文 | 藍河
尼采在《善惡的彼岸》中說過:當你遠遠的凝望著深淵,也許你認為它沒有生命。你凝望它,省視它,感受它。但是與此同時,這個沒有生命的東西同時也在凝望你,省視你,它會改變你。那些黑暗,晦澀,隱藏著的東西,也許你認為你僅僅是省視,但事實上……你早已涉身其中,不能自拔。
這也就是“與惡龍纏鬥過久,自身亦成為惡龍;凝視深淵過久,深淵將回以凝視。”
我之所以要在文章的開頭引用這段話,是因為這個圈子裡有太多的人,明明手持著可以斬斷善惡的利器,卻還是因一念之差,墮入深淵,幻為惡龍。
北京時間5月9日凌晨,微軟發佈新一輪安全更新,修復了瀏覽器高危“雙殺”漏洞(CVE-2018-8174),同時公開致謝了360安全團隊,於全球範圍內第一時間發現並提交漏洞的貢獻。
借於工作的便利,我很幸運地和發現本次漏洞,並一直專門負責應對在野0day漏洞等高級威脅攻擊的安全聯合團隊負責人宋申雷,江湖人稱大茄子(沒有大)搭上了話。
也正是這番閒談,讓我再一次,對人性多了些思考。
網絡上的“共享衝鋒槍”
茄子(宋申雷)給我覆盤了整個事件的時間點:
4月18日的早些時候,360高級威脅應對團隊監控到了“雙殺”漏洞,在24小時之內將漏洞的原理進行了徹底的分析,19日凌晨將漏洞提交給了微軟,微軟於一天后對漏洞予以了確認。
茄子鄭重其事地告訴我,通常情況下,微軟對於漏洞修復的週期其實是很長的,一般半年到一年以上不等,但只有一種情況例外,那就是對於黑客所拿來當做網絡攻擊武器的在野漏洞,針對這種漏洞,微軟會進行加急修復。
所以從4月20日開始對漏洞投入修復到5月9日宣佈漏洞修復完成,微軟在不到半個月的時間裡辦成了通常需要半年的工作,這說明了兩個事:
一個是肯定了360安全團隊的能力,一個是肯定了這個“雙殺”漏洞的危害。
茄子給我看了一張圖,據說是這個漏洞的攻擊流程和原理。
我大概安靜地看了15分鐘,茄子可能是等得有點久,便問我看懂沒有,我嗤笑了一聲:“完全沒看懂。”
接著他就給我舉了個非常簡單的例子:有一個天,作為360員工的你,突然接收到了老周發來的郵件,並再三叮囑要對郵件裡附帶的office文件進行緊急閱覽,那你打不打開?你不打開,對不起你肯定不敢不打開,你打開了,電腦也就中招了。
當然,這個例子裡的老週一定是黑客組織偽裝的,而所謂的office文件,也就是攻擊漏洞。
所以這個漏洞的威力是很強的,一個是因為但凡是被APT組織封裝成網絡攻擊武器的0day漏洞都是絕對屬於高危漏洞的範疇;另一個是因為office作為全球範圍內日常工作從中經常性收發的文檔,非常容易被用於實施社會工程學攻擊,一般作為APT組織定向攻擊重要目標的首選武器。
我問茄子,我的電腦每天都能收到來自你們安全衛士的高危漏洞修復提示,這種司空見慣的東西,並不覺得有什麼大不了。
他向我解釋,漏洞通常分為兩種,一種是安全人員自己挖掘的,在漏洞還沒有造成危害之前就提交給廠商進行修復。
這種就是單純的好事情,因為一沒有對社會形成任何的危害,同時還幫助廠商提高了安全性能,防患於未然。
但另外一種漏洞則不同,就以這次的“雙殺”漏洞為例,就是被APT組織所擁有0day漏洞,在封裝成武器的形式後,用於網絡攻擊的途徑,這種實實在在危害於用戶的在野攻擊,意義和危害遠比前一種漏洞要高得多。
如果說普通的漏洞是一把鉛筆刀的話,那0day漏洞的攻擊,恐怕就像是一把可以肆無忌憚對著手無寸鐵的市民掃射的衝鋒槍了。而一旦沒有被及時發現修復,得以實現大面積的傳播,那0day漏洞,將變成黑客們隨手可以撿起進行屠戮的武器。
但是茄子卻跟我說,這還並不是讓人最感到恐懼的。
原因在於,從去年NSA武器庫洩露,維基解密公開CIA網絡武器開始,讓他們意識到這些原本只需要報告、修復就可以結案的漏洞,原來早就被各個國家的高端黑客組織所標配,成為發起網絡攻擊的有力武器。
所以,這早已不是一起簡單的漏洞修復事件,更多的應該被理解為網絡武器的摧毀。
復仇者聯盟
通過對APT全貌的溯源分析來看,可以知道這個組織成立已經超過十年了,這意味著中國成為他們覓食的目標也有了十年之久。
所以,這次漏洞的發現,當然不是茄子以及360和APT組織的第一次交手了。
茄子告訴我,在360的安全體系中,追日團隊成立於2014年,是最早負責對APT組織進行關聯、溯源和定性,形成追蹤、報告,最後實現全貌的挖掘。
但是從去年Wannacry高級威脅武器被投入使用開始,0day漏洞開始曝光於公眾視野,從那之後,茄子便在還原APT組織全貌之後,更多地將目光集中於網絡武器的層面,而事實證明,從Wannacry之後,APT增加了0day漏洞這種高級威脅網絡攻擊使用的次數。
要想實現高級威脅漏洞的發現,則需要三個步驟的聯動:
一是預警,
二是還原,
最後一個就是全貌的分析。
所幸的是,除了追日團隊以外,360還有QEX團隊和雲沙箱團隊,能夠形成一個完整的閉環,組成團隊,專門應對這些高級威脅的漏洞。
茄子是這麼形容的:
首先,每天需要處理的普通攻擊,都是超過百萬級的,QEX團隊的任務就是專門針對各種各樣的高級威脅攻擊寫一些特徵,然後在客戶端通過特徵實現攔截和預警,最終將目標範圍從幾百萬縮小到幾百甚至幾十。這就像是重鑄戰斧“雷神”,引萬雷之力,秒百萬雜兵。
然後,儘管目標已經被大幅縮小,但這些未知攻擊也依然不完全是高級威脅攻擊,這時就需要雲沙箱團隊,把漏洞在雲端重新演練,在場景還原後,比對所有歷史上已知的攻擊,最終篩選出完全未知的攻擊,再通過經驗豐富的安全工程師去進行分析,評估漏洞的價值。這就像是“奇異博士”,用時間寶石的力量,逆轉時空,回到過去。
而當工程師對漏洞確認價值後,追日團隊就會它的歷史、家族、誕生的時間、使用的事件和地點這些所有的背景進行關聯,最終分析漏洞和APT組織的全貌,簡直就像“幻視”額頭的那顆心靈寶石一樣,鏈接靈魂,洞察一切。
從Wannacry爆發以後,人們愈發覺得這些高端的網絡武器其實就實際存在於互聯網中,隨時隨地只要連接到電腦,就可以應用於網絡戰爭。
為了讓大眾能夠知道這些高級威脅的存在,QEX、雲沙箱和追日這三個團隊,就從2017年,組成了這個並沒有超能力的“復仇者聯盟”。
(茄子跟我說,能不能把他的照片P得霸氣一點,我說沒問題,還能給你買1送7。)
360的小夥伴們請自行認領
第一個關於“人性”的部分
茄子談起這次0day漏洞的發現有些唏噓,我問他為什麼,他笑著跟我說:“這對APT組織的打擊還是蠻大的。”
因為0day漏洞的使用成本是最高的,這主要體現在兩個方面:
一個是挖掘和持有0day漏洞需要很高的技術水平,無法輕易得到。當然,APT組織也可以向其他黑客組織購買0day漏洞,但這同樣是一筆不小的開銷。
另一個是0day漏洞的使用風險很高,因為0day漏洞一旦被使用,就有可能被發現,一旦被發現,就會被修復,那麼此時的0day漏洞就失去了最大的殺傷力。
因此,所有的APT組織都會力求掌握一定數量的0day漏洞作為殺手鐧,但同時也不會輕易的對一般的中低價值目標使用0day漏洞發起攻擊。
所以,這次APT組織使用0day漏洞,一定是因為承接了一個非常重要的任務,而攻擊的目標也一定十分的重要,重要到必須要使用0day漏洞的程度。
然而,APT組織這一次在投入了巨大成本,又鋪墊和準備了長久的攻擊,就這樣被扼殺於搖籃,不可謂不慘。
但攻擊者們顯然做好了失手的準備,因為也許0day漏洞,不僅僅只是一個用於網絡攻擊的武器,同樣也是用來考驗人性的試題。
茄子告訴我,0day漏洞在黑市上的價格大概在十幾到幾十萬美金不等,而一旦某個安全團隊或個人實現了對0day漏洞的攔截,並不代表漏洞就無法使用,而是意味著從攻擊者手裡奪取了0day漏洞的控制權和所有權。
所以攻擊者在使用0day漏洞的時候,除了漏洞所具備的強大破壞力以外,0day漏洞本身的價值也在考驗著人性。任何發現攔截0day漏洞的人都可以把它洩露出去謀取私利,畢竟這不是一筆小的數目,而能否抵禦住誘惑,就需要足夠的責任感和職業操守了。
聽完茄子說的,我有些沉默。
我見過了太多的人對我說,在這個圈子裡,一定要守住本心。我原以為這只是說給那些具有高超技藝的白帽子說的,卻不想這些整日與惡龍搏鬥、手持利器的勇者,也會面臨著同樣的難題。
第二個關於“人性”的部分
在和茄子交談的過程中,“價值觀”是他所提到最多的詞語。
我問他從業生涯最大的成就感是什麼,他跟我說“價值觀”;我問他凝聚整個團隊的核心力量是什麼,他也告訴我說“價值觀”。
我說,是那個“保護用戶的安全”嗎?他笑了笑:“是的。”
他給我講了個過去發生的故事,曾有個非常狡猾的0day漏洞,將自己偽裝在一個已經被修復的老漏洞裡面,從外面看來,這不過只是普通的漏洞,但實際上,這是一個還潛伏著另一個0day漏洞的高級威脅攻擊。
當時,整個高級威脅應對團隊在預警和還原的環節上,都只發現了曾經被修復的老漏洞,而所幸,在人工分析的環節,工程師察覺到了異常,發現了另一個漏洞的存在,最終通過主動分析,確認了其為0day漏洞的身份,化解了那次的高級威脅攻擊。
從那件事情上,茄子感悟到了兩個事情,一個是自動化並不能解決所有的問題,最寶貴的依然是人;另一個是,這個人真的一定要有正確的價值觀、責任心和使命感。
所以,茄子和360現在所做的事,絕不僅僅只是發現漏洞,報給廠商進行修復,就以這次發現“雙殺”漏洞為例,他們會聯動360其他的產品部門,對漏洞在技術上實現突破,在微軟修復併發布補丁之前,對所有使用360安全衛士的用戶提供熱補丁,這樣就可以提前保證數億用戶的安全。
我所瞭解到的是,這個團隊從成立的第一天開始,就一直都是24小時待命的狀態。我覺得不可思議,因為換作是任何人,都不會對這樣一個要求毫無怨言,或者幾乎無法做到。
茄子也承認這一點,所以他告訴我,這顯然與領導要求無關,而是自驅力使然。
360的“復仇者聯盟”:高級威脅應對團隊
在這樣一個團隊裡,首先你的價值觀是保護用戶的安全,在這樣一個使命感下面,任何人或許都會有所堅守;
其次是作為一名高級威脅工程師,以海底撈針般的難度去發現藏匿在眾多普通攻擊中的高級威脅漏洞,成就感亦能催人奮進。
而以高級威脅攻擊的稀缺性和獨特性,360打破了中國廠商以往落後於國外安全廠商的歷史,能夠為國爭光,也能引導人性向光明的一側傾斜。
茄子覺得很慶幸,一個是現在團隊成員的價值觀基本相仿,另一個作為主力軍的90後年輕小夥子,都更看重成就和榮譽,而這也正符合一個安全人應有的素養。
到最後,他依然老生常談地跟我說了些有關黑客白帽子的話題,像什麼很多白帽子掌握一點技術就膨脹自大,誤入歧途。當然他說這個的目的還是想要跟我強調人性和價值觀,他說在未來,如果團隊需要招人,那一定是第二看技術,先看價值觀。
寫在最後
也許是因為工作的性質,我從來沒有面臨過人性的考驗,所以我並不知道,當巨大的誘惑來臨時,選擇拒絕究竟是一種痛苦還是解脫。
所以即便我聽多了關於選擇的故事,卻並不瞭解每天會有多少選擇在發生,也不知道會有多少人最終選擇回望深淵。
而在和茄子聊完以後,我才知道,也許在這個小小的圈子裡,每天上演的選擇有很多,上演選擇的場合也不少,而關乎選擇的誘惑遠比我以為的要大得多。
不過茄子告訴我,沒什麼好擔心的,他們每個人還都經常性地挺屍在午時三刻,有的同事還在陪產期間丟下老婆孩子,回到戰場。
嗯,我也覺得是我想多了,因為每天早上我都還能吃上一口剛出鍋的油條,喝一杯豆漿,就說明那些人都選得不錯,這個世界尚且挺好。
閱讀更多 安在信息安全新媒體 的文章
