打造一款診斷型個人防火墻

網(wǎng)絡(luò)空間威脅對抗與防御技術(shù)研討會暨第九屆安天網(wǎng)絡(luò)安全冬訓(xùn)營資源代價與安全算力打造一款診斷型個人防火墻安天|技術(shù)委員會網(wǎng)絡(luò)空間威脅對抗與防御技術(shù)研討會暨第九屆安天網(wǎng)絡(luò)安全冬訓(xùn)營內(nèi)核中的流量線索獲取對應(yīng)進(jìn)程信息以及端口列表實時的診斷及多維聯(lián)動實際案例與插件體系由現(xiàn)有系統(tǒng)架構(gòu)帶來的展望網(wǎng)絡(luò)空間威脅對抗與防御技術(shù)研討會暨第九屆安天網(wǎng)絡(luò)安全冬訓(xùn)營場景進(jìn)程聯(lián)網(wǎng)，數(shù)據(jù)進(jìn)出，攻擊載荷，取證追溯終端1終端2網(wǎng)關(guān)哪些進(jìn)程在悄悄聯(lián)網(wǎng)，連到了哪里?發(fā)了什么內(nèi)容出去?有沒有終端1終端2網(wǎng)關(guān)在開幫在在開幫在直用版程序規(guī)則端口規(guī)則插件系統(tǒng)啟用簽名阻斷允許允許允許允許允許F:\programfies(x86)vmwarevmwarewor允許允許Ubuntu64位-允許C:windowssystem32usocorework允許C:windowssystem32s允許允許C:windows\system32\taskhos允許C:windows\system32backgroundtaskho?允許允許C:windows\system32lsthdie允許允許允許◎陰斷中文中文10:02:48(V)[TCP]66:56476>1110:02:48(V)TCP]66:56476<-1110:02:48(V[TCP]66:56477<-204.10:02:48V)TCP]66:56475<-13.91.10:02:48[FTCP]66:56475>13.91.10:02;48(W)TCP]66:56475<-13.91.10:13;42(V[TCP]66:56658->13.91.10:13:42V)TCP]66:56658<-13.91.10:13:42(v)[TCP]66:56658->13.910:13:42[WfTcP]66:56658->13.91.10:13;42(V)TCP]66:56658<-13.91.地理位置地理位置57=美國Miaosoft公司03=美國華盛頓州雷德蒙德市Mixosoft公司網(wǎng)絡(luò)空間威脅對抗與防御技術(shù)研討會暨第九屆安天網(wǎng)絡(luò)安全冬訓(xùn)營內(nèi)核中的流量線索01獲取對應(yīng)進(jìn)程信息以及端口列表1-內(nèi)核中的流量線索■個人防火墻技術(shù)演進(jìn)史逐漸失效、淘汰但hook的思想永不滅逐漸失效、淘汰但hook的思想永不滅不夠底層，容易bypass1-內(nèi)核中的流量線索1-內(nèi)核中的流量線索進(jìn)程用戶進(jìn)程用戶用戶用戶應(yīng)用層用戶進(jìn)程與網(wǎng)絡(luò)流量銜接網(wǎng)絡(luò)層硬件接口硬件接口1-內(nèi)核中的流量線索對應(yīng)一個對應(yīng)一個菜單啟用阻斷端口協(xié)議√?阻斷?允許?允許允許??允許A允許?t?允許?允許C:\prograr?菜單啟用阻斷端口協(xié)議√?阻斷?允許?允許允許??允許A允許?t?允許?允許C:\prograr?允許 公共規(guī)則允許程序規(guī)則端口規(guī)則??V>入2=新加坡Amazon數(shù)據(jù)中?入4=美國VV進(jìn)程名環(huán)境變量進(jìn)程名簽名證書文件路徑模塊列表異常堆噴傳參列表位置網(wǎng)絡(luò)空間威脅對抗與防御技術(shù)研討會暨第九屆安天網(wǎng)絡(luò)安全冬訓(xùn)營實時的診斷及多維聯(lián)動2-實時的診斷及多維聯(lián)動啟用名稱作者詳細(xì)描述日志記錄插件，同時提供全日志查詢圖形界面日志記錄插件，同時提供全日志查詢圖形界面清理彈窗?在線獲取地理位置，用的人太多會Ddos封IP,造成查詢失效，需要時啟用，否則禁用?端口掃描探測插件，如果被人掃描，則告警!插件模板生成(C++語法)小蜜，可以打開端口，并將端口的流量轉(zhuǎn)發(fā)致安全大腦(或蜜罐威脅情報聯(lián)動用戶體驗計劃，統(tǒng)計本軟件功能使用頻率，啟用本插件可以幫助我們做好產(chǎn)品!2-實時的診斷及多維聯(lián)動■端口掃描感知插件的圖形界面及告警窗口根據(jù)遠(yuǎn)端嘗試接入的連接信息(如：敏感端口列表，連接頻率),判斷自己是否被掃描地理位置：局域網(wǎng)阻斷阻斷2-實時的診斷及多維聯(lián)動■端口掃描感知的配置腳本設(shè)計port=21,23,135,137,138,139,445,143l/探測模式，0:全部都掃了才告警1:只要掃描其中一個就告警，2:掃兩個…依此類推/白名單2-實時的診斷及多維聯(lián)動■端口掃描感知的日志記錄遠(yuǎn)端IP掃描時間，被掃描的本機端口2-實時的診斷及多維聯(lián)動聯(lián)動服務(wù)器測試test8080添加服務(wù)器添加端口刪除端口端口號啟用安全大腦列表×2-實時的診斷及多維聯(lián)動■與賽博超腦聯(lián)動：通過獲取關(guān)鍵網(wǎng)絡(luò)封包(如：首包),并將其發(fā)送至賽博超腦，用于分析，并傳回結(jié)果，決定是網(wǎng)絡(luò)空間威脅對抗與防御技術(shù)研討會暨第九屆安天網(wǎng)絡(luò)安全冬訓(xùn)營用戶實踐截圖、代碼演示未報毒，同時又向某訊管家和某絨反饋均未得到解決。于是拿本防火墻來試一下。未報毒，同時又向某訊管家和某絨反饋均未得到解決。于是拿本防火墻來試一下?！瞿畴娏π袠I(yè)國企發(fā)現(xiàn)病毒并清理s安世順個人粉火增s文件(選項(O)查費(V)盤開策蜜廠廠廠允許允許允許允許upcate.exe62862761263PIO狀志用戶名CPU內(nèi)存活動-UAC虛擬化A「允許允許wxwork,exe16272企業(yè)費7053 RuntimeSroker.exe13300正在選行Alex002,560K不允許 RuntimeSroker.exe13300正在選行Alex002,560K不允許三F■某電力行業(yè)國企發(fā)現(xiàn)病毒并清理三F·用戶在某絨論壇的反饋(未得到解決):/forum.php?mod=vi發(fā)送廠廠廠廠▼頁個▼頁個可A名稱配置設(shè)置常規(guī)兼容性數(shù)字簽名安全詳細(xì)信息以前的版本大小×?xí)r間戳文件(F)適項(O)查看V)進(jìn)程性解應(yīng)用歷史記錄啟動用聲詳細(xì)信是啟用FC:wars'aexlaepdstzYocalfrpidlfyC:downioadstrstal'updClmndoms'spstem32\pt3169546976用戶名TTT「r允許system這是該用戶發(fā)現(xiàn)的又一例，悄悄摸摸的隱藏自允許13824～139242574198elpgamei(xs)lencntnpong)13.允許wguwd,e6128612890783Clyoyamf允許badgrourdtasthost.exe51己，卻背地里不 wthostee允詳badtgroundtrarsfertost.e1040043575432240C:Yndrms'enbe允許wkhetexe15268微信58473320119440C-woyemFes(xe6)Wencentwechattwechst,ese鄙公共規(guī)則三F安世盾個人防火墻程序規(guī)則端口規(guī)則啟用名稱作者詳細(xì)描述日志記錄插件，同時提供全日志查詢圖形界面√支持用log.py(Python)腳本來獲取日志PluginTempSimpower插件模板生成(C++語法)Simpower用戶體驗計劃，統(tǒng)計本軟件功能使用頻率，啟用本插件可以幫助我們做好產(chǎn)品!log.py-記事本文件(F)編輯(E)格式(O)查看(V)幫助(H)3-實際案例與插件體系■插件的目錄結(jié)構(gòu)A名稱A配置文件logmgr.exe圖形界面插件主程序weight=130權(quán)重越大優(yōu)先級越高啟用名稱作者詳細(xì)描述?日志記錄插件，同時提供全日志查詢圖形界面?日志記錄插件，同時提供全日志查詢圖形界面「「_7nn11010000444)精確找2020-05-21源端C)精確找目的IP目的端口始終顯示本窗口目的IP目的端口始終顯示本窗口網(wǎng)絡(luò)空間威脅對抗與防御技術(shù)研討會暨第九屆安天網(wǎng)絡(luò)安全冬訓(xùn)營由現(xiàn)有系統(tǒng)架構(gòu)帶來的展望言言叫王言往往4-由現(xiàn)有系統(tǒng)架構(gòu)帶來的展望■過濾驅(qū)動的核心，shims(墊片)和Callout(呼出接口，我覺得用注冊回調(diào)函數(shù)更貼切)水垢泥沙株5μmPP棉設(shè)計正常壽命6-12個月正常壽命1-2年4-由現(xiàn)有系統(tǒng)架構(gòu)帶來的展望■于是取其精華，統(tǒng)一接口，打造跨平臺的內(nèi)核級安全框架3.加固操作系統(tǒng)內(nèi)核，貫穿引導(dǎo)到結(jié)束整個生命周期，對抗一些APT,rootkit,如暗云3之4-由現(xiàn)有系統(tǒng)架構(gòu)帶來的展望改內(nèi)核藍(lán)屏4-由現(xiàn)有系統(tǒng)架構(gòu)帶來的展望4-由現(xiàn)有系統(tǒng)架構(gòu)帶來的展望■思考：一些底層的東西也少有人做，比如編譯器鏈接器，當(dāng)今商用IDE所生成的可執(zhí)行文件不斷膨我們的鏈接器將vc單獨編譯的多個obj鏈接出的文件會比自帶鏈接出的小很多，4-由現(xiàn)有系統(tǒng)架構(gòu)帶來的展望下載■沙丁魚系列-研究過程中產(chǎn)生的工具STDN.TECH下載4-由現(xiàn)有系統(tǒng)架構(gòu)帶來的展望■沙丁魚系列-研究過程中產(chǎn)生的工具STDN.TECH下載ANTIYIXActionScope(取可執(zhí)行文件的行為)19創(chuàng)建窗口LEVEL_120創(chuàng)建窗口LEVEL_121獲取系統(tǒng)信息(處理器版本、處理器類型等)LEVEL_122獲取系統(tǒng)信息(處理器版本、處理器類型等)LEVEL_123獲取當(dāng)前用戶的界面使用的語言24獲取當(dāng)前用戶的界面使用的語言25獲取系統(tǒng)信息(處理器版本、處理器類型等)LEVEL_126獲取系統(tǒng)信息(處理器版本、處理器類型等)LEVEL_127獲取當(dāng)前用戶的界面使用的語言LEVEL_130獲取系統(tǒng)信息(處理器版本、處理器類型等)LEVEL_1LEVEL_132獲取系統(tǒng)信息(處理器版本、處理器類型等)LEVEL_1LEVEL_1LEVEL_139創(chuàng)建窗口LEVEL_140創(chuàng)建窗口LEVEL_141創(chuàng)建窗口LEVEL_142創(chuàng)建窗口4-由現(xiàn)有系統(tǒng)架構(gòu)帶來的展望■沙丁魚系列-研究過程中產(chǎn)生的工具STDN.TECH下載CertiScope-G:\PFW\OregyFW\NF(提取可執(zhí)行文件中的資源證書等)MIIDnTCCAoWgAwIBAgIIFThqYHvdcxOwDQYJKOZIhvcNAQEFBQAWWZELMBhMCQ04XGTAXBgNVBAOTEFNURE4gUEtJIFNlcnZpY2UxFjAdGRuLnRlY2gxGTAXBgNVBAMTEFNURE4gUEtJIFJPT1QgQOEWIBCNAD6C62B3BC5F1751912CBAD6C62B3BC5F1751912CB-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-由現(xiàn)有系統(tǒng)架構(gòu)帶來的展望4-由現(xiàn)有系統(tǒng)架構(gòu)帶來的展望AeVV兼容虛擬機等創(chuàng)建的vhd保存拖動調(diào)整分區(qū)大小V通過編寫插件為碟中諜進(jìn)行加密加密后的虛擬盤必須輸入密碼才能看內(nèi)容到或否則就是一個未知文件，機密資料不怕優(yōu)盤或電腦丟失，電腦也可以隨4-由現(xiàn)有系統(tǒng)架構(gòu)帶來的展望FileRescuer--bysimpower91VaA迓建文~1.TXT迓建文~2.TXT4-由現(xiàn)有系統(tǒng)架構(gòu)帶來的展望ParallelAspectWarpGate-內(nèi)存折躍器-bySimpower91口×PayLoad0x50,0x51,0x52,0x53,0x54,0x55,0x56,0x57,0x41,0x50,0x41,041,0x53,0x41,0x54,0x41,0x55,0x41,0x56,0x41,0x57,0x9C,0x48,0x83,0x0C,0x24,0x48,0x83,0xEC,0x10,0xF3,0x48,0x0F,0x7F,0x14,0x24,0x48,0C,0x10,0xF3,0x48,0x0F,0x7F,Ox1C,0x24,0x9C,0xE8,0x00,0x06,0x00,0x000x6F,0x74,0x65,0x70,0x61,0x64,0x2E,0x65,0x78,0x65,0x00,0x00,0x000,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,00x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x000,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x