谈谈网络空间“行为测绘”

网络空间需要“看得清”更需要“看得见”，在KCon2019上我提出了网络空间测绘的两个核心：“一是，获取更多的数据。二是，赋予数据灵魂。”，“获取更多的数据”那是为了“看得清”，而只有“看得见”才能“赋予数据灵魂”，“看得清”是能力的体现，是“器”，而“看得见”就是思想的体现，那最后关联的是“道”。【1】

「网络空间测绘就是对网络空间数据的挖掘，其本质在于通过对数据的采集、存储、加工处理后形成新的“知识”，知识进一步升华为“智慧”，并最终帮助决策者做出合理的决策。」【2】

数据-->知识-->智慧-->决策

「网络空间数据挖掘是一个“仁者见仁、智者见智”的事情，取决于实施者的对数据的认知、理解、思维视角及层次，而最终得到不同的知识结论。」[2] 

3W问题（“What？Where？Who？”）是网络空间测绘要解决的基本问题。【3】

也就是“是什么？”、“分布在哪里”、“是谁的？”，很多时候遇到的场景都是在于前面两个W问题围绕着最后一个W问题展开，也就是从设备指纹及相关分布等相关数据入手，最终想解决是谁的设备这个问题。然而今天我们提到的主题”行为测绘“则是反其道而行之：从"Who?"入手，反查“What？Where？”

「行为是人类或动物在生活中表现出来的生活态度及具体的生活方式，它是在一定的条件下，不同的个人、动物或群体，表现出来的基本特征，或对内外环境因素刺激所做出的能动反应。」(百度百科)

我们经常在影视作品中可以看到一些场景，比如营救人质或夜袭敌方粮草，甚有直取敌方主帅大营等，所有这些行动是建立在目标判断明确的基础上。一个朴素的防御思想告诉我们核心敏感的地方往往会优先部署相对强大的防御工事，也就是说防御工事越多越强大的地方很可能就是相对比较核心敏感的设施，比如人质关押的地方、主帅大营等地方往往相对多的巡查士兵，巡查频率也相对较高，由此可以判断哪些地方是“斩首行动”的目标地点。

回归到网络空间用上面提到的“道”来指导我们去做一些探索，在网络空间里我们可以通过寻找某些安全设备的分布来确定目标可能的防御重点分布。

在军事上很多时候我们也会用到伪装手法来躲避侦查，比如迷彩的运用等，在网络空间里也一样存在各种网络安全设备来干扰探测影响探测结果，比如蜜罐、防火强等设备，从而欺骗误导网络空间探测引擎规则，如果使用者过度的依赖这些探测规则就很容易被误导而忽视这些目标，当然我也曾留意到某些做测绘的同行写文章批判吐槽过这些不准的情况，实际上他们忽视了这个“不准”也是一种“异常行为”，俗话说：“反常必妖”，而这个很可能就是别人苦苦追寻的目标！

所以“准与不准”应该是平台实事求是并尽可能全的展示探测器探测到的banner(元数据)并展示，而不是局限于探测的规则二次加工后的表象来简单评判，这点认知我认为对于相关平台设计上及数据转变为知识等方面上有至关重要的作用。

曾经有一次发现ZoomEye上某些IP端口的banner被显示为一个固定的拦截信息，通过Google搜索确定发现这是某国际上著名的安全厂商生产的某安全设备导致的，也正是因为这个设备的原因成功欺骗了ZoomEye的服务识别规则而导致识别结果出现偏差。随即针对这个拦截信息的数据分布进行分析发现在多个国家或地区有分布，这个也说明了这个国际大厂的市场地位是无容置疑的，在分布最多的国家地区里再结合ZoomEye独有的行业标注库的标注，发现这些目标集中分布在某核心基础设施行业里，进一步通过网络拓扑分析最终都指向了的同一个设备地址。

通过之前我发布一些文章可以看出基于网络空间搜索引擎ZoomEye这种主动探测模式在僵尸网络组织及APT组织追踪上有着非常重要的应用，而这里主要是说明“行为测绘”这个思想在僵尸网络组织、APT组织追踪及威胁情报领域的应用实战。

下面我用Trickbot这个作为例子进行说明，在前段时间在推特上看到某开源情报例举了几个关于Trickbot C2的地址：

https://twitter.com/TheDFIRReport/status/1427604874053578756

~ » curl -i https://24.162.214.166 -kHTTP/1.1 403 ForbiddenServer: nginx/1.14.2Date: Tue, 17 Aug 2021 14:07:25 GMTContent-Length: 9Connection: keep-aliveForbidden%

~ » curl -i https://60.51.47.65 -kHTTP/1.1 403 ForbiddenServer: nginx/1.14.0 (Ubuntu)Date: Tue, 17 Aug 2021 14:08:03 GMTContent-Length: 9Connection: keep-aliveForbidden%

subject: C=AU; ST=Some-State; O=Internet Widgits Pty Ltdissuer: C=AU; ST=Some-State; O=Internet Widgits Pty Ltd

"HTTP/1.1 403 Forbidden" +"Server: nginx" +"Content-Length: 9" +"Connection: close" +"Issuer: C=AU,ST=Some-State,O=Internet Widgits Pty Ltd"

https://www.zoomeye.org/searchResult?q=%22HTTP%2F1.1%20403%20Forbidden%22%20%2B%22Server%3A%20nginx%22%20%2B%22Content-Length%3A%209%22%20%2B%22Connection%3A%20close%22%20%2B%22Issuer%3A%20C%3DAU%2CST%3DSome-State%2CO%3DInternet%20Widgits%20Pty%20Ltd%22

当时找到172条数据(注意这里没有指定时间范围)，这些数据通过多个威胁情报平台进行了查询匹配，最终我们用virustotal的数据进行匹配发现126条被标记过恶意，命中率为：126/172=73%。另外针对没有被virustotal标记的进行了手工匹配包括微步在线、奇安信、推特及我司(知道创宇)的一些情报库进行分析可以看出曾经或者C段曾经被标注过恶意，可能考虑到威胁情报的实效性的问题而被加白，还包括一些最新的目标IP这些平台样本覆盖问题而没有被标注可能，当然尤其是在APT领域还可能存在“假旗行动”，不过我这篇文章发出去后，可能不会出现这种所谓的“假旗行动”，因为假旗本身就是一种行为，而且是已知的恶意行为！

所以基于网络空间“行为测绘”对僵尸网络甚至APT组织使用的服务器的各种特征可以弥补传统纯粹依赖恶意样本东西覆盖不全及归类不准等方面的不足。

在2020年我提出了“动态测绘才是真测绘！”的观点^【4】,在我看来动态测绘是⼀种视角，更是⼀种思维模式或理念，可以从动态变化上进⾏更多⾓度或者维度的思考，“动态测绘”强调“时空测绘”，关注资产的动态变化。如果说前文提到的“行为测绘”可以一次“一网打尽”，那么结合“动态测绘”可以实现持续的稳定检测，如果这些群体组织在后续的采用新的IP域名就可以直接被我们监控捕获。实际上我们已经把这些都做成了完整的解决方案：

ZoomEye雷达是ZoomEye私有化硬件部署方案，可以更加灵活的调配支持端口协议覆盖及随时主动探测IP集，可以更加灵活根据目标群体行为特征进行主动实时探测。

「知道创宇NDR流量监测系统是一款通过对网络全流量深度分析的软硬件一体化产品，其最大支持10GBPS的实时流量,在网络抓包和流量处理方面都取得了突破性地性能改进，通过APT威胁告警和全流量溯源取证实现APT攻击检测和响应。」

本文始发于微信公众号（网络安全应急技术国家工程实验室）：谈谈网络空间“行为测绘”