中睿天下基于APT攻击的溯源检测实践案例在闪电杯 中斩获佳绩

中国A能源集团公司近期通过流量设备监控发现服务器异常外联，通过IP溯源分析发现该地址属于越南APT组织“海莲花”。该APT组织在2012年活跃以来，一直针对中国敏感目标进行攻击活动，是近几年来针对中国大陆攻击活动最活跃的APT攻击组织之一。

通过对服务器进行上机取证分析，发现该服务器在2019年2月21日就被“海莲花”APT组织控制，一直持续到今日木马依然存活。经过APT溯源分析，其攻击手法、攻击流程、使用工具等内容和国内外发生的多起钓鱼攻击事件溯源结果相同，从而确认该攻击者为“海莲花”APT组织。

A能源集团安全管理部门在多年的安全运维管理方面，积累了大量的经验，但是在回顾安全建设维护经验中，发现近年安全管理的挑战越来越大，并面临几个问题：传统防护手段失效、高级木马无法检测、集团内网数据无法有效利用。

大量未知威胁可以绕过以特征检测为核心检测手段的传统安全防护体系，如何发现未知威胁成为企业面临的挑战；海莲花组织所使用木马的感染者遍布国内各个省级行政区和境外的36个国家，成功逃过传统安全防御体系的检测；APT攻击通常都会在内网的各个角落留下蛛丝马迹，真相往往隐藏在网络的流量中。由于APT攻击的隐蔽性和特殊性，传统安全设备通常都无法对APT攻击的各个阶段进行有效的检测，安全人员花费大量精力进行告警日志分析往往都是徒劳无功。因此，如何合理的利用网络流量数据，是检测、回溯APT攻击必须解决的问题。

本次案例的解决方案设计有别与传统安全威胁监测方案，是在威胁情报的基础上通过原始流量采集分析、网络关键基础设施信息采集以及外部安全监测获取全面数据，从而对全局的安全态势进行整体展现、分析、响应，因此采用了目前业内先进的APT威胁溯源和威胁情报技术。

本地信息采集能力；通过睿眼平台对网络流量进行解码还原出真实流量提取网络层、传输层和应用层的头部信息，甚至是重要负载信息；对所有数据进行存储、预处理和检索的工作。睿眼底层的数据检索模块采用了分布式计算和搜索引擎技术对所有数据进行处理，可通过多台设备建立集群以保证存储空间和计算能力的供应。

基于机器自学习的APT检测能力；对企业内网的未知威胁进行有效检测的前提条件是能够对内网的情况进行完全掌控。睿眼的设计目标就是对企业内网中流量的镜像文件进行采集并全量还原，基于机器自学习的入侵检测模块通过学习确认的模型匹配各类网络入侵行为，并产生告警。睿眼平台的协议分析模块，可以在IPv4/IPv6网络环境下，支持各类主流协议的高性能分析。同时，平台的威胁检测进程可基于会话的状态检测多种网络协议中的攻击行为，可检测多种网络攻击行为，也可检测如sql注入、跨站、webshell、文件包含等多种web攻击事件，内置的webshell沙箱可以精准检测php后门并记录相关信息。

威胁情报能力；我公司通过自建IOC实验室，实时处理更新来源于合作企业伙伴、合作政府机构、自主挖掘、开源情报采集等维度的威胁情报，实时保护企业运营所产生的海量大数据，同时可以对企业内网上活跃的任何一次未被发现的攻击进行记录。这些数据给未知威胁发现和APT攻击检测提供了完全真实网络环境下的大量数据支撑。

分析溯源能力；睿眼平台可以依靠自身独特的分布式搜索架构设计，将所有收集的行为信息和告警信息进行快速的存储并建立索引。建立索引后的信息可以快速的搜索。安全管理人员便可以利用该能力记录过去一段时间内出现的任何一次网络行为，发现任何一次网络行为中的具体细节，提升网络透明度及可视性，快速发现高级威胁结合本地业务进行准确溯源，牢牢掌握企业安全工作的主导位置，满足上级监管单位对于安全工作的溯源及定位要求。