

• 攻防演习：70%的防守队没做好这件事 导致“未战先输”
  

• 实战攻防演习：破除攻方“杀手锏”，需要更加精准的漏洞管理

• 实战攻防技巧 | 别不信，看到这个标题你会忍不住点开
  

本文图片来源于网络

原文始发于微信公众号（奇安信集团）：攻防博弈：一场“他逃、他追，他插翅难飞”对抗之战