什么是 T-Atlas

T-Atlas 顾名思义 Threat Atlas（威胁地图），把分散的威胁信息组织成可导航的地图，让“网络攻击不止要看见，还要追得下去”。

T-Atlas 作为承载 Just My Security所有内容的核心，不是“再做一个漏洞信息聚合站”，其背后是漏洞运营->威胁捕获->NDR/XDR规则运营，完整数据链路的实践。T-Atlas 以漏洞作为索引，将攻击从出现、传播、被利用、被验证、被检测到最终处置的过程，整理成一条可以判断优先级的证据链。

T-Atlas 致力于回答一连串灵魂拷问：

• NVD 一年新增 20 万个漏洞，你知道今天该先处理哪个漏洞吗？
• 你知道这个漏洞有没有在野利用吗？
• 你知道这个漏洞有 EXP 吗？
• 你知道这个漏洞是否存在漏扫规则/NDR 规则吗？
• 给你一个 path_info，你知道可能是哪个漏洞的载荷吗？

为什么做这件事？

T-Atlas 希望能让更多的攻击得到曝光，不仅帮助从业者追踪攻防全链路，更要唤起全民的安全意识。

大众安全意识淡薄

李彦宏说:“中国人更加开放，喜欢用隐私更换便利。”更深层的含义是，普通大众安全意识淡薄，个人身份证照片不打码在通讯软件传输，U 盘在打印店用过随手插回个人电脑或者企业办公网的设备，诸如此类行为比比皆是，我们很难去批判对错：人都吃不饱饭，谈什么吃的健康；大众都没见过便利是什么，谈何隐私/安全意识。

上大学的时候，对于网络安全领域，我也有过稚嫩的疑问：“是不是只要病毒木马不在互联网上传播，只在内网环境中传播，就无敌了？内网完全没有隐私可言了，完全是养蛊的修罗场？”。当时唯一一条沾边的评论可能想说我们访问网页有类似 TLS 之类的加密，不过其实没有答到点上。现在我当然可以从容的回答：“从我当时的描述来看，当时确实有一些思考，也许是想问内网会面临什么威胁、针对这些威胁有什么防护措施。其实高校每年会花重金在网络安全上，这其中当然包括对内网的安全防护。内网中的威胁也不止木马、病毒，但是仅就内网中的木马、病毒而言，除了杀毒软件，校园网内 IDS、IPS、WAF 之类的安全产品，能在一定程度上对木马、病毒的网络行为、通信特征进行识别，进而实现防护。最后，问题中的安全服务器，可能是想说堡垒机。”

即使身为网络安全的从业者，从业前，我甚至连自己想问什么问题都问不明白，又怎能要求大众去关注这些问题呢？又有谁能解答这些问题呢？当然了，虽然安全意识的普及是一场持久战，但这不是在网络中裸泳的借口，网络攻击不会因为你是大众就放过你。请阅读这段文字的各位回想一下，上次你在媒体上看到网络安全的相关宣教是什么时候？对我而言，似乎除了多年前听说过什么“灰鸽子”、“熊猫烧香”之类的病毒，实在是想不起太多，反而“现在网络上没有什么病毒了、没必要安装杀毒软件了”之类的言论甚嚣尘上，似乎只有不懂电脑的人才担心网络安全，真正懂行的人都在“裸奔”，事实真是这样吗？

网络攻击得不到曝光

除了从事威胁捕获、安全运营等方向的网络安全专家，当被问及诸如「你了解此时此刻网络中的有哪些攻击吗？这些攻击是由谁发起的？目标是谁？有什么目的」的问题时，也很难给出准确的答案，这是网络安全行业面临的一个现状——安全事故/安全事件缺少统一的曝光、披露出口。

引用老东家领导的一条朋友圈：

网络安全对于企业/开发者而言，不直接产生经济效益，很难得到重视。大公司有 CXO 兜底尚且如此，中小公司/个人开发者就更难给网络安全足够的预算，在大海里裸泳成了常态，对水下的危险只能掩耳盗铃，束手无策。

虽然国内外有一些专业的研究团队在研究公网上的攻击态势（事实上有很多优秀的团队也已经解散了），但更多针对政府、企业，威胁捕获本身需要巨大的投入，大多数普通消费者连杀毒软件都不愿意付钱，企业自然没有动力投入过多资源。但针对消费级电子产品、开源组件的攻击，不会因为没有被披露就消失，反而十分疯狂。下列截图是 T-Hunt 蜜罐节点上，黑客利用 CVE-2023-1389 漏洞，攻击一款消费级路由器的日志，简单来说，攻击者利用这个 RCE 漏洞，调用路由器上的 wget 命令下载 downloader（把它当成病毒好了，它会自动执行一系列的命令，最终你的设备就变成了所谓的「僵尸主机」），虽然只列出两条日志，实际的分析过程也不会这么草率，但是可以“管中窥豹”：

• 针对这个路由器的攻击不止在 80 端口（改端口有用，但也没那么有用），针对其他设备也是。
• 不止一台僵尸主机在全网攻击这款路由器，其他设备（路由器、NAS、摄像头）也是。

也许还会有人质疑，王婆卖瓜，自卖自夸，“你是否在夸大实际面临的网络安全问题？”

• 某论坛，关于 qbittorrent webUI被攻击的求助

• 某论坛，关于公网暴露的 webdav被攻击的求助