亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

劉濤：大家下午好！

這個(gè)報(bào)告本來(lái)應(yīng)該是由我的同事趙帥來(lái)跟大家分享這個(gè)話題，但是由于他臨時(shí)有事，所以由我來(lái)代替他跟大家進(jìn)行一個(gè)分享。首先做一個(gè)自我介紹，我叫劉濤，是2015年加入了盤(pán)古團(tuán)隊(duì)，到現(xiàn)在差不多兩年多的時(shí)間。今天跟大家講的是《如何牽一發(fā)動(dòng)惡意家族之全身》。

首先我們先從一個(gè)線索開(kāi)始。我們?cè)O(shè)計(jì)了這樣一個(gè)例子，就是快要下班了，突然發(fā)現(xiàn)手機(jī)上面接到這樣一個(gè)短信，說(shuō)你的車(chē)牌在路口的時(shí)候被攝像頭拍到了，你看了一下車(chē)牌號(hào)是自己的，再看了一下這個(gè)電話號(hào)碼，也似乎是有點(diǎn)像是公共服務(wù)號(hào)，后面有一個(gè)鏈接，你可能點(diǎn)了，然后恭喜你，中招了。相信在座都是安全從業(yè)人員，可能這種比較小白的事情不會(huì)發(fā)生，可能會(huì)懷疑這個(gè)東西有可能會(huì)是一個(gè)木馬，把這個(gè)鏈接扒下來(lái)，發(fā)現(xiàn)是這樣一個(gè)應(yīng)用。如果確定懷疑是一個(gè)木馬的話，就緊接著進(jìn)行一個(gè)分析活動(dòng)。分析就是一個(gè)很正常的常規(guī)分析流程，我們先對(duì)這個(gè)應(yīng)用進(jìn)行反編譯，看一下申請(qǐng)了哪些權(quán)限。之后再看看執(zhí)行入口是哪些，可能會(huì)對(duì)一些關(guān)鍵代碼比較感興趣，進(jìn)行一個(gè)掃描。對(duì)這個(gè)東西可能會(huì)進(jìn)一步深入的代碼分析，當(dāng)有了一些頭緒之后，可能會(huì)對(duì)它進(jìn)行一些動(dòng)態(tài)運(yùn)行的調(diào)試，這些都是一些常規(guī)的分析方式。

我們把這個(gè)木馬投入到分析平臺(tái)里面，就可以發(fā)現(xiàn)在左側(cè)我們檢測(cè)出了很多如圖所示的這樣一些惡意行為，每個(gè)惡意行為我們也可以看到，比如像在右側(cè)，這是我們反編譯出來(lái)，看到在代碼里面動(dòng)態(tài)注冊(cè)了一個(gè)短信接收器，是有一個(gè)短信攔截的行為。還有一個(gè)我們感到很高興的，就是我們?cè)趹?yīng)用的代碼里面發(fā)現(xiàn)，因?yàn)樗昧薙MTP的協(xié)議，要往郵箱上面發(fā)一些木馬爬到的數(shù)據(jù)，因?yàn)橛昧薙MTP，用客戶端這種方式往上傳東西的話，需要提供郵箱和密碼，他把這個(gè)密碼硬編碼在木馬當(dāng)中，我們就可以拿到如圖右側(cè)所顯示的郵箱信息。把這個(gè)郵箱登錄上去看一下，可以看到這些應(yīng)該是惡意攻擊者還沒(méi)有來(lái)得及把這些所收集到的信息刪除。這里面我們可以看到，應(yīng)該是受攻擊者整個(gè)的通訊錄，還有農(nóng)業(yè)銀行的短信日志，都是在這里面的。這里就會(huì)看到，這樣一個(gè)木馬其實(shí)對(duì)于受害者的影響還是很大的。到這里我們是偶然發(fā)現(xiàn)一個(gè)木馬，分析大概到這里就結(jié)束了，我們可以看到它的一些行為，然后就是結(jié)束。但是我們拿到這個(gè)App這樣一個(gè)木馬之后，只對(duì)它進(jìn)行分析就結(jié)束了嗎？實(shí)際上我們覺(jué)得是不足夠的。其實(shí)拿到每一個(gè)惡意樣本，其實(shí)對(duì)于一個(gè)安全分析人員來(lái)說(shuō)是很珍貴的。我們拿到這個(gè)木馬之后可以做一些什么事情呢？首先在這里我們可以看到，我們是抓到了它的這樣一個(gè)惡意行為的包。

我們拿到包之后可以做一些什么事情呢？我們可以看一看是否還有一些其他的惡意內(nèi)容里面會(huì)包含這樣一個(gè)東西。我們就把這個(gè)類放到了大數(shù)據(jù)平臺(tái)上面進(jìn)行了一次搜索，總共我們找到了有13個(gè)應(yīng)用，都包含了剛才注冊(cè)動(dòng)態(tài)短信接收器的這樣一個(gè)類。我們對(duì)這13個(gè)應(yīng)用可以做什么？我們對(duì)它里面的一個(gè)數(shù)據(jù)進(jìn)行聚合。在這里選取了4個(gè)維度，包括這個(gè)應(yīng)用里面包含了哪些域名，用的是什么證書(shū)簽發(fā)的，包含了哪些電話號(hào)碼，包含了哪些電子郵件這四個(gè)東西。我們拿到這四個(gè)數(shù)據(jù)之后就可以寫(xiě)一個(gè)檢測(cè)規(guī)則了。構(gòu)建一個(gè)檢測(cè)規(guī)則。當(dāng)然這不是最終的，因?yàn)檫@里面可能會(huì)有一些無(wú)用的數(shù)據(jù)。但是我們把它作為一個(gè)規(guī)整之后，再放到我們的數(shù)據(jù)平臺(tái)里面再進(jìn)行一次搜索。我們就可以在如圖的右下角可以看到，我們又找到了59個(gè)新的應(yīng)用。不斷進(jìn)行迭代的話，這59個(gè)新的應(yīng)用，我們又可以拿到一批新的聚合的數(shù)據(jù)。

這些數(shù)據(jù)之后我們可以看到，每一個(gè)數(shù)據(jù)跟它所對(duì)應(yīng)的App其中有一個(gè)關(guān)聯(lián)關(guān)系。這里面會(huì)有一些特征值，它會(huì)跟所有的聚合到的敏感，認(rèn)為有關(guān)聯(lián)的App有一個(gè)關(guān)聯(lián)度。這樣的話，我們都可以得到一個(gè)這些惡意應(yīng)用之間的關(guān)聯(lián)關(guān)系，最終我們經(jīng)過(guò)多次迭代，以后有可能能夠找到一批惡意應(yīng)用家族的族譜。

上面就是我所講的故事。這個(gè)故事里面提到三個(gè)東西，首先是特征的演化，我們最初得到一個(gè)惡意應(yīng)用，只找到了里面的一個(gè)特征點(diǎn)，就是我們所說(shuō)的類名。從這個(gè)類名出發(fā)，在大數(shù)據(jù)平臺(tái)里面進(jìn)行一個(gè)關(guān)聯(lián)分析，就會(huì)逐步的擴(kuò)大、擴(kuò)大、再擴(kuò)大，最終就能得到整個(gè)惡意應(yīng)用的群體，很有可能就是一個(gè)家族，當(dāng)然也有可能是多個(gè)家族在一起。經(jīng)過(guò)我們后面的分析，也驗(yàn)證了我們?cè)谶@個(gè)特征關(guān)聯(lián)到整個(gè)所得到的惡意應(yīng)用群體，最終命中的東西基本上都是處于一個(gè)家族的惡意行為或者是某幾個(gè)家族。我們用這個(gè)方法所得到的這樣一個(gè)結(jié)果是比較有效的，而且它的速度也是比較快，比起來(lái)我們?cè)诖罅康腁pp里面去找會(huì)有效得多。

在這里面，首先一個(gè)最根本的就是我們要對(duì)所拿到的這個(gè)樣本進(jìn)行一個(gè)分析和檢測(cè)。現(xiàn)有的分析檢測(cè)技術(shù)大致我們分類了一下，也就可以分為這四類：第一個(gè)是特征匹配，現(xiàn)在傳統(tǒng)的大部分的安全工具，我們?cè)谀玫揭粋€(gè)惡意樣本之后，我們會(huì)對(duì)這個(gè)惡意樣本進(jìn)行一個(gè)分析，最后拿到一個(gè)特征值。比如某一段代碼片段，某一個(gè)字符串，某一個(gè)IP或者是某一個(gè)特征去匹配；第二是靜態(tài)檢測(cè)技術(shù)，我們的應(yīng)用可以對(duì)二進(jìn)制，或者是對(duì)一個(gè)中間代碼進(jìn)行一次掃描，然后通過(guò)一些過(guò)程間或者是一些上下文的動(dòng)態(tài)分析技術(shù)，能夠快速的得到一些運(yùn)用的行為，從而判斷是否可能存在安全問(wèn)題；第三是動(dòng)態(tài)檢測(cè)，我們可以把它放到一個(gè)沙箱里面去掃一下，抓取一下；第四是動(dòng)靜結(jié)合，這也是現(xiàn)在大部分安全分析人員所采用的方式。就是我們動(dòng)態(tài)工具和靜態(tài)工具分析看，最后通過(guò)結(jié)合的方式，最終得到一個(gè)承認(rèn)的東西。

這四種方式檢測(cè)成本可以按照這個(gè)圖，是呈線性關(guān)系的，就是成本和準(zhǔn)確度是呈線性關(guān)系。其中特征匹配是最快的，掃一下，然后對(duì)一下，有的話就是成功，沒(méi)有的話就認(rèn)為是一個(gè)非黑即白的東西。速度非常快，但是精確度低一些，在沒(méi)有特征覆蓋范圍內(nèi)的應(yīng)用可能就直接被放過(guò)了。靜態(tài)分析比特征稍微好一點(diǎn)，但是如果有一些誤報(bào)，或者規(guī)則寫(xiě)得不全面的話，也有可能會(huì)放過(guò)一些東西。隨之后面的動(dòng)態(tài)會(huì)稍微更多一些，但是會(huì)涉及到要去運(yùn)行，所以說(shuō)又會(huì)進(jìn)一步提高成本。最后，肯定動(dòng)靜結(jié)合，再加上人工，這個(gè)可能是最高的。

從另外一個(gè)角度，我們通過(guò)單位時(shí)間內(nèi)檢測(cè)應(yīng)用的角度和個(gè)數(shù)這樣一個(gè)維度，與上面這張圖就變成了一個(gè)反比的形式。我們有這樣一個(gè)問(wèn)題，就是我們的安全分析人員資源有限，每天就只能用動(dòng)靜結(jié)合人工分析，就只能分析那么幾個(gè)或者是幾個(gè)，甚至是要花幾天時(shí)間才能夠分析完一個(gè)應(yīng)用，這個(gè)是有限的，但是我們這些攻擊者不會(huì)等你的安全人員分析好以后再去寫(xiě)下一個(gè)。所以說(shuō)怎樣能夠有效，我們的分析當(dāng)中會(huì)發(fā)現(xiàn)，安全分析存在這樣一些問(wèn)題，現(xiàn)在有很多惡意應(yīng)用是通過(guò)非公開(kāi)分發(fā)流量的方式進(jìn)行傳播的。所謂非公開(kāi)分發(fā)流量，傳統(tǒng)的一些應(yīng)用都會(huì)正常開(kāi)發(fā)后之后放到這個(gè)市場(chǎng)上供大家下載。但是惡意應(yīng)用的話，有可能放到市場(chǎng)上面，但是隨著現(xiàn)在市場(chǎng)的審核力度越來(lái)越大，惡意攻擊者就會(huì)通過(guò)一些其他方式，比如說(shuō)通過(guò)之前我們?cè)谇懊娴睦永锩嫣岬降模ㄟ^(guò)短信，或者是通過(guò)郵件，專門(mén)的針對(duì)性的去發(fā)送這個(gè)東西給用戶，去誘導(dǎo)他安裝，或者是把它放到一個(gè)論壇上面去，這個(gè)論壇是一個(gè)非公開(kāi)的，我相信有些人，如果說(shuō)你們玩網(wǎng)游的話，有些時(shí)候會(huì)下一些破解版的游戲，有些惡意的應(yīng)用也會(huì)在玩家論壇上面，發(fā)一些帶有惡意行為的破解版的應(yīng)用，再破解到游戲應(yīng)用，放到論壇上面，誘使玩家下載。

對(duì)于這些惡意應(yīng)用就存在這樣一個(gè)生命周期短的問(wèn)題，而且因?yàn)樗膫鞑シ秶皇翘貏e大，是針對(duì)性的傳播，很有可能這些惡意查殺軟件沒(méi)有捕捉到這些惡意應(yīng)用，如果沒(méi)有人去報(bào)的話，他可能就沒(méi)有捕獲到。他在這個(gè)惡意應(yīng)用里面，再對(duì)這些特征掃描，因?yàn)楹芏鄽⒍拒浖蟛糠钟行┻€是采用特征的，對(duì)于這些特征進(jìn)行繞過(guò)，他就躲避了這樣一個(gè)殺毒軟件的查殺。而且這樣一個(gè)針對(duì)性的東西，感染的回報(bào)率就特別高。

這是其中一個(gè)例子，圖沒(méi)有完全放上來(lái)。這個(gè)應(yīng)用是一個(gè)國(guó)防軟件，是烏克蘭的一個(gè)炮兵軟件，本來(lái)是小范圍，在軍事網(wǎng)絡(luò)里面?zhèn)鞑サ模梢粋€(gè)軍官寫(xiě)的，炮兵能夠通過(guò)這個(gè)應(yīng)用，方便炮兵對(duì)炮彈進(jìn)行發(fā)射的行為。這個(gè)本來(lái)是軍事安全里面的，但是一個(gè)惡意人，一個(gè)黑帽子抓到這樣一個(gè)應(yīng)用，他再把這個(gè)應(yīng)用里面嵌入了一些木馬的行為在里面。比如說(shuō)去獲取士兵的地理位置信息，一些操作的操作在里面，再放到論壇上面。導(dǎo)致一些士兵可能通過(guò)這個(gè)論壇上面下載這個(gè)App，導(dǎo)致這個(gè)攻擊。攻擊者對(duì)很多特征進(jìn)行了一個(gè)繞過(guò)，再把這個(gè)惡意應(yīng)用放到上面進(jìn)行一個(gè)掃描，發(fā)現(xiàn)全部都通過(guò)的，基本上都標(biāo)志成一個(gè)安全應(yīng)用。這樣的話，如果說(shuō)這個(gè)東西是一個(gè)涉密的，威脅程度是非常高的。

另外一個(gè)方面是仿冒應(yīng)用，這個(gè)仿冒應(yīng)用有點(diǎn)像剛才我說(shuō)的破解版的游戲。這里面舉的例子是右側(cè)工商手機(jī)銀行，我們看它寫(xiě)的描述信息比較有誘惑性，一邊玩游戲，一邊領(lǐng)紅包。如果有人愛(ài)貪小便宜的話，他就看到論壇上面在分享這個(gè)，他就下載下來(lái)，安裝到手機(jī)上面，那么他就中招了。

這是一個(gè)統(tǒng)計(jì)，我們每天抓取到那么多應(yīng)用，其中只有28%的應(yīng)用是所涵蓋的，有72%是未知的應(yīng)用。在這72%里面，其實(shí)每天有大量的未知的惡意應(yīng)用。我們就要想一個(gè)問(wèn)題，怎樣能夠降低安全分析人員的工作量，讓他們把有限的精力放在最應(yīng)該去分析的應(yīng)用上面，這是我們說(shuō)的分級(jí)處理。首先我們應(yīng)該在惡意代碼生命周期的第一個(gè)環(huán)節(jié)，分發(fā)環(huán)節(jié)就把這個(gè)惡意應(yīng)用抓到，這是一個(gè)最基本的東西。我們可以把這些應(yīng)用進(jìn)行一個(gè)大數(shù)據(jù)關(guān)聯(lián)，然后進(jìn)行排查和溯源，然后進(jìn)行分析。之后就是業(yè)務(wù)模式的精細(xì)化，基于一個(gè)平臺(tái)，構(gòu)建一個(gè)平臺(tái)，使得我們的分析人員都能參與到這里面來(lái)進(jìn)行分析，這是我們最初的一個(gè)動(dòng)機(jī)。

解決方案，我們可以看到，這是寫(xiě)了一個(gè)五級(jí)的，最下面的是全網(wǎng)目標(biāo)，就是我們每天所抓取到的東西。但是我們覺(jué)得，我們的分析人員所分析的東西應(yīng)該只是最上面這一層高價(jià)值的目標(biāo)，剩下的一些東西我們希望能夠通過(guò)我們的一些方法，能夠把它過(guò)濾掉，來(lái)降低分析人員的工作量。基于這樣一個(gè)想法，我們提出了這樣一個(gè)金字塔的模型。可以看到，在中間的三級(jí)，對(duì)應(yīng)著剛才講的金字塔模型當(dāng)中的關(guān)注目標(biāo)、重點(diǎn)關(guān)注目標(biāo)和風(fēng)險(xiǎn)目標(biāo)。這五層是怎么一層層過(guò)濾的呢？首先最下面對(duì)于全網(wǎng)目標(biāo)，我們肯定還是選用最傳統(tǒng)的方式，就是我們用黑名單特征，跟大部分的安全友商一樣，用黑名單把已知的東西篩掉，白名單也會(huì)篩掉。之后是我們的關(guān)注目標(biāo)，我們可以對(duì)應(yīng)用進(jìn)行一個(gè)簡(jiǎn)單的掃描，可以很容易的提示到一些關(guān)鍵特征，包括一些簽名、類名、方法調(diào)用和證書(shū)都是可以提取到的，對(duì)于一些廣譜特征我們寫(xiě)一些檢測(cè)的規(guī)則，把它作為第二步的一個(gè)篩選的東西。我們通過(guò)這樣一個(gè)篩選，就可以很容易得到第三層綠色的重點(diǎn)關(guān)注目標(biāo)。對(duì)于這些關(guān)注目標(biāo)之后，我們就可以使用一些成本更高一點(diǎn)，更親切一點(diǎn)的靜態(tài)分析的方式，也就是反編譯源碼分析和匯編指令流啟發(fā)分析等等，再進(jìn)行捕獲，就可以得到第四個(gè)風(fēng)險(xiǎn)目標(biāo)。最后我們用成本更高、更精確的動(dòng)態(tài)分析，最后我們就可以得到交給我們的安全分析人員的這樣一個(gè)高價(jià)值的目標(biāo)，構(gòu)成了這樣一個(gè)金字塔的階段。這里面其實(shí)我們每一層都是存在一個(gè)迭代的關(guān)系，就是說(shuō)我們最后分析團(tuán)隊(duì)所分析出來(lái)的結(jié)果，以及上面的每一層，其實(shí)都可以作為下一層的一個(gè)條件。之后這個(gè)分析模型就會(huì)有一個(gè)沉淀的情況，最終我們分析人員的工作量，最終我們認(rèn)為可能會(huì)存在一個(gè)邊際擴(kuò)散的效應(yīng)。

這是目前我們所得到的一個(gè)大數(shù)據(jù)場(chǎng)景。因?yàn)橐罱ㄟ@樣一個(gè)目標(biāo)會(huì)用到大數(shù)據(jù)。首先就是我們所做的現(xiàn)在的一個(gè)源數(shù)據(jù)集，包括第一個(gè)應(yīng)用的基本特征，包括應(yīng)用云、證書(shū)這些，這是第一層的階段。通過(guò)靜態(tài)分析技術(shù)，我們可以得到一些加固特征、調(diào)用序列和一些內(nèi)嵌和SDK。之后還有一些已知信息，就是通過(guò)分析沉淀，可以得到白名單庫(kù)、黑名單庫(kù)，通過(guò)安全人員的分析，可以得到一個(gè)規(guī)則庫(kù)。在第三層和第四層所要用到的靜態(tài)分析系統(tǒng)和動(dòng)態(tài)分析系統(tǒng)，就構(gòu)成了這樣一個(gè)金字塔模型里面所要涵蓋到的所有元素。

這里面提到一個(gè)特征聚合的方法，我們這里面列了那么多的特征，并不可能直接把所有這些維度一股腦的全部塞到分析引擎里面去然后進(jìn)行聚合。當(dāng)然你也可以這么去做，但是你這樣做的話，很有可能最后只能匹配到你的這樣一個(gè)應(yīng)用，這是一個(gè)選擇的問(wèn)題。之后還有一個(gè)，當(dāng)你把多個(gè)應(yīng)用放在里面的時(shí)候，其實(shí)有很多重疊的東西。我們?nèi)绾伟阉Y選出一些最重要的呈現(xiàn)給安全的，我們覺(jué)得最重要、最應(yīng)該呈現(xiàn)給安全分析人員去看的這些東西，我們是使用了一個(gè)白名單聚合的方式進(jìn)行一個(gè)過(guò)濾。所謂的白名單的方式，事先有一批應(yīng)用，通過(guò)分析可以確認(rèn)它是安全的，包括一些合法的開(kāi)發(fā)者的應(yīng)用，我們可以作為一個(gè)白名單。把白名單里面的東西進(jìn)行聚合，可以看到在合法的應(yīng)用里面哪些東西應(yīng)該是安全的，之后進(jìn)行聚合，最終得到一個(gè)集合，最后對(duì)位置信息進(jìn)行聚合的時(shí)候，把這些合法的聚合數(shù)據(jù)先去除掉，再把剩下的這些東西要交給分析人員進(jìn)行觀測(cè)和篩選選擇，最終作為下一步聚合的依據(jù)。再有一個(gè)就是特征的標(biāo)記，就是你在那么多聚合得到的條件里面，并不是說(shuō)所有聚合得到的數(shù)據(jù)就是你下一步聚合所輸入的數(shù)據(jù)源，還是應(yīng)該要對(duì)它進(jìn)行一個(gè)篩選。

再講兩個(gè)例子，第一個(gè)就是仿冒應(yīng)用。首先這是一個(gè)支付寶的情況，我們輸入源是在平臺(tái)上去搜支付寶這樣一個(gè)應(yīng)用名。我們可以看到，我們的分發(fā)渠道里面總共監(jiān)控到700多個(gè)應(yīng)用，在右下角的證書(shū)里面可以看到，其中490多個(gè)，將近500個(gè)應(yīng)用都是用了一個(gè)證書(shū)，剩下還有其他100多個(gè)應(yīng)用，他說(shuō)它叫支付寶，但是是用其他證書(shū)簽發(fā)的。這些證書(shū)簽發(fā)，一般作為一個(gè)這樣的合法的大型應(yīng)用開(kāi)發(fā)，其實(shí)都是會(huì)用相同的證書(shū)去簽發(fā)整個(gè)應(yīng)用鏈。當(dāng)然也會(huì)存在一種情況，就是在應(yīng)用發(fā)布的階段上，可能會(huì)在不同的階段使用不同的證書(shū)，但是它的證書(shū)基本上應(yīng)該是集中在這個(gè)里面的。如果我們?cè)诰酆侠锩姘l(fā)現(xiàn)用的不同的證書(shū)，用的證書(shū)比較少的話，很有可能就是這種惡意的，有可能就是一個(gè)仿冒應(yīng)用。比如我們選取了第三個(gè)證書(shū)一掃，這個(gè)證書(shū)如果大家分析的多，就可以發(fā)現(xiàn)這是一個(gè)Google的測(cè)試開(kāi)發(fā)證書(shū)，默認(rèn)導(dǎo)出的時(shí)候，是用這個(gè)證書(shū)簽名的。

這些應(yīng)用經(jīng)過(guò)我們的分析可以看出是一個(gè)仿冒應(yīng)用，上面是用一個(gè)證書(shū)來(lái)進(jìn)行分析的。還有另外一個(gè)，比如我們對(duì)它進(jìn)行一個(gè)聚合，可以看到，在這700多個(gè)應(yīng)用當(dāng)中，有495個(gè)跟剛才這個(gè)證書(shū)是一致的，它使用的是支付寶的名冊(cè)，剩下還有4個(gè)是對(duì)應(yīng)Pad、Android平板版本的，剩下的是一些很怪的，包括最后一個(gè)，連圖標(biāo)都不是支付寶的圖標(biāo)。我們?cè)贀Q一個(gè)，QQ也是有同樣的問(wèn)題，我們對(duì)它的證書(shū)進(jìn)行一個(gè)聚合，也是同樣把這個(gè)證書(shū)，把其中量比較少的這樣的證書(shū)進(jìn)行一個(gè)聯(lián)合的搜索，就可以發(fā)現(xiàn)這樣一個(gè)應(yīng)用。比如看開(kāi)頭這兩個(gè)，很明顯連圖標(biāo)都沒(méi)有改過(guò)來(lái)。

另外一個(gè)例子，我們經(jīng)常會(huì)在網(wǎng)上看到一些安全報(bào)告，這是一個(gè)APT報(bào)告。這些安全報(bào)告雖然說(shuō)會(huì)對(duì)這個(gè)應(yīng)用的惡意行為進(jìn)行一個(gè)分析，也講跟這樣一個(gè)攻擊是怎么樣發(fā)生的，應(yīng)該怎么樣去防范這樣一些東西。但是往往只會(huì)給一些片段上面的東西，而且很多這樣的一個(gè)報(bào)告是不會(huì)把樣本分享出來(lái)的。看到這樣一個(gè)報(bào)告，可能你會(huì)想去跟蹤這個(gè)報(bào)告，看看是怎么做的，它的里面除了報(bào)告所涉及的問(wèn)題之外，是否還有其他的問(wèn)題，沒(méi)有樣本怎么辦？其實(shí)也像我們剛才所說(shuō)的，像類型的剛才那種牽一發(fā)而動(dòng)全身的方式，在報(bào)告里面我們可以看到，在給出一些片段的時(shí)候，我們可以把這些片段作為一個(gè)惡意程序的特征，把它放到我們的數(shù)據(jù)平臺(tái)里面進(jìn)行搜索。比如像這個(gè)里面，有一個(gè)特征字符串，我們把這個(gè)作為一個(gè)特征來(lái)進(jìn)行搜索，搜索到了25個(gè)。我們?cè)賹?duì)其中一個(gè)進(jìn)行分析，進(jìn)去一看，的確是在對(duì)應(yīng)的這個(gè)類里面，有這么一個(gè)字符串調(diào)用。我們就可以高度懷疑，雖然說(shuō)我可能找的這個(gè)應(yīng)用并不是這個(gè)APT報(bào)告里面所提到的應(yīng)用，但是它們很有可能是一個(gè)關(guān)聯(lián)樣本，可能是屬于一個(gè)家族體系。我們對(duì)它進(jìn)行一個(gè)定位樣本，去分析它的行為，之后我們又可以回到最初例子里面所講到的，可以拿到它的一些特征。我們?cè)侔堰@個(gè)字符串放進(jìn)平臺(tái)里面，再進(jìn)行一個(gè)掃描，又得到了33個(gè)新的應(yīng)用，再把這33個(gè)新的應(yīng)用進(jìn)行聚合，最終都可以得到這樣一個(gè)關(guān)系圖。

之后我們通過(guò)這樣一個(gè)關(guān)系圖，可以審查這里面所關(guān)聯(lián)出來(lái)的特征值，哪些我們可以作為標(biāo)記這一個(gè)群體的特征值，我們通過(guò)這樣一個(gè)可視化的圖可以看到，像這樣一個(gè)域名以及包括右側(cè)的這些IP號(hào)，都是可以作為一個(gè)特征值，因?yàn)樗鼘?duì)大多數(shù)應(yīng)用都是存在一個(gè)關(guān)聯(lián)關(guān)系的，就可以快速的通過(guò)這樣一個(gè)聚合關(guān)系得到這樣一個(gè)規(guī)則表。之后我們?cè)侔盐覀冞@樣一些特征值作為一個(gè)規(guī)則，再放到流量監(jiān)控上面進(jìn)行監(jiān)控，這樣的話，很快的就能夠過(guò)濾出這樣一些惡意應(yīng)用。這樣的話，就完成了一次惡意行為規(guī)則的建立。

作為總結(jié)，雖然我們拿到了很多應(yīng)用特征，但是很關(guān)鍵的一點(diǎn)。就是對(duì)于這些特征的選取，我們并不能把所有抓取到的東西一股腦的扔進(jìn)去，還是存在一個(gè)特征的分析。再就是關(guān)聯(lián)分析，我們通過(guò)實(shí)踐發(fā)現(xiàn)，大數(shù)據(jù)關(guān)聯(lián)是一個(gè)很有效的，能夠自動(dòng)化的幫助我們篩選出一批值得關(guān)注的東西。特征的演化，我們可以通過(guò)目前已知的只有少數(shù)的幾個(gè)特征，我們可以通過(guò)數(shù)據(jù)關(guān)聯(lián)一步步的擴(kuò)大、再擴(kuò)大，最終能夠得到一批我們以前預(yù)先沒(méi)想到的一些特征，最終把這些東西作為我們的一個(gè)分析。

以上就是我今天想跟大家分享的內(nèi)容，希望對(duì)大家能夠有所幫助，謝謝！

潘柱廷：劉濤剛才講的主要是惡意代碼的家族問(wèn)題，就像前面菠蘿也談到過(guò)，要去重置用戶賬戶的密碼，可以用他舊版本的App去重置。其實(shí)對(duì)于惡意軟件也是一樣，像溯源作者，不可能一下子就變成大師這個(gè)水準(zhǔn)。

劉濤：在這里稍微給大家打一個(gè)廣告，我們目前盤(pán)古所用到的這些工具，我們現(xiàn)在搭建了一個(gè)平臺(tái)，是開(kāi)放給公眾進(jìn)行分享的，我們也希望在座的這些友商和安全分析伙伴們可以加入進(jìn)來(lái)，去使用我們的平臺(tái)，大家一起努力，就像我們?cè)赑PT當(dāng)中所說(shuō)的，大家都在一個(gè)平臺(tái)上面去做事，壯大我們的這樣一個(gè)特征封鎖平臺(tái)，我們也希望能夠一定的用處。大家有興趣的話可以會(huì)跟后我們聯(lián)系，謝謝！