安天下一代引擎結(jié)合知識(shí)庫(kù)如何揭示載荷的ATTCK戰(zhàn)術(shù)能力

載荷的ATT&CK戰(zhàn)術(shù)能力威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗?生態(tài)合伙伙伴突破100家?內(nèi)置安天網(wǎng)絡(luò)檢測(cè)引擎的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備累計(jì)超過(guò)90萬(wàn)臺(tái)??生態(tài)合伙伙伴突破100家?內(nèi)置安天網(wǎng)絡(luò)檢測(cè)引擎的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備累計(jì)超過(guò)90萬(wàn)臺(tái)?安天移動(dòng)安全引擎覆蓋手機(jī)和其他類型智能終端累計(jì)超過(guò)22億部，已經(jīng)成為國(guó)民級(jí)安全內(nèi)核。生態(tài)穩(wěn)步發(fā)展CETC30inspurZTE中興能力始終如一????2018年，AV-????2019年度，AV-TEST移動(dòng)安全檢測(cè)年度檢測(cè)能力全雙滿分廠商2018年國(guó)家應(yīng)急中心安全引擎技術(shù)對(duì)抗賽雙賽第一名2019年國(guó)家應(yīng)急中心安全引擎技術(shù)對(duì)抗賽（兩賽合一）第一名安天引擎的2020從學(xué)術(shù)化的研究轉(zhuǎn)化為可工程化實(shí)現(xiàn)的能力Page3威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗應(yīng)用案例應(yīng)用案例CONTENTS01威脅情報(bào)與知識(shí)庫(kù)的當(dāng)前問(wèn)題02可結(jié)合知識(shí)庫(kù)的威脅檢測(cè)引擎威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗01威脅情報(bào)與知識(shí)庫(kù)的當(dāng)前問(wèn)題Page6變化中的攻擊方與防御方對(duì)手在變化防御方的需求在變化?用戶的單點(diǎn)需求?用戶的面的需求?用戶的立體需求Page7滿足防御方需求的解決辦法以捕獲到一些攻擊載荷為例業(yè)界實(shí)現(xiàn)的方式輸出攻擊手段和危害信息步驟1分析攻擊的危害利用輸出攻擊手段和危害信息步驟1分析攻擊的危害段、可能造成的危害等信息是步驟2判斷是否從屬已知攻擊組織或事件確認(rèn)攻擊者身份利用已知IOC是步驟2判斷是否從屬已知攻擊組織或事件確認(rèn)攻擊者身份抗的時(shí)效性和精準(zhǔn)指向性否是作為重點(diǎn)可疑觀察對(duì)象跟蹤分析，進(jìn)一步否是作為重點(diǎn)可疑觀察對(duì)象跟蹤分析，進(jìn)一步確認(rèn)身份信息通過(guò)關(guān)聯(lián)和聚類，發(fā)現(xiàn)可能存在的相關(guān)APT組織間的關(guān)聯(lián)關(guān)系，是否具有同源性否暫不重點(diǎn)追蹤現(xiàn)有威脅知識(shí)輸出方式的真實(shí)效果結(jié)合期望達(dá)成結(jié)合傳統(tǒng)反病毒引擎測(cè)和辨識(shí)能力）發(fā)現(xiàn)、阻斷和獵殺高級(jí)威脅行動(dòng)傳統(tǒng)反病毒引擎?zhèn)鹘y(tǒng)反病毒引擎這種檢測(cè)能力組合雖然對(duì)類似海蓮花、白象、綠斑一類的APT攻擊具有一定的價(jià)值，但在過(guò)去十年內(nèi)對(duì)于對(duì)抗來(lái)自更高水平的威脅行為體的活動(dòng)，其實(shí)收效甚微。針對(duì)類似毒曲II、方程式等高級(jí)威脅行動(dòng)或組織的發(fā)現(xiàn)、阻斷和獵殺活動(dòng)中，這些信息幾乎無(wú)法發(fā)揮任何作用。Page8威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗Page9分類數(shù)量說(shuō)明效果不佳的主要原因—效用性分類數(shù)量說(shuō)明主要功能：攻擊用于數(shù)據(jù)采集與監(jiān)控的工業(yè)控制系統(tǒng)。漏洞，通過(guò)一套完整的入侵和傳播流程，突破工業(yè)專用局域網(wǎng)的物理限制，攻擊用于數(shù)據(jù)采集與監(jiān)控的工業(yè)控制系統(tǒng)。DROPPER1200+~WTR4132.tmp,其STUB節(jié)的內(nèi)容變換、樣本自身代碼的升級(jí)與發(fā)布、人工二進(jìn)制更改，組合操作生成多個(gè)樣本DROPPERLOADER460+~WTR4141.tmp，通過(guò)少量原始樣本，經(jīng)過(guò)二進(jìn)制修改、簽名、追加損壞簽名、簽名后繼續(xù)追加文件等操作，造成樣本量增加LNK20+漏洞利用載荷，用于加載惡意DLL文件其他文件100+CAB文件、驅(qū)動(dòng)文件、Step7使用的DLL等編譯器版本10+多版本編譯器表明工程代碼經(jīng)過(guò)多人編譯，生成母體樣本基數(shù)變大震網(wǎng)樣本集差異分析——《對(duì)Stuxnet蠕蟲攻擊工業(yè)控制系統(tǒng)事件的綜合分析報(bào)告》效果不佳的主要原因—知識(shí)性?傳統(tǒng)引擎的輸出不具備豐富的知識(shí)性1.原有的知識(shí)工程體系，不能滿足直接定位到高級(jí)網(wǎng)空威脅行為體的精準(zhǔn)要求2.單一病毒名輸出的方式缺乏知識(shí)性，無(wú)法滿足用戶對(duì)于威脅想要深入了解的需求。在現(xiàn)有防御體系中，沒(méi)有把傳統(tǒng)引擎當(dāng)作一個(gè)關(guān)鍵環(huán)節(jié)來(lái)看待，原因主要是普遍把引擎作為一個(gè)基礎(chǔ)支撐能力看待，作為黑箱使用，沒(méi)有把引擎的輸出作為知識(shí)供給。VirusTotal網(wǎng)站對(duì)某高級(jí)威脅樣本的檢測(cè)結(jié)果Page10威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗效用性攻擊工具網(wǎng)絡(luò)或主機(jī)特征效果不佳的主要原因—效用性效用性攻擊工具網(wǎng)絡(luò)或主機(jī)特征人們?cè)噲D通過(guò)IOC信息來(lái)為高級(jí)威脅威脅情報(bào)的痛苦金字塔微不足道Page11威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗可結(jié)合知識(shí)庫(kù)的威脅檢測(cè)引擎輸出安天引擎結(jié)合知識(shí)庫(kù)輸出下一代威脅檢測(cè)引擎高價(jià)值威脅知識(shí)結(jié)合知識(shí)庫(kù)?達(dá)成客戶防御場(chǎng)景下的可消費(fèi)信息?對(duì)高級(jí)威脅攻擊方身份的揭示Page13威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗動(dòng)靜態(tài)檢測(cè)相結(jié)合?解決不可執(zhí)行文件?解決組件分批下發(fā)的問(wèn)題?提升檢測(cè)效率Page14威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗當(dāng)前主流以動(dòng)態(tài)為主的ATT&CK提取的缺陷Page15威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗Page16安天引擎利用靜態(tài)配置解密信息進(jìn)行檢測(cè)?att&ck技術(shù)點(diǎn)：解密/去混淆#KCMDDC51#Page17安天引擎能力的維度--深入的識(shí)別與解析識(shí)別能力解析能力力支持識(shí)別：可執(zhí)行文件、包裹、文檔、媒體文件、圖片文件、軟件關(guān)聯(lián)格式、腳本、文本格式、其它格式等九大類格式編譯器種類40編譯器種類（含版本)108可識(shí)別殼種類數(shù)434可識(shí)別包裹數(shù)目58可深度拆解的可執(zhí)行程序的種類：下載器、釋放器134種可深度預(yù)處理的復(fù)合文檔的格式數(shù)目24可脫殼種類數(shù)31可拆解包裹數(shù)58Page18單一輸入Object單一輸出安天引擎能力的維度--多種輸入輸出對(duì)象單一輸入Object單一輸出100101010111010101010110011001Virus/Win32.Virut.n傳統(tǒng)引擎一結(jié)果為輸出。而隨著威脅的進(jìn)一步演進(jìn)和泛化，威脅檢測(cè)已不能僅僅停留在對(duì)單一對(duì)象進(jìn)行鑒定上。AVLSDK威脅檢測(cè)引擎多種輸入對(duì)象，多種輸出結(jié)果。威脅檢測(cè)多樣化。網(wǎng)絡(luò)層次檢測(cè)二進(jìn)制數(shù)據(jù)對(duì)象系統(tǒng)環(huán)境對(duì)象會(huì)話包檢測(cè)…會(huì)話包檢測(cè)…載荷流檢測(cè)網(wǎng)絡(luò)信標(biāo)本地層次檢測(cè)多種輸入?識(shí)別信息?基礎(chǔ)信息?附加信息?行為信息?遠(yuǎn)控廣告?DDoS下載?竊取?傳播偽裝?隱蔽對(duì)抗?信息獲取攻擊輸出2?組織名稱?組織簡(jiǎn)介?攻擊領(lǐng)域?攻擊方式?活躍時(shí)間?利用漏洞輸出3ATT&CK框架信息發(fā)現(xiàn)、橫向移動(dòng)、收集、命令控制、滲透安天引擎后臺(tái)分析運(yùn)營(yíng)系統(tǒng)Page19威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗安天引擎后臺(tái)分析運(yùn)營(yíng)系統(tǒng)Page20威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗②應(yīng)用效果—更好的知識(shí)性②①①各反病毒引擎廠商檢測(cè)結(jié)果某白象分析報(bào)告各反病毒引擎廠商檢測(cè)結(jié)果③③安天下一代威脅檢測(cè)引擎輸出結(jié)果Page21威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗應(yīng)用效果--更好的效用性文件HASH：7c498b7ad4c12c38b1f4eb12044a9def?卡巴斯基輸出Backdoor.Win32.Agent.mytihl?ESET輸出Win32/Poison.NOL?安天下一代威脅檢測(cè)引擎配合情報(bào)平臺(tái)的輸出結(jié)果組織名稱：綠斑別名：APT-C-01，毒云藤攻擊目標(biāo)：中國(guó)攻擊領(lǐng)域：政府,軍事,科研攻擊方式：釣魚郵件，水坑攻擊活躍時(shí)間：2011年,2012年,2013年,2014年,2017年利用漏洞CVE-2012-0158,CVE-2014-4114,CVE-2017-8759,CVE-2017-0199組織簡(jiǎn)介2018年9月安天實(shí)驗(yàn)室曝光了綠斑組織，該組織至少?gòu)?007年開(kāi)始活躍，擅長(zhǎng)對(duì)目標(biāo)實(shí)施魚叉攻擊和水坑攻擊、植入修改后的ZXShell、PoisonIvy、XRAT商業(yè)木馬，并使用動(dòng)態(tài)域名作為其控制基礎(chǔ)設(shè)施。普通引擎僅能將其認(rèn)定為商馬，安天的引擎可以依靠情報(bào)判斷出該樣本從屬綠斑組織文件屬性信息文件版本信息文件結(jié)構(gòu)信息F93AFE4A0FB30B1293FCAA32DDAF59F1身份信息上線ID：motices解密信息解密偏移=0x628B解密方式=異或密鑰=0x22Page22威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗安天引擎輸出向量映射ATT&CK案例??獲取屏幕截圖?獲取機(jī)器名稱?發(fā)現(xiàn)宏P(guān)age23威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗安天引擎輸出向量映射ATT&CK案例威脅框架：細(xì)粒度對(duì)抗Page24安天引擎輸出向量映射ATT&CK案例?發(fā)現(xiàn)cmd.exe?查詢注冊(cè)表?修改注冊(cè)表Page25威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗安天引擎輸出向量映射ATT&CK案例威脅框架：細(xì)粒度對(duì)抗Page26威脅框架：細(xì)粒度對(duì)抗Page27威脅框架：細(xì)粒度對(duì)抗安天引擎映射ATT&CK框架的意義威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗應(yīng)用案例適用場(chǎng)景?可以在所有可嵌入安天AVLSDK威脅檢測(cè)引擎的場(chǎng)景下工作，主要面向?qū)Ω呒?jí)威脅檢測(cè)在流量檢測(cè)監(jiān)測(cè)設(shè)備上提升威形成有效判定能力，其知識(shí)化的輸出可以讓分析人人員聚焦于高等級(jí)威脅攻擊載荷深入分析層面。知識(shí)化的輸出能力可以讓其理解威脅并Page29威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗安天下一代威脅檢測(cè)引擎對(duì)安天全線產(chǎn)品的支撐Page30威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗Page31威脅框架：細(xì)粒度對(duì)抗震網(wǎng)樣本實(shí)例—引擎輸出結(jié)果安天下一代引擎對(duì)震網(wǎng)樣本輸出信息震網(wǎng)樣本實(shí)例—安天追影分析系統(tǒng)產(chǎn)品界面④威脅分析①組織信息②意圖及目標(biāo)③攻擊活動(dòng)⑤戰(zhàn)術(shù)技術(shù)過(guò)程Page32威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗Page33安天智甲處置防御技術(shù)攻擊動(dòng)作輸出標(biāo)簽戰(zhàn)術(shù)環(huán)節(jié)初始訪問(wèn)接收惡意郵件誘導(dǎo)用戶執(zhí)行附件寫入磁盤利用誘餌文件名，誘導(dǎo)用戶運(yùn)行后，枚舉操作系統(tǒng)和軟件枚舉賬戶和權(quán)限獲得用戶名密碼憑證模擬單位郵箱，發(fā)送釣魚郵件附件利用rar軟件CVE-2018-20252漏洞，執(zhí)行惡意代碼利用rar軟件CVE-2018-20252漏洞，執(zhí)行惡意代碼利用誘餌文件名，誘導(dǎo)用戶主動(dòng)執(zhí)行，繞過(guò)UAC驗(yàn)證查詢系統(tǒng)操作系統(tǒng)和已經(jīng)安裝的軟件查詢系統(tǒng)當(dāng)前用戶信息執(zhí)行powershell安天智甲處置防御技術(shù)攻擊動(dòng)作輸出標(biāo)簽戰(zhàn)術(shù)環(huán)節(jié)初始訪問(wèn)接收惡意郵件誘導(dǎo)用戶執(zhí)行附件寫入磁盤利用誘餌文件名，誘導(dǎo)用戶運(yùn)行后，枚舉操作系統(tǒng)和軟件枚舉賬戶和權(quán)限獲得用戶名密碼憑證模擬單位郵箱，發(fā)送釣魚郵件附件利用rar軟件CVE-2018-20252漏洞，執(zhí)行惡意代碼利用rar軟件CVE-2018-20252漏洞，執(zhí)行惡意代碼利用誘餌文件名，誘導(dǎo)用戶主動(dòng)執(zhí)行，繞過(guò)UAC驗(yàn)證查詢系統(tǒng)操作系統(tǒng)和已經(jīng)安裝的軟件查詢系統(tǒng)當(dāng)前用戶信息執(zhí)行powershell腳本獲取lsass.exe進(jìn)程中當(dāng)前系統(tǒng)的用戶名和密碼執(zhí)行防御規(guī)避發(fā)現(xiàn)憑證訪問(wèn)橫向移動(dòng)通過(guò)SMB漏洞橫向移動(dòng)寫入注冊(cè)表啟動(dòng)項(xiàng)記錄鍵盤與服務(wù)端回連執(zhí)行遠(yuǎn)程指令采用CVE-2017-0143永恒之藍(lán)SMB遠(yuǎn)程服務(wù)漏洞進(jìn)行橫向擴(kuò)散達(dá)到持久化目的通過(guò)鍵盤鉤子實(shí)現(xiàn)鍵盤記錄客戶端和服務(wù)端每45s會(huì)進(jìn)行一次tcp連接，并持續(xù)交互指令信息，其中流量數(shù)據(jù)均加密與服務(wù)端交互指令，并執(zhí)行指令持久化憑證訪問(wèn)命令控制攻擊者操作T1060注冊(cè)表運(yùn)行鍵值/啟動(dòng)文件夾創(chuàng)建啟動(dòng)項(xiàng)檢測(cè)T1021遠(yuǎn)程服務(wù)網(wǎng)絡(luò)鏈接監(jiān)控，敏感端口向內(nèi)網(wǎng)高頻橫向擴(kuò)散行為檢測(cè)，敏感端口向本機(jī)惡意入侵檢測(cè)T1003憑證轉(zhuǎn)儲(chǔ)件檢測(cè)T1071標(biāo)準(zhǔn)應(yīng)用層協(xié)議T1022數(shù)據(jù)加密T1094自定義命令和控制協(xié)議進(jìn)程聯(lián)網(wǎng)情況檢測(cè)CMD執(zhí)行命令及參數(shù)T1179Hooking內(nèi)存存在異常鉤子T1193魚叉式釣魚附件用戶接收附件時(shí)檢測(cè)附件T1204用戶