6、AI在APT追踪与防御中的应用-ABC_123.pdfVIP

关于我

Aboutme

ABC_123，公众号希潭实验室原创作者。2008年入行网络安全，曾连

续八年参加国家级网络安全攻防比赛。十九大网络安全保卫局优秀个人，

某部HWBP、CCSS授课讲师，某市网信办攻防演习专家裁判，某市公安局

重保网络安全专家，某市网信办/公安优秀攻击队员。

曾受邀在首届华为漏洞管理与应急响应技术大会、北京工商银行、某头部

安全企业等，分享《APT攻击追踪与企业安全风险防范》专题。Struts2漏

洞检测、Weblogic反序列化等红队工具原创作者，擅长安全咨询、红队攻

防、APT技战法分析、Java代码审计、内网渗透及网络安全培训等。

AI在APT追踪与防御中的应用

1美国国家安全局网络空间安全主动防御体系

2俄罗斯APT的Solarwinds供应链攻击

3传统方法及机器学习对DGA域名的识别

1美国国家安全局网络空间安

全主动防御体系

美国NSA的Turbulence系统

Turbulence/ˈtɜːrbjələns/”

湍流”系统是NSA用于大规

模数据存储和分析的一个平

台，目的是处理全球范围内

的数据流，包括互联网流量、

电话记录等。它能够帮助

NSA在不同的网络和通信系

统中追踪目标，并整合多种

情报源的数据进行分析。

Turbulence也与其他NSA

的工具互联，形成了一个庞

大的情报收集系统。

“酸狐狸”0day漏洞攻击平台（FoxAcid

）

2007年开始投入运作，对于中国、俄

罗斯会有专门的定制版。

集合了各种浏览器0day漏洞IE、

Firefox、Chrome、苹果Safari、安

卓Webkit、Flash等。

结合二次约会中间人劫持工具，迫使用

户访问酸狐狸攻击平台的恶意url地址。

NSA把代号为“量子”的服务器放在

Internet骨干网。

直接访问FoxAcid平台不会有攻击，需

要访问到专门的url。

目标价值高，会选用价值高0day；目

标价值低，会选用价值低的0day；而

目标防护高，为了保住0day会采用

1day或nday。

量子注入攻击原理及特征

利用时间差，比正常网页返回提前达到目标，迫使浏览器用户302重定向访问“酸狐

狸”0day漏洞攻击平台。

Turmoil被动监听系统

Turmoil在国内文章被翻译为“混乱”，

它由分布在全球各个网络关键节点的数

据监视传感器组成；Turmoil被描述为

“快速、被动的收集系统，用于捕捉通

过世界发送的卫星、微波和电缆通信”，

通过被动监听的方式，持续不断地监视

和采集全球网络中传输的各种敏感数据。

Turmoil在数据包层面上进行操作，通

过特殊技术手段可以分析VPN和VoIP

加密流量；它根据“选择器(selector)”

对互联网流量中有价值的数据信息进行

识别和筛选，这些分拣器用于判断目标

用户是否在使用谷歌、雅虎、脸书、

skype等，一旦识别到重要的目标，将

会触发Turbine（涡轮）系统进行下一

步操作。

Turbine主动攻击系统

Turbine是主动数据窃取系统，通常与

Turmoil（混乱）系统协作，主要功能

为将恶意软件植入目标机器。当

Turbine接收到Turmoil系统的消息通

知，首先会对Turmoil提交的内容作进

一步判定，如果判定是重要目标，会在

一秒钟内将流量转发到美国TAO的网络

节点（如部署在互联网骨干节点的酸狐

狸0day攻击平台），使用不同的量子注

入攻击方法（包括量子DNS攻击手段等）

获取目标计算机权限。Turbine也提供

了图形界面，方便NSA的工作人员手工

进行选择、定位和发布任务。不同国家

不同地区的Turmoil节点发现了有价值

目标或者攻击流量，通过消息通知

Turbine，Turbine涡轮系统对这些重要

目标的流量返回包重定向到美国TAO的

攻击平台，攻击平台利用漏洞下发

Implants（木马植入），获取目标机器

权限。

Turmoil与Turbine系统协作

TUTELAGE基本介绍

TUTELAGE应用部署在国防部(简

称DoD)网络边界上，称为边界传

感器(Boundarysensor)对来自

因特网的信息进行监测，从而保护

内部应用非安全性互联网协议路由

(简称NIPR)的网络。图中展示了

TUTELAGE系统的10个边界传感

器所在位置，其中包括