谈谈网络空间“行为测绘”

网络空间需要“看得清”更需要“看得见”，在KCon2019上我提出了网络空间测绘的两个核心：“一是，获取更多的数据。二是，赋予数据灵魂。”，“获取更多的数据”那是为了“看得清”，而只有“看得见”才能“赋予数据灵魂”，“看得清”是能力的体现，是“器”，而“看得见”就是思想的体现，那最后关联的是“道”。[1]

「网络空间测绘就是对网络空间数据的挖掘，其本质在于通过对数据的采集、存储、加工处理后形成新的“知识”，知识进一步升华为“智慧”，并最终帮助决策者做出合理的决策。」[2]

数据-->知识-->智慧-->决策

「网络空间数据挖掘是一个“仁者见仁、智者见智”的事情，取决于实施者的对数据的认知、理解、思维视角及层次，而最终得到不同的知识结论。」[2] 

换句话说就是取决于实施者的“视野”、“格局”、“道”，这也就是古代先贤们告诉我们“以道御器”之法。

3W问题（“What？Where？Who？”）是网络空间测绘要解决的基本问题。[3]

也就是“是什么？”、“分布在哪里”、“是谁的？”，很多时候遇到的场景都是在于前面两个W问题围绕着最后一个W问题展开，也就是从设备指纹及相关分布等相关数据入手，最终想解决是谁的设备这个问题。然而今天我们提到的主题”行为测绘“则是反其道而行之：从"Who?"入手，反查“What？Where？”

行为测绘

「行为是人类或动物在生活中表现出来的生活态度及具体的生活方式，它是在一定的条件下，不同的个人、动物或群体，表现出来的基本特征，或对内外环境因素刺激所做出的能动反应。」（百度百科）

不同的群体，可能表现出基本的独有的特征，当我们能掌握到这个特征，那么我们就能尽可能识别出这个群体里的所有个体，而这些所谓的行为特征在网络空间测绘里表现出的是这个设备各个端口协议里的banner特征，目前在网络空间测绘里常用的通用组件指纹识别形成的指纹库就是利用了通用组件通用的默认配置特征这个“行为”来进行识别的，很显然这个充分利用了人类“懒惰“的这个性格引起的通用默认配置的”行为“进行测绘的，但是也就忽视那些进行自定义的配置的目标，而这些目标是本文要阐述的主要对象。

在这些自定义过程中不同的群体又可能表现出不一样的独有特征，我们利用这些行为特征进行网络空间测绘，这就是所谓的“行为测绘”了。通过实践经验“行为测绘”在威胁情报领域、国家基础设施测绘、APT/botnet/黑产等组织测绘上有巨大应用空间及震撼的效果。

以道御器之斩首行动

「斩首行动是一个军事术语，指用巡航导弹和精确制导导弹对敌方进行军事打击，通过精准打击，首先消灭对方的首脑和首脑机关，彻底摧毁对方的抵抗意志。」（百度百科）

我们经常在影视作品中可以看到一些场景，比如营救人质或夜袭敌方粮草，甚有直取敌方主帅大营等，所有这些行动是建立在目标判断明确的基础上。一个朴素的防御思想告诉我们核心敏感的地方往往会优先部署相对强大的防御工事，也就是说防御工事越多越强大的地方很可能就是相对比较核心敏感的设施，比如人质关押的地方、主帅大营等地方往往相对多的巡查士兵，巡查频率也相对较高，由此可以判断哪些地方是“斩首行动”的目标地点。

回归到网络空间用上面提到的“道”来指导我们去做一些探索，在网络空间里我们可以通过寻找某些安全设备的分布来确定目标可能的防御重点分布。

准与不准

在军事上很多时候我们也会用到伪装手法来躲避侦查，比如迷彩的运用等，在网络空间里也一样存在各种网络安全设备来干扰探测影响探测结果，比如蜜罐、防火强等设备，从而欺骗误导网络空间探测引擎规则，如果使用者过度的依赖这些探测规则就很容易被误导而忽视这些目标，当然我也曾留意到某些做测绘的同行写文章批判吐槽过这些不准的情况，实际上他们忽视了这个“不准”也是一种“异常行为”，俗话说：“反常必妖”，而这个很可能就是别人苦苦追寻的目标！

所以“准与不准”应该是平台实事求是并尽可能全的展示探测器探测到的banner（元数据）并展示，而不是局限于探测的规则二次加工后的表象来简单评判，这点认知我认为对于相关平台设计上及数据转变为知识等方面上有至关重要的作用。

曾经有一次发现ZoomEye上某些IP端口的banner被显示为一个固定的拦截信息，通过Google搜索确定发现这是某国际上著名的安全厂商生产的某安全设备导致的，也正是因为这个设备的原因成功欺骗了ZoomEye的服务识别规则而导致识别结果出现偏差。随即针对这个拦截信息的数据分布进行分析发现在多个国家或地区有分布，这个也说明了这个国际大厂的市场地位是无容置疑的，在分布最多的国家地区里再结合ZoomEye独有的行业标注库的标注，发现这些目标集中分布在某核心基础设施行业里，进一步通过网络拓扑分析最终都指向了的同一个设备地址。

（注：该设备的搜索指纹在各大网络空间搜索引擎里的数据分布）

以道御器之僵尸网络测绘及APT测绘

通过之前我发布一些文章可以看出基于网络空间搜索引擎ZoomEye这种主动探测模式在僵尸网络组织及APT组织追踪上有着非常重要的应用，而这里主要是说明“行为测绘”这个思想在僵尸网络组织、APT组织追踪及威胁情报领域的应用实战。

下面我用Trickbot这个作为例子进行说明，在前段时间在推特上看到某开源情报例举了几个关于Trickbot C2的地址：https://twitter.com/TheDFIRReport/status/1427604874053578756

通过curl访问发现185.56.76.94:443访问不到，而24.162.214.166:443及60.51.47.65:443 访问到的banner及证书基本一致：

~ » curl -i https://24.162.214.166 -k  
HTTP/1.1 403 Forbidden
Server: nginx/1.14.2
Date: Tue, 17 Aug 2021 14:07:25 GMT
Content-Length: 9
Connection: keep-alive
Forbidden%
~ » curl -i https://60.51.47.65 -k                                  
HTTP/1.1 403 Forbidden
Server: nginx/1.14.0 (Ubuntu)
Date: Tue, 17 Aug 2021 14:08:03 GMT
Content-Length: 9
Connection: keep-alive
Forbidden%

证书内容部分关键内容为：

subject: C=AU; ST=Some-State; O=Internet Widgits Pty Ltd
issuer: C=AU; ST=Some-State; O=Internet Widgits Pty Ltd

所以这些都是很典型的“群体行为”，结合https的返回banner及证书内容进行行为特征匹配搜索：

"HTTP/1.1 403 Forbidden" +"Server: nginx" +"Content-Length: 9" +"Connection: close" +"Issuer: C=AU,ST=Some-State,O=Internet Widgits Pty Ltd"
https://www.zoomeye.org/searchResult?q=%22HTTP%2F1.1%20403%20Forbidden%22%20%2B%22Server%3A%20nginx%22%20%2B%22Content-Length%3A%209%22%20%2B%22Connection%3A%20close%22%20%2B%22Issuer%3A%20C%3DAU%2CST%3DSome-State%2CO%3DInternet%20Widgits%20Pty%20Ltd%22

当时找到172条数据（注意这里没有指定时间范围），这些数据通过多个威胁情报平台进行了查询匹配，最终我们用virustotal的数据进行匹配发现126条被标记过恶意，命中率为：126/172=73%。另外针对没有被virustotal标记的进行了手工匹配包括微步在线、奇安信、推特及我司(知道创宇)的一些情报库进行分析可以看出曾经或者C段曾经被标注过恶意，可能考虑到威胁情报的实效性的问题而被加白，还包括一些最新的目标IP这些平台样本覆盖问题而没有被标注可能，当然尤其是在APT领域还可能存在“假旗行动”，不过我这篇文章发出去后，可能不会出现这种所谓的“假旗行动”，因为假旗本身就是一种行为，而且是已知的恶意行为！

到这里可以说明通过我们对这个Trickbot样本进行行为特征提取，再通过ZoomEye测绘得到的结果是行之有效的，另外我们也留意到各个威胁情报平台在标签里对Trickbot标签非常少（基本少于5个），更多的标记为其他组织或者恶意扫描、垃圾邮件等标签。这里很多原因是由于目前威胁情报平台对组织分类取决于恶意样本分析提炼，对网络行为的更多只能依靠恶意扫描垃圾邮件这种行为进行描述，所以可能出现很多归类不清楚的，甚至很可能多个被标注的不同组织的实际上最后有同一个源头。

所以基于网络空间“行为测绘”对僵尸网络甚至APT组织使用的服务器的各种特征可以弥补传统纯粹依赖恶意样本东西覆盖不全及归类不准等方面的不足。

“动态测绘”下的“行为测绘”

在2020年知道创宇提出了“动态测绘才是真测绘！”的观点[4],在其看来动态测绘是⼀种视角，更是⼀种思维模式或理念，可以从动态变化上进⾏更多⾓度或者维度的思考，“动态测绘”强调“时空测绘”，关注资产的动态变化。如果说前文提到的“行为测绘”可以一次“一网打尽”，那么结合“动态测绘”可以实现持续的稳定检测，如果这些群体组织在后续的采用新的IP域名就可以直接被我们监控捕获。实际上我们已经把这些都做成了完整的解决方案：

ZoomEye线上用户方案：

实际上根据“动态测绘”理念在ZoomEye线上我们实现“数据订阅”功能，线上的用户可以利用这个功能直接订阅实现，数据结果会通过邮件及站内消息提醒，但是这个有个缺点是：依赖ZoomEye本身节点的探测频率及端口协议覆盖，这个完全取决于ZoomEye探测集群的随机算法，当然我们对于单个IP或者IP段我们目前是支持主动触发探测的。

ZoomEye雷达用户方案：

ZoomEye雷达是ZoomEye私有化硬件部署方案，可以更加灵活的调配支持端口协议覆盖及随时主动探测IP集，可以更加灵活根据目标群体行为特征进行主动实时探测。

NDR流量监控系统联动方案：

「知道创宇NDR流量监测系统是一款通过对网络全流量深度分析的软硬件一体化产品，其最大支持10GBPS的实时流量,在网络抓包和流量处理方面都取得了突破性地性能改进，通过APT威胁告警和全流量溯源取证实现APT攻击检测和响应。」

知道创宇，公众号：知道创宇

NDR流量监测系统，积极应对的APT攻击防御利器

我们可以通过NDR流量监控系统捕获到已知或未知的APT相关恶意样本，整理梳理相关组织使用服务器设备相关“行为”特征，通过ZoomEye相关产品一网打尽并结合上面提到的“动态测绘”方案，实时监控扩充最新上线的IP域名，最后再次回归到NDR流量监控系统实现对相关APT攻击的流量进行监控。

总结：

“你见或者不见，他就在哪里！” ，看见取决于格局、取决于道行，所谓“以道御器”就需要我们“看见还没有看见的，看清我们已经看见的”，知道创宇一直立志于“侠之大者，为国为民”，只有足够高的视角及格局，才能看得见前进的方向，利用好技术积累的优势做更多的实事！

参考：

[1] 领先一代的技术或早已出现 

https://mp.weixin.qq.com/s/2fAgi_d9QhGXKyMAcqUM-w

[2] 谈谈网络空间测绘在国家级断电断网事件上的应用 

https://mp.weixin.qq.com/s/VHOoWg8r8VPSUiMfVkcy-w

[3] 趣访“漏洞之王”黑哥，探寻知道创宇十年网络资产测绘之路 

https://mp.weixin.qq.com/s/dvFAVH17AnDS_r0kOG620A

[4] 再谈“动态测绘” 

https://zhuanlan.zhihu.com/p/183952077

[5] NDR流量监测系统，积极应对的APT攻击防御利器 

https://mp.weixin.qq.com/s/EoPgIRcrYp99I5qn-sO3SQ

[6] 再谈 ZoomEye：打造世界领先网络空间测绘能力 

https://mp.weixin.qq.com/s/A3-DdTQJI02gcsyCe20NAA

[7] ZoomEye * 真测绘，全球赛博空间测绘领导者 

https://www.zoomeye.org/