那些企业网络中的未知威胁、未知攻击事件

今天我讲的题目是《那些企业网络中的未知威胁、未知攻击事件》，我主要想讲两个词，就是”未知威胁”和”未知攻击”，我主要讲一下我们怎么定义的，还有就是简单过一下我们著名和非著名的APT和未知攻击的事件。后面是传统的安全软件或者设备的弊端，还有就是我们现在常见的一些未知检测的手段，还会介绍一下我们翰海源未知威胁、未知攻击的解决方案，最后向大家简单介绍一下我们在企业或者政府当中捕获的一些攻击事件。

其实从我们来讲，2010年前，基本上是以传统木马蠕虫为主流，那个时候一般的杀毒软件，ADS、APS、防火墙、漏扫基本上是能够满足那些需求，从2010年以后，我们进入APT无，就是高级持续的威胁，在这种事态下面，传统的这种防御的手段就面临着挑战，其实我们可以看到，比如今年基本上每个做安全的企业都是在讲APT，形势为什么发生这么大的变化？讲到新一代的威胁，可能包含了一些APT的攻击，定向攻击、高级特马，还包含着漏洞，最主要的还是在未知的威胁和攻击当中。

APT这个其实大家已经炒得非常火了，我想主要说的一点就是，APT攻击就是未知威胁、未知攻击的高级形态。但是一般我们在媒体上、报纸上面报道的很多都是很著名的，影响很大的事件。但是其实往往很多企业在APT下面有更多的未知威胁和未知攻击一直存在，只是它有可能是潜伏的，没有爆发。一旦有一些目标性、针对性的，可能就会爆发，一旦爆发，你肯定就措手不及。其实很多APT攻击都是有很多的事前的工作，长期的渗透，等到爆发的时候你才能反映过来，比如说启动不起来，或者是你的数据丢了，这个肯定是来不及了。

典型的案例有非常多，比如2009年的极光攻击，2010年的震网，2011年窃取RSA令牌种子，还有2011年夜龙的攻击，火焰等等，就不展开了。对于金融行业的攻击，可以看到在2013年3月20日，韩国农业银行和广播电视网就遭到了很大的一个攻击，破坏了大概48700台计算机。它是怎么攻击的？就是韩国的一个杀病毒软件，他们内网的升级服务器被人干掉了。干掉以后，它的升级包被人替换，导致所有的下发策略的机器全部中招。当然这是破坏型的，3月20日之前他就全部的把机器格式化掉了，覆盖MBR，相当于是破坏性的攻击，其实它是一直在潜伏的。

金融行业的还有ATM攻击，2014年年初的卡巴斯基报的，针对东欧银行的超过50台ATM机，基本上直接在ATM机上面中招了以后，攻击者可以输入一个Key，他就可以自动吐钱。虽然发生在东欧银行，卡巴通过Virus Total提交的数据，他就判断美国和中国可能都有这样的事件，可能在中欧发现得比较多。2014年7月份的时候，Fireye报了一个事件，攻击者做了远程暴力破解，破解POS系统的远程终端，通过弱密码进行破解，这样的话，就造成了系统被控制住，信用卡丢失的事件。2014年4月份，美国家得宝，第二大零售商又被攻击，导致了5600万信用卡信息被盗，号称史上第一大信用卡的数据丢失事件。这些其实都是非常严重的事件。

虚拟货币交易平台其实是很容易遭到攻击的。虚拟货币很多都是匿名性的，对攻击者来说，他也要考虑攻击的性价比，还有要考虑到风险。所以像比特币那种交易市场是非常容易遭受攻击的，因为他们那种资产，比如我把你比特币的钱包偷了，你的钱包里面有钱，这个是匿名性的，带来的一个好处就是变成了一个没有人可以监控的东西，这样的话，任何人都不能监控，你也不能够索回。而且就像另外一个国内当时有一个未来币的交易市场，它被攻击的时候，他们采取的措施就是回滚这个数据。但是回滚这个数据会导致你这个币社区的信用会垮台，毕竟一个货币，你不能随便的回滚，别人都交易了，有钱了。但是对于这种攻击，对于攻击者来说性价比比较高，他攻击下来以后直接就可以把钱拿走了。

安全公司为什么容易被受到攻击？我前面讲了RSA，我不想讲具体的事件。我想讲的就是，攻击RSA真正的意图是什么？为什么要攻击RSA？大家可以看到，以前很多的令牌基本上都是RSA做的，比如美国的国防部，美国很重要的部门。RSA事件报出来以后，随后又报道出来洛克希德·马丁和诺斯罗普两个公司被攻击，为什么这两个公司会被攻击？洛克希德·马丁公司是做飞机的，诺斯罗普公司是做航母的，其实攻击者是想攻击这个，他想方设法找一个途径能够干掉诺斯罗普公司。攻击者会去分析，会去做判断，比如说一次搞不定，他会潜伏，会绕道，会想方设法的搞定这个目标，如果这个里面有重大的信息资产的话。所以有些其实意图你很难去猜测，基本上很多攻击，其实真正的意图你是很难分析出来的。比如RSA的攻击事件，我们只看到它的令牌种子丢失，丢失的背后到底他想干什么？

DigiNotar这个安全公司也被攻击了，他是2011年被攻击的，他们是签发证书的。不知道大家对这个有没有什么概念，比如咱们用浏览器访问HTTPs，那个有一个认证，就是证书。那个证书有什么作用？其实证书有两个作用，一个是加密传输，一个是认证。其实先了认证体系有很大的问题，这个公司一旦被攻破，它其实是可以签发任何组织的证书。比如说现在报道出来，攻击者一共签发了531伪造证书，包括Google、微软、雅虎、Twitter、Facebook、中情局、军情六处和摩萨德等等，进行通讯劫持，你就感受不到了，这是非常严重的一个事件。这个公司被攻击了以后就倒闭了，因为发证书的这种企业本身就是信任机制，比如微软等很多行业的公司把它的根证书撤销了，所以它一下子就倒闭了。

大家知道震网是针对伊朗核设施的攻击事件，大家有没有去想为什么这么精准？其实震网病毒就是一个攻击的程序。后面我们2011年又发现了Duqu病毒，2012年发现了超级火焰病毒，这几个其实后来国外的研究组织就分析发现，这三个是有关联的，不是孤立的。前面刚才说的火焰和Duqu这两个病毒基本上是做情报的搜集和获取，没有爆发，只是在潜伏，由震网这个病毒来实施最后的攻击。现在为什么比较难？很多事件不是孤立的，我们在一个设备上的一个警告，但是你就很难判断它的意图。所以说需要长期的分析和关联的研究，你才能透析他到底想做什么。国外的现在威胁情报分析是非常重要的工作，现在McAfee、卡巴斯基，传统的公司他们投入非常大的力量去做，而国内的企业没有哪家公司投入这么多去做，这是我们产业内忽略的一个点。我们公司本身非常注重这一块，大家后面可以看到，我们其实有一些成果。

工业里面还有Havex攻击ICS或者SCADA系统，这一类的攻击事件非常多。这次的杀虫事件，报道出来由俄罗斯去攻击北约的一些能源、金融这种重攻击，当然是利用很厉害的一个Windows的漏洞。这几年还有人分析出来，可能还跟工控系统有关。

Winnti是在2013年4月份被攻击的，对服务器和原代码都盗取了，国内的大计力度也非常大，这个组织攻击了很多游戏厂家，这个组织不停的做这个事情，游戏，洗钱，做这个事情。基本上很多APT攻击都带有0day，就是现有的安全软件没有补丁的，还存在漏洞的，大家都不知道，只有攻击者知道的这种漏洞。为什么说漏洞厉害？就是如果没有漏洞的话，很多病毒或者是蠕虫传播是非常慢的，或者有界限的，一旦有漏洞的话，传播力度非常大。比如震网，利用了3个Windows的漏洞，导致它的传播速度是非常厉害的，如果它潜伏下来的话，它又有很多自主传播的能力，那它的影响，这种撒出去的情报网就非常多，力量非常大。包括我们看到的这次的杀虫事件，就用到了一个Windows的一个OL1的包管理漏洞，可以通过Word搜索，可以通过PPT自动播放，自动触发，人家给你发一个包，你不知道，一打开就中招了，这个漏洞很好利用。企业里面基本上都部署了安全设备和安全软件，为什么还会再中招？其实是有这种未知的元素，有未知的东西，可以绕过杀病毒的木马，可以绕过规则攻击，基本上就变成了一个很强对抗的事件。

其实行业覆盖会越来越广，基本上只要有重要资产的，其实如果你正好在一个攻击者的攻击路径上面，其实不管你重要与否，比如说你是哪一个供应商，或者比如你是美国国防部的一个供应商，你就给他写了一个OA系统，有可能也会被中招，这是一个途径，是一个入口。我们可以看到，其实报道里面是比较重大的，我们现在更多的，还有非常多的是没有报道出来的，而且用户是更加没有感知的。这是2014年IT168统计的数据，大概有哪些行业受到攻击，包括金融、政府、军队、电信等等。

刚才讲过，你会不会成为APT的目标？我们放低一点，不一定是APT的目标，一讲APT，大家都觉得这个东西很遥远，跟我没关系。你要考虑一下，比如说一定要想一下，万一你的信息资产丢失，会不会对你有什么影响，是不是你在一个非常关键的节点上面。为什么从2010年以后，APT事件或者是未知攻击会井喷出来？其实说白了，就是在互联网上的信息资产变重要了，原来可能是一个茅草屋，小偷他们不介意，现在是别墅了，可能有点资产，后面可能是摩天大楼了，里面的资产可能更多。在我看来，2010年以后，互联网经济就变成实体经济了，的的确确能够很方便的变现，比如支付宝、网络银行、虚拟货币，在我看到，就变成了实体经济了。所以说攻击网络就可以很容易的变现，而且我们可以看到现在更多的攻击者他也可以刷流量，也可以刷广告，恶意推广，这样的也非常多，当然这些其实是交织在一起的。我们的对手也是，套用苹果的话，我们的对手是Bigger than bigger，越来越强大，原来就是一个小偷，现在慢慢的就变成了政府的部门，对手越来越强大，的确很难防。

我们其实可以从另外一个角度来探讨，从冲击波、振荡波、CodeRedll、Zotob这几个病毒的发现时间来看，当时的确对于整个产业来说冲击非常大，但是咱们可以看到，从感知来讲，CodeRedll是8月3日发现的，我们分析完以后，也是8月3日释放出来的，一天都不到就被感知到了。冲击波是8月12日发现的，我们发现是8月11日转的，那个时候的感知能力相对来说是比较强的。从2010年以后，从震网、Duqu和火焰病毒来看，我们是2012年7月份发现的，其实从2009年6月份就开始在地下传播了，Duqu也是，在这个时代，感知能力就是以年为单位了，就是基本上感受不到了。

很重要的一点，为什么感知不到？其实跟我们传统的工作原理有关系，比如我们的IPS、IDS、杀毒，它的工作原理就是我拿来一个样本，抽取里面的特征，当然这个是最传统的，他们也有一些启发式的算法，那肯定不是主流。这样的话，你没有样本就感知不到，那是很显然的。所以说，包括我们的IPS做签名也是，我原来在McAfee做签名的，要有事件，要有漏洞，知道这个漏洞，才能针对这个漏洞写一个基于触发原理和特征做的检测，这样的话，就变成了一个能够识别已知的问题。现在我一直讲要主动的解决未知的东西，已知的东西不可怕。我们能够有一些很好的机制，比如事后签名机制，其实可以通过事后去解决问题。但是现在的问题是，攻击者都是潜伏的，都是非常有耐心的，变成了未知的攻击。

我想打个比方，为什么咱们的机制会失败？有个例子我觉得还是比较恰当的。在2010年以前，我们的小偷偷东西，夜里潜入到你的家里来，他们的做事风格是我来也，他在你的墙上贴一个”我来也”，说我把你攻破了，这是在2010年。刚才李主任也谈到，比如伊朗的那个网军部队，他明目张胆的跟你说，我把你攻破了，我的病毒大肆传播，证明我的能力，那个时候还不是利益为主导，还不是经济为主导。现在2010年以后互联网经济很容易套现了，那个小偷进来变成他偷偷摸摸了，看到你什么好东西，重要的资料给你拍了一个照片，然后他走了，就是这么一个区别，你很难感知，因为他也没有偷你的东西，在互联网上利用这种电子设备拷贝一下，你也感受不到。其实在我看来，攻击者的行为模式发生了变化，导致了我们这种产业的解决方案已经不能适应我们现在的那种攻击模式。现在讲的就是，大家都听到APT，APT最核心的东西就是我现在不告诉你，我现在就要偷偷的来攻击你。

在这种情况下，肯定很难去解决现有的未知攻击和未知威胁。2013年他们发了一个报告，说IPS测一个漏洞，很多家IPS，简单的变换了一下，做了一个变形，病毒也是，稍微变一个形，这也是好多家公司，有几家公司检测到了。就说明总体上检测能力不足，不足以应付现在的这种攻击模式和攻击场景。一般的未知攻击怎么来检测？现在产业界有一个声音，我们一直在提的就是基于攻击的特性，其实攻击是有一定的特性的。我们检测，比如说你的文档里面有没有内嵌的手法一系列的攻击手法，我不单纯从一个漏洞或者一个病毒去着手，我是在你攻击直接的点上面去抓这个东西，这是攻击特性。还有就是基于行为分析的，Fireye开了一个先例，他把动态沙盒的东西，直接推送到用户的场景当中，原来的工作原理就是一般的杀毒厂商都会有后台的分析，这个的问题就是说，很多样本要等到提交到你这里以后，Fireye做了这个方案以后引起了很好的反应，所以他们快速的就上市了。还有基于流量的检测，还有就是基于黑白名单的，黑白名单的很成功的一个例子就是国外的Bit9，他的解决方法是非白即黑。就说如果不是白的，那全把你加到黑的，当然这个应用场景在有些场合可以去应用，可能效果会比较好，但是有些场景，比如在互联网企业部署，这些东西会比较差，因为它的随意性比较大，这种场景可能需要区分。

我们是采用什么说法？其实我们的想法就是，不管是什么解决算法，我们分析整个攻击的过程，哪个算法好用就用哪个。其实在我们的产品里面是有非常多的检测点，非常多的算法，不像原来的就检测一个签名，比如说原来的IDS，就检测一个流量。其实整个攻击的链条里面有非常多的攻击点，往往其中你要检测一个点的时候，你是很容易漏过。但是你是通过层层的这种纵深的防御，层层的这种点去检测，一般攻击者较难绕过。比如说你有七八个攻击点都是在这个攻击点里面，那我就可以提高这种检测的准确度。

我们的产品叫星云。我们其实是聚焦在未知威胁，我们针对的点就是新一代网络威胁，其实现在出现了攻击者的手法，攻击者的攻击能力已经远远的走在了传统的这种，或者是原来这种安全的设备厂商或者安全厂商的前面了。而且我们是多维度，我们希望通过不同的维度去阻截这种攻击，不同的点来防御和检测这种攻击。我们是想帮助企业解决一些问题，企业有很多的困扰，比如部署了传统的杀病毒的，IDS、IPS，很多新型的攻击，很多新型的病毒还是爆发，我们怎么来发现？其实我们现在相当于变成了一个盲人了，攻击在你面前，你感知不到，其实是非常危险的。

很多用户想知道，比如你真的攻击了，它有哪些危害行为？我们想去告诉用户，比如说你是这个病毒，你这个攻击他做了什么事情，你看是不是要处置？用户其实是想知道更多的信息，而不是简单的告诉你一个点说123，这样的话用户感知非常差，用户怎么处理？我们想告诉用户，我们要帮你确认真正是哪些继续中招了，比如说现在IDS为什么做得不好？随便扫描一下，就会产生一大堆的报警，问题是简单的扫描攻击者有没有成功呢？还是简单的小黑客扫一下，你怎么来处理？你也不能区分到底是谁中招了，谁被扫了一下，比如谁发了一个邮件，点击了中招了，还是说谁的安全性比较高？那个是要分别区别对待的。我们就要告诉是哪些中招了，要去处理的，这是我们经过严格筛选的，告诉你这个中招了，要处理。

还有一个很大的问题，当前整个安全这辈的大问题就是，其实IDS、IPS报了很多警，用户没法运维，你报了很多的警告，你又不区分什么是确认的。基本上IPS当IDS用，IDS当摆设用，很多都当摆设了。其实我们的设备是想真正的让用户能够运维起来，哪怕我们现在推的能够连接我们的云端，对接我们的运维团队，我们在设备上直接对每一个预警做确认，这样的话，就会大大的减少运维团队的成本，就是要建一个威胁情报分析团队代价非常大。

其实我们一直在沿着攻击者的思路去做产品，攻击者现在就变成了他要想方设法进来，不被发现，他要想方设法在你的网络里面找到他要的东西，他也不要发现。他要想方设法把找到的东西传出去，也不能发现，这样的话，他们的攻击思路就完全跟我们现在的防御体系不一样，原来比如说病毒是有样本，再做签名，再推给很多人，这种机制下你没有样本，你感知不到怎么做，其实这就相当于是一个挑战。从我们的角度来讲，我们希望能覆盖更多的点，它的攻击其实是一个链条，我们希望覆盖更多的点，减少这种检测盲点。我们希望通过多种技术手段来检测，而不是说简单的一个手段就把事情解决了，在我们看来还远远不够。我们检测的层级也是多维度的，比如检测攻击负载，有PDF、恶意文档、URL、HTML5的负载、Java的负载，我们还有沙盒的行为分析，把网络上捕获的东西直接推到我们的沙盒里面，自动化的判断他的行为，让我们的用户能够及时的感知。我们还有更多网络层的，比如木马协议、异常流量等等，去做这种监控。

刚才讲了，我们是贯穿整个攻击过程，包括一个恶意文档来的话，我们会检测这些恶意文档是不是有些坏的元素，我们能不能检测出来？它的小马，小马一般是Shellcode里面有一个小马做这个事情。小马执行起来，会在网上拖一个大的木马回来，这个大的木马，一般会做成一个通用的马，还有C&C通道，基本上会贯穿整个攻击的链条，而不是整个的点。刚才说了，我们会在网络面和主机层做联动和关联，我们可以在主机层的检测动态行为分析以后，动态跑出C&C，然后再动态的导入网络层，这个都可以在一个设备上去解决。多维度、多技术的事件关联，已知签名，其实我们内嵌也有一些杀病毒引擎，也有内嵌一些已知的规则，其实已知是必须的，已知能够告诉用户这是什么东西，未知的话只能去识别。

我们捕获了一些攻击实践，WPS 0day是我们2013年12月份捕获的，这是国内第一个真正报道出来利用设备捕获的利用0day攻击的事件，很显然可以看到，这个邮件其实是非常高大上的，当时有一个中国经济形势解析高层报告组委会，我们在网上查了一下，的确有这个会议，它的攻击目标的确是政府的一些要员。它用的就是我们WPS的一个0day，打开以后就告诉你，让你去下一个WPS2012的Office，如果你已经是WPS的话，你打开以后直接就会中招。网上我们也有分析报告，这个其实是利用了一个RTF的一个0day。我们后来分析发现，其实WPS在国产办公软件里面用得非常多，基本上很多部委、国企都在用，所以说国产软件的安全性也要注意，也会成为一个攻击对象。你只要应用广，黑客就会想方设法通过你这个有漏洞的东西钻进来，他有缝就会钻。你打开以后，它就会释放几个文件，释放文件以后会连接远程的C&C通道，我们后来发现是在美国的，我们后来定性的确是境外组织对国内的一个定向攻击。它的木马是一个Pile的一个变种框架。

这是我们协助用户处理的，是2013年的12月1日我们捕获了这个事件，当天我们就确认了这个0day，然后通知用户。第二天我们的分析报告也出来了，事件报告也出来了，然后协同用户做处置，下午我们就进行了发布。基本上很快，我们一发布，攻击者就把这个C&C通道关掉了。

其实这些都是部署在企业内网的一个检测点，比如说我们捕获到了很多挂马事件，利用CVE-2014-0502这个漏洞，这是一个老动作，但是出来没有几天，可能一个星期或者两个星期，就被人快速的应用到了现场里面去。其实这个我们圈内叫二次攻击，一般的第一手资料可能是最原始的攻击者拿到的，然后再慢慢会扩散到安全社区。一旦安全社区拿到了以后，公告出来以后，很容易就会变成更多人，更多的攻击者拿到，很容易看到，比如这次的杀虫事件，一旦安全公司公告出来以后，更多的人拿到这个样本以后，二次攻击就会爆发。所以最近一段时间咱们可以看到，沙盒攻击可能还会持续的会爆发出来。

这是我们经过情报分析发现，这是在一个韩国的攻击事件，而且下面可以看到，基本上这种木马和攻击载体，或者攻击的程序是国外的一个免费的网站，你可以提交你的样本，能把国内外能见到的所有杀毒引擎在上面跑一遍，这样的话，就能知道这个病毒能不能被检测出来。我们当时也扫了一下，基本上51个杀毒引擎只有2个能查到，有一个攻击体，基本上51个杀病毒引擎也只有2个能查到。只有两三个引擎，能扫到的，基本上可以认为这是一个未知的东西。他在几十几款杀毒引擎里面，总会被一家引擎给拦掉。

我们分析出来以后，发现里面到底是哪个用户，或者是哪个邮箱地址去发起这个攻击，然后我们又经过进一步的分析发现，这个组织是从2012年就开始活动了，然后他们这个组织擅长使用网页木马，我们常说的叫水坑攻击，中国人喜欢叫网页挂马。这是国外的一个军事论坛，如果你访问这个论坛的人，只要补丁没有打好就会中招。这是我们部署到企业里面，企业里面的人去访问这些外部的论坛，说白了，其实这是一个入口点，一旦你这个人访问了这个网站被挂马了，你中招了，说白了人家就跳到你的内网里面去了，只要你的内网没隔离。当然内网隔离刚才也讲到了，也有一些办法他去进来。这个很多受害者都在韩国，韩国的异地响应中心也跟我们合作，一起去分析这个东西到底是怎么回事。

应急响应这个事情其实非常耗时间，也耗人，这其实是情报分析很重要的一个点，我们的响应也算及时，包括这种杀虫的APP攻击事件，我们是第一个分析出来漏洞的原理。这个公司是叫isightpartners，他报告了这个杀虫APT事件。我们第一时间分析，公布了这次漏洞的大概成因，第一个分析了这是一个什么马，大概要做什么事情。我们早上报出来，我们开始应急做分析，在晚点的时候我们就发了一个事件，基本上在当天，我们就会把这个报道发出来，告诉用户这个东西是怎么回事，到底会造成什么危害，影响程度多广。其实这个0day攻击刚才说了，就是俄罗斯打北约的一个0day攻击，是危害非常大的，因为是一个逻辑漏洞。它的漏洞就是他放两个文件，Slidel和Slides，后面又有一个漏洞，他就会点击右键，执行这个安装。这个功能非常强大，可以改名，驱动安装就是靠它做的，所以这是一个逻辑性漏洞，有防病毒，还有微软的很多措施，在它的这种攻击面前是失效的，它就是逻辑漏洞，说白了这是它的功能，只是被恶意利用了。他前两天没有补好，都是偷懒，或者有可能有他的讨论方式，把你从网上下来的这个标记为不安全的。所以说你安装的时候他会弹出来UAC，告诉你这是不安全的。咱们的研究人员又非常厉害，他发现可以用另外的措施，也可以不谈UAC，现在又出了一个漏洞，其实也是0day。最近一段时间大家注意，有人给你发PPS的，一定要注意，或者改名，或者用WPS打开看看。我们在第二天增加了攻击的演示，可以看到，双击PPS，你的机器就中招了，就是这么简单，杀毒软件肯定也不会报，或者第一批也不会有阻截。

我们后面又对木马进行了分析，我们识别出来木马就是一个变种，经过回溯我们发现，这个在2007年的时候就已经在俄罗斯的地下网络里面流传了，Quedagh这个组织也发起了一系列的针对于乌克兰的攻击，他们说了，这个0day攻击就有可能是来自这个组织，而且有一些对抗，其实是一个PE文件，他抹掉了这个PE头，来对抗静态检测。为什么叫杀虫事件，杀虫APT？其实它在C&C里面，后面这一串就是美国科幻作家写的一篇作品Dune，所以说咱们的研究团队，或者是国内外的研究团队就把它命名为杀虫。所以这个命名很有意思，很多有意思的攻击事件命名都是有蛛丝马迹可循的，就是他能够从各种情报分析里面分析出来他的一些特性。比如极光攻击，它的攻击的总载体里面就带有”极光”的英文，所以他们命名为这个东西。

这是我们的时间轴，其实对于我们的响应团队是非常辛苦，要快速响应，持续赶紧。其实沙虫这个事件对于咱们的产品来说有些需要反思的地方，它是一个逻辑漏洞，对于我们其实有内容分析，没有办法解决这种未知的攻击。我们在考虑，后面有没有办法静态的、快速的把逻辑的东西解决出来。我们的沙盒动态分析其实也没有检测到我刚才说的PPS，我们检测到的其实是PPS攻击完了以后下面过来的马被我们检测到了。所以我们一直强调为什么要纵深的防御？当然对于我们的改进来说，我们后来要慢慢的支持这个播放，不能被人绕过。其实我们检测到了后面的未知负载，运用动态分析技术去检测出来的。

国外的研究团队后来发现，杀盒的APT事件也是相关的，我们的分析团队经验不足，需要长期的分析，这是一个非常耗人力的事情。即使现在沙盒能检测出来，或者某一个厂家号称我的沙盒就能够检测出来这个漏洞。但是现实的问题就是，你在线网里面的文档是非常多的，你不可能把所有的文档都丢进去。线网里面在线的检测可以做一个，这里面有性能的问题，比如某一个沙盒能跑几万个对象，比如一般的签到网络里面，每天的文件有上百万个，至少是五六十万个，绝对会有。如果全把这些文件丢进去的话，你的沙盒就爆掉了，这其实也是一种挑战，就是怎么在性能和检测率上做平衡，达到一个真正可用的。当然有些厂家现在做的是独立杀，分析没有问题，丢一个进去，我能全部跑一遍没有问题。但是真正到线网里面，就会遭受到这种性能的挑战。

我们还帮用户去处置很多未知的马，我们在去年就帮用户处置了一个Wormsharp的蠕虫，这是攻击者自己命名的，他在他的PDF字符串里面，就把这个命名成Wormsharp，他的文件就是这个名字，所以我们命名为蠕虫。我们可以看到，基本上这种未知攻击，现在杀病毒软件很难做到，很多木马都是开源的，或者自己写一个。我们还会跟用户做一些建议，比如我们帮用户做排查和定位，会告诉怎么来停止服务，怎么来关闭这些，说白了就是清除控制，怎么在网络层面做一些拦截、阻截，不能被控。

其实还有一个就是我们一直在跟踪的事件，这个事件也是很严重的，发生在国内金融部门的。我们盯了大概有一年的时间，这个事件至少在2012年之前已经发生了，还在持续发生。我们已经帮用户处理了一些事件，但是过一段时间还会复发。说明我们还没有真正跟客户一起找到攻击的通道，这其实是非常关键的。要解决这个事情，一定要把攻击通道掐断，这其实需要双方的配合和信任，来一起做这个事情，但是这个难度比较大。

它的攻击模式框架很复杂，还做了分布式、动态扩展，比如说有Web服务器、攻击服务器，还有邮箱系统，还做这种横向的百度，拆解口令。但是它的拆解口令定向性非常强，不是随便的全部破解，那样很容易发现，他的定向性非常强，他要知道打哪台机器。这个事件比较高级，时间上非常持续，好几年了，在我分析至少四五年了，一直在搞这个事情。技术上来讲，国内我们常见的360、McAfee、赛可达、趋势等等，你只要没有把通道打掉，他一直在更新。它对抗虚拟机，不发作。还有更多的图片夹带加密信息，实现动态功能，通过模块的更新、任务的下发等等。还要进行内网渗透，还会进行数据搜集。其实我们现在发现，它很克制，不是前网撒向的，非常克制。其实可以看到，我们现在分析了半天，没有分析他的意图，我们能捕获这个事件，但是我们跟踪了一年，我们还没有搞清楚他的意图，他到底想做什么。为什么说情报分析难？如果真正要按照意图来讲，或者说他偷你东西的时候，或者他真正行动的时候，比如格式化你的东西了，这样的话，有可能就要长期布控，布控这种专门的点，才能真正把握到他到底想做什么事情，我们星云设备不会是非常多的未知威胁。

在APT检测的路上我们还做了一些工作，就是APT Group分组，想做的目的就是这个样本我们要识别出来，到底是属于哪一波人做的，这个其实对于情报分析来说非常有意义。我们也做了一些在互联网上的尝试，类似做了一些免费的服务，我们在网上叫文件B超，有一些文件的检测，APT的检测，漏洞验证等等一些功能，大家可以上网上去看一下。如果你有些未知的东西，或者说疑问可以提交上去，我们马上也会集成国内外的50几款杀病毒引擎，也会接入进来，我们也在做一些C&C库和木马协议库的分析。其实APT有很多挑战，攻防是不对称的，举一个例子，比如说一堆沙子，一堆米，其实攻击者就像拿了一把沙子丢到米里面去，那样非常容易。攻击者就想，我要想从这个沙子和米的混合体当中把这个米挑出来，那就非常难了。还有点和面的问题，攻击者只是打一个点。

最后再讲一下挑战，为什么现在APT有很多挑战？我们可以看到，现在很多公司冒出来做APT检测和未知检测，有很多的挑战在里面。从事件来讲，你攻击的不是一次性的，是持续的，而且事件不是孤立的，你要从看似孤立的事件中还原出来，让用户能够理解你这种攻击。而且攻击点来讲，它能够做到无文件，无马，能够绕过你的这个部署点，可以做到漏洞触发和Payload的分离，而且我们可以看到，恶意程序都是一个攻击框架，没有真实意图，真实意图只等他要想干坏事他才会做。我们可以总结出来一些流量的异常，因为流量是更高维度的检测点。

进入APT时代，我们就是要面对未知威胁和未知攻击，主要的力量投入在上面。APT攻击其实是人和人在数字空间的较量，智力对抗，所以说没有终极的办法。因为人是活的，手段是可以无穷的。我们还需要考虑成本、性能和用户的体验和感知，所以对于APT类的检测产品，需要在上面这个限制的条件下，最大程度的提高攻击者的攻击门槛，降低风险，要形成一个新的攻防平衡点。

我就讲到这里，谢谢！