前言

近年来，网络安全事件频发，网络安全事件已经涉及科技、金融、医疗、汽车、电力、化工、交通、制造业等各个行业。中国国家互联网应急中心发布的《2020年上半年中国互联网网络安全监测数据分析报告》中显示中国仍是网络攻击的主要受害者之一，在疫情期间遭受的网络攻击有增无减，并且持续增加。

新一代安全运维中心NextGenSOC (Security Operations Center)

现在大型的网络攻击大多以有组织规模的网络杀伤链的形式呈现，其步骤至少会包含信息侦察、武器（攻击脚本）准备、攻击载荷传递、漏洞利用、（病毒、后门）安装植入、权限获取与提升、内网横向移动、目标达成、攻击痕迹清除等。依靠传统的安全防护的方式和设备可能已经无法有效抵挡现在具有规模的网络杀伤链式的攻击，在越早的杀伤链环节阻止攻击，修复的成本和时间损耗就越低。传统的安全防护设备可能等到攻击者获取权限、或者已经进入企业内网时才能发现和阻止，而此时的损失已经难以估计。新一代安全运维中心将能极大程度的弥补这一缺陷。

传统和新一代的安全运维中心都具有识别、调查和控制信息安全威胁的能力。但和传统意义上的SOC安全运维中心不同的是，NextGen SOC的核心理念是化被动防御为主动防御，并结合威胁情报、态势感知、红蓝对抗、多维度监控、自动化编排与响应、漏洞管理，并结合人工智能，大数据分析等技术手段进行可视化、自动化地监控、评估和防护数据中心、网络、终端和云端中的信息系统免受恶意攻击。

在Next-Gen SOC中非常提倡攻防结合，在不断的对抗中，获得更多攻击的方法，进而转化为防御手段，使得安全得以更大的提升。攻击的方法一方面则是由大量红队（攻击）成员的经验，作为输入。但是单单只依靠红队成员的经验是远远不够的，其中很大一部分就需要依靠大量来自在互联网上的威胁情报，从而了解最新的攻击方法和动态。

威胁情报

威胁情报作为Next-Gen SOC的一个核心模块，其中也扮演着非常重要的作用。“提前预知黑客的动向”就要极大程度的依赖于威胁情报。目前被引用最多的威胁情报的定义是2014年Gartner在其 《安全威胁情报服务市场指南》（Market Guide for Security Threat IntelligenceService）中提出的，“威胁情报是一种基于证据的知识，包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险，并可以用于通知主体针对相关威胁或危险采取某种响应。” 通俗的讲，威胁情报是关于威胁的信息，通过利用资源，用于发现威胁并指导企业行动以提升主动监测威胁的能力并缩短响应的时间。也可以说是，知道外面有哪些黑客，他们都用什么样的技术，目标是谁。以及用什么方式可以快速准确的检测有没有被他们攻击。

普华永道中国在中国境内的互联网上部署威胁情报平台来收集中国境内遭受网络攻击的情况，并对攻击来源、目标和攻击者的行为进行分析。本文主要阐述我们捕捉到的2021.2月下旬-3月上旬发生在中国境内的网络攻击情况。

攻击来源和目标分析

在这段时间内，我们发现中国境内遭受网络攻击的源头主要来自中国境外，攻击流量绝大部分来自美国，其次分别是印度、越南、巴西和澳大利亚。这些攻击ip中有九城以上已经被开源情报平台标注为恶意IP或者攻击者IP，说明现在的攻击大多都是有组织规模，大多采用攻击服务器集群或者僵尸网络等方式进行，极少数是个人行为。通过威胁情报的这些数据，我们一旦检测到这些源IP的异常流量，即刻采取防范措施，例如禁封这些源IP。可以看出利用威胁情报，我们甚至可以将许多攻击在网络杀伤链的早期就可以采取一些手段进行防御。

攻击者攻击频率最高的操作系统是windows 7和windows 8这些微软已经停止发放补丁且比较老的操作系统，这类操作系统有许多的高危漏洞容易被攻击者利用，其中就包含最著名的在2017年爆发的永恒之蓝漏洞（ms17-010）。我们通过威胁情报平台查询到，中国境内目前暴露在互联网上的windows 7，XP这样已经过时的操作系统有超过35万，而且目前用户对于补丁更新的意识也相对薄弱，这就给了许多攻击者以可趁之机。

攻击行为分析

近一个月内的时间，我们通过威胁情报平台捕捉了超过300万次的攻击尝试，其中针对445（SMB）端口的尝试占据了绝大部分，剩下的依次是针对22（SSH）端口，443（HTTPS）端口，993（IMAPS）端口和3389（MSTSC）端口受，由此推测攻击者现在最先尝试的就是永恒之蓝漏洞，因为该漏洞利用简单且危害巨大、其次是尝试暴露在外网的SSH端口并进行暴力破解，然后寻找暴露在互联网上的WEB服务，进而尝试攻击、WEB应用也是绝大多数攻击者相对较为熟悉的应用、接着攻击者会对暴露在互联网上的邮件和windows远程桌面尝试攻击和利用。

我们发现攻击者每天会进行大量永恒之蓝（EternalBlue）漏洞利用的尝试，该漏洞是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限，利用简单，且危害极大，一旦攻击者成功利用此漏洞，攻击者将会以此受害主机为跳板，进而横向移动至内网进行进一步破坏，比如敏感信息窃取、文件加密等。在中国境内，目前有超过100万的445端口暴露在互联网。

我们的威胁情报平台也捕获了大量攻击者的攻击载荷，该功能可以有助于进一步分析攻击者的行为，提前预防大规模危害性较大的漏洞攻击。

其次，我们也捕捉到在中国境内也有大量针对Linux服务器22端口SSH的暴力破解事件发生，约有超过54万次。通过开源平台的查询，我们发现在中国境内有超过2千万的SSH端口暴露在互联网上。

通过威胁情报平台，我们可以准确记录攻击者高度频繁使用的密码字典，可以用来提醒广大企业在系统部署中避免这些口令的存在。下图分别为攻击者在这段时间内使用频率最高的用户名和密码：

例如，如下图所示。在2021.3.1晚11点半左右，攻击者成功通过破解22端口，所使用的用户名和密码：

接着我们通过威胁情报平台进一步追踪，这些攻击者成功破解账户之后，会在服务器上做些什么操作，根据近一个月的分析，我们发现了大多的会有以下三种行为较为常见。首先攻击者大多会通过输入相应的系统命令，去了解服务器相关的信息，我们通过威胁情报平台收集这些攻击者的习惯，有助于我们可以进行攻击行为关联分析，收集到攻击者在每一步都喜欢做什么事情，像这类操作传统的防护设备和方法很难检测，因为这些都是正常的系统命令，只有通过大量的威胁情报，并结合攻击前后步骤，才能更加精准捕捉实际攻击的发生。

我们也发现攻击者，在成功破解账户后，会在第一时间，生成一个SSH证书，使得下次可以直接使用证书登录系统，以防止系统运维人员发现后更改系统密码，在系统中如果有异常的证书生成，也高度提示着系统可能已经被入侵了。

我们也发现有众多的攻击者会在成功登录系统后，以此系统为代理，去攻击或者访问其他站点，在系统上如果出现有一些原本不应该产生的网络流量，即使是一些正常的网络流量，也要引起警觉，极有可能是攻击者在进行代理转发或者僵尸网络。

通过针对威胁情报的分析，我们可以看到，攻击者在完成网络杀伤链最后一步获取目标前，会有许多非常隐匿且看似没有异常的操作，这些依靠传统防护设备极难被发现。一旦当攻击者万事俱备，夺取目标时，再触发告警，一切就为时已晚了，甚至有许多成功夺取目标了，防护设备都未曾发现。这就是缺少对攻击者的理解和异常行为的捕捉。所以我们需要大量的威胁情报来加强，普华永道中国也将会持续监控威胁情报平台，分析攻击者的攻击行为和方法，从而更高效地应对潜在威胁。

结束语

在Next-gen SOC中，我们安全人员不可能只单单做防御，一定需要攻防相结合，才能更好地应对大规模有组织的网络杀伤链式攻击。所以只有更深入地了解攻击，站在攻击者的角度思考问题，才能更好地进行防御。威胁情报则是作为了解当下众多攻击者行为的一种非常有效的手段。通过威胁情报中获取的信息和数据，输入给防御人员，防御人员进行归纳和总结，可以更有效地在网络杀伤链地每个节点进行规则分析，并进行有效阻拦，从而更好地保障各大企业免受网络攻击，后续将为大家带来Next-gen SOC系列的其他相关文章，敬请期待。