智甲如何實現(xiàn)端點側細粒度防御與處置

威脅框架：細粒度對抗威脅框架：細粒度對抗CONTENTS01細粒度防御的價值與要素02智甲細粒度防御的技術說明03總結與未來展望威脅框架：細粒度對抗威脅框架：細粒度對抗?可移動介質(zhì)復制?入侵供應鏈技術?流量加密技術的廣泛使用我們退無可退我們退無可退針對端點的攻擊技術在威脅框架中占有最高比重對ATT&CK威脅框架中攻擊技術統(tǒng)計分析可以發(fā)現(xiàn)：細粒度的攻擊技戰(zhàn)術，需要細粒度的應對威脅框架：細粒度對抗威脅框架：細粒度對抗?端點安全防護產(chǎn)品現(xiàn)狀、問題以及應對?應對問題現(xiàn)狀應對問題對主機性能產(chǎn)生影響，并且存在兼容性風險集能力弱，無法有效捕獲未知威脅；而在整個威脅框架的基礎上，將端點所有安全性整合，由統(tǒng)一平臺運營管理，響應所有端點的威脅。為實現(xiàn)這一目的，需要提高安全產(chǎn)品在威脅框架中的能力覆蓋度針對威脅框架中的各個子技術手段建立有針對性的響應策略，例如攔截高危行為、“細粒度防御與處置”????端點安全一體化防護，細粒度防御和處置是實現(xiàn)這一目標的關鍵基礎威脅框架枚舉出了攻擊者所使用的攻擊數(shù)據(jù)，而要想實現(xiàn)對各類威脅的防御或者感知，就要求安全產(chǎn)品具有足夠的覆蓋度，在主要環(huán)節(jié)、主要技術上不允許有空白，而且不僅僅是要對攻擊手段粗粒度的防御，而是要對威脅框架中的子技術也全面覆蓋威脅框架中的技術雖然可被攻擊者利用，但這并威脅框架中的技術雖然可被攻擊者利用，但這并不能說使用該種技術就一定是攻擊行為，如果采進行攔截，對敏感行為（例如“執(zhí)行-利用系統(tǒng)服針對不同環(huán)境、不同的防御需求針對不同環(huán)境、不同的防御需求，產(chǎn)品應能提供不同的防御能力，這需要安全產(chǎn)品可進行細粒度的運維，例如不同防御點是否啟用，響應方式如何等，管理人員都可以針對具體場景按需配置，并且支持與SOAR等系統(tǒng)的聯(lián)動。威脅框架：細粒度對抗威脅框架：細粒度對抗智甲產(chǎn)品能力指標廣度：智甲目前可覆蓋256項，其中默認策略為告警方式有52項，策略為僅記錄的204項深度：持久化（自啟動）和提權（進程注入）威脅框架：細粒度對抗威脅框架：細粒度對抗實戰(zhàn)案例1——WannaMine案例分析（1）化較多使用利用啟動項、利用windows服務、威脅框架：細粒度對抗威脅框架：細粒度對抗實戰(zhàn)案例1——WannaMine案例分析（2）1簽234的進程是否屬于系統(tǒng)進程或指定第三方應用程序，是直接告警，反之記錄5進程是否屬于系統(tǒng)進程或指定第三方應用程序，是直接告警，反之記錄。不調(diào)用此指6實戰(zhàn)案例1——WannaMine案例分析（3）789通過Ring0層監(jiān)控，判斷被修改的進程是否屬于系統(tǒng)進程或第三方應通過Ring0層監(jiān)控Ptrace系統(tǒng)調(diào)用，判斷被附加的進程是否屬通過Ring0層監(jiān)控，判斷被修改的進程是否屬于系統(tǒng)進程或第三方應實戰(zhàn)案例1——WannaMine案例分析（4）再以WannaMine利用的持久化技術為例，威脅框架中實現(xiàn)持久化的子技術主要包括84種，智甲目前已覆蓋50種子技術。針對常用6種技術對應的防御策略如下：1可以實時感知注冊表啟動項的創(chuàng)建和啟動目錄的文件2可以實時感知注冊表服務項的創(chuàng)建和服務的啟動，主要采取記錄方式3456威脅框架：細粒度對抗實戰(zhàn)案例1——WannaMine案例分析（5）威脅框架：細粒度對抗《六小時處置挖礦蠕蟲的內(nèi)網(wǎng)大規(guī)模感染事件》實戰(zhàn)案例2——暗云Ⅲ（1）1.“入侵供應鏈“->”入侵軟件供應鏈“子技術：捆綁下載器中的軟件和一些正常游戲客戶端；2.“操作系統(tǒng)前啟動”->“使用BootkitMBR”子技術：系統(tǒng)引導時加載惡意程序；3.“反混淆/解碼文件或信息”：在內(nèi)存中多次解密ShellCode，以躲避查殺。威脅框架：細粒度對抗威脅框架：細粒度對抗實戰(zhàn)案例2——暗云Ⅲ（2）暗云三攻擊流程為：通過捆綁游戲進程進行傳播，當用戶執(zhí)行捆綁游戲進程后，以ShellCode方式進行加載，進行各種下載解密操作，利用解密后的惡意程序修改MBR，并且注入svchost中，進行下載配置文件和腳本文件。對應ATT&CK框架中與終端有關的技術動作，只有進程注入被智甲攔截，但是在操作系統(tǒng)前啟動只作為記錄形式。威脅框架：細粒度對抗實戰(zhàn)案例2——暗云Ⅲ（3）威脅框架：細粒度對抗安天ARR(AntiyResponseRule)開放式處置規(guī)則定義ARRARR（AntiyResponseRule）的部分指令集1.創(chuàng)建注冊表項/值[Reg_Create] 2.修改注冊表項/值[Reg_Modify] 3.刪除注冊表項/值[Reg_Delete] 4.重命名注冊表項/值[Reg_Rename]5.刪除注冊表值[Reg_Delete_Value]1.創(chuàng)建計劃任務[Task_Create]2.修改計劃任務[Task_Modify]3.刪除計劃任務[Task_Delete]1.創(chuàng)建文件[File_Create]2.修改文件[File_Modify]3.刪除文件[File_Delete]4.重命名文件[File_Rename]5.修改文件屬性[File_Attribute]6.刪除文件指定內(nèi)容[File_DelText]7.MBR修復[File_repairMbr]1.創(chuàng)建進程[Proc_Create] 2.掛起/恢復進程[Proc_Modify] 3.結束進程[Proc_Terminate]4.掛起指定模塊線程[Proc_Module_Threads]1.下發(fā)bat腳本并運行[Script_Bat]2.下發(fā)shell腳本并運行[Script_Shell]3.下發(fā)vbs腳本并運行[Script_Vbs]4.下發(fā)powershell腳本并運行[Script_PWL]5.下載文件并運行[Script_File]1.外設彈出/規(guī)則[Other_Device]2.斷網(wǎng)處置[Other_NetOff]3.禁用端口[Other_Disabled_Port]3.禁用ip[Other_Disabled_Ip]4.補丁修復[Other_Fix_patch]5.創(chuàng)建互斥免疫[Other_Create_Mutex]6.創(chuàng)建掃描并自動處置[Other_QuickScan]二、計劃任務（可配自動處置規(guī)則）一、注冊表（可配自動處置規(guī)則）三、文件（可配自動處置規(guī)則）四、進程（可配自動處置規(guī)則）五、腳本六、其他安天ARR開放式處置規(guī)則定義是安天為實現(xiàn)驅動、進程等進行相關操作的動作定義，并可以執(zhí)行遍歷，特征匹配搜索等邏輯動作?？梢杂糜谔幚聿呗訟RR處置規(guī)則支持判定條件，用于觸發(fā)相應處File_Deletecondition:diskroot，全盤指定深度：alldisk_deep:1-100移動設備:udiskFile_repairMbrcondition:[判定方式],[偏移],[對比內(nèi)容][equal/Unequal],[offset:0],[31c0fa]借助SOAR和專殺工具實現(xiàn)特殊威脅處置置策略，并由智甲進行執(zhí)行。針對無法安裝智甲客戶端的主機，可以通過專殺工具實現(xiàn)威脅處置工作清除規(guī)則處置規(guī)則防御規(guī)則威脅框架：細粒度對抗威脅框架：細粒度對抗產(chǎn)品防御策略可配置、可運營威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗端點的穩(wěn)定性是第一位的優(yōu)先對高頻攻擊技術進行投入智甲細粒度防御能力建設的幾點經(jīng)驗端點的穩(wěn)定性是第一位的優(yōu)先對高頻攻擊技術進行投入3細粒度防御不是簡單的防御點堆疊加大數(shù)據(jù)采集和分析粒度，從程序身份、行為特征、關系鏈等多個更細粒度去采集程序的相關信息，建立更加豐富的情報庫參與用戶環(huán)境精細化運維，以往安全廠商的運維服務主要是系統(tǒng)升級等常規(guī)工作們認為未來安全廠商應加大用戶環(huán)境的安全運維工作，以運維服務推動產(chǎn)品優(yōu)化對于已有數(shù)據(jù)要及時更新，任何技術或者業(yè)務都是動態(tài)變化的，正常軟件也并非一直加大數(shù)據(jù)采集和分析粒度，從程序身份、行為特征、關系鏈等多個更細粒度去采集程序的相關信息，建立更加豐富的情報庫參與用戶環(huán)境精細化運維，以往安全廠商的運維服務主要是系統(tǒng)升級等常規(guī)工作們認為未來安全廠商應加大用戶環(huán)境的安全運維工作，以運維服務推動產(chǎn)品優(yōu)化對于已有數(shù)據(jù)要及時更新，任何技術或者業(yè)務都是動態(tài)變化的，正常軟件也并非一直安全而不被利用，因此要始終關注變化，及