关于斗象科技,除了我们所熟知的FreeBuf、漏洞盒子,TCC团队(Tophant Competence Center,简称TCC)你听过吗?今天请随笔者潜入斗象科技上海总部一探究竟!
在今年的6月15-16日,TCC应邀前往英国伦敦参加由全球互联网巨头(保密)与Hackerone平台联合主办的“h1-4420”漏洞挖掘大师赛,并凭借优秀的技术能力在众多国际顶尖白帽子角逐中脱颖而出,包揽「The Exterminator(全场最佳漏洞提交者)」和「The Assassin(全场得分最高纪录保持者)」两项大奖。
这次大赛邀请了40多位来自全球各地的顶尖白帽安全专家参与,现场发放奖金超过50万美元。与追求最短时间“攻破”系统的Pwn2Own等传统比赛不同,“h1-4420”线下漏洞大赛要求白帽子们在规定时间内尽可能多的挖掘应用系统漏洞,以挖掘漏洞的数量、质量以及时间综合评判成绩。
前右二,在伦敦带队参赛的张天琪
本次率队参加比赛的TCC团队成员张天琪(Pnig0s),他其实还有另外一个身份,斗象科技CTO。这次出国参加国际比赛,一方面是斗象科技与Hackerone的良好关系,另一方面也是因为他对漏洞挖掘始终如一的爱好。他是Facebook顶级白帽子,也是漏洞盒子核心安全专家,在漏洞挖掘与利用方面有着丰富的实践经验和独到见解,曾多次上榜Google、Microsoft、Paypal、Yahoo等国外厂商安全名人堂。
在今年初,国际著名众测平台Bugcrowd以及国内云计算大厂阿里云也分别授予张天琪「2018 Bugcrowd MVP(最有价值专家)」和「阿里云MVP」称号。
作为斗象科技联合创始人之一兼首席技术官,张天琪负责国内领先的互联网安全众测平台「漏洞盒子」、全息智能安全威胁分析系统「网藤风险感知」的整体技术研发工作。而挖掘漏洞,是他从业10年一直未曾间断的“个人爱好”
“挖漏洞是我个人的爱好,加入斗象刚好把爱好变成了一份工作。在这里,把我以及TCC团队成员的安全能力汇聚起来,转变为最前端的安全技术去回馈白帽社区和企业。”
就在本文发布时,张天琪又率TCC团队前往拉斯维加斯参加另一场比赛了,期待他们的凯旋。
他是一位浸淫安全10多年的“老司机”——毕业于新加坡国立大学数学专业,曾供职于新加坡电信(海外)任安全总监,带领百人安全R&D团队。在职期间涉及的安全领域包括安全与风险管理,软件开发安全,安全评估与测试,逆向工程,移动安全,机器学习,通信与网络安全。他对国内外安全产品、机器学习、安全架构如数家珍,具有较高的全球视野与丰富的经验。
他是徐钟豪,TCC团队负责人,熟悉的人更习惯称他“钟教授”。
去年,人工智能火爆全球,安全圈亦不例外。人们热衷于探讨人工智能时代网络安全面临的机遇和挑战,但说的人多,做的人少,而钟教授所带领的TCC团队正是其中的“少数派”,脚踏实地,多做少说。
钟教授说,早在这个话题(人工智能)热潮刚刚兴起的时候我们团队就已经在做这块的研究了,那时甚至TCC团队都还未正式成立。如今,在他的带领下,TCC在机器学习安全应用方面取得了多个不错的研究成果,并且在多个用户那里得到了实践的检验。
机器学习技术究竟是如何应用的?钟教授举了个关于「DNS隐蔽隧道检测」的例子(笔者真的听懂了你信吗?不过为了更准确的表述下文也会更多地引用钟教授的原话,看官们也可以前往「TCC博客专栏」自行阅读了解更多)。
DNS协议是必不可少的网络通信协议之一,为了访问互联网和内网资源,DNS提供域名解析服务,将域名和IP地址进行转换。网络设备和边界防护设备在一般的情况下很少对DNS进行过滤分析或屏蔽,因此将数据或指令藏匿于DNS协议中进行传输是一种隐蔽且有效的手段,常被APT攻击者在入侵内网成功后向外传输重要数据文件时使用。目前主流的检测手段多是基于监控终端请求异常长度的域名等传统的规则,攻击者可以使用商业渗透套件如Metasploit,或一些开源软件快速轻易地构建DNS隐蔽隧道,并且可以通过修改域名长度、请求频率等特征轻易绕过传统检测模型。 相比于基于规则的静态阈值检测误报高,易被绕过等问题,利用历史数据对机器学习模型进行训练,使其学习出一个DNS隧道构建模式再用于检测,可以很好的应对层出不穷的变种。据悉,DNS隐蔽隧道检测的机器学习模型载入网藤风险感知系统后已经在某教育行业用户的内网环境中得到成功的验证。
2018年,异军突起的区块链抢走了人工智能的热度,安全圈又重新陷入新一轮的话题狂欢中。未来在哪?“人工智能。”钟教授不假思索的告诉笔者。“语音识别、图像识别等方面人工智能技术已经有了很多成功的应用案例,在安全领域,人工智能技术也必将带来一场革命。尽管目前还是以前期探索为主,实际应用案例不多,但是前景无限。最直观的就是AI可以非常有效的弥补安全人才数量,安全人员分析能力不足的问题。”
“现在攻击者们掌握的技术、开源软件越来越多,催生出的攻击手段可以说日新月异。只有你想不到,没有他做不到。传统安全产品对绝大部分的新型攻击手段无法进行有效判断,而经过大量数据训练学习的机器学习模型则可以快速地对新威胁作出检测判断。人工智能的未来有无数的可能,这是安全真正的未来所在,也是我们TCC团队所追求的目标之一。”
除了上面教授举例提到的DNS隐蔽隧道检测应用机器学习技术外,已经在网藤产品功能中得到实践应用的还有暗链检测、WebShell检测等,在此不做过多赘述,对TCC的机器学习研究感兴趣的朋友可以访问他们的博客,后续会保持更新。
TCC团队专注于安全前沿探索,漏洞挖掘分析、机器学习、网络安全分析、Web安全研究、大数据分析、IoT安全研究、区块链安全研究等都是他们的涉猎范围。打造核心安全能力的同时,TCC也践行着极致与自由分享的极客精神,积极将研究成果与业界共享。
能力中心的每位成员都是各领域独挡一面的技术专家
去年10月,在深圳FreeTalk安全沙龙活动上,TCC团队首次登上舞台,向大家分享并开源了一款叫做——Osprey(鱼鹰)的漏洞检测框架。Osprey最初只是TCC团队内部自行开发使用的一款PoC检测小工具,随着需求以及使用场景的复杂化,逐渐的迭代升级,演化成为一个集成与调用更灵活多样的框架工具。它不仅能够帮助进行快速的漏洞检测,还规范PoC编写,帮助快速输出PoC。
当一个新的漏洞被批漏出来,安全技术人员、研究人员会对漏洞原理进行剖析研究,然后输出对该漏洞的检测脚本(以下简称PoC)。随后,利用输出的PoC对客户或自有的产品、服务器等进行漏洞检测,最后提出对漏洞的修补建议。在整个漏洞生命周期中,最受关注的一点就是「PoC的输出」。
令笔者感到奇怪的是,其实在安全圈已经有很多开源可用的框架,TCC团队为什么还要自己再做一个?对此,钟教授解释说,Osprey不仅是一个我们团队自己用的小工具发展而来,本着开源的精神分享给大家以外。Osprey也有着自己独特的地方。比如命令行与 Web API 接口使 Osprey 的集成与调用更灵活多样,使用者可以简单的用 Osprey 作为PoC工具检测漏洞,也可以利用它来定制开发自己的漏洞检测扫描器。另外,搭配 dnspot 组件(TCC的另一个开源项目,它实现了一个DNS解析和记录服务器。),Osprey还可以更全面的捕捉漏洞。
据悉,这款框架工具已经应用在了斗象科技旗下安全威胁检测分析产品网藤CRS中。(感兴趣的读者也可至Github自行下载研究: https://github.com/TophantTechnology/Osprey )。