2007年,知道创宇的故事开始了,ic和我家相隔15分钟步行距离,经常一起玩游戏,一阵子玩的最high的就是《战神》。 图:PS4游戏机上的战神 一天,玩完游戏后,聊起安全现状,正好我爸电脑又中毒了,导致开机都很艰难,我qq远程协助,杀了30多个病毒和流氓软件,系统才能正常工作,要不开个机都要10分钟!! ic说,正在和flashsky一起商量,想做一个网络安全公司,面向实战安全,解决老百姓实际安全问题,留下来经典的台词,我就决定上车了:这个世界是邪恶的,不是因为那些邪恶的人,而是因为那些无动于衷的人! 想尽快的解决大家遇到的安全问题,我们花了半年时间,不断思考,碰撞思路,首先要解决的就是大家有了杀毒软件还中毒的问题,我们分析了流氓软件最高效的传播源: 1)捆绑在其他软件安装包中用户下载安装,这个相对明显。 这种杀毒软件厂商当时认为是用户自己安装的,而病毒是自己传播才算,因此不算病毒,杀毒厂商都不查杀。 2)挂马大量传播,黑客黑了网站后,在里面嵌入恶意代码,然后利用浏览器漏洞,再次下载安装病毒木马,这个很隐蔽,但传播量极大,当年有个全国最大的网站之一的宠物栏目被放了一个,日访问量4000万人,而这些恶意网站一般三天就下线,使用的病毒木马每三天变一次,杀毒厂商拿到样本,自己分析,然后发布升级,当年流程一般要7-15天,对方早就换了。  图:一心普度众生的ic 于是我们开始针对第二挂马进行了研究,最终解决办法是,我们把中国的所有网站800万个做一个分类,影响力大的,用实体爬虫每天访问两次,每次广度优先访问10000个页面,影响力小的,每两天访问一次,每次用实体爬虫访问1000个页面。实体爬虫就是hook了很多函数后的实际浏览器,刚开始hook诱捕了基础函数,比如: 1)文件写,发现访问一个网站,如果临时目录之外的其他目录试图写文件就报警; 2)进程创建,浏览器访问一个网站,如果试图运行一个程序,肯定有问题,就报警。 就靠这两招,就能把有问题的网站URL、下载的文件、运行的文件样本、浏览器内存和trace函数调用抓下来。 我们每个虚拟机里面运行100个浏览器,每个实体服务器上运行100个虚拟机,然后几个机柜的服务器运行着,很是壮观。  当然故事没有这么完美,后来我们发现很多很多的看起来没问题的很友善漂亮的网站,却突破沙箱情况,聪明的攻击代码,人家居然是给explorer,就是桌面管理程序,发消息,然后explorer就去下载文件去了,再发一个消息,就运行程序了,而这些消息类型,os开发手册重来就没说过!!敌人太狡猾和强大了,利用了os的隐藏功能作恶,我们只能继续hook资源管理器一堆函数。再然后我们发现人家直接调用中断,使用os的公开、未公开的中断,继续下载文件或启动文件…… 最开始我们hook了30多个函数,到后来hook了上百个,双方斗争很激烈! 系统运行后每天都能得到大量的恶意URL、样本、病毒、木马文件。 再然后我们搞了几台服务器,自动安装补丁,然后把有问题的再访问一遍,如果再次中毒,就是使用了浏览器或flash、java、pdf、word等的0day漏洞攻击,就能区分了使用老漏洞攻击还是0day攻击。 这个时候已经是08年了,公司也有了正式的地址,回龙观三居室。陆续有了小g、小p、小c、小j、小k、小d等的加入。  图:回龙观三居室,客厅是研发部 再然后光是扫描中国的网站是不够的,我们开始和合作伙伴交换dns数据,开除出扫描全球网站,再然后发现dns数据更新也不及时,于是开始从0.0.0.0-255.255.255.255的所有80端口开始扫描。 于是我们获得的恶意URL、0day漏洞、恶意病毒样本,滚滚而来! 这下就有问题了,这些恶意样本如何使用呢? 我们当时天真的以为开发一个软件客户端,同步这些样本信息,客户端负责保护浏览器安全,因此“365门神”就诞生了,当时社会上也特别需要,CCTV也报道了,报道当天我们下载服务器都瘫痪了,也让我意识到了DDos的重要性,所有互联网业务第一需求是CDN内容分发和加速,第二需求是防DDos流量攻击,保障业务的连续性,后来创宇盾上限第一个功能就是CDN,第二个功能就是抗D,第三个是防黑客,第四个是防篡改,第五个是恶意内容过滤,都是从这里来的启蒙。 当然很快我们不擅长运营客户端互联网软件,没有经验,这个软件虽然被评为了十大安全共享软件之一,但后来也没能成功。 我们想到的第二个思路是,联合其他企业,一起做拦截,保护网民,于是我们把恶意网址库公开了,合作伙伴都能使用。基本全球杀毒软件都来交换数据了,有的还愿意出钱买最新的样本,有的愿意出钱加大对某些区域或行业的访问频率。微软也这时候成为了我们客户,每年给了我们几十万的围绕黑产使用漏洞、木马、URL等等的威胁情报经费,其他几个杀毒软件公司也都有付费,每年有了还不错的国际收入。 公司初创那几年,正好我腰椎间盘突出,杵着拐杖才能走路,也不能坐,只能躺着,每天拐杖到公司,然后躺着,给刚毕业的小g、c、p、j们讲python编程、linux、vm调度、分布式调度、分布式数据采集、沙箱、大数据并发处理……  图:只能躺着的我 一天朋友来看我们,一来就见到一堆小朋友围着床,我在说话,他们拿着本子做记录,大惊失色,以为我在留遗嘱…… 挂马监控平台,也叫webmon,一直无人值守运转顺畅,我们就开始去研究更深层问题,绝大部分网站被黑是黑客入侵了网站,网站存在安全漏洞,于是我们开始开发scanv平台,saas化的让网管能登录平台,每天高速扫描自己管辖的网站看是否存在高危漏洞,后来客户提出需求,他们监控一个城市的一个行业,能不能做成一个硬件盒子给他,就这样西安第一单私有化的scanv诞生了,也叫websoc。 再后来,客户说安全漏洞我知道了,但我修补不了,能不能打虚拟补丁、自动补丁、自动防御、拦截黑客、拦截恶意内容 …… 于是我们开始在各个机房继续上架服务器,部署了cloudwaf.com,也是saas化的,在线注册,把域名指向修改过来,就能把流量引到我们cloudwaf集群,然后我们做虚拟补丁、黑客防护、内容过滤。 然后我们决定免费给站长用,免费注册,宣传几轮后每天注册50来个网站,后来我们分析了一下,企业家都很难,都没钱,自然就不会关心安全问题,有钱的才关心,互联网企业首先关心的是赚钱,需要访问加速,于是我们把cloudwaf改名为 加速乐 ,域名也改了,增加了cdn和抗d功能,每天注册都上千人,再后来app出现,但绝大部分都是html5的(再后来微信小程序也是),其实也是一个http web,我们这套技术持续改进,就能防御app、小程序等场景,甚至iot场景,而且天生就是边缘计算。  图:早期团队一起滑雪 腾讯10/11年要保护网民,qq上传输的url要做安全性标记。百度11/12年也要做,做了一次全球测试,来了几十家国际一流安全企业,然后我们20人不到的小公司居然82分第一名,领先了第二名好像60多分! 顿时bluecoat、趋势、quolys等一堆公司来谈收购公司、收购技术、收购产品、商务合作。百度把我们的恶意网站放到百度上做拦截提示,一天统计结果是,拦截了6000万次对恶意网址的点击,通常1000次点击会3个中毒,一天相当于抵挡了18万次中毒! 公司机房也从早期一个机房变成了全国几十个,后来全球n个,好在虚拟机管理起来都很方便,再后来各个公有云厂商的虚拟化系统越来越好,我们好多系统也迁移到了公有云的全球机房。公司防御的网站越来越多,统计了一下,历史上防御过的子域名差不多有110多万个,现在每天能拦截15亿次黑客攻击,通过数据对这15亿次攻击更具体的画像,逐步就能回答防御的6w难题: 1) who 敌人是谁? 2) where 从哪里来? 3) which 要攻击哪个目标? 4) when 什么时间出没? 5) why 基于什么动机? 6) how 使用什么工具和手段? 也能获得黑客的高价值0day、工具等。 也同样可以使用这些黑客画像和一系列威胁情报数据,提前部署防御,赋能给一系列企业的产品,和我们自己的一系列产品。 不知不觉,时间飞逝,这20年来,自己居然从反汇编,用机器码改游戏的程序员、白帽黑客,成了一个大数据联防联控防御系统体系的架构师,很是唏嘘。 知道创宇的云之路,最终命中的关键词发现还挺多的: 向前防御、提前防御 网空测绘 云防御 大数据联防联控 威胁情报 大数据分析 虚拟化弹性调度 全球资源调配 持续交火 ……  图:创业后的中年大叔我 未完待续…… 更多文章: 2000年,NSfocus缘起 XFocus那帮黑客二货们(遗迹) XFocus那帮黑客二货们(二) XFOCUS那帮黑客二货们(一) 从入门到入土,网安创业,2000亿产值在这里 网络战就是唐门 关注神龙叫,有问必答 关注输入“福利”有惊喜 上一篇:餐饮各岗位招聘信息 下一篇:为网络骗子搭建10余个通信网络!上海浦东警方捣毁“黑灰产”犯罪团伙 |
