最厉害的网络安全公司当属它，没有黑客能攻破其网络防御系统

近日，科技日报记者在以色列“Cybertech 2022”峰会上邂逅了一家名为“Cyber 2.0”的网络安全企业。这家企业之前已小有名气，原因是它每年都会举办黑客挑战赛，任何能够攻破其网络防御系统的黑客，都将获得10万美元的巨额奖励。在过去4年的比赛中，全球5500多名黑客实施了数百万次网络攻击，但至今无人能够领走奖金。

究竟是什么样的技术，敢和全球黑客叫板？记者带着这一疑问采访了Cyber 2.0的首席执行官斯奈尔·罗森菲尔德及其网络防御系统的发明者、首席技术官埃雷兹·卡普兰·海利恩。

2018年，Cyber 2.0在以色列举办黑客挑战赛。

传统网络防御系统弱在哪里？

“传统网络防御系统基于生物学模型，通过检测特征代码等判断某程序是否属于计算机病毒，这有些类似于新冠病毒检测。”斯奈尔告诉记者，传统网络防御系统只有在发现病毒后才会采取措施阻止该病毒在整个企业、机构、组织等网络中的传播。

斯奈尔表示，这种技术已经无法应对当前的网络安全形势。一方面，该技术只能检测并防御利用已知漏洞的病毒，不能发现基于尚未曝光的“零日漏洞”的新型病毒。而在当前，新型病毒正在以非常快的速度出现，甚至每天、每一秒都会产生。另一方面，不少计算机病毒都有关闭、移除受感染计算机网络防御系统的功能，这使其可通过受感染计算机轻易蔓延到其所属组织的整个网络。

记者了解到，近年来，在全球重大网络攻击事件中出现的计算机病毒往往都具备上述能力。例如，2021年攻陷美国输油管道系统的DarkSide勒索病毒即可利用多种漏洞获取初始访问权限，同时可卸载、删除多种安全软件。

不检测病毒怎样防病毒？

“既然传统的网络防御系统不能做到百分之百，那就一定要用新的技术路线。”埃雷兹称，在漫长职业生涯中，他一直在思考怎样研发出一种突破性技术，能够全面防御网络攻击。

根据斯奈尔和埃雷兹的介绍，Cyber 2.0的核心技术是零信任和数学混沌算法。所谓零信任是指该系统默认不信任任何程序，而是通过人工智能算法扫描计算机中的所有软件，并根据客户要求及软件安全性等情况生成一个允许使用网络资源的软件“白名单”。

所谓混沌算法技术是指，受Cyber 2.0保护的网络中的每个计算机都会安装一个“数学混沌算法引擎”。该网络中的两台计算机发生数据流通时，白名单中软件的网络流量在流出一台计算机前会被引擎使用数学混沌算法“加扰”，并需经过相同引擎逆向算法的正确“解扰”才能进入下一台计算机。白名单外的程序则不同，其网络流量并不会被“加扰”，但在流入其他计算机时却需要经过“解扰”，由于没有“加扰”，“解扰”必然失败，流量也就会被“拒收”。

斯奈尔强调，Cyber 2.0不通过检测病毒来防御病毒，而是拦截白名单外的所有程序，包括基于“零日漏洞”的最新型病毒。因此，即使某种计算机病毒成功感染了受Cyber 2.0保护的某个机构内部网络的某一台电脑，其也无法继续感染与该电脑相连的其他设备，也就无法向整个网络扩散。

记者了解到，以色列知名媒体《耶路撒冷邮报》是Cyber 2.0的客户之一，2020年，该机构遭遇某种首次出现的新型勒索病毒的攻击，病毒在成功侵入一台电脑后试图向整个机构的网络拓展，但被Cyber 2.0发现并阻断。

为何全球黑客都未攻破？

“目前，还没有人能够破解Cyber 2.0防御系统，我们研发了这套系统，都没有办法攻破它。”埃雷兹称，数学混沌算法是不可破解的，Cyber 2.0的“加扰”和“解扰”方式还会随机改变，没有规律。

那么，既然难以攻破，病毒有没有可能通过绕过或关闭受感染计算机的Cyber 2.0防御系统以实现在整个网络中的传播呢？答案是不可能。斯奈尔等人介绍，即使病毒卸载了某台计算机的Cyber 2.0，其在向整个网络的传播中仍需面临其他计算机的“数学混沌算法引擎”的“解扰”，由于没有“加扰”，“解扰”仍然会失败，传播也就不可能成功。

斯奈尔表示，从2018年至2021年，该公司已举办4届黑客挑战赛，前两次分别在以色列和美国举行，后两次在线上进行，包括全球顶尖网络部队成员在内、来自30多个国家的5500多名黑客参与了挑战赛，共实施了数百万次网络攻击，没有一次成功攻破Cyber 2.0。今年6月，该公司计划在印度举办第五届挑战赛。

斯奈尔告诉记者，网络攻击主要通过病毒在目标组织网络中的传播造成危害，Cyber 2.0是全球唯一能够全面防御包括未知病毒在内的所有病毒传播的颠覆性技术，已在以色列各大水处理厂和部分政府机构中得到广泛应用，成功防御多次大型网络攻击。目前，该公司正在研究将该技术用于智能汽车、飞机、船舶等交通工具及手机等移动设备的网络防御中。

知识扩展：

黑客利用WPS Office漏洞注入后门

黑客利用WPS Office漏洞在目标系统中注入后门。

Avast研究人员发现有黑客利用WPS Office漏洞在目标系统中注入后门。

CVE-2022-24934——WPS office漏洞

WPS Office是一个跨平台的office套件，安装量超过12亿。用户主要分布在中国和中国香港地区，是第一个支持中文语言word处理工具。CVE-2022-24934是WPS Office更新工具中的一个安全漏洞。

要利用该漏洞，需要修改HKEY_CURRENT_USER下的一个注册表，攻击者完成这一操作后可以在系统上实现驻留，控制更新过程。建立与C2服务器通信连接，取回payload，并在被黑的机器上运行代码。

利用WPS漏洞实现恶意软件部署

Avast已经向WPS通知了该任意代码执行漏洞，厂商也发布了补丁，但并不是所有用户都应用该补丁对系统进行了修复。

工具集

在攻击活动中，黑客还使用了大量的攻击工具。

注入被入侵系统的第一阶段payload是一个DLL后门和一个释放器，DLL后门的作用是用于建立C2通信，释放器的目的是实现系统中的权限提升，并取回8个第二阶段payload以实现不同的功能。

Proto8是第二阶段的核心模块，加载到系统后会执行以下操作：

执行初始化检查和建立绕过机制；

模块自更新、加载配置文件和设置工作目录；

收集用户名、DNS、NetBios计算机名、操作系统、架构等信息；

验证硬编码的C2地址，并尝试连接到攻击者控制的服务器。

Proto8进行自升级和设置

以上步骤完成后，该核心模块就会等待远程服务器的命令，服务器发送的命令主要有：

发送收集的数据到C2服务器；

找出所有远程桌面会话的用户名、域名、和计算机名；

枚举根磁盘；

枚举文件、找出访问和创建的详细情况；

创建一个含有被窃的、复制的token的进程；

重命名文件；

删除文件；

创建目录；

通过API函数发送错误代码；

枚举特定文件夹的文件；

上传文件到C2服务器；

创建一个目录，保存从C2下载的文件。

Proto8还有一个插件加载系统，用来提供与驻留、UAC绕过、提供后门能力、绕过能相关的功能。

其中一个插件会操作注册表来创建一个新的用户，然后使用该新账户在没有admin密码的情况下建立与该机器的RDP连接。该插件启用了匿名SID，允许Null Session用户访问共享的网络文件夹，禁用admin许可来使所有的APP都能以完全权限运行。

来源：科技日报胡定坤、Cyber 2.0公司 ang010ela 嘶吼专业版