專殺工具在應急響應服務中的價值

威脅框架：細粒度對抗威脅框架：細粒度對抗CONTENTS與需求威脅框架：細粒度對抗威脅框架：細粒度對抗網(wǎng)絡安全應急響應工作痛點與需求Page4客戶在網(wǎng)絡安全應急響應工作中的幾個痛點序號威脅問題1“熊貓燒香”蠕蟲、“魔窟（WannaCry）”勒索蠕蟲持續(xù)傳播感染擴散的威脅。主機原有防御產(chǎn)品出現(xiàn)清除不掉、殺而復來的情況。2“暗云”系列、“機器狗”等帶有Rootkit、Bootkit、BIOSkit等機制的惡意代碼。主機原有防御產(chǎn)品無法發(fā)現(xiàn)，更無法清除。3病毒蠕蟲在隔離網(wǎng)絡內泛濫傳播。病毒庫無法及時分發(fā)升級，無法有效處置。4對一些安全風險，獲得了HASH、YAYA規(guī)則等格式情報。沒有對應的主機側利用工具。1專殺工具23456需要怎樣的工具應對?1專殺工具23456應該滿足輕量化部署，具備高度靈活彈性應該滿足對外部條件依賴性低，應該滿足輕量化部署，具備高度靈活彈性應該滿足對外部條件依賴性低，且具應該滿足能夠在最大程度上避免被威脅察覺和破壞應該具備服務運營多方參與性，能夠支持客戶和友商參與運營應該滿足針對APT的對抗性，支持用作威脅獵殺的精巧利器響應工作中長期存在且數(shù)量眾多的隱痛，催生了對于除傳統(tǒng)終端防御系統(tǒng)之外的另一種形式的威脅防御措施——專殺工具的迫切需求，這種威脅防御措施應該能Page5威脅框架：細粒度對抗威脅框架：細粒度對抗Page6在哪些技術點上需要快速處置工具的輔助支持？利用自動啟動執(zhí)行引惡意代碼可以將系統(tǒng)設置配置為在系統(tǒng)啟動或登錄期間自動執(zhí)行程序，以保持持久性或在受到感染的系統(tǒng)上獲得更高級別的特權。專殺工具可將系統(tǒng)設置配置為在系統(tǒng)啟動或登錄期間自動執(zhí)行程序，從而將該類惡意代碼查殺。創(chuàng)建或修改系統(tǒng)進程部分。專殺工具能夠檢測系統(tǒng)上的特權和服務濫用并對其進行糾正。利用服務器軟件組件惡意代碼可能濫用服務器的合法可擴展開發(fā)功能來建立對系統(tǒng)的持久訪問。專殺工惡意代碼可能試圖隱藏與其行為相關的文件等，以逃避檢測。專殺工具可查看隱藏惡意代碼可以通過劫持操作系統(tǒng)運行程序的方式來執(zhí)行自己的惡意負載。專殺工具全限制。專殺工具通過接近底層的ARR處置規(guī)則腳本將其查殺。惡意代碼可以將代碼注入到進程中，從而規(guī)避基于進程的防御以及可能的提權。專惡意代碼可能使用rootkit來隱藏程序、文件、網(wǎng)絡連接、服務、驅動程序和其他系統(tǒng)組件的存在。專殺工具具備Rootkit檢測能力并橫向移動惡意代碼進入網(wǎng)絡后可以利用遠程服務獲得對內部系統(tǒng)的未授權訪問。專殺工具可下發(fā)相應的補丁并封堵相應的端口進行惡意代碼查殺。橫向傳輸文件或工具惡意代碼可以在受害者環(huán)境中的不同系統(tǒng)之間傳輸工具或其他文件。專殺工具可封堵相應的端口，攔截傳輸并進行惡意代碼查殺。惡意代碼可以使用有效帳戶登錄專門用于接受遠程連接的服務。專殺工具可有效禁惡意代碼可以利用增補系統(tǒng)的資源來解決可能影響系統(tǒng)和/或托管服務可用性的資源密集型問題，如挖礦工具等。專殺工具可查殺指定進程或文件等。惡意代碼可以停止或禁用系統(tǒng)上的服務，從而使合法用戶無法使用這些服務。專殺工具可查殺該惡意代碼并將被惡意修改的服務等恢復。威脅框架：細粒度對抗威脅框架：細粒度對抗專殺工具在應急響應工作中專殺工具的定義與演進專殺工具產(chǎn)生于DOS殺毒時代，對于一些較為頑固或有特殊感染方式的病毒，反病毒廠商或安全研究者，編寫出獨立于殺毒軟件之外的專用殺毒程序，被稱為專殺工具。在經(jīng)歷了多年應急響應對抗后，安天對專殺工具定義已經(jīng)成為面對特定的一種或多種安全威脅，能夠進行檢測、清除、隔離、驗證、免疫、修復綜合應對的安全小工具。Page8威脅框架：細粒度對抗威脅框架：細粒度對抗安天歷史上發(fā)布過的較為重要的專殺工具Page9威脅框架：細粒度對抗威脅框架：細粒度對抗專殺工具形式的威脅防御措施的與時俱進與時俱進，正如圖中所示的部分典型工具，從單一威脅專殺到某一類別威脅專殺再到統(tǒng)一界面風格的流程化研發(fā)、開放式框架AVLPK火眼（FireEye）失竊工具專Page10威脅框架：細粒度對抗威脅框架：細粒度對抗Page11當前檢測文件發(fā)現(xiàn)威脅導出結果暫停/繼續(xù)提取樣本處置威脅設置排查模式當前檢測文件發(fā)現(xiàn)威脅導出結果暫停/繼續(xù)提取樣本處置威脅設置排查模式可處置列表一鍵排查免疫設置免疫設置Page12安天專殺工具的處置機理和規(guī)則擴展）， 插件模塊插件YARAYARA檢測規(guī)則處置規(guī)則安天專殺工具AVLPK可擴展性安天專殺工具支持YAYA檢測規(guī)則擴展YARAYARA是VirusTotal的反病毒工程師VictorManuelAlvarez在2008年開發(fā)的工具。該工具旨在幫助惡意軟件研究人員識別和分類惡意軟件樣本。對開源沙箱（CuckooSandbox）的支持，提供了一種使用文本或二進制形式描述惡意軟件的規(guī)則。該規(guī)Perl的正則表達式。{}Page13威脅框架：細粒度對抗威脅框架：細粒度對抗Page14安天ARR(AntiyResponseRule)開放式處置規(guī)則定義ARRARR（AntiyResponseRule）的部分指令集1.創(chuàng)建注冊表項/值[Reg_Create] 2.修改注冊表項/值[Reg_Modify] 3.刪除注冊表項/值[Reg_Delete] 4.重命名注冊表項/值[Reg_Rename]5.刪除注冊表值[Reg_Delete_Value]1.創(chuàng)建計劃任務[Task_Create]2.修改計劃任務[Task_Modify]3.刪除計劃任務[Task_Delete]1.創(chuàng)建文件[File_Create]2.修改文件[File_Modify]3.刪除文件[File_Delete]4.重命名文件[File_Rename]5.修改文件屬性[File_Attribute]6.刪除文件指定內容[File_DelText]7.MBR修復[File_repairMbr]1.創(chuàng)建進程[Proc_Create] 2.掛起/恢復進程[Proc_Modify] 3.結束進程[Proc_Terminate]4.掛起指定模塊線程[Proc_Module_Threads]1.下發(fā)bat腳本并運行[Script_Bat]2.下發(fā)shell腳本并運行[Script_Shell]3.下發(fā)vbs腳本并運行[Script_Vbs]4.下發(fā)powershell腳本并運行[Script_PWL]5.下載文件并運行[Script_File]1.外設彈出/規(guī)則[Other_Device]2.斷網(wǎng)處置[Other_NetOff]3.禁用端口[Other_Disabled_Port]3.禁用ip[Other_Disabled_Ip]4.補丁修復[Other_Fix_patch]5.創(chuàng)建互斥免疫[Other_Create_Mutex]6.創(chuàng)建掃描并自動處置[Other_QuickScan]二、計劃任務（可配自動處置規(guī)則）一、注冊表（可配自動處置規(guī)則）三、文件（可配自動處置規(guī)則）四、進程（可配自動處置規(guī)則）五、腳本六、其他安天ARR開放式處置規(guī)則定義是安天為實現(xiàn)細粒度端點響應策略而定義的一組指令集合，包括了對扇區(qū)、注冊表、文件、驅動、進程等進行相關操作的動作定義，并可以執(zhí)行包括磁盤遍歷，特征匹配搜索等邏輯動作?？梢杂糜谔幚聿呗跃幣拧⒛_本生成，以執(zhí)行細粒度的處置動作。安天專殺程序由符合ARR規(guī)則的腳本和解析器、處理器構成。ARR處置規(guī)則支持判定條件，用于觸發(fā)相應處置:Page15安天專殺工具與SOAR、IEP緊密協(xié)同面對網(wǎng)空威脅，安天專殺工具在應急響應工作中的應用具有完備的支撐環(huán)境，并與安天態(tài)勢感知平臺編排響應（SOAR）子系統(tǒng)、安天智甲終端防御系統(tǒng)（IEP）緊密協(xié)同，共同組成終端一體化防御。針對態(tài)勢感知平臺發(fā)現(xiàn)并告警的安全威脅，安天SOAR進行細粒度的處置編排并將處置策略下發(fā)至IEP執(zhí)行；針對某些未部署IEP等終端防御系統(tǒng)的敏感終端或不適用于IEP開展處置的場景下，由專殺工具直接加載處置策略（安天SOAR生成并下發(fā)實施針對性的專殺作業(yè)，直至清除威脅后將專殺結果以日志等形式反饋至安天SOAR，形成閉環(huán)。在這其中，安天專殺工具與IEP共享統(tǒng)一的內核處置機制，包括但不限于ARR處置規(guī)則等。安天態(tài)勢感知平臺編排響應（SOAR）子系統(tǒng)安天智甲終端防御系統(tǒng)（IEP）安天專殺Page16案例1：“暗云Ⅲ”木馬事件安天安全研究與應急處理中心（AntiyCERT）于北京時間2017年5月26日19時，監(jiān)測的DDoS攻擊事件。參與攻擊的源地址覆蓋廣泛，幾乎在全國所有省市運人員將此次攻擊命名為“RainbowDay”——“經(jīng)過多次取證分析發(fā)現(xiàn)，該惡意代碼感染量較大，其功能非常復雜，可以利用帶有正常數(shù)字簽183.60.111.150，一直持續(xù)到2攻擊第二階段，于5月28日早7時左右開始攻擊59.1發(fā)送數(shù)據(jù)包詳情部分受害IP向C2服務器發(fā)起請求Page17案例1：“暗云Ⅲ”木馬執(zhí)行流程此次DDoS攻擊事件最原始的傳播是通過捆常游戲微端的方式將ShellCode捆綁到正執(zhí)行后會從網(wǎng)絡上下載一個配置文件，讀取配置文件中的下載地址執(zhí)行后再一次連接網(wǎng)絡下載文件lcdn.db（lua腳本解釋器）和ndn.系統(tǒng)每次運行都會調用案例1：“暗云Ⅲ”木馬特征與查殺工具腳本示例“暗云Ⅲ”木馬特征，包括但不限于：1.通過游戲微端、外掛、私服登錄