、病毒分類
1、蠕蟲病毒(worm)
文件夾蠕蟲、網(wǎng)絡(luò)蠕蟲、郵件蠕蟲等,主要特點(diǎn)是具有很強(qiáng)的傳播性
2、挖礦病毒(CoinMiner/XMiner)
利用被感染主機(jī)進(jìn)行挖礦,占用主機(jī)資源,近幾年十分流行,通常與僵尸網(wǎng)絡(luò)搭配
3、木馬病毒(Trojan/Backdoor)
木馬、后門等主要是為了獲得主機(jī)的控制權(quán)限,竊取信息,執(zhí)行C&C端的功能指令等
4、感染型病毒(Virus)
主要行為是感染文件,常見家族有Sality、Ramnit、Virut等
5、宏病毒(W200M/X97M/OMacro)
文檔類,啟用宏功能后執(zhí)行宏代碼,通常為一個(gè)DownLoader,下載執(zhí)行其他惡意軟件
6、勒索病毒(Ransom)
加密文件,勒索贖金
理解上,僵尸網(wǎng)絡(luò):是由大量中了木馬病毒的主機(jī)組成,不特定單一主機(jī)中了僵尸網(wǎng)絡(luò)病毒。
感染型病毒和蠕蟲病毒:都具有擴(kuò)散性,但感染型病毒只是在同臺主機(jī)的不同文件間擴(kuò)散;而蠕蟲病毒是在不同主機(jī)間擴(kuò)散,范圍不一樣。
勒索病毒:其實(shí)可以算是影響比較大的感染型病毒,也會(huì)感染文件,但它感染程度更惡劣,破壞文件。
宏病毒:比較類似木馬病毒,用來執(zhí)行指令,或者下載文件等。
二、進(jìn)程排查
病毒的存在形式是多樣的,可能是獨(dú)立運(yùn)行的進(jìn)程,也可能是將動(dòng)態(tài)庫或惡意代碼注入到系統(tǒng)進(jìn)程、應(yīng)用進(jìn)程中運(yùn)行。這里,粗略分為三種,即獨(dú)立進(jìn)程模塊、動(dòng)態(tài)庫模塊、隱藏模塊。
1、獨(dú)立進(jìn)程塊
這是最簡單的一種形式,即病毒是獨(dú)立可執(zhí)行文件,以獨(dú)立進(jìn)程在運(yùn)行。這類進(jìn)程通常要么進(jìn)程名隨機(jī),要么偽裝成與系統(tǒng)進(jìn)程相似的名字,或者名字與系統(tǒng)進(jìn)程完全一樣,但文件位置完全不是系統(tǒng)默認(rèn)的正常路徑。以某中毒主機(jī)為例,打開任務(wù)管理器后觀察如下:病毒進(jìn)程名為svch0st.exe,而系統(tǒng)進(jìn)程為svchost.exe。
遇到這種,我們可以使用PCHunter對所有進(jìn)程文件校驗(yàn)簽名,檢查無簽名或簽名可疑的進(jìn)程。
或者使用微軟提供的procexp,他支持自動(dòng)上傳進(jìn)程文件至virustotal
2、動(dòng)態(tài)庫模塊
病毒也可能以動(dòng)態(tài)庫的方式注入到系統(tǒng)進(jìn)程或應(yīng)用進(jìn)程中去。如下圖所示,客戶某一中毒主機(jī),我們使用PCHunter工具觀察到病毒體sdbot.dll模塊注入到系統(tǒng)進(jìn)程explorer.exe進(jìn)程中,并且對該進(jìn)程掛了應(yīng)用層鉤子,包括IAT、EAT和inline等類型的鉤子。
同上,可以使用PCHUNTER校驗(yàn)?zāi)硞€(gè)進(jìn)程的dll文件做快速判斷。
同時(shí)也可以使用procexp自動(dòng)上傳某個(gè)進(jìn)程的dll至virustotal
如果已知病毒dll,需要找到對應(yīng)的進(jìn)程,可以使用如下命令。或者使用以上工具搜索所有進(jìn)程的dll
tasklist /m xxx.dll |
3、隱藏模塊
隱藏模塊往往也是動(dòng)態(tài)庫模塊,但它肉眼觀察不到(Windows系統(tǒng)工具看不到,PCHunter等工具也看不到),是很隱蔽的一種手段,屬于難查難殺的類型。
譬如,在某客戶主機(jī)上,我們懷疑svchost.exe進(jìn)程有問題(進(jìn)程有問題并不代表進(jìn)程對應(yīng)的文件有問題,這一點(diǎn)一定要區(qū)分好),但我們使用系統(tǒng)工具和PCHunter等等工具均查看不到任何異常模塊。至此,懷疑有隱藏模塊,祭出特殊工具dump出該svchost.exe的所有模塊空間(按模塊分割成獨(dú)立文件),觀察到有隱藏的模塊:
svchost_exe_PID384_hiddenmodule_2560000_x86.exe就是隱藏在svchost.exe進(jìn)程中的模塊
注:此特殊工具會(huì)將隱藏模塊文件名加上“hiddenmodule”字眼
可使用微軟的procdump工具pd64.exx -pid [PID]
4、進(jìn)程內(nèi)存字符串
在網(wǎng)絡(luò)端檢測出某個(gè)惡意域名或 IP 后,可以在所有系統(tǒng)進(jìn)程中搜索該域名,幫助定位發(fā)起域名連接的進(jìn)程,從而定位病毒文件。
深信服SfabAntiBot即可對內(nèi)存進(jìn)行掃描
需要注意的是上面掃描是對進(jìn)程所有內(nèi)存進(jìn)行掃描,一個(gè)是會(huì)比較卡,并且同樣會(huì)掃描到代碼段,這樣可能會(huì)有誤判,把代碼當(dāng)成域名字符串。
所以需要結(jié)合process hacker等工具查看指定進(jìn)程內(nèi)存是否確實(shí)存在指定字符串信息。
三、網(wǎng)絡(luò)行為排查
威脅情報(bào)等輔助網(wǎng)站
1、 https://www.virustotal.com/ , 國外知名安全站點(diǎn),可能需翻墻,可查詢文件MD5、IP、域名、URL是否惡意,也可上傳文件進(jìn)行病毒掃描。
2、 https://x.threatbook.cn/ , 國內(nèi)威脅情報(bào)站點(diǎn),可查詢文件MD5、IP、域名、URL是否惡意,也可上傳文件進(jìn)行病毒掃描。
3、 http://beian.cndns.com/,國內(nèi)站點(diǎn)備案查詢,所有有企業(yè)備案的國內(nèi)站點(diǎn)可認(rèn)為是可信站點(diǎn)。
4、 http://www.alexa.com/,全球站點(diǎn)排行查詢,top100萬的站點(diǎn)可認(rèn)為是可信站點(diǎn)(國外站點(diǎn)沒有備案這一說法)。
5、 Google與Baidu等搜索引擎,輸入文件MD5/IP/域名,有時(shí)候可以查詢到對應(yīng)病毒信息。
網(wǎng)絡(luò)連接查看命令
netstat -ano |
Process Hacker 查看網(wǎng)絡(luò)連接,出現(xiàn)綠色的連接表示新增,紅色的連接表示斷開的。
四、文件排查
1、臨時(shí)目錄排查
黑客往往可能將病毒放在臨時(shí)目錄(tmp/temp),或者將病毒相關(guān)文件釋放到臨時(shí)目錄,因此需要檢查臨時(shí)目錄是否存在異常文件。
假設(shè)系統(tǒng)盤在C盤,則通常情況下的臨時(shí)目錄如下:
C:\Users\[用戶名]\Local Settings\Temp
C:\Documents and Settings\[用戶名]\Local Settings\Temp
C:\Users\[用戶名]\桌面
C:\Documents and Settings\[用戶名]\桌面
C:\Users\[用戶名]\Local Settings\Temporary InternetFiles
C:\Documents and Settings\[用戶名]\Local Settings\Temporary InternetFiles
2、瀏覽器相關(guān)文件排查
黑客可能通過瀏覽器下載惡意文件,或者盜取用戶信息,因此需要檢查下瀏覽器的歷史訪問記錄、文件下載記錄、cookie信息,對應(yīng)相關(guān)文件目錄如下:
C:\Users\[用戶名]\Cookies
C:\Documents and Settings\[用戶名]\Cookies
C:\Users\[用戶名]\Local Settings\History
C:\Documents and Settings\[用戶名]\Local Settings\History
C:\Users\[用戶名]\Local Settings\Temporary InternetFiles
C:\Documents and Settings\[用戶名]\Local Settings\Temporary InternetFiles
3、最新打開文件排查
檢查下最近打開了哪些文件,可疑文件有可能就在最近打開的文件中,打開以下目錄或者運(yùn)行中輸入recent即可看到:
C:\Users\[用戶名]\Recent
C:\Documents and Settings\[用戶名]\Recent
4、文件時(shí)間排查
可以根據(jù)文件夾內(nèi)文件列表時(shí)間進(jìn)行排序,查找可疑文件。一般情況下,修改時(shí)間離現(xiàn)象發(fā)現(xiàn)時(shí)間越近的文件越可疑。當(dāng)然,黑客也有可能修改”修改日期“,但遇到很少。
用everything對所有exe文件排序,查找現(xiàn)象時(shí)間段內(nèi)創(chuàng)建和修改的文件。
5、其他重要目錄排查
System32也是常見的病毒釋放目錄,因此也要檢查下該目錄。hosts文件是系統(tǒng)配置文件,用于本地DNS查詢的域名設(shè)置,可以強(qiáng)制將某個(gè)域名對應(yīng)到某個(gè)IP上,因此需要檢查hosts文件有沒有被黑客惡意篡改。
C:\Windows\System32
C:\Windows\System32\drivers\hosts
五、遠(yuǎn)程登錄排查
系統(tǒng)產(chǎn)生的日志默認(rèn)分為三類:應(yīng)用程序日志、安全性日志、系統(tǒng)日志
這些日志以evt文件形式存儲在%systemroot%\system32\config目錄下,使用日志查看器可查看這些日志(開始 – 運(yùn)行 –eventvwr)
1、RDP遠(yuǎn)程登錄
RDP登錄日志位于windows安全日志中,登錄類型為10,該日志記錄了此主機(jī)上的所有登錄行為。
審計(jì)RDP登錄日志的目的是為了發(fā)現(xiàn)可疑登錄記錄,包括:
1.是否有異常的沒有登錄成功的審計(jì)事件,比如RDP爆破登錄;
2.是否有成功登錄的不明帳號記錄;
3.是否有異常IP的登錄事件,比如IP非此主機(jī)用戶常用IP;
4.是否有異常時(shí)間的登錄事件,比如凌晨2點(diǎn)遠(yuǎn)程登錄主機(jī);
注意:有時(shí)候登錄記錄會(huì)十分多,分析起來難度大,因此我們可以根據(jù)前期收集到的信息來幫助我們縮小審計(jì)范圍,比如異常現(xiàn)象發(fā)生的時(shí)間,惡意文件創(chuàng)建的時(shí)間等,可在這類時(shí)間點(diǎn)附近查找異常的登錄記錄。
操作系統(tǒng) | 事件ID | 登錄類型 | 說明 |
Xp/2003 | 528 | 10 | RDP遠(yuǎn)程登錄成功 |
Xp/2003 | 529 | 10 | RDP遠(yuǎn)程登錄失敗 |
2008/2012/2016/win7/win8/win10 | 4624 | 10 | RDP遠(yuǎn)程登錄成功 |
2008/2012/2016/win7/win8/win10 | 4625 | 10 | RDP遠(yuǎn)程登錄失敗 |
應(yīng)用程序和服務(wù)日志 -> Microsoft -> Windows ->TerminalServices-RemoteConnectionManager->Operational,事件ID 1149為RDP登錄成功日志,會(huì)記錄源IP和用戶。
查看本機(jī)登錄過的IP:
打開注冊表,打開此路徑:HKCU\Software\Microsoft\Terminal ServerClient。
選中Default可以看到連接過的IP。
選中Servers -> [IP]可以查看登陸名。
2、SMB遠(yuǎn)程登錄
共享目錄登錄記錄位于windows安全日志中,登錄類型為3,常見的基于共享目錄的攻擊行為是IPC爆破,若爆破成功,攻擊者可以將受攻擊主機(jī)的磁盤文件映射到本地,造成信息泄露。同時(shí),共享目錄可作為傳輸惡意文件的途徑之一,了解共享目錄的訪問情況可以幫助我們了解攻擊者的攻擊方法。
操作系統(tǒng) | 事件ID | 登錄類型 | 說明 |
Xp/2003 | 540 | 3 | SMB遠(yuǎn)程登錄成功 |
2008/2012/2016/win7/win8/win10 | 529 | 3 | SMB遠(yuǎn)程登錄失敗 |
2008/2012/2016/win7/win8/win10 | 4624 | 3 | SMB遠(yuǎn)程登錄成功 |
2008/2012/2016/win7/win8/win10 | 4625 | 3 | SMB遠(yuǎn)程登錄失敗 |
六、啟動(dòng)項(xiàng)排查
黑客為了保持病毒能夠開機(jī)啟動(dòng)、登錄啟動(dòng)或者定時(shí)啟動(dòng),通常會(huì)有相應(yīng)的啟動(dòng)項(xiàng),因此有必要找出異常啟動(dòng)項(xiàng),并刪除之。啟動(dòng)項(xiàng)的排查,這里引入一個(gè)非常好用的工具,工具名字Autoruns(官網(wǎng)www.sysinternals.com)。
1、自啟動(dòng)項(xiàng)
autoruns查看
注冊表查看
永久啟動(dòng)項(xiàng)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
一次性啟動(dòng)項(xiàng),下次啟動(dòng)會(huì)自動(dòng)刪除
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
32位程序啟動(dòng)項(xiàng)
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
通過以下路徑放置程序也可以自啟動(dòng)程序
%appdata%\Microsoft\Windows\Start Menu\Programs\Startup
2、任務(wù)計(jì)劃
autoruns查看
微軟自帶工具
taskschd.msc可啟動(dòng)系統(tǒng)自帶任務(wù)計(jì)劃程序,可以查看任務(wù)計(jì)劃具體操作,顯示所有正在運(yùn)行的任務(wù),并且可以開啟任務(wù)歷史記錄。
注冊表查看
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tree
有些任務(wù)計(jì)劃做了隱藏可通過注冊表查看,這里任務(wù)計(jì)劃只有名稱,如果想知道任務(wù)計(jì)劃執(zhí)行內(nèi)容,可以結(jié)合任務(wù)計(jì)劃歷史記錄日志看判斷。
服務(wù)排查
通過tasklist /svc,可以查看每個(gè)進(jìn)程所對應(yīng)的PID和服務(wù)
使用autoruns查看
注冊表查看
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services存儲著所有的服務(wù)啟動(dòng)項(xiàng)
七、賬戶排查
查看用戶最后一次登錄,修改密碼時(shí)間,以及賬戶是否啟動(dòng)。
net user xxx |
通過PCHunter等工具可以查看隱藏用戶,如添加$符號的隱藏賬號,以及克隆賬號。
八、宏病毒分析處置
現(xiàn)象:
EDR等殺軟報(bào)宏病毒,病毒名提示類似于W97M、VBA、MSWor、Macro。
分析過程:
根據(jù)文件后綴其實(shí)就能看出,該word文檔是帶有宏代碼的,m即為macro。
為了分析腳本內(nèi)容,打開文件就會(huì)觸發(fā)腳本運(yùn)行,但如果禁用宏的話,打開文檔是看不到腳本內(nèi)容的。為了以靜態(tài)方式提取樣本,這里會(huì)使用到一個(gè)分析程序oledump.py(https://github.com/decalage2/oledump-contrib)
oledump.py是一個(gè)用于分析OLE文件(復(fù)合文件二進(jìn)制格式)的程序,而word、excel、ppt等文檔是OLE格式文件的,可以用它來提取宏代碼。
先進(jìn)行文件基礎(chǔ)分析,可以看到A3這段數(shù)據(jù)被標(biāo)記為“M”,“M”即表示Macro,說明這段數(shù)據(jù)是帶有VBA代碼的。
python oledump.py SSL.docm
接下來我們就需要將這段VBA代碼提取出來,執(zhí)行以下命令,可以看到VBA代碼就被提取出來了。我們把他重定向到一個(gè)文件里即可。
python oledump.py -s A3 -v SSL.docm
這段代碼其實(shí)比較簡單。
1.先判斷操作系統(tǒng)位數(shù)設(shè)置不同路徑的rundll32.exe,然后通過CreateProcessA啟動(dòng)rundll32.exe。
2.通過VirtualAllocEx在rundll32進(jìn)程里申請一段內(nèi)存空間。
3.通過WriteProcessMemory將myArray數(shù)組的內(nèi)容,按字節(jié)寫入到剛才申請的內(nèi)存空間。
4.通過CreateRemoteThread在rundll32進(jìn)程創(chuàng)建遠(yuǎn)程線程,入口點(diǎn)為剛才申請的內(nèi)存空間首地址,并啟動(dòng)該線程。
綜上所述,該代碼為遠(yuǎn)程注入惡意代碼到其他進(jìn)程,可以判斷為病毒。
九、勒索病毒
勒索病毒特征
1、文件被加密成統(tǒng)一后綴,無法使用。
2、桌面存在勒索信息文件,或勒索信息背景。
勒索信息文件里的一串二進(jìn)制字符串,實(shí)際上是加密密鑰,但它被其他算法又加密了一層。
加密原理
1.常見的勒索病毒加密算法為RSA+AES。
2.勒索病毒運(yùn)行時(shí)會(huì)隨機(jī)生成一串AES密鑰,用該密鑰來加密文件,加密結(jié)束后,使用RSA公鑰對AES密鑰進(jìn)行加密,保存在本地。
3.解密需要病毒開發(fā)者提供RSA私鑰,解密本地AES密鑰文件,從而得到AES密鑰來解密系統(tǒng)數(shù)據(jù)。
所以別寄希望于逆向分析來解密
十、sysmon監(jiān)控
sysmon為windows提供了更強(qiáng)大的監(jiān)控功能,但遺憾的是sysmon只支持2008以后的系統(tǒng)。
sysmon安裝推薦xml文件下載鏈接
https://github.com/SwiftOnSecurity/sysmon-config
最常用的安裝方式
sysmon.exe -accepteula -i -n |
但上述方式不支持DNS記錄,而且日志量會(huì)過大。
推薦安裝命令,使用上述git里的配置,可支持DNS記錄,并且可自行修改過濾器,記錄自己需要的。
Sysmon64.exe -accepteula -i z-AlphaVersion.xml |
卸載
sysmon.exe -u |
日志通過事件查看器查看,因?yàn)閟ysmon的日志是以evtx格式存儲的。
具體事件路徑為
應(yīng)用程序和服務(wù)日志-Microsoft-Windows-Sysmon-Operational
如下圖所示,或者你直接去C盤指定路徑查文件也行
如同windows自帶的系統(tǒng)日志,安全日志有事件ID一樣,sysmon日志也有對應(yīng)的事件ID,最新版本支持23種事件。
Event ID 1: Process creation
Event ID 2: A process changed a file creation time
Event ID 3: Network connection
Event ID 4: Sysmon service state changed
Event ID 5: Process terminated
Event ID 6: Driver loaded
Event ID 7: Image loaded
Event ID 8: CreateRemoteThread
Event ID 9: RawAccessRead
Event ID 10: ProcessAccess
Event ID 11: FileCreate
Event ID 12: RegistryEvent (Object create and delete)
Event ID 13: RegistryEvent (Value Set)
Event ID 14: RegistryEvent (Key and Value Rename)
Event ID 15: FileCreateStreamHash
Event ID 17: PipeEvent (Pipe Created)
Event ID 18: PipeEvent (Pipe Connected)
Event ID 19: WmiEvent (WmiEventFilter activity detected)
Event ID 20: WmiEvent (WmiEventConsumer activity detected)
Event ID 21: WmiEvent (WmiEventConsumerToFilter activity detected)
Event ID 22: DNSEvent (DNS query)
Event ID 255: Error
案例
常用的有事件ID 1,監(jiān)控進(jìn)程創(chuàng)建,惡意進(jìn)程的創(chuàng)建,包括他的父進(jìn)程,PID,執(zhí)行命令等等。
之前遇到過一起,開啟會(huì)自動(dòng)運(yùn)行powershell,但查了啟動(dòng)項(xiàng),任務(wù)計(jì)劃,wmi都沒發(fā)現(xiàn)痕跡,苦苦無解,然后使用sysmon監(jiān)控進(jìn)程創(chuàng)建,最終定位是誰拉起了powershell,往上溯源找到是一個(gè)偽造成正常程序圖標(biāo)和后綴的link文件,存放在Startup目錄下,鏈接到存放在另一處的vbs腳本。
下圖即為進(jìn)程創(chuàng)建監(jiān)控日志,可以看到幾個(gè)關(guān)鍵點(diǎn),創(chuàng)建的進(jìn)程,命令行,以及父進(jìn)程
事件ID3,監(jiān)控網(wǎng)絡(luò)連接,當(dāng)惡意程序外連CC服務(wù)器或者礦池等操作的時(shí)候,可以監(jiān)控到是哪個(gè)進(jìn)程發(fā)起的連接。這邊也舉個(gè)例子,之前遇到一種病毒,當(dāng)你去用進(jìn)程管理器或分析工具去查看時(shí),該病毒會(huì)自動(dòng)退出,防止被檢測到,并且隨機(jī)一段時(shí)間重啟,但態(tài)勢感知上發(fā)現(xiàn)確實(shí)有挖礦行為,使用sysmon監(jiān)控,當(dāng)他不定時(shí)運(yùn)行時(shí),即可捕捉到他連接礦池的行為,從而定位到進(jìn)程。
下圖為網(wǎng)絡(luò)連接監(jiān)控日志,可以看到網(wǎng)絡(luò)連接的五元組,和對應(yīng)的進(jìn)程。
事件ID22,是這次重磅推出的新功能,DNS查詢記錄,這功能讓應(yīng)急響應(yīng)人員可以很輕松的通過域名定位到進(jìn)程,并且你即使開啟了dnscache服務(wù),也能定位到原先進(jìn)程。dnscache是一個(gè)緩存服務(wù),簡單來講,就是會(huì)代理其他進(jìn)程進(jìn)行dns解析,并且會(huì)緩存解析結(jié)果,下一次解析就不再發(fā)送請求,讀取緩存內(nèi)容返回給指定程序即可。所以大家使用內(nèi)存掃描工具,可能會(huì)定位到dnscache服務(wù)進(jìn)程。
在監(jiān)測設(shè)備上發(fā)現(xiàn)可疑域名解析時(shí),通過這個(gè)功能,可以輕松定位到發(fā)起解析的進(jìn)程,從而進(jìn)一步分析進(jìn)程文件是否確實(shí)有問題。
如下圖所示,為dns查詢?nèi)罩荆瑫?huì)記錄解析域名和結(jié)果,以及對應(yīng)的進(jìn)程PID和路徑。
專家個(gè)人簡介
在上一期文章《華為勒索攻擊防御的四層防護(hù)網(wǎng)之邊界入侵防線》中,我們對勒索攻擊常見的入侵方式進(jìn)行了介紹,入侵是網(wǎng)絡(luò)攻擊的前奏,入侵成功后,攻擊者會(huì)執(zhí)行真正的惡意勒索行為。在這個(gè)時(shí)候,勒索病毒文件就成了主要的攻擊載體,這一步也是攻擊環(huán)節(jié)中最重要的一步,攻擊者運(yùn)用開發(fā)的勒索病毒文件執(zhí)行真正的惡意勒索行為,對客戶資產(chǎn)造成直接的勒索、破壞。我們可以看到,從2013年起,勒索病毒發(fā)展迅速,新的勒索家族不斷出現(xiàn),加密、攻擊的手段也在逐步對抗升級。對于防護(hù)方來說,如何有效的跟蹤、對抗和防護(hù)勒索病毒文件,一方面不僅能夠防護(hù)住已知的勒索病毒,同時(shí)還能夠有效防護(hù)最新的勒索病毒,是要解決的關(guān)鍵問題,本期我們就重點(diǎn)看一下華為對于勒索病毒文件是如何進(jìn)行防御的。
我們以一個(gè)典型的中小型企業(yè)網(wǎng)場景為例,如下圖所示,勒索病毒文件的防護(hù)技術(shù)主要由3部分組成,分別是CDE(Content-based Detection Engine)病毒檢測引擎、HIPS(Host Intrusion Prevent System)與云端沙箱。其中,CDE病毒檢測引擎主要部署在企業(yè)網(wǎng)絡(luò)邊界的防火墻產(chǎn)品中,同時(shí)也部署在辦公網(wǎng)絡(luò)或數(shù)據(jù)中心的終端EDR產(chǎn)品中,提供億級海量病毒的防護(hù)能力;HIPS則主要部署在終端EDR產(chǎn)品中,提供基于動(dòng)態(tài)行為的實(shí)時(shí)防護(hù)能力;云沙箱則主要作為云服務(wù),在云端提供對可疑或未知文件的高級威脅分析、檢測能力。
華為通過云、網(wǎng)、端各類安全產(chǎn)品做協(xié)同、聯(lián)動(dòng),構(gòu)建針對勒索病毒文件的立體防護(hù)體系,準(zhǔn)確性達(dá)99%以上,如下圖所示:
1.通過網(wǎng)關(guān)的網(wǎng)絡(luò)防病毒在文件傳輸階段防護(hù)勒索病毒文件
2.通過EDR的主機(jī)防病毒在文件的落盤階段防護(hù)勒索病毒文件
3.通過EDR的主機(jī)HIPS在文件的執(zhí)行階段防護(hù)勒索病毒文件
4.通過云沙箱在文件的深度隱藏、對抗階段防護(hù)勒索病毒文件
接下來我們具體介紹下這3類技術(shù)是如何工作的。
1CDE病毒檢測引擎
CDE病毒檢測引擎主要在病毒傳輸和病毒落盤階段進(jìn)行防護(hù),主要是針對性檢測已知勒索病毒,并具備一定的未知勒索病毒檢測能力,支持防護(hù)包括勒索、挖礦、木馬、僵尸、后門、漏洞利用、蠕蟲、病毒、黑客工具、灰色軟件、惡意廣告等各類惡意家族病毒。當(dāng)客戶終端被攻擊下載勒索病毒文件時(shí),邊界防火墻的CDE病毒檢測引擎就會(huì)分析流量中傳輸?shù)牟《疚募M(jìn)行實(shí)時(shí)防護(hù);當(dāng)勒索病毒通過加密協(xié)議傳輸?shù)仁侄翁舆^了邊界的檢測,那么勒索病毒在終端落盤時(shí),終端EDR中的CDE病毒檢測引擎也會(huì)對勒索病毒進(jìn)行實(shí)時(shí)的防護(hù)。
CDE病毒檢測引擎主要由文件類型識別、內(nèi)容深度分析以及病毒掃描引擎組成,主要原理如下圖所示。
各模塊的主要功能是:
2HIPS
HIPS主要在病毒運(yùn)行階段,對終端主機(jī)進(jìn)行防護(hù)。相較于CDE病毒檢測引擎的已知勒索病毒檢測能力,HIPS更針對于檢測未知的勒索病毒,通過對關(guān)鍵系統(tǒng)行為的實(shí)時(shí)分析,盡早阻斷勒索病毒的惡意行為。當(dāng)勒索病毒文件在傳輸和落盤階段繞過防火墻和主機(jī)CDE病毒檢測引擎的防護(hù)時(shí),HIPS就會(huì)在病毒的執(zhí)行階段進(jìn)行防護(hù),HIPS會(huì)實(shí)時(shí)分析勒索病毒的每一個(gè)關(guān)鍵系統(tǒng)行為,包括對文件、網(wǎng)絡(luò)、注冊表、API、系統(tǒng)等方面的關(guān)鍵操作,一旦發(fā)現(xiàn)有勒索相關(guān)惡意動(dòng)作,就會(huì)立即實(shí)時(shí)阻斷勒索病毒的后續(xù)執(zhí)行過程,將勒索的危害降到最低。
HIPS由引擎和威脅行為庫兩部分組成,其基本原理如下圖所示,即,引擎負(fù)責(zé)在微秒級別內(nèi)極速、實(shí)時(shí)的分析每條系統(tǒng)關(guān)鍵行為,并配合集成了豐富華為安全專家知識的勒索威脅行為庫,即時(shí)的發(fā)現(xiàn)勒索相關(guān)的各類惡意行為。
HIPS同時(shí)也會(huì)聯(lián)動(dòng)華為云端安全智能中心,持續(xù)更新最新的專家勒索防護(hù)經(jīng)驗(yàn)。
3云沙箱
當(dāng)勒索病毒文件運(yùn)用了對抗、潛伏或隱藏手段逃過各類防護(hù)手段,云沙箱就會(huì)發(fā)揮重要的分析、檢測作用。作為對抗高級威脅APT(Advanced Persistent Threat)的專屬產(chǎn)品,云沙箱對可疑、未知的文件進(jìn)行深度分析,判定是否惡意、提供具體惡意行為,并聯(lián)動(dòng)全網(wǎng)安全產(chǎn)品有效防護(hù)高級未知威脅。云沙箱的檢測原理如下圖所示。
云沙箱集成了多級、全量的華為惡意文件分析、檢測能力,包括海量威脅信息、靜態(tài)檢測、動(dòng)態(tài)檢測以及綜合威脅分析能力,支持50+文件類型檢測。云沙箱通過云端的Windows XP、Windows 7、Windows10等執(zhí)行環(huán)境,動(dòng)態(tài)運(yùn)行分析可疑文件,細(xì)顆粒度地監(jiān)控惡意文件API、內(nèi)存、進(jìn)程、文件、通信等操作,使用豐富的防逃逸技術(shù)充分觸發(fā)深度隱藏的惡意行為,并最終給出惡意文件具體的病毒類型、惡意行為、上下文關(guān)聯(lián)威脅信息。
結(jié)束語
勒索病毒在不斷演進(jìn),但萬變不離其宗,華為通過在惡意文件傳輸、落盤、執(zhí)行、對抗隱藏的各個(gè)關(guān)鍵環(huán)節(jié)部署全面的專有防護(hù)手段,并通過全網(wǎng)聯(lián)動(dòng),7*24小時(shí)協(xié)同防護(hù)已知、未知的勒索病毒。