从反恶意代码到对抗高级威胁

威胁是一场你争我夺的战争；能力是一场新我与旧我的迭代；告别与迎接是一道暗示自己的口令；20年的安全威胁，不是亲历者的功成身退，而恰是眼前蓄势待发的动力。一文记录网络安全20载的威胁事件，读一个企业的磨砺与坚持，阅一条道路的来处与前程。

1 概述

安天团队创业于2000年，经历了以民间技术实验室为模式的十年和企业化运营的十年。无论运营模式如何变化，安天始终站在威胁对抗的第一线。过去的二十年正是信息化高速发展、安全威胁剧烈演进的二十年。安天因需而变，不断完善威胁监测、捕获能力，建立起包括流量监测、蜜罐捕获、诱饵信箱、情报共享等十余环节在内的前端感知体系；不断提高自动化分析与处置能力，逐步建立起日处理量达百万级以上的自动化处理平台，形成了超大规模的威胁知识图谱和安天TID威胁情报平台。在从红色代码到“魔窟”（WannaCry）等重大安全事件对抗的过程中，安天逐步形成了“第一时间启动，同时应对多线威胁，三体系联动，四作业面协同”的应急响应机制。

当前，网络空间领域的斗争已经是大国博弈和地缘安全中常态化的存在，网络空间更是政治、军事、经济等领域斗争的首发“战场”，能力型网络安全企业需要不断提高对自身的使命要求。自2010年起，安天深度跟进多个APT（高级持续性威胁）攻击事件和攻击组织，并结合TID威胁情报平台和追影威胁分析系统等产品展开大量分析工作，发布了多篇重量级分析报告，揭示我国所遭受到的APT攻击。

安天正从过去与恶意代码对抗的小闭环，走向全面赋能客户和助力客户建设防御体系、有效对抗威胁的大闭环。对安天来说，这是一个艰难的过程，也是必须实现的突破。

本文是安天对过去20年来与安全威胁对抗过程的回顾与反思，我们将带着持续的技术积累和自我反思，面对着更加明确的责任使命再上征程。朝花夕拾回看来路，风雨兼程不负初心。

2 捕影廿载——流行性威胁20年应急响应事件回顾

2000年在信息技术发展是一个特殊的时点，个人计算机革命的高潮与信息高速公路的兴起叠加激荡。单机操作系统DOS全面退场，全面支持网络通信的Windows 9x操作系统的广泛使用；Windows NT也在全面蚕食着传统UNIX的市场，WEB服务、FTP服务、电子邮件服务，从象牙塔中的奢侈品，变成普通用户获取和交换信息的方式。这种变化在带来巨大革命变革的同时，计算机恶意代码也借此大规模流行。

在DOS时代，感染式病毒（Virus）、蠕虫（Worm）和特洛伊木马（Trojan），都是相对窄带而互斥的技术概念。从形态上看，感染式病毒是一个代码片断，需要感染宿主程序或磁盘引导记录，蠕虫是不感染宿主程序而传播自身的独立程序，木马则是指预设恶意逻辑但不具备传播能力的程序。在此时期，磁盘是数据交换的主要方式，感染式病毒从种类和数量来看，都居于主流地位。这一情况随着Win9x系统兴起发生了巨变：恶意代码编写者的想象力突破了程序宿主空间的限制，Happy99蠕虫利用劫持电子邮件的方式传播并快速流行，拉开了蠕虫时代大幕；代号“死牛祭礼”（Cult of the Dead Cow）的黑客组织发布了Back Orifice 2000木马（简称BO）并将其开源，BO随即成为国内划时代的网络攻击工具，并从此激活了特洛伊木马中最为庞大的分支——RAT（Remote Access Trojan，远程控制木马）。

在此后的恶意代码演进中，感染式病毒日渐式微，蠕虫成为主流威胁类型并延续5~8年时间。其后，特洛伊木马数量在利益驱动的模式下开始呈几何级数增长。此时，“病毒”从狭义的感染式病毒概念已经转化为对各种恶意程序的统称，并被媒体所广泛使用，但在学术文献中，则以恶意代码（Malicious code，简称Malware）概念来表示上述各种威胁。

2.1       蠕虫大爆发时代（2000~2005）

2001年8月6日，红色代码蠕虫变种“红色代码II”（CodeRedII）在国内爆发，安天第一时间启动应急响应。红色代码完全超出了传统反病毒工作者的常规认知，蠕虫没有文件载体，而是依靠IIS服务的溢出漏洞传播，并在系统内存中存活——蠕虫进入系统后，会创建一个恶意文件，但这个恶意文件被用于构造后门，而非蠕虫的文件实体。安天在国内部分IDC主机部署的监测探针在第一时间发现了红色代码II的端口扫描行为，病毒分析组（现为安天安全研究与应急处理中心，简称安天CERT）立即进行分析。6小时后安天公开发布分析报告、提供专杀工具，并协助主管部门开发了扫描排查工具。

图2-1红色代码II专杀工具界面（2001）

2002年，安天开始与哈工大相关教研室共同开展反病毒方向研究，并组建了哈工大-安天联合CERT小组。在此期间，安天研发出适用于高速网络的具备全规则过滤能力的反病毒引擎。

2003年3月8日，哈工大-安天联合CERT小组在多个监控节点发现异常网络行为，并采集到后来被命名为口令蠕虫（Dvldr）的恶意代码样本。联合小组紧急启动样本分析和事件处置工作，发布专杀、验证工具和免疫工具。此后，联合小组通过近3个月的分析溯源，排查出国内4.7万个感染节点，并还原了部分的传播时序。

图2‑2口令蠕虫报告（2003）

安天CERT刚刚起步时，在只有几名分析人员的情况下，先后完成了多个重大事件的分析任务。在不断的取证、分析、溯源实战中，安天CERT逐渐成长，经历的磨练和积累的经验为日后的应急响应工作流程奠定了坚实的基础。

图2‑3安天对于蠕虫类威胁事件的应急处理流程（2004）

从产品技术变革上的角度看，这一时期是由蠕虫事件驱动着网络侧产品技术的发展。2000年初，网络威胁以happy99等邮件蠕虫、CodeRed为代表的扫描溢出型蠕虫为主。但此时网络监测设备的载体的处理能力并不乐观，直路设备的吞吐量仍以百兆级别为主；所能检测、过滤的对象主要在数据包报头层次，而非内容，遑论流量的完整还原；旁路设备实现流量还原所需的并行协议栈等技术亦不成熟。安天从2002年起，尝试在包层次构建不依赖预处理器的全规则引擎，并达到千兆的线速，使反病毒引擎突破了必须依赖协议还原进行文件检测的局限，可以适配千兆零拷贝技术。2004年，安天将使用这一引擎的流量检测系统命名为VDS(即网络病毒检测系统)，系统基于旁路接入方式，针对网络侧的流量进行还原与检测。该系统为我国监测大规模恶意代码活动奠定了技术基础，安天探海威胁检测系统正是在该系统的基础上研发而成。

安天在恶意代码分析工作中推动了恶意代码知识的体系化完善，形成了恶意代码百科全书，并提供公众查询（Virusview.net）。

图2‑4安天病毒百科全书（2005）

2.2       木马泛滥时代（2005~2010）

2005年开始，0day漏洞逐渐被攻击者用于定向攻击或批量投放恶意代码，而不再被用于编写蠕虫；端点系统的安全性随着WindowsXP等系统的广泛应用得到一定程度的提升，DEP、ALSR等保护技术成为系统的默认安全配置。网络蠕虫的影响趋向衰弱，特洛伊木马的数量开始呈爆炸式增长。随着社交软件、网络游戏用户量持续增加，恶意代码作者的逐利性取代了炫技、心理满足、窥视隐私等网络攻击活动的原生动力，成为网络攻击活动的主要意图。通过窃取网络凭证、游戏账号、虚拟货币等方式的获利行为开始普遍化。此类恶意代码隐匿在计算机中进行窃密活动，很像古希腊特洛伊战争中著名的“木马计”。

2005年，以灰鸽子为代表的远程控制程序在技术上趋于成熟，感染数量持续增加，安天CERT对这类远程控制程序进行了大量的分析和研究，并协助相关部门通过网络开展远程控制程序的使用情况的监测工作。2006年6月9日，安天捕获到国内首个以敲诈为目的的Redplus木马，该恶意代码正是今天日益泛滥的勒索软件的雏形。同年8月14日，在魔波（Mocbot）事件中，安天在3小时内完成初步分析，及时发布了警报和分析报告，提供专杀工具，全面阻止魔波病毒在我国肆虐，快速清除了国内感染的病毒。同年熊猫烧香爆发，在短时间内感染全球大量计算机，受害主机的可执行文件的图标都被改为熊猫举着三根香的模样。安天CERT对熊猫烧香不同变种的传播方式、感染方式等进行了及时分析，并快速发布了专杀及修复工具。

图2‑5熊猫烧香感染后的文件图标（2006）

2007年至2009年地下经济运作日趋“成熟”，使恶意代码不再只是属于民间，而是更加向着“职业技术团队”方向发展开发和研究，在此技术支撑下，形成了一条灰色的产业链。此阶段各类木马猖獗，迎来爆发的高峰期，传播范围尤其广泛。而以熊猫烧香为代表的蠕虫恶意代码也开始在这个阶段渐渐消退，退出历史的舞台。随着社交软件、网络游戏的兴盛，窃取网络凭证、游戏账号、虚拟货币类的恶意代码开始流行。另外广告件、僵尸网络、下载者（Downloader）等恶意代码也“遍地开花”。盗取账号类主要以盗取QQ凭证（QQpass家族）、网络游戏凭证（OnlineGames家族）为主，传播方式主要以网页挂马、U盘为主。此时期杀毒软件开始强化针对网络游戏盗号木马的监测查杀，随后“AV终结者”木马爆发，该木马当选2007上半年的“毒王”。AV终结者其主要特征是通过U盘传播，与杀毒软件等相关安全程序对抗，破坏安全模式，下载大量盗号木马，其变种能够破坏磁盘免疫。安天在2007至2009年间分析了大量流行木马。

木马数量的激增催化了后端分析支撑体系的完善。反恶意代码技术如同一座冰山，引擎和前端产品只是冰山水面之上的部分，而其更庞大的部分——恶意代码后台分析处理机制——则在水面之下，这是一个庞大的基于大量计算节点形成的分布式处理体系。2005年起，一方面是互联网广泛普及拉动应用程序数量快速增长，另一方面则是地下经济活动猖獗拉动木马数量急剧膨胀，反病毒厂商每日捕获到的未知文件数量迅速由万量级提升到十万、百万量级。巨大的样本辨识压力横亘在反病毒工作者面前，全面采用人工分析响应将导致工作量趋向不可收敛。安天在现有批量样本自动化分析流水线基础上，开始筹划建立和完善面向海量样本的自动化流水线分析平台，通过引入虚拟执行分析、格式识别和深度静态拆解、对照扫描、文件信誉度检测、终端信誉度检测等方法，使整个体系的鉴定能力逐步得到提升，可以对全量文件实现自动化的“鉴定-规则-检测”的循环，只把少数疑难样本留给人工处理，最终解决了样本数量激增和分析人员不足而产生的瓶颈，显著提升了分析效率。

图2‑6自动化流水线分析平台（2005）

2.3       虚拟货币和隐秘网络带动的勒索新对抗（2010~2020）

2010年前后，恶意代码已经完全产业化，通过与地下经济体系深度融合，形成了新的威胁形态。早期盗号木马、广告点击器、浏览器首页锁定器这类恶意代码虽然严重危害系统安全，却并不会导致系统直接停摆，但自2013年开始，勒索软件、挖矿木马逐步泛滥，开启了新的对抗局面。这一时期的勒索软件，采用比特币作为赎金形式，采用暗网作为不可追踪的支付链路，采用AES、RSA等难于解密的强加密算法来加密用户数据，构成一个难以打破的“铁三角”。同时，挖矿木马也在借助虚拟货币、暗网交易等手段提升隐秘性和不可溯源性。

2010年3月9日，安天受相关部门委托，进行了长达2个月的调查研究，最终呈报了《中国互联网黑色网络安全产业链情况的报告及对策》。本次调查研究基于海量终端体系呈现宏观全景视图，形成目前地下产业经济现状调查研究报告及多篇相关木马深度分析报告。该调研报告全面揭示了地下产业网络体系带给现实社会的危害，并提出简要的应对措施，旨在推动互联网产业健康、有序发展。

图2‑7木马产业链（2010）

2015年8月，安天基于多年来对各种勒索软件的深度剖析，发布了《揭开勒索软件的真面目》的报告。该报告从传播手段、表现形式、分类情况、演进历史、新的变化趋势等角度对勒索软件进行了全方位的分析，并针对不同的用户和场景提出了解决方案和建议。

2016年2月18日，安天CERT发现首例具有中文提示信息的勒索软件家族，名为“Locky”。这预示着勒索软件作者针对的目标范围逐渐扩大，勒索软件将发展出更多的本地化版本。

安天CERT在2017年4月14日发布的《2016年网络安全威胁的回顾与展望》中提到，“网络军火”的扩散将全面降低攻击者的攻击成本，以及勒索模式会不可避免地带动蠕虫的回潮等观点。结果未满1个月，安天预测的“勒索软件+蠕虫”的传播方式即被不幸言。2017年5月12日晚，“魔窟”（WannaCry）勒索软件在全球范围内爆发。我国大量行业企业网络受到大规模感染。安天第一时间启动“A级灾难响应”，第一时间上报主管部门、到达用户现场。次日凌晨6时，第一时间对外发布了《安天应对勒索蠕虫“魔窟”（WannaCry）的深度分析报告》，并给出了临时解决方案。此后安天持续跟进，依次发布了多篇报告及专杀、免疫和解密工具。魔窟事件的爆发引起我们对安全防护的深思，内网安全体系上的能力缺陷，一方面是安全产品未能得到全面部署和有效使用，另一方面则是其规划建设中没有落实“三同步”的原则，缺少基础的安全架构。防护的有效性最终要在与攻击者的对抗中检验，尽管这次事件带来的损失已非常惨痛，但我们更需要警醒的是，相对更为深度、隐蔽的针对关键信息基础设施的攻击，这种后果可见的大规模灾难依然是一种浅层次风险，因此，有效完善纵深防御体系和能力势在必行。

图2‑8勒索软件“魔窟”（WannaCry）运行流程（2017）

随后的几年里，安天CERT持续跟踪分析勒索软件，并发布了多个流行勒索软件报告，包括GANDCRAB、GlobeImposter、Sodinokibi、Phobos、WannaRen、ProLock等。

2013年，安天用泛化（Malware/Other）一词，用以说明安全威胁向智能设备等新领域的演进——之后泛化（Malware/Other）一直被作为主要的威胁趋势，社会逐步走向“万物互联”的时代，新兴技术的高速发展导致了安全威胁的入口泛化。此时，恶意代码的影响范围已经从个人用户全面延伸至政企网络，木马不再只是一种恶意代码类型，而成为典型的地下经济模式。

2015年9月，发生了一例Xcode非官方版本恶意代码污染事件，这一事件称为“XcodeGhost”。Xcode是由苹果公司发布的运行在操作系统Mac OS X上的集成开发工具（IDE），是开发Mac OS和iOS应用程序的主流工具。攻击者通过对Xcode进行篡改，加入恶意模块，并进行各种传播活动，致使大量开发者使用被污染过的版本建立开发环境。鉴于此事态的严重性，安天CERT与安天移动安全公司组成联合分析小组，分析并发布了该事件的报告。

图 2‑9 Xcode非官方供应链污染事件示意图（2015）

2016年10月22日下午，安天针对美国东海岸DNS服务商Dyn遭遇DDoS攻击事件进行了跟进分析。该事件涉及到IoT（Internet of Things，物联网）设备安全等多种因素，这也印证了2015年安天论述的“威胁将随‘互联网+’向纵深领域扩散与泛化”的观点，正如我们所担心的那样，从智能穿戴、智能家居、智能汽车到智慧城市，安全威胁已经无所不在。

2019年，WannaMine挖矿木马爆发，同年5月，安天接到某重要单位的求助，其内网中执行任务的上百台主机频繁出现死机、重启、蓝屏等现象。用户部署使用的某款杀毒软件能查出恶意代码告警，但显示成功清除后，恶意代码很快又会重新出现。安天接到求助于当日傍晚飞抵客户现场进行处置，快速解决了问题，并随后发布响应报告《六小时处置挖矿蠕虫的内网大规模感染事件》。

近十年，安天CERT依托大规模自动化分析处理体系的逆向分析、关联分析、同源分析等平台，发布了大量分析报告，打造了“第一时间启动，同时应对多线威胁，三体系联动，四作业面协同”的应急体系。

安天CERT对勒索软件进行了大量的分析与研究，从防御视角看，针对勒索软件的防护仅仅依靠网络拦截是不够的，必须强化端点的最后一道防线，必须回归到有效的终端防御。安天持续跟进研究勒索软件威胁机理，采集归纳了近百种勒索软件行为特征，形成了多个规则启发式勒索软件检测模式。面对2017年5月爆发的魔窟事件，2016年1月版本的安天智甲即可实现有效防护。安天智甲终端防御系统（IEP）内置安天自主研发的下一代威胁检测引擎，基于黑白双控模式的安全策略，有效支撑终端检测与响应。

3 逐鹿十年——高级威胁10年分析回顾

2010年随着震网事件曝光，网络攻击背后的网空国家/地区行为体开始浮出水面。其具备体系化作业能力，巨大成本的承受力，和坚定的作业意志。战略利益化促进了木马向攻击武器发展，从广泛覆盖到精准打击。2010年至2012年安天投入大量的人力和时间对震网（Stuxnet）、Duqu（毒曲）、火焰（Flame）等进行马拉松式的分析，但部分分析成果却仅能覆盖不足5%的病毒模块，此事触发了安天对这种逐个逆向样本模块堆砌式分析的反思和自我批判，提出了要以工程体系对抗思维来看待APT分析工作。2013年开始，安天逐步从单纯的样本模块分析走向攻击装备的整体分析，进入到高级恶意代码体系分析阶段，并在有关专家的指导下引入威胁框架，努力从“只见树木，不见森林”的瓶颈中挣脱出来。

3.1       以样本分析视角启动APT时代分析（2010~2012）

2010年7月15日，安天捕获到震网蠕虫APT的首个变种，并于9月27日发布了《对Stuxnet蠕虫攻击工业控制系统事件的综合分析报告》，这是国内第一份针对该蠕虫的深度技术分析报告，成为国内公众了解“震网”攻击真相和细节的重要参考资料。2011年，毒曲浮出水面后，安天工程师经过分析提出了毒曲和震网可能存在同源性的猜测。2012年5月，“火焰”被发现，火焰是一个模块比震网更多的复杂组件化木马，且可能与震网存在关联。该恶意代码被卡巴斯基称为“迄今为止最复杂的计算机病毒”。安天成立了针对火焰的分析小组，开始了为期数月的马拉松式分析，发布了近100页的《Flame蠕虫样本集分析报告》。但分析成果覆盖范围依旧非常狭窄，也触发了我们的反思和自我批判。

2010年，随着震网重挫伊朗核进程，APT成为热点话题，由于APT广泛使用0day漏洞、隐蔽通信、签名仿冒，加之攻击者承担成本能力之强大、攻击意志之坚决，前所未有，导致其对安全体系的冲击和造成的心理恐慌都到达了空前的程度。这种压力驱动了传统反病毒厂商进行产品和技术的改进。安天基于业内产品经验逐步开始探索传统网络侧检测设备与沙箱结合的产品形态，其核心价值不仅是将可执行对象直接投放到设备附带的虚拟环境中运行，进行行为判定，更重要的是利用这个虚拟环境实现利用不同的解析器版本，诱发文件格式溢出。基于这个理念安天推出了追影威胁分析系统。

图3‑1震网蠕虫通过七组配置数据判断是否感染U盘（2010）

虽然时隔多年，但震网事件一直在我们的研究视野，2019年安天对震网事件进行了全面的复盘和反思，发现我们缺少一种真正意义上的框架化方法。在相关专家的指导下，我们对网空博弈、敌情想定有了新的体悟，逐渐从威胁框架视角进行方法论切换，实现自我能力的完善。也希望通过威胁框架这一视角来解读“震网”这场看起来依然高度复杂的“昨天的战争”。安天于2019年9月正式发布报告《震网事件的九年再复盘与思考》，此次复盘我们希望聚焦一个具体的问题：高级恶意代码对检测引擎和威胁情报的挑战。由于传统的威胁情报存在诸多短板，安天自2016年起开始研发下一代威胁检测引擎，深化了安天传统引擎格式识别、深度解析等特点，继承对海量恶意代码精准的分类到变种的识别能力。同时，以没有可信的格式和对象为前提，形成对检测对象的全格式识别，对更多重点格式形成深度解析能力。不只为调用环节输出判定结果，同时也可以将检测对象的向量拆解结果结构化输出，形成支撑产品场景和态势感知场景研判分析、关联与追溯的数据资源。探索检测引擎与威胁情报更好的结合，建立起更为可靠的基础标识能力与响应机制，更有效的支撑TTP，乃至人员组织相关的情报，建立起更完善的知识工程运营体系，这对我们来说，将是一个需要长期努力的方向。

图 3-2 震网事件时间轴（2019）

3.2       走向高级恶意代码体系分析（2013~至今）

自2013年起，安天CERT逐渐从单一的模块化样本分析走向系统化的攻击装备整体分析，始终警惕地监测、分析、跟踪着各种针对中国的APT攻击活动。结合安天TID威胁情报平台和追影威胁分析系统等产品展开大量分析工作，谨慎地披露了“海莲花”(APT-TOCS)、“白象”（White Elephant）、“方程式”（Equation）等攻击组织的活动或攻击装备分析，同时也对更多的攻击组织和行动形成了持续监测分析成果。

2013年7月，安天开始陆续捕获来自南亚某国的网络攻击样本，并持续对其进行跟踪分析，经过追踪溯源和关联分析，我们将这一系列网络攻击组织和行动称为——“象群”，发布多篇分析报告对这一系列针对我国教育、军事、科研的定向攻击事件进行披露。持续的攻击反映出我国一直对利益竞合国家和地区对我方科技成果的获取和抄袭模仿关注度较低，对于更为纵深的整体供应链安全关注度也十分不足。我国关键基础设施体系面临着严峻的挑战，网络空间安全视角需要转化为“维护国家主权、安全、发展利益”，更加注重“科技安全”。

2015年5月27日，安天发现一例针对中方政府机构的准APT攻击事件，鉴于这个攻击与Cobalt Strike平台的关系，安天将此攻击事件命名为APT-TOCS（海莲花）。2018年安天陆续捕获到多例针对中国用户的恶意宏文档攻击样本，并于2019年3月发布报告《海莲花组织发布针对中国APT攻击的最新样本的分析》。这一系列事件提醒我们，网络攻击技术具有极低的复制成本的特点。随着商业渗透攻击测试平台以及网络军备商业扩散的出现，“通过分析曝光的方式迫使APT攻击组织行为收敛”的效果已经大打折扣，应该放弃简单的敲山震虎，就可以让敌人退避三舍的幻想，全面建设必要的网络安全防御能力，形成动态综合的网络安全防御体系。

图3-3 安天对APT-TOCS攻击的可视化复现（2015）

2015年12月，乌克兰电力部门遭受到恶意代码攻击。安天、四方继保与复旦大学于2016年1月成立联合分析小组，正式启动对此次事件的分析，2016年2月正式发布《乌克兰电力系统遭受攻击事件综合分析报告》。特别值得注意的是，本次攻击的攻击点并不在电力基础设施的纵深位置，亦未使用0Day漏洞，而是完全通过恶意代码针对PC环节的投放和植入达成的。其攻击成本相对震网、方程式等攻击显著降低，但同样直接有效。该事件提醒我们要有效改善基础设施体系中PC节点和TCP/IP网络，需要通过网络捕获与检测、沙箱自动化分析、防火墙、终端防护产品、安全服务等综合方式提升纵深防御能力。

图3-4乌克兰停电事件攻击全程示意图（2016）

从2013年起，安天从样本分析中，逐步发现存在一个拥有全平台载荷攻击能力的攻击组织，并逐步关联分析了其多个平台的样本。在这个过程中，安天感到一个大至无形的超级攻击组织的存在，但并未找到其攻击背景。截至2017年，安天连续发布了四篇关于方程式组织的分析报告，并基于分析成果，根据有关专家建议，形成了一个方程式组织主机作业的模块积木图。初步按照“原子化”拆分的模块组合的拼装，揭示超高网空威胁行为体的模块化作业模式。在过去的数年间，针对方程式组织的持续跟踪分析，是安天了解超高级别攻击者（即A²PT）的极为难得的经历。深入研究这种具有超级成本支撑和先进理念引领的超级攻击者，对于改善和增强安天探海、智甲、追影等高级威胁检测和防御产品的防御能力也非常关键。我们警惕，但并不恐惧。对于一场防御战而言，除了扎实的架构、防御和分析工作之外，必胜的信念是最大的前提。无形者未必无影，安天追影，画影图形。

图3‑5方程式组织主机作业模式积木图（2017）

2018年，安天一年的时间内持续每月更新“美国网络空间攻击与主动防御能力”专题报告，刊登在《网信军民融合》杂志两会专刊中，为期12期共计30000多字。该专题层次化地揭示美国在网络空间中信息获取、进攻与防御能力，尽可能清晰地展现美国在网络空间安全领域的能力体系，为我国网络空间安全发展提供有益参考和借鉴。

图3‑6美方网空作业技术流程与部分工程和装备作用的映射（2018）

2018年9月，安天根据近期掌控的攻击线索结合历史储备，对高级攻击组织绿斑进行了深度分析，发布了《“绿斑”行动——持续多年的攻击》，在该组织的攻击中，反复使用陈旧漏洞，在侵入主机后，通过加密和动态加载等技术手段，试图达成进入目标并在目标机器内长期潜伏而不被发现的效果。安天此前反复强调，APT攻击组织使用相关漏洞的攻击窗口期，如果与可能被攻击目标的未进行对应漏洞修复的攻击窗口期重叠，就不是简单的漏洞修复问题，而是深入的排查和量损、止损问题。

2019年6月，安天基于多年持续跟踪分析超高能力网空威胁行为体的分析成果，结合影子经纪人所泄露的信息，以态势感知视角，完整复盘方程式组织攻击中东最大SWIFT服务商EastNets的整个过程。按照威胁框架将整个攻击过程的动作逐一进行精细化拆解，通过回放每个攻击分解步骤，分析每个攻击步骤中防御方在基础结构安全工作、防御纵深设置、事件采集与留存、系统配置策略、安全产品布防等方面的不足。在A²PT级别的攻击的背景下，需要在“实战化”安全运行环境中检验和持续提升防御能力。以资产安全运维平台明晰资产底数，形成网空地形，建立统一安全补丁、统一安全策略分发调整，实现有效的资产安全加固。通过端点侧、网络侧、分析侧的有效数据采集、情报生产，建设态势感知平台系统进行数据汇聚和分析，形成有效安全策略，指控响应行动。安天正在研发的战术型态势感知平台，在安天全线产品体系支撑下通过全面监测和发现、自动化甄别与研判威胁，辅助资产安全运维，利用多源威胁情报和私有化生产的内部情报，赋能客户，协助客户开展网络安全防御体系的构建和防御能力的持续提升。

图3‑7“方程式组织”对EastNets网络的总体攻击过程复盘（2019）

2019年，安天接连捕获到多批针对南亚多国军事、政府和教育等实体的攻击样本，且样本之间存在一定关联，攻击者带有明显窃密意图，受害者集中于巴基斯坦等南亚国家。这些攻击样本来自被安天命名为“幼象”的组织（考虑到组织攻击手法简单、载荷还不成熟等特点，因此将其命名为“幼象”），其手法和装备与“白象”组织有一定差异，并于2020年1月15日正式发布《“折纸”行动：针对南亚多国军政机构的网络攻击》。

这十年，安天CERT分析了大量的APT事件，在分析以及追踪溯源过程中，遇到过挫折，也获得了经验。在与APT和A²PT攻击分析对抗中，逐渐开始将“敌已在内”作为基础的敌情想定，认识到防御方应充分考虑防御措施失效的情况，以“面向失效的设计”为基本原则指导防御。在合理网络结构上叠加纵深布防的防御措施、监测措施是限制、阻断、延缓攻击行动的有效方法。

4 总结（威胁动态演进，安天砥砺前行）

当前网络空间领域的斗争已经是大国博弈和地缘安全中的常态化存在，网络空间更是政治、军事、经济等领域斗争的首发战场。我国所面临的全球和地缘安全风险，既以大国竞合为主旋律，同时又围绕地缘安全热点展开，地缘利益竞合方众多，多种矛盾复杂交织。网络安全威胁不是单纯的技术风险，其风险和事件研判也不是单纯的领域内研判，这与攻击发起方和潜在对手的战略意图、技术能力和综合国力等综合因素息息相关。过去的安全威胁是单点威胁，例如病毒、木马、DNS攻击、网站篡改等。如今随着信息技术越来越先进、信息体系越来越复杂、信息资产越来越庞大，安全威胁也在不断发展演进。我们对过去遭遇到的网络入侵攻击，往往将其作为单纯的网络安全事件看待，而未结合总体国家安全的多个方面进行综合分析，对对手意图的分析深度不足。未来，需要对网络攻击行为给我国政治安全、军事安全、科技安全等带来的综合影响后果全面加强研判，实现综合分析、全面量损、有效止损。

未来的网络安全工作应遵循“网络安全是整体的而不是割裂的”、“是动态的而不是静态的”、“是开放的而不是封闭的”、“是相对的而不是绝对的”、“是共同的而不是孤立的”的主要特点，在进一步的投入中提升系统性、及时性和针对性，解决不平衡不充分的安全建设导致的国家安全能力短板和失衡。

面对安全威胁，必须形成有效的防御能力。在信息化发展中，很多存量系统在建设时大多没有充分考虑到网络安全问题，需要投入大量的“补课”成本。随着数字经济的蓬勃发展，云计算、5G、人工智能、IoT等技术的进步，在新一代信息技术演化生成的基础设施、支撑传统基础设施转型升级以及创新基础设施为代表的新基建内涵更加丰富，涵盖范围更加广泛，更能体现数字经济的特性，更好的推动中国经济转型升级，同时也对安全防护有更高的要求，在发展新基建的过程中，更需要网络安全同步规划、同步建设、同步运维的一套方法体系和相应的预算保障，也需要通过规划指引全面提升防御能力，通过预算投入支撑网络安全领域的能力建设，才能满足新基建的防御能力需求，保障承载中国数字经济的基础建设。

当前的网络安全防护水平和技术能力还有较大提升空间，以国土安全为视角，以应对信息战为要求，提升对关键基础设施的防御能力，是中国在走向网络强国过程中必须完成的工作。这个跟进的过程将是复杂、艰巨、且富有挑战的，不仅需要我们有“只争朝夕”的紧迫感，更需要我们“不负韶华”的努力。