探访斗象科技能力中心 | 原来他们每天都在做这种事

关于斗象科技,除了我们所熟知的FreeBuf、漏洞盒子,TCC团队(Tophant Competence Center,简称TCC)你听过吗?今天请随笔者潜入斗象科技上海总部一探究竟!

代表中国,角逐全球顶尖白帽

在今年的6月15-16日,TCC应邀前往英国伦敦参加由全球互联网巨头(保密)与Hackerone平台联合主办的“h1-4420”漏洞挖掘大师赛,并凭借优秀的技术能力在众多国际顶尖白帽子角逐中脱颖而出,包揽「The Exterminator(全场最佳漏洞提交者)」和「The Assassin(全场得分最高纪录保持者)」两项大奖。

这次大赛邀请了40多位来自全球各地的顶尖白帽安全专家参与,现场发放奖金超过50万美元。与追求最短时间“攻破”系统的Pwn2Own等传统比赛不同,“h1-4420”线下漏洞大赛要求白帽子们在规定时间内尽可能多的挖掘应用系统漏洞,以挖掘漏洞的数量、质量以及时间综合评判成绩。

前右二,在伦敦带队参赛的张天琪

本次率队参加比赛的TCC团队成员张天琪(Pnig0s),他其实还有另外一个身份,斗象科技CTO。这次出国参加国际比赛,一方面是斗象科技与Hackerone的良好关系,另一方面也是因为他对漏洞挖掘始终如一的爱好。他是Facebook顶级白帽子,也是漏洞盒子核心安全专家,在漏洞挖掘与利用方面有着丰富的实践经验和独到见解,曾多次上榜Google、Microsoft、Paypal、Yahoo等国外厂商安全名人堂。

在今年初,国际著名众测平台Bugcrowd以及国内云计算大厂阿里云也分别授予张天琪「2018 Bugcrowd MVP(最有价值专家)」和「阿里云MVP」称号。

作为斗象科技联合创始人之一兼首席技术官,张天琪负责国内领先的互联网安全众测平台「漏洞盒子」、全息智能安全威胁分析系统「网藤风险感知」的整体技术研发工作。而挖掘漏洞,是他从业10年一直未曾间断的“个人爱好”

“挖漏洞是我个人的爱好,加入斗象刚好把爱好变成了一份工作。在这里,把我以及TCC团队成员的安全能力汇聚起来,转变为最前端的安全技术去回馈白帽社区和企业。”

就在本文发布时,张天琪又率TCC团队前往拉斯维加斯参加另一场比赛了,期待他们的凯旋。

沉迷机器学习的安全老兵

他是一位浸淫安全10多年的“老司机”——毕业于新加坡国立大学数学专业,曾供职于新加坡电信(海外)任安全总监,带领百人安全R&D团队。在职期间涉及的安全领域包括安全与风险管理,软件开发安全,安全评估与测试,逆向工程,移动安全,机器学习,通信与网络安全。他对国内外安全产品、机器学习、安全架构如数家珍,具有较高的全球视野与丰富的经验。

他是徐钟豪,TCC团队负责人,熟悉的人更习惯称他“钟教授”。

去年,人工智能火爆全球,安全圈亦不例外。人们热衷于探讨人工智能时代网络安全面临的机遇和挑战,但说的人多,做的人少,而钟教授所带领的TCC团队正是其中的“少数派”,脚踏实地,多做少说。

钟教授说,早在这个话题(人工智能)热潮刚刚兴起的时候我们团队就已经在做这块的研究了,那时甚至TCC团队都还未正式成立。如今,在他的带领下,TCC在机器学习安全应用方面取得了多个不错的研究成果,并且在多个用户那里得到了实践的检验。

机器学习技术究竟是如何应用的?钟教授举了个关于「DNS隐蔽隧道检测」的例子(笔者真的听懂了你信吗?不过为了更准确的表述下文也会更多地引用钟教授的原话,看官们也可以前往「TCC博客专栏」自行阅读了解更多)。

DNS协议是必不可少的网络通信协议之一,为了访问互联网和内网资源,DNS提供域名解析服务,将域名和IP地址进行转换。网络设备和边界防护设备在一般的情况下很少对DNS进行过滤分析或屏蔽,因此将数据或指令藏匿于DNS协议中进行传输是一种隐蔽且有效的手段,常被APT攻击者在入侵内网成功后向外传输重要数据文件时使用。目前主流的检测手段多是基于监控终端请求异常长度的域名等传统的规则,攻击者可以使用商业渗透套件如Metasploit,或一些开源软件快速轻易地构建DNS隐蔽隧道,并且可以通过修改域名长度、请求频率等特征轻易绕过传统检测模型。 相比于基于规则的静态阈值检测误报高,易被绕过等问题,利用历史数据对机器学习模型进行训练,使其学习出一个DNS隧道构建模式再用于检测,可以很好的应对层出不穷的变种。据悉,DNS隐蔽隧道检测的机器学习模型载入网藤风险感知系统后已经在某教育行业用户的内网环境中得到成功的验证。

2018年,异军突起的区块链抢走了人工智能的热度,安全圈又重新陷入新一轮的话题狂欢中。未来在哪?“人工智能。”钟教授不假思索的告诉笔者。“语音识别、图像识别等方面人工智能技术已经有了很多成功的应用案例,在安全领域,人工智能技术也必将带来一场革命。尽管目前还是以前期探索为主,实际应用案例不多,但是前景无限。最直观的就是AI可以非常有效的弥补安全人才数量,安全人员分析能力不足的问题。”

“现在攻击者们掌握的技术、开源软件越来越多,催生出的攻击手段可以说日新月异。只有你想不到,没有他做不到。传统安全产品对绝大部分的新型攻击手段无法进行有效判断,而经过大量数据训练学习的机器学习模型则可以快速地对新威胁作出检测判断。人工智能的未来有无数的可能,这是安全真正的未来所在,也是我们TCC团队所追求的目标之一。”

除了上面教授举例提到的DNS隐蔽隧道检测应用机器学习技术外,已经在网藤产品功能中得到实践应用的还有暗链检测、WebShell检测等,在此不做过多赘述,对TCC的机器学习研究感兴趣的朋友可以访问他们的博客,后续会保持更新。

开源分享,极客精神

TCC团队专注于安全前沿探索,漏洞挖掘分析、机器学习、网络安全分析、Web安全研究、大数据分析、IoT安全研究、区块链安全研究等都是他们的涉猎范围。打造核心安全能力的同时,TCC也践行着极致与自由分享的极客精神,积极将研究成果与业界共享。

能力中心的每位成员都是各领域独挡一面的技术专家

去年10月,在深圳FreeTalk安全沙龙活动上,TCC团队首次登上舞台,向大家分享并开源了一款叫做——Osprey(鱼鹰)的漏洞检测框架。Osprey最初只是TCC团队内部自行开发使用的一款PoC检测小工具,随着需求以及使用场景的复杂化,逐渐的迭代升级,演化成为一个集成与调用更灵活多样的框架工具。它不仅能够帮助进行快速的漏洞检测,还规范PoC编写,帮助快速输出PoC。

当一个新的漏洞被批漏出来,安全技术人员、研究人员会对漏洞原理进行剖析研究,然后输出对该漏洞的检测脚本(以下简称PoC)。随后,利用输出的PoC对客户或自有的产品、服务器等进行漏洞检测,最后提出对漏洞的修补建议。在整个漏洞生命周期中,最受关注的一点就是「PoC的输出」。

令笔者感到奇怪的是,其实在安全圈已经有很多开源可用的框架,TCC团队为什么还要自己再做一个?对此,钟教授解释说,Osprey不仅是一个我们团队自己用的小工具发展而来,本着开源的精神分享给大家以外。Osprey也有着自己独特的地方。比如命令行与 Web API 接口使 Osprey 的集成与调用更灵活多样,使用者可以简单的用 Osprey 作为PoC工具检测漏洞,也可以利用它来定制开发自己的漏洞检测扫描器。另外,搭配 dnspot 组件(TCC的另一个开源项目,它实现了一个DNS解析和记录服务器。),Osprey还可以更全面的捕捉漏洞。

据悉,这款框架工具已经应用在了斗象科技旗下安全威胁检测分析产品网藤CRS中。(感兴趣的读者也可至Github自行下载研究: https://github.com/TophantTechnology/Osprey )。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-08-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏大数据挖掘DT机器学习

利用爬虫技术做些很酷很有趣很有用的事情

2011年夏天我在google实习的时候做了一些Twitter数据相关的开发,之后我看到了一片关于利用twitter上人的心情来预测股市的论文实习结束后我跟几个...

3896
来自专栏阮一峰的网络日志

每周分享第 26 期

Basecamp 是 IT 行业很有名的一家公司,提供团队协作工具,同时也是 Rails on Ruby 框架的创造者。这家公司的特别之处在于,它不仅写软件,还...

1351
来自专栏华章科技

史上最大 DDoS 攻击爆发,物联网安全问题浮出水面

上周五,美国最主要的 DNS 服务商 Dyn 遭遇大规模 DDoS 攻击,导致 Twitter、Spotify、Netflix、AirBnb、CNN、华尔街日报...

862
来自专栏安全领域

十大业务步骤确保物联网生态系统的安全

在物联网环境中,设备、应用程序和人类通过巨大而又迥然不同的生态系统相互关联,安全是物联网部署中必不可少的一部分,这一点非常重要。

3276
来自专栏信安之路

安全对你来说意味着什么

安全是我们这个行业的代言词,我们为安全而生。当你踏入这个网络安全领域的时候,你可能会思考一个问题:安全对与我和企业来说意味着什么?

930
来自专栏罗超频道

报刊亭二维码,这才是接地气的O2O

有城市的地方一定有城管,也一定有报刊亭。今日路过楼下的报刊亭,发现了一张有意思的广告牌:“二维码开启手机购物新时代”,除了醒目的二维码外,还展示了闹钟、...

3964
来自专栏小程序

于小戈电商小程序月入千万的秘密!如何收割第一波小程序电商红利?

“选择大于努力,我很庆幸,在我快破产时,改变我们这家小公司生死的转机是微信小程序”。大眼睛买买买商店小程序创始人于小戈说。 大眼睛买买买商店小程序上线当晚,在只...

4817
来自专栏一个会写诗的程序员的博客

Eric S. Raymond:如何成为一名黑客如何成为一名黑客How To Become A Hacker

http://www.0x08.org/docs/hacker-howto.html#hacker-howto

3392
来自专栏域名资讯

扫码时代来临 再一次证实了域名存在的必要性!

前几天有一位域名投资人在微博发了如下图片:

2465
来自专栏FreeBuf

CISO元素周期表

距离4月19日在美国举办的RSA大会,时间过去了将近一个月,大会的盛况已经逐渐淡出人们的视线,但是大会上发布的新的理念和产品却在安全圈逐步发酵,相信未来会对安全...

973

扫码关注云+社区