关于开展网络安全防护探索的尝试

TeaPot（“小茶壶”）是一款简单又高端的安全辅助工具，它可以有效应用于内网攻击监测、黑客身份溯源、主机病毒防范、上网行为管理等安全防护场景，可有效提升攻防演练对抗、勒索病毒预警和尖端APT对抗能力。

一、软件研发背景

受网络安全发展历史影响，以杀毒软件为代表的主机层安全防护主要停留在操作系统主动防御、恶意代码检测技术方面；以态势感知为代表的网络层安全防护则试图解析网络流量，配合以行为沙箱、特征码检测等手段。这两大安全防护方向在攻防对抗的过程中不断被推向新的高度，在此过程中安全防护单位也普遍面临着投入不断加大、成效不断降低的压力，面临着安全防护业务受到政治或商业利益影响的可能。

针对这个日益严重的方向性问题，我们试图从防护原理、基础体系方面探索新的理念，尝试提供一种低成本、易部署、成效高的新型安全防护方案。鉴于一段时间以来的探索，我们意识到这是一项需要认真面对的事业，也力图结合辩证唯物主义方法论为此不断推动。

二、重点功能介绍

小茶壶使用的方法手段都是通用、公开的网络安全技术，对被保护系统、网络做到了无影响或微影响。目前已经实现的功能，如果使用得当可有效应用于勒索病毒防范和APT攻击检测。

1、勒索病毒防范

专业研究显示，大规模勒索病毒攻击一般都会伴随针对内网的资产探测和网络攻击，针对这个场景，小茶壶设置了端口监听和网络流量转发功能，可以非常简单方便的在内网组建蜜网，一旦捕获到针对软件的扫描或攻击尝试，可以及时预警并把攻击流量引向用户设置的特定系统。

此外，软件提供了对本机共享目录的监测，可用于协助监测勒索病毒对内网共享目录的攻击。

2、APT攻击监测

APT攻击代表了最高水平的攻防对抗，一般由高水平黑客持续性针对特定目标开展，是数据泄密的最大威胁，针对APT攻击的威胁检测也是全世界网络安全行业面临的最大难题。在这个课题上，我们借鉴了目前最简单有效的DNS监测手段，使用特殊的方法监测目标系统的DNS解析，可有效应用于对APT远控木马的检测。

三、目前研发及使用

目前软件的研发及维护完全基于安全社区义务提供，防护思路主要由我提出，我尊敬的朋友老周负责软件编码，资深安全工程师、反勒索病毒专家“熊猫正正”负责技术指导和社区维护。四个月以来我们得到了业界很多朋友的大力支持和建议，还有很多朋友无偿提供安全资源，这里就不一一道谢了。目前软件使用单位全国超过100家，其中有高校、政府单位、银行、公安机关、上市公司、安全公司等等，部分单位内网部署了多份，有的还向我们反馈了使用过程中发现的网络攻击线索，这些都给开发团队以极大的鼓舞。

四、软件使用成效

我们坚持推动蜜罐类软件包括我们小茶壶部署在内部网络，不在互联网端开放，所以使用过程中捕获到了一些内部网络的攻击现象，其中较为显著的：

一是捕获到某主流品牌智能电视会在用户未授权情况下对所在网络进行资产探测。这里感谢网友“小小玩童”。

二是捕获到我国大量安卓设备使用过程中任意开放远程Adb服务并导致严重感染僵尸网络。经核验，在安防门禁、一体自助机、人脸识别设备等众多行业都存在这种重大风险。相信随着时间的推移，这个巨大的安全问题会慢慢浮出水面。具体可以参考我们的相关报告。

五、下步计划

从大方向来说，软件下一步会逐步提供如下功能：

一是安全日志自动分析。研发团队尝试提供云服务，用户可以将软件日志提交给云服务端，获取一份针对自身的定制化分析报告，其中包括日志中可能存在的病毒木马攻击线索；

二是内网违规外联检测。针对很多单位隔离网中存在主机违反规定私自联入互联网的行为提高检测手段。

三是本机病毒免疫。通过监测、仿造恶意软件互斥体，实现对特定木马病毒及其家族的监控和免疫。这种防护机制也是当前没有的。

四是本机命令执行监测。通过监测本机控制台操作，实现对本机遭受命令执行攻击的预警，可用于监测网站遭受漏洞攻击。

在此过程中我们也会不断修改软件自身bug、提高可用性、优化运行效率，包括逐步替换现有的界面，使软件外观看起来高大上一些。

下一步我也会介绍一些安全防护理念和经验，希望对你的网络安全防护工作有所帮助。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课