在《再聊“绝对”与“相对”》一文开头里就提到了我对一些物理学上的名称概念就属于“望文生义”基于文字本身的语言去理解的,比如“相对论”我就对“相对”理解是这样,我也曾多次用到《三体》里的一些概念“降维打击”啥的也是这样,实际上我必须承认在今年三体电视剧之前我是没看过《三体》书籍的。而今天要聊的也是“态势感知”这个词。
“态势感知”是网络安全领域(最起码在大天朝)算一个非常有代表性的、非常典型的众多“概念”,当然了这种“概念”非常多,主要来源于以Gartner等,按我的理解这都是大天朝网络安全发展阶段决定的。换句话说,我们需要这种“概念”去冲击网络安全行业。
值得一提是在2016年4月19日,总书记在网络安全与信息化工作座谈会上的讲话:
网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。要树立正确的网络安全观,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力。
这里就提到的“感知网络安全态势”被认为是“态势感知”,于是一时之下全都是“态势感知”相关产品,随着各家不断加入,于是就出现了“内卷”,把这个概念局限在某个场景下,并最终都使用了“地图炮”的“炫酷”的展示形式,于是就开始出现一些“吐槽”,被认为“地图炮”里“打来打去”只能“忽悠”领导,而对一线工作没有太大的“实际意义” ...
其实我是不赞同这种说法的,我们公司应该算是比较早(可能是国内最早)使用“地图炮”的,在我个人看上面吐槽的「“忽悠”领导」反而就是“地图炮”最重要的意义,因为看见安全是非常非常难的(参考《漫画与安全》),至于吐槽“实际意义”这个其实跟“地图炮”无关 ...
但现实中确实存在很多“形式主义”的“地图炮”,很多时候这种内卷都是市场决定的,不是“真安全”需求驱动,这种就导致了上面提到的各种“概念”横飞是一样的,因为那些人可能在意的根本就不是真正解决安全问题,而是一种怎么把概念转化的商业的市场行为!当然我这里不是说两者就是对立矛盾的,我们需要去用真正的安全需求去引导市场时候,才能看到网络安全这个行业的未来!
网络安全行业的发展需要有情怀的企业家及从业者!
我理解的“态势感知”
既然是“望文生义”那么我们来个“说文解字”了:“态”、“势”、“感”、“知”,“态”可以理解为事物的某个时间维度下的一种状态,这个状态在网络空间里可以体现的就是数据,“势”可以理解为一种趋势,比如我们把“态”理解为时间点的数据,那么“势”就是一种时空下的数据变化趋势,“感”可以理解为我们要去分析理解这种时间及空间维度下数据及趋势,“知”就是知识、智慧,通过对数据处理分析最终得到一种知识 ...
看到这里可能有一些经常看我文章的人会有种“似曾相识”的感觉,在《谈谈网络空间“行为测绘”》一文中开头提到的“数据-->知识-->智慧-->决策”链是一致的,当然最后关联到就是我在2019年KCon上提的两个核心:“一是,获取更多的数据。二是,赋予数据灵魂。”,当然在我提到的“动态测绘”里强调了数据的“时间”及“空间”维度等等
这些归根结底就在于对“数据”的理解上,在网络空间测绘这个可以理解为全网的态势感知,而在网络安全行业里还有不少是针对某个甲方本身网络安全的“态势感知”,这个才更具体“韭菜”的市场需求。
我们在全网络空间这个维度做了不少的“态势感知”,比如《ZoomEye针对俄乌冲突的战场态势持续感知》,再比如针对突发的恶意事件感知 《ZoomEye测绘视角下的宝塔“0day”事件》,当然这类事情历史上很多,我们404实验室之前发布过不少“预警”,这里就不一一提了。
VMWare最新勒索事件
这个事件在外网的关注度是非常高的,在国内直到今天才看到陆续一些翻译的科技新闻媒体文发布,国内关注度更多的还在讨论“强哥吃鱼”的事情。可能国内最早关注的就是我们在2月4日发布的一条预警:
【知道创宇404实验室】根据ZoomEye测绘引擎最新态势感知,一个针对VMware设备的勒索攻击正在扩散,知道创宇404实验室提醒您注意安全!https://www.zoomeye.org/searchResult?q=%22How%20to%20Restore%20Your%20Files%22
这几天的数据还一种在变化增涨:
随即我们也做了一些分析,很显然这个是针对VMWare ESXi设备,从被攻击目标涉及的ESXi版本信息关联到一个2年前的漏洞CVE-2021-21974,这个漏洞在我们知道创宇404实验室2021年5月25日应急处理过
注:这个2020年是当时写错了,应该是2021
没想到时至今日被用来作为勒索攻击的武器。这个例子告诉我们不用轻视一个1day/nday的威力!
当然我发现还有一些比较有意思的情况,从ZoomEye的测绘情况来看,搜索"How to Restore Your Files"这个关键词居然还找到了2022年及2021年的数据,也就是这个可能不算是“最新”的,我们具体看看
2021年的数据就1条:
是个ftp服务器,里面有个文件名HOW TO RESTORE YOUR FILES.TXT 从加密的文件后缀来看这个属于Slfyvggi ransomware
再看看2022年的数据,有22条,简单分析下其中有3条是针对cPanel的,文件名后缀是filenew,关联到的勒索组织:WHM RANSOMWARE
有14条是针对VMWare ESXi的,最早的记录定格在2022-10-18日,被篡改的页面内容如下:
HTTP/1.1 301 Moved Permanently
Date: Tue, 18 Oct 2022 11:38:15 GMT
Location: https://sb91.binco.com.ua/
Connection: close
Content-Type: text/html
Content-Length: 56
<html lang="en">
<head>
<title>How to Restore Your Files</title>
</head>
<body>
<h1>How to Restore Your Files</h1>
<p><strong><u>Security Alert!!!</u></strong></p>
<p>We hacked your company successfully</p>
<p>All files have been stolen and encrypted by us</p>
<p>If you want to restore files or avoid file leaks, please send <b>1.095152</b> bitcoins to the wallet <b>bc1qh0dmcpd56kpx53ca65mmdnapdz3qw8pqpevh8g</b></p>
<p>If money is received, encryption key will be available on our web site <b>http://yytf6btdhrikgywd6aluwbafjgm5oj3pan2lg3czvhs34obs3brid7ad.onion/014c9dd5-6c38-4b96-a400-bb694cf793a7</b></p>
<p><strong><u>Attention!!!</u></strong></p>
<p>Send money within 3 days, otherwise we will expose some data and raise the price</p>
<p>Don't try to decrypt important files, it may damage your files</p>
<p>Don't trust who can decrypt, they are liars, no one can decrypt without key file</p>
<p>If you don't send bitcoins, we will notify your customers of the data breach by email and text message</p>
<p>And sell your data to your opponents or criminals, data may be made release</p>
<p><strong><u>Note</u></strong></p>
<p>SSH is turned on</p>
<p>Firewall is disabled</p>
<br>
<p>[email protected]</p>
</body>
</html>
我们搜索下[email protected] 2023年还有2条数据,最新的数据是在2023-01-19 ns6908718.ip-54-36-48.eu
继续看下2023年的数据,这次针对VMWare ESXi的勒索数据记录在2023-02-03 51.210.112.27
HTTP/1.1 301 Moved Permanently
Date: Fri, 3 Feb 2023 10:43:45 GMT
Location: https://51.210.112.27/
Connection: close
Content-Type: text/html
Content-Length: 56
<HTML><BODY><H1>301 Moved Permanently</H1></BODY></HTML>
Http response from 302 moved url https://51.210.112.27/:
HTTP/1.1 200 OK
Content-Security-Policy: block-all-mixed-content
Content-Type: text/html
Strict-Transport-Security: max-age=31536000
X-Xss-Protection: 1
Connection: Keep-Alive
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
Content-Length: 1169
Date: Fri, 3 Feb 2023 10:43:47 GMT
<html lang="en">
<head>
<title>How to Restore Your Files</title>
</head>
<body>
<h1>How to Restore Your Files</h1>
<p><strong><u>Security Alert!!!</u></strong></p>
<p>We hacked your company successfully</p>
<p>All files have been stolen and encrypted by us</p>
<p>If you want to restore files or avoid file leaks, please send <b>2.032317</b> bitcoins to the wallet <b>1DbuTjRNVNrGsYiD5kzqcfTqaww4wJHRCW</b></p>
<p>If money is received, encryption key will be available on <b>TOX_ID: D6C324719AD0AA50A54E4F8DED8E8220D8698DD67B218B5429466C40E7F72657C015D86C7E4A</b></p>
<p><strong><u>Attention!!!</u></strong></p>
<p>Send money within 3 days, otherwise we will expose some data and raise the price</p>
<p>Don't try to decrypt important files, it may damage your files</p>
<p>Don't trust who can decrypt, they are liars, no one can decrypt without key file</p>
<p>If you don't send bitcoins, we will notify your customers of the data breach by email and text message</p>
<p>And sell your data to your opponents or criminals, data may be made release</p>
<p><strong><u>Note</u></strong></p>
<p>SSH is turned on</p>
<p>Firewall is disabled</p>
<br>
</body>
</html>
从这个勒索说明里可以看出,这个跟上面2022年的基本差不多,但是这次好像开始“涨价”了,最早那个是1.095152 btc 涨到了 2.032317 btc,我随即抽查了几个新的,这个价格好像是每个目标都不一样,最新的都在2.0xxxxx,没有超过3.0的 不知道这个xxxx是随机的还是有啥算法估计目标的“价值”不一样变化的,当然收到赎金后的key的方式也变化了,同时也删除了 [email protected] 这个email地址,另外还有一个特点是wallet地址不是固定一个或者几个,应该算是一批,虽然这个可以随意注册,但是对于那么大量的地址操作管理也是需要点精力去搞的。
由此可以见,这次针对VMWare勒索事件,目前最早可以追溯到2022-10-18,这个阶段属于试运营阶段,从2023-02-03开始进入正式运营阶段,赎金价格由最开始的1.0+基数btc涨到了2.0+基数的btc,启用了大量的钱包地址估计是想提升追查溯源的难度。
本次事件影响的国家
从ZoomEye的统计数据来看,主要影响的法国
所以为什么你看到的新闻媒体文上引用的是来自法国cert的报告 https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-015/ 我开始觉得是不是因为法国使用VMWare多导致的,如果是这样可能跟公有云覆盖是有关系的,毕竟现在流行都是Docker及公有云服务,但是通过我才看VMWare的设备使用量来看:
排名最多的是美国及中国然后才是法国,所以从这点看很可能还是法国用户安全意识没有及时升级导致的!
我们再看看中国,数据量整体是非常少的,中国大陆基本上没有(只有1条上海数据),主要是在香港及台湾省。在结合上面看到的中国VMWare设备的整体数量仅次于美国,那为什么没有中招的呢?难道我们大天朝的知名安全意识已经无敌了吗?!或者是存在某个上帝之手阻挡了这一切?!当然这个也想起了一个传奇:中国的绝命毒师刘招华!
最后使用ChatGPT的回复结尾:
>用最文艺的方法表达“数据会说话”,可以把数据比喻为一个艺术品
>>数据,就像是一件珍贵的艺术品,它们蕴含了丰富的信息,如同那些古老的壁画,只需我们用心去揣摩,它们便会将自身的故事呈现在我们面前。