·设为首页收藏本站📧邮箱修改🎁免费下载专区💎积分✅卡密📒收藏夹👽聊天室
DZ插件网 门户 网站安全 查看内容

知道创宇的云之路,起点

2024-9-28 22:49| 发布者: 婷姐| 查看: 54334| 评论: 0

摘要: 2007年,知道创宇的故事开始了,ic和我家相隔15分钟步行距离,经常一起玩游戏,一阵子玩的最high的就是《战神》。图:PS4游戏机上的战神一天,玩完游戏后,聊起安全现状,正好我爸电脑又中毒了,导致开机都很艰难, ...
2007年,知道创宇的故事开始了,ic和我家相隔15分钟步行距离,经常一起玩游戏,一阵子玩的最high的就是《战神》。

知道创宇的云之路,起点5932 作者: 来源: 发布时间:2024-9-28 22:49

图:PS4游戏机上的战神

一天,玩完游戏后,聊起安全现状,正好我爸电脑又中毒了,导致开机都很艰难,我qq远程协助,杀了30多个病毒和流氓软件,系统才能正常工作,要不开个机都要10分钟!!

ic说,正在和flashsky一起商量,想做一个网络安全公司,面向实战安全,解决老百姓实际安全问题,留下来经典的台词,我就决定上车了:这个世界是邪恶的,不是因为那些邪恶的人,而是因为那些无动于衷的人!

想尽快的解决大家遇到的安全问题,我们花了半年时间,不断思考,碰撞思路,首先要解决的就是大家有了杀毒软件还中毒的问题,我们分析了流氓软件最高效的传播源:

1)捆绑在其他软件安装包中用户下载安装,这个相对明显。 这种杀毒软件厂商当时认为是用户自己安装的,而病毒是自己传播才算,因此不算病毒,杀毒厂商都不查杀。

2)挂马大量传播,黑客黑了网站后,在里面嵌入恶意代码,然后利用浏览器漏洞,再次下载安装病毒木马,这个很隐蔽,但传播量极大,当年有个全国最大的网站之一的宠物栏目被放了一个,日访问量4000万人,而这些恶意网站一般三天就下线,使用的病毒木马每三天变一次,杀毒厂商拿到样本,自己分析,然后发布升级,当年流程一般要7-15天,对方早就换了。

知道创宇的云之路,起点9212 作者: 来源: 发布时间:2024-9-28 22:49

图:一心普度众生的ic

于是我们开始针对第二挂马进行了研究,最终解决办法是,我们把中国的所有网站800万个做一个分类,影响力大的,用实体爬虫每天访问两次,每次广度优先访问10000个页面,影响力小的,每两天访问一次,每次用实体爬虫访问1000个页面。实体爬虫就是hook了很多函数后的实际浏览器,刚开始hook诱捕了基础函数,比如:

1)文件写,发现访问一个网站,如果临时目录之外的其他目录试图写文件就报警;

2)进程创建,浏览器访问一个网站,如果试图运行一个程序,肯定有问题,就报警。

就靠这两招,就能把有问题的网站URL、下载的文件、运行的文件样本、浏览器内存和trace函数调用抓下来。

我们每个虚拟机里面运行100个浏览器,每个实体服务器上运行100个虚拟机,然后几个机柜的服务器运行着,很是壮观。

知道创宇的云之路,起点4132 作者: 来源: 发布时间:2024-9-28 22:49

当然故事没有这么完美,后来我们发现很多很多的看起来没问题的很友善漂亮的网站,却突破沙箱情况,聪明的攻击代码,人家居然是给explorer,就是桌面管理程序,发消息,然后explorer就去下载文件去了,再发一个消息,就运行程序了,而这些消息类型,os开发手册重来就没说过!!敌人太狡猾和强大了,利用了os的隐藏功能作恶,我们只能继续hook资源管理器一堆函数。再然后我们发现人家直接调用中断,使用os的公开、未公开的中断,继续下载文件或启动文件……

最开始我们hook了30多个函数,到后来hook了上百个,双方斗争很激烈!

系统运行后每天都能得到大量的恶意URL、样本、病毒、木马文件。

再然后我们搞了几台服务器,自动安装补丁,然后把有问题的再访问一遍,如果再次中毒,就是使用了浏览器或flash、java、pdf、word等的0day漏洞攻击,就能区分了使用老漏洞攻击还是0day攻击。

这个时候已经是08年了,公司也有了正式的地址,回龙观三居室。陆续有了小g、小p、小c、小j、小k、小d等的加入。

知道创宇的云之路,起点98 作者: 来源: 发布时间:2024-9-28 22:49

图:回龙观三居室,客厅是研发部

再然后光是扫描中国的网站是不够的,我们开始和合作伙伴交换dns数据,开除出扫描全球网站,再然后发现dns数据更新也不及时,于是开始从0.0.0.0-255.255.255.255的所有80端口开始扫描。

于是我们获得的恶意URL、0day漏洞、恶意病毒样本,滚滚而来!

这下就有问题了,这些恶意样本如何使用呢?

我们当时天真的以为开发一个软件客户端,同步这些样本信息,客户端负责保护浏览器安全,因此“365门神”就诞生了,当时社会上也特别需要,CCTV也报道了,报道当天我们下载服务器都瘫痪了,也让我意识到了DDos的重要性,所有互联网业务第一需求是CDN内容分发和加速,第二需求是防DDos流量攻击,保障业务的连续性,后来创宇盾上限第一个功能就是CDN,第二个功能就是抗D,第三个是防黑客,第四个是防篡改,第五个是恶意内容过滤,都是从这里来的启蒙。

当然很快我们不擅长运营客户端互联网软件,没有经验,这个软件虽然被评为了十大安全共享软件之一,但后来也没能成功。

我们想到的第二个思路是,联合其他企业,一起做拦截,保护网民,于是我们把恶意网址库公开了,合作伙伴都能使用。基本全球杀毒软件都来交换数据了,有的还愿意出钱买最新的样本,有的愿意出钱加大对某些区域或行业的访问频率。微软也这时候成为了我们客户,每年给了我们几十万的围绕黑产使用漏洞、木马、URL等等的威胁情报经费,其他几个杀毒软件公司也都有付费,每年有了还不错的国际收入。

公司初创那几年,正好我腰椎间盘突出,杵着拐杖才能走路,也不能坐,只能躺着,每天拐杖到公司,然后躺着,给刚毕业的小g、c、p、j们讲python编程、linux、vm调度、分布式调度、分布式数据采集、沙箱、大数据并发处理……

知道创宇的云之路,起点1151 作者: 来源: 发布时间:2024-9-28 22:49

图:只能躺着的我

一天朋友来看我们,一来就见到一堆小朋友围着床,我在说话,他们拿着本子做记录,大惊失色,以为我在留遗嘱……

挂马监控平台,也叫webmon,一直无人值守运转顺畅,我们就开始去研究更深层问题,绝大部分网站被黑是黑客入侵了网站,网站存在安全漏洞,于是我们开始开发scanv平台,saas化的让网管能登录平台,每天高速扫描自己管辖的网站看是否存在高危漏洞,后来客户提出需求,他们监控一个城市的一个行业,能不能做成一个硬件盒子给他,就这样西安第一单私有化的scanv诞生了,也叫websoc。

再后来,客户说安全漏洞我知道了,但我修补不了,能不能打虚拟补丁、自动补丁、自动防御、拦截黑客、拦截恶意内容 …… 于是我们开始在各个机房继续上架服务器,部署了cloudwaf.com,也是saas化的,在线注册,把域名指向修改过来,就能把流量引到我们cloudwaf集群,然后我们做虚拟补丁、黑客防护、内容过滤。

然后我们决定免费给站长用,免费注册,宣传几轮后每天注册50来个网站,后来我们分析了一下,企业家都很难,都没钱,自然就不会关心安全问题,有钱的才关心,互联网企业首先关心的是赚钱,需要访问加速,于是我们把cloudwaf改名为 加速乐 ,域名也改了,增加了cdn和抗d功能,每天注册都上千人,再后来app出现,但绝大部分都是html5的(再后来微信小程序也是),其实也是一个http web,我们这套技术持续改进,就能防御app、小程序等场景,甚至iot场景,而且天生就是边缘计算。

知道创宇的云之路,起点8888 作者: 来源: 发布时间:2024-9-28 22:49

图:早期团队一起滑雪

腾讯10/11年要保护网民,qq上传输的url要做安全性标记。百度11/12年也要做,做了一次全球测试,来了几十家国际一流安全企业,然后我们20人不到的小公司居然82分第一名,领先了第二名好像60多分!

顿时bluecoat、趋势、quolys等一堆公司来谈收购公司、收购技术、收购产品、商务合作。百度把我们的恶意网站放到百度上做拦截提示,一天统计结果是,拦截了6000万次对恶意网址的点击,通常1000次点击会3个中毒,一天相当于抵挡了18万次中毒!

公司机房也从早期一个机房变成了全国几十个,后来全球n个,好在虚拟机管理起来都很方便,再后来各个公有云厂商的虚拟化系统越来越好,我们好多系统也迁移到了公有云的全球机房。公司防御的网站越来越多,统计了一下,历史上防御过的子域名差不多有110多万个,现在每天能拦截15亿次黑客攻击,通过数据对这15亿次攻击更具体的画像,逐步就能回答防御的6w难题:

1) who 敌人是谁?

2) where 从哪里来?

3) which 要攻击哪个目标?

4) when 什么时间出没?

5) why 基于什么动机?

6) how 使用什么工具和手段?

也能获得黑客的高价值0day、工具等。

也同样可以使用这些黑客画像和一系列威胁情报数据,提前部署防御,赋能给一系列企业的产品,和我们自己的一系列产品。

不知不觉,时间飞逝,这20年来,自己居然从反汇编,用机器码改游戏的程序员、白帽黑客,成了一个大数据联防联控防御系统体系的架构师,很是唏嘘。

知道创宇的云之路,最终命中的关键词发现还挺多的:

向前防御、提前防御

网空测绘

云防御

大数据联防联控

威胁情报

大数据分析

虚拟化弹性调度

全球资源调配

持续交火

……

知道创宇的云之路,起点6620 作者: 来源: 发布时间:2024-9-28 22:49

图:创业后的中年大叔我

未完待续……

更多文章:

2000年,NSfocus缘起

XFocus那帮黑客二货们(遗迹)

XFocus那帮黑客二货们(二)

XFOCUS那帮黑客二货们(一)

从入门到入土,网安创业,2000亿产值在这里

网络战就是唐门



关注神龙叫,有问必答

关注输入“福利”有惊喜



上一篇:餐饮各岗位招聘信息
下一篇:为网络骗子搭建10余个通信网络!上海浦东警方捣毁“黑灰产”犯罪团伙

鲜花

握手

雷人

路过

鸡蛋

评论

您需要登录后才可以发表言论 登录立即注册
创宇盾启航版免费网站防御网站加速服务
投诉/建议联系

discuzaddons@vip.qq.com

未经授权禁止转载,复制和建立镜像,
如有违反,按照公告处理!!!
  • 联系QQ客服
  • 添加微信客服

联系DZ插件网微信客服|最近更新|Archiver|手机版|小黑屋|DZ插件网! ( 鄂ICP备20010621号-1 )|网站地图 知道创宇云防御

您的IP:18.119.255.183,GMT+8, 2024-12-23 23:07 , Processed in 0.107048 second(s), 43 queries , Gzip On, Redis On.

Powered by Discuz! X5.0 Licensed

© 2001-2024 Discuz! Team.

关灯
扫一扫添加微信客服
QQ客服返回顶部
返回顶部