集体恐慌的网络安全

上个月末，很多人开始惶惶不安起来，起因是由于一篇名为《关于Absolute公司防盗追踪软件安全风险的提示》的文章。于是乎，厂商、媒体也相继在自己的平台上发布该风险提示，并且给出了结合各自产品的解决方案。

1

新后门带来的老恐慌

Absolute公司的防盗追踪软件究竟出现了什么问题，导致大家如此紧张。故事的起源是这样的：

1、Absolute公司在多款计算机主板的BIOS中，都安装了一款防盗追踪软件Computrace；

2、Computrace软件在计算机启动后，会隐蔽安装，并且经常向境外传输不明数据；

3、Computrace软件可远程获取计算机中用户文件、控制用户系统、监控用户行为，甚至可在未经授权的情况下自动下载安装未知功能的程序，具有很大的安全隐患;

4、Computrace软件提供可用于远程控制的网络协议，无任何加密措施或认证就可以被远程服务器控制，该功能随开机启动，常驻用户计算机，有较大的安全风险。

目前包括联想、戴尔、苹果、微软、惠普、富士、东芝、松下、三星、华硕、宏基等厂商部分便携式计算机、台式机、工作站均受影响。

正是因为如此，人们觉得这是个非常严重的问题，必须要高度重视起来。以此为引，我们今天来聊聊这种新后门的出现，问题一定很严重吗？如果不是，那么我们应该关注什么？

面对疑问，我们先不急着解答。因为我想起了一个十分有意思的事，那就是——宇宙学原理。表面看上去一个安全事件和宇宙学原理并不存在什么联系，不过，听我慢慢道来，你也许会发现，原来世间的一切都具有相同的规律。

应该很多人都会好奇，科学家怎么就知道离我们几百万、几千万甚至上上亿光年以外的事情，知道恒星发没发生过爆炸，难道他们真的去过？要不就是在骗人？

科学家还是有职业道德的，还不至于骗我们这些傻子。他们通过光谱分析技术，发现了宇宙间一系列的奥秘。所谓光谱分析就是针对宇宙间人们可以看到的光进行分析，简单的原理就是三棱镜原理，通过分析光的组成，就能发现背后的真相。

既然是对光的分析，于是又有人发现了宇宙间最老的光-宇宙背景辐射，宇宙背景辐射是来自宇宙空间背景上的各向同性的微波辐射，也称为微波背景辐射。只有对整个微波背景辐射进行整体分析，我们才能清晰的了解宇宙，如果只是随便发现一束光，那么将毫无意义。

由于每种原子都有自己的特征谱线，因此可以根据光谱来鉴别物质和确定它的化学组成．这种方法叫做光谱分析．做光谱分析时，可以利用发射光谱，也可以利用吸收光谱．这种方法的优点是非常灵敏而且迅速．某种元素在物质中的含量达10^-10(10的负10次方)克，就可以从光谱中发现它的特征谱线，因而能够把它检查出来．光谱分析在科学技术中有广泛的应用．例如，在检查半导体材料硅和锗是不是达到了高纯度的要求时，就要用到光谱分析．在历史上，光谱分析还帮助人们发现了许多新元素．例如，铷和铯就是从光谱中看到了以前所不知道的特征谱线而被发现的．光谱分析对于研究天体的化学组成也很有用。

光谱分析图

比如，科学家通过对某几束光源进行分析后，判断出某恒星的年龄、健康状况、过去发生了什么、未来的变化趋势等，这是通过一系列的分析，才对某一恒星的基本信息进行了定论。如果只了解现状，是无法做出正确的判断的。

引申到这次安全事件，我们侥幸发现了一个新的后门，但是这事件背后的背景我们是未知的，这个后门是否一直存在我们都不知道，如此草率的我们就开始下定论，制造恐慌，未免有些盲人摸象的感觉。

2

 掌握背景流量是关键

我们首先要承认，对于Absolute公司追踪软件这件事情来讲，确实是严重的，但是这并不代表所有的问题均如此。有些人不免以此来做文章，宣称只要是联网的设备向外发送的未知流量（其实这种流量可能一直存在）就当成安全事件对待，这种做法如同管中窥豹一般。

事实上这种新后门事件的发生并不一定会带来重大的影响。反倒是新的背景流量出现更容易造成不良的影响。联网设备向互联网传输数据，其实是一件非常正常的事，即便是一台默认安装Windows系统的PC，也会不停的和互联网交互信息。

对于我们日常使用的设备来说，无论是电脑、手机、打印机、投影仪等，只要是可以实现设备与互联网对接的设备，它们都会向互联网发送联网的数据，我们把设备某一时间段内向互联网发送的稳定数据称为背景流量A，下一个时间段内发送的数据称为背景流量B，通过对比A和B的差别，在B中新增的流量且该流量A又不支持的，需要我们引起重视。

比如2015年的Xcode Ghost事件，就很有代表性验证这一观点。

Xcode 是由苹果公司发布的运行在操作系统Mac OS X上的集成开发工具（IDE），是开发OS X 和 iOS 应用程序的最主流工具。 攻击者通过对Xcode进行篡改，加入恶意模块，并进行各种传播活动，使大量开发者使用被污染过的版本，建立开发环境。经过被污染过的Xcode版本编译出的App程序，将被植入恶意逻辑。Xcode Ghost将加密信息，并通过HTTP协议将其上传到C2（Control and Command）服务器。 

从不同版本的Xcode Ghost，发现了三个C2域名：

http://init.crash-analytics.com；

http://init.icloud-diagnostics.com；

http://init.icloud-analysis.com；

当时在苹果AppStore上的TOP5000应用有76款被感染，Xcode Ghost事件迅速升温，成为行业热点。黑客能够通过上报的信息区分每一台iOS设备，然后如同已经上线的肉鸡一般，随时、随地、给任何人下发伪协议指令。黑客通过这个能力，不仅能够在受感染的iPhone中完成打开网页、发短信、打电话等常规手机行为，甚至还可以操作具备伪协议能力的大量第三方APP。这样的操作势必很导致背景流量发生巨大变化。果真，嗅觉敏锐的国外安全公司Palo Alto Networks发现了这个问题，并发布第一版分析报告。

3

 背景流量的获取

对于背景流量的了解，其实相当重要。如果不了解的情况下，发现了某种看似异常的现场，却也不能发现问题的根本所在。

比如，大名鼎鼎的暗云3木马病毒，我们在事后发现，其实它也有和Xcode Ghost一样的C2流量。如果我们提前了解了背景流量，那么面对这种C2流量的大量爆发时，我们可能会更好的去发现和定义安全事件。

暗云3产生的C2流量

那么如何获取背景流量，我们下面给大家分享一个获取方法。这次我们以办公室里的打印机和一台新装的Windows电脑为例。

3.1 物理连接

首先我们按照如下的拓扑，完成了基础连接，将一台Panabit网关串接至打印机与公司网关之间。（先测试打印机，然后将打印机换成Windows电脑）

3.2 镜像配置

• 由于拓扑是串接形式，所以将Panabit设置为网桥模式

• 在Panabit上配置镜像，将打印机（Windows电脑）数据镜像至电脑

• 检查镜像后的效果

3.3抓取打印机背景流量

• 在电脑上我们通过Wirshark进行抓包，我们通过该软件可以看到有UDP、IGMP、MDNS组播报文等等，但是想要通过Wirshark软件进行深入研究，就需要有相当高的技术水平，需要对协议报文的结构和字段含义非常清晰才可以，但是即使如此，也很难从中直接发现某些规律和变化。

• 通过Panalog日志进行背景流量的信息留存和分析，这个方法可以帮助我们快速了解背景流量，如图，我们发现5个与打印机IP地址产生会话连接的IP地址。通过分析，我们发现其中包含4个组播地址和一个网关地址。

打印机开机后的会话信息

• 通过Panalog的连接信息我们可以发现即使是打印机，也会产生WWW/SNMP/DNS/ICMP等连接信息。

打印机开机后的连接信息 

3.4 采集Windows电脑背景流量

• 替换打印机为一台Windows电脑，重复以上抓包和日志获取。

新装Windows笔记本抓包结果

由上图我们可以看到，虽然我们的笔记本没有运行其他的软件，但是只要是连接了互联网，就有源源不断的信息交互，比如常见的TCP连接、HTTP信息等。

• 通过Panalog去查看Windows电脑的会话日志，我们可以看到电脑产生的对外连接要远多于打印机，为了验证此类连接是否安全，我们通过Virus Total进行IP的安全性检查。

新装Windows会话树

最终我们发现真的有IP存在问题，比如：69.171.245.53这个IP地址，我们在Virus Total上查到存在风险，如图，我们发现有10个URL存在问题。

点击进入其中一个URL，我们发现有病毒威胁。

• 通过Panalog的会话日志也可以清晰看到整个会话连接，我们进一步发现69.171.245.53所对应的URL并未存在病毒，所以只是看到上面的一个“威胁”，还不能判断真的存在问题，从我们的记录看，上面发现的IP并不是病毒域名，现在已经分给了MSN，从而排除这次威胁。

新装Windows会话信息

新装Windows去往日本的会话信息

DNS统计信息

URL统计信息 

如何，比Computrace更恐慌否？

4

 建立常规的背景流量日志基础数据

获取背景流量的方式很多，比如上面举例中，我们可以通过Wirshark获取全量的背景流量，但是由于抓取的都是数据报文，需要有专业能力的人才能够看懂，所以不推荐大家使用。当然也可以通过Netflow的方式获取背景流量，可是Netflow所存储的是抽样的数据，又不利于我们充分分析了解背景流量。所以，通过Panalog日志获取背景流量是最合适的，这里有几个优势可以和大家进行分享。

1、Panalog所存储的信息是1:1留存的，任何信息都会被记录下来；

2、Panalog可以从DNS、会话日志、URL信息等等多个维度进行背景流量的展示，可以减少使用者的难度，快速帮助分析问题所在；

3、Panalog是配合Panabit进行使用，Panabit具备精准的应用识别能力，这点非常的关键 。

从举例中，我们不难看出，即使在默认情况下，电脑和打印机依旧会和互联网之间交互大量信息，尤其是电脑，还产生了一些去往国外的流量，这些会不会存在问题呢？我们大可不必过分的担心，对于我们常用的联网设备来说，这些流量一般都是正常的，而我们要关注的重点不应该是偶然发现的“异常流量”，而是需要先对整个网络的背景流量进行充分了解，然后更多的去观察背景流量的变化，背景流量发生变化极大可能预示着问题的出现。

因此，要解决这些让人恐慌的背景数据，需要建立起完备的背景流量数据库。从会话、DNS、URL等各个侧面，描绘所有联网设备的基础行为。这个过程可能漫长而枯燥，缺少喝彩，但是手握这种基础数据的安全公司才是真的大数据安全公司。

了解更多