華為：HiSec Endpoint智能終端安全系統(tǒng)報告2024

智能終端安全系統(tǒng)2024-09-1001版權(quán)所有?華為技術(shù)有限公司2024。保留一切權(quán)利。非經(jīng)本公司書面許可，任何單位和個人不得擅自摘抄、復制本文檔內(nèi)容的部分或全部，并不得以任何形式傳播。商標聲明和其他華為商標均為華為技術(shù)有限公司的商標。本文檔提及的其他所有商標或注冊商標，由各自的所有人擁有。注意您購買的產(chǎn)品、服務(wù)或特性等應(yīng)受華為公司商業(yè)合同和條款的約束，本文檔中描述的全部或部分產(chǎn)品、服務(wù)或特性可能不在您的購買或使用范圍之內(nèi)。除非合同另有約定，華為公司對本文檔內(nèi)容不做任何明示或默示的聲明或保證。由于產(chǎn)品版本升級或其他原因，本文檔內(nèi)容會不定期進行更新。除非另有約定，本文檔僅作為使用指導，本文檔中的所有陳述、信息和建議不構(gòu)成任何明示或暗示的擔保。i吳興勇：2011年加入華為，長期從事數(shù)據(jù)通信產(chǎn)品文檔開發(fā)工作，曾參與《華為防陳姝：華為數(shù)據(jù)通信安全營銷工程師，2021年加入華為，具有豐富的安全產(chǎn)品及解決方案管理和營銷工作經(jīng)驗。當前主要負責本書介紹HiSecEndpoint智能終端安全系統(tǒng)的產(chǎn)生背景、方案架構(gòu)、優(yōu)勢與價值，并在此基礎(chǔ)上闡述HiSecEndpoint智能終端安全系統(tǒng)的工作原理和典型場景，幫助本書適合對終端安全及其應(yīng)用場景感興趣，或是在數(shù)字化轉(zhuǎn)型中的對網(wǎng)絡(luò)安全有業(yè)務(wù) 11.1網(wǎng)絡(luò)安全建設(shè)面臨的挑戰(zhàn) 11.2HiSecEndpoint智能終端安全系統(tǒng) 2 52.1威脅感知全 5 72.3威脅處置優(yōu) 10 113.1全棧數(shù)據(jù)采集 113.2病毒查殺與處置 143.3勒索檢測與處置 173.4挖礦檢測與處置 233.5無文件攻擊檢測與處置 273.6釣魚木馬檢測與處置 293.7溯源取證 30 341本章主要介紹網(wǎng)絡(luò)安全建設(shè)面臨的挑戰(zhàn)，以及HiSecEndpoint智能終企業(yè)面臨的網(wǎng)絡(luò)安全風險也越來越大。從近幾年現(xiàn)網(wǎng)安全運營和安全報告披露的數(shù)據(jù)來看，勒索、挖礦、蠕蟲、竊密和遠控木馬依然活躍，并呈現(xiàn)出隱蔽性、多樣性的特點。這些惡意軟件的入侵手段不斷翻新，融合了更復雜的技術(shù)，因此檢測這些惡意軟件的難度與日俱增。終端作為業(yè)務(wù)和數(shù)據(jù)的計算載體，是各類威脅鎖定的最終目標，面臨更多的安全風險，往往也是整個網(wǎng)絡(luò)安全防護流程中最薄弱的環(huán)節(jié)。面對不斷演進的新型網(wǎng)絡(luò)威脅攻勢下，以單向防御和管控為核心的終端防護已無力應(yīng)對，攻擊者不僅可以從外部入侵，還可以直接從企業(yè)內(nèi)部發(fā)起攻擊2隨著威脅手段和攻擊技術(shù)的不斷提高，企業(yè)頻頻遭受未知威脅攻擊，勒索變種、高級持續(xù)性威脅等。然而傳統(tǒng)反病毒產(chǎn)品僅采用威脅特征庫匹配技術(shù)，基于已知樣本提取病毒特征，只能識別已知威脅企業(yè)網(wǎng)絡(luò)每天遭受很多網(wǎng)絡(luò)探測、攻擊嘗試，但哪些是真正的攻擊，產(chǎn)生了什么影響卻難以判斷。通過終端進行溯源是最有效手段，但傳統(tǒng)終端安全產(chǎn)品記錄或上報數(shù)據(jù)有限，忽視攻擊路徑分析，無法對威脅事件進行事后溯源，企業(yè)不能感知威脅事件發(fā)生的原因和過程。因此，管理員無法根據(jù)威脅發(fā)生原因制定對應(yīng)的防御策略，不能從新型惡意軟件采用多跳攻擊滲透到內(nèi)網(wǎng)終端，單向、點狀的防御和檢測已經(jīng)無法應(yīng)對。云端、邊界、終端有效協(xié)同形成從點到全鏈路的防御體系至關(guān)重要。為了提升防御效果，企業(yè)客戶往往需要部署5個以上不同安全廠商的產(chǎn)品，但跨廠商、跨系統(tǒng)的產(chǎn)品缺乏全局統(tǒng)籌分析能力，無法形成有效的全鏈路防御體系，難以準確識別威脅并進行1.2HiSecEndpoint智能終端安全系統(tǒng)傳統(tǒng)終端安全產(chǎn)品已無法解決未知威脅應(yīng)對難、溯源分析難、統(tǒng)籌分析差等問題，華為在深入分析終端安全建設(shè)困境后，創(chuàng)新推出了HiSecEndpoint智能終端安全系統(tǒng)。該系統(tǒng)致力于在網(wǎng)絡(luò)空間抵御新型威脅攻擊，作為安全的錨點和托底，整合大數(shù)據(jù)安全深度分析能力，深度協(xié)同，形成感知、檢測、判定和處置等多層面的自適應(yīng)防御閉環(huán)系統(tǒng)，同時依托HiSecEndpointAgent（下圖顯示為EDRAgent）統(tǒng)一終端平臺，以小身材，撬動安全大乾坤，架構(gòu)如圖1-1所示。3HiSecEndpoint智能終端安全系統(tǒng)在云端提供資產(chǎn)管理、威脅檢測和溯源處置功能，在終端部署HiSecEndpointAgent，具體功能如下。4l資產(chǎn)管理：提供自動化終端資產(chǎn)清點能力，統(tǒng)籌管理終端信息并進行多維資產(chǎn)風能夠檢出常規(guī)簽名無法檢測到的惡意樣本，發(fā)現(xiàn)多種WAF（WebApplicationFirewall，網(wǎng)站應(yīng)用程式防火墻）繞過手段，對抗未知和變種威脅，并對檢出的l溯源處置：提供攻擊可視化能力，對威脅事件進行精確的溯源分析，支撐威脅事lHiSecEndpointAgent：需要安裝到企業(yè)的每一臺終端上，主要負責收集并上報終端上的租戶登錄、進程運行/創(chuàng)建、目錄/文件訪問日志、DNS（DomainNameSystem，域名系統(tǒng)）請求等信息，并執(zhí)行預(yù)置的主動防御策略和云端下5優(yōu)勢與價值本章主要介紹HiSecEndpoint智能終端安全系統(tǒng)的優(yōu)勢與價值，包括HiSecEndpoint智能終端安全系統(tǒng)通過輕量級HiSecEndpointAgent采集的數(shù)據(jù)全面感知終端存在的威脅。HiSecEndpointAgent支持分鐘級批量部署上線，實時防護CPU占用小于1%，內(nèi)存占用?。凰诳尚胚M程樹、白名單自學習和威脅圖降噪專利技術(shù)，能夠在各類數(shù)據(jù)采集無損的條件下，去除80%以上的噪聲和冗余數(shù)據(jù)，幫助HiSecEndpoint智能終端安全系統(tǒng)多維度全面感知威脅。HiSecEndpointAgent采集數(shù)據(jù)的特點如圖2-1所示。6優(yōu)勢與價值在終端防護場景中涉及到檢測、處置、溯源、取證等多方面操作，為重要，HiSecEndpointAgent與傳統(tǒng)EPP（EndpointProtectionPlatform，威脅圖的構(gòu)建，包含了完整的事件主體信息，客體信息和行為的詳細隨著安全對抗進入白熱化階段，基礎(chǔ)的數(shù)據(jù)采集能種繞過、躲避手段層出不窮，因此必須持續(xù)獲取攻防領(lǐng)地的制高點，態(tài)應(yīng)對變幻莫測的攻擊手法。HiSecEndpointAgent在惡意軟件泛化行為上提供多種打點，從進程行為到線程行為，從文件行為到內(nèi)存行為，由淺入路徑上全段覆蓋，從網(wǎng)絡(luò)連接到爆破登錄，從注冊表變化到啟動項增7優(yōu)勢與價值細。同時為保證數(shù)據(jù)采集的有效性，為抵御繞過、篡改等對抗行為，HiSecEndpointAgent也構(gòu)建了進程、文件、注冊表、服務(wù)等多方位的自身防護能力。HiSecEndpointAgent除常規(guī)的數(shù)據(jù)采集能力外，還包含由多種單獨事件組合而在不降低置信度的前提下，直接在采集器內(nèi)部識別出行為異常，降在多種采集技術(shù)中，如文件事件采集、注冊表事件采集、API調(diào)用采集，由于安插了眾多采集點，性能成為數(shù)據(jù)采集技術(shù)挑戰(zhàn)之一。HiSecEndpointAgent對此行為等多元素進行高效過濾，在數(shù)據(jù)采集最前端實現(xiàn)篩選，并結(jié)合可信專利威脅圖降噪技術(shù)，單終端數(shù)據(jù)上報可控制在20MB/天以下，保證關(guān)鍵數(shù)據(jù)對于輕量化安全防護場景，HiSecEndpointAgent專為數(shù)據(jù)采集提供了精細化的開關(guān)控制，可有針對性地開啟、關(guān)閉或者部分關(guān)閉采集功能，進一步除Windows平臺外，HiSecEndpointAgent還支持Linux平臺數(shù)據(jù)采集，以基于BPF（BerkeleyPacketFilter，伯克利包過濾器）的高性能數(shù)據(jù)采集時兼顧差異化的操作系統(tǒng)版本，借助內(nèi)核模塊以及系統(tǒng)回調(diào)機制，在文件、進程、網(wǎng)絡(luò)、DNS請求等多方面構(gòu)筑數(shù)據(jù)采集及防護技術(shù)，為上層勒索、挖礦、木馬、HiSecEndpointAgent集成第三代反病毒引擎、威脅溯源圖引擎，能夠?qū)K端進行8優(yōu)勢與價值l第三代反病毒引擎：是華為自主研發(fā)的最新反病毒引擎，集成了專用的文件類型識別算法，可以快速、精確地識別上百種文件類型。同時通過對各類復雜文件進行全面深度解析，識別隱藏在原始文件中的惡意信息，即使攻擊者通過深層混合壓縮或者復合文檔附件等手段隱藏病毒，在CDE病毒檢測引擎檢測下都無所遁擬合成網(wǎng)狀行為“快照”，對威脅進行全鏈路上下文深度關(guān)聯(lián)，層層分析可疑信9優(yōu)勢與價值優(yōu)勢與價值HiSecEndpoint智能終端安全系統(tǒng)可聯(lián)動邊界防護與響應(yīng)服務(wù)，進行威脅分析和封禁外部攻擊源，為用戶提供最優(yōu)阻斷方案，全方位抵御安全風險。HiSecEndpoint智能終端安全系統(tǒng)采用智能化技術(shù)，當攻擊發(fā)生時，可自動挖掘同一攻擊鏈上所有威脅事件，并對所有威脅事件提供一鍵快速處置方式。針對勒索病毒，HiSecEndpoint智能終端安全系統(tǒng)內(nèi)置輕量級備份恢復機制，可以在檢測到勒索攻擊后，將被加密文件恰本章主要介紹HiSecEndpoint智能終端安全系統(tǒng)的工作原理。九層之臺，起于壘土，數(shù)據(jù)采集決定終端安全防護的可行性和能力上限。HiSecEndpoint智能終端安全系統(tǒng)的全棧數(shù)據(jù)采集在實時監(jiān)控與防護、威脅檢測、威脅響注冊表操作、網(wǎng)絡(luò)連接等，把這些數(shù)據(jù)內(nèi)容作為行為檢測引擎的據(jù)規(guī)則實現(xiàn)對主機的防護，即HIPS（Host-basedIntrusionPreventionSystem，通過數(shù)據(jù)采集的多種數(shù)據(jù)源，可以實現(xiàn)對惡意軟件行為的抽象，對多種進程行為、系統(tǒng)行為進行描述，大量的描述匯聚成威脅圖，然后通過檢測引擎惡意腳本執(zhí)行、進程挖空、Shellcode異常外連等行為，進一步可以確定勒索、挖礦、橫向移動等多種攻擊場景，以此發(fā)現(xiàn)環(huán)境中的已知威脅、未通過HIPS規(guī)則檢測、病毒查殺、聯(lián)動等手段，可以識別到目標惡意處置過程，單純的對目標文件清理往往并不能達到最佳效果，多種持久以讓惡意程序反復生成，頻繁發(fā)作，觸發(fā)惡意行為。借助數(shù)據(jù)采集的能對惡意程序從初始訪問到持久化，從持久化到命令執(zhí)行等每個階段的行錄，甚至也可以做到多終端的協(xié)同運作，這樣在處置階段更容易對整個數(shù)據(jù)采集是終端安全防護軟件中與操作系統(tǒng)甚至硬件關(guān)系最緊密的能力，數(shù)據(jù)采集模塊部署在HiSecEndpointAgent客戶端中，采集用戶終端或服務(wù)器的用戶態(tài)和內(nèi)核數(shù)據(jù)采集模塊采用Windows內(nèi)核驅(qū)動、APIHook、ETW（EventTracingforWindows，Windows事件跟蹤）以及其他輔助采集技術(shù)，對系統(tǒng)進程、線程、注冊表、文件、網(wǎng)絡(luò)、DNS請求、API調(diào)用等進行監(jiān)控，基本模型如圖3-1所示。l內(nèi)核態(tài)實現(xiàn)對系統(tǒng)進程、文件、注冊表、網(wǎng)絡(luò)等資源的監(jiān)控，通過內(nèi)核事件，并接收來自EDR進程外的API調(diào)用事件。多種信息經(jīng)過渲染后被發(fā)送至用戶態(tài)事件過濾器完成篩選，并生成原始事件，最后將原始事件傳遞至上層檢測引數(shù)據(jù)采集的信息越豐富，越能滿足對復雜攻擊的檢測需求，不錯過惡意行為的蛛絲馬14一段惡意的代碼、一個惡意的模塊，一般都是通過獨立進程或者利承載，而惡意進程對資源的訪問方式有多種。例如，執(zhí)行勒索通常會頻繁重命名、刪除文件；持久化過程需要操作注冊表等啟動項；木馬竊密存在可疑及對隱私文件的訪問；程序挖礦會發(fā)起特殊的DNS域名請求，此外很多惡意程系統(tǒng)的登錄退出信息可以用來輔助分析爆力破解過程，例如審計惡意程序通過持久化保證操作系統(tǒng)重啟后可以繼續(xù)留存，觸發(fā)惡要的手段包括注冊表啟動項的增加、啟動目錄文件的增加、創(chuàng)建系A(chǔ)PI調(diào)用采集，即對系統(tǒng)中一些重要行為對應(yīng)的API進行記錄，如網(wǎng)絡(luò)下載、權(quán)為了應(yīng)對惡意文件數(shù)量的持續(xù)增長和新樣本的不斷進化，華為反病毒引擎檢測技術(shù)經(jīng)過10余年的演進和積累，迎來了CDE（Content-basedDetectionEngine，內(nèi)容檢測引擎）第三代反病毒引擎，如圖3-2所示。CDE的核心功能是檢測惡意文件中是否包含惡意代碼，然后刪除計算機中的惡意文件來防止惡意文件對計算機進行感染和破壞。它可以動態(tài)模擬執(zhí)行引擎，還原真實威脅信息并進行數(shù)據(jù)分析。同時也基于云端智能中心分析海量病毒構(gòu)建專用的病毒檢測AI算法，具備未知威脅檢測和全面智能HiSecEndpoint智能終端安全系統(tǒng)病毒檢測引擎處理華為HiSecEndpoint智能終端安全系統(tǒng)集成CDE，支持防護包括勒索、挖礦、木馬、僵尸、后門、漏洞利用、蠕蟲、病毒、黑客工具、灰色軟件、惡意廣告等各類惡意家族病毒。當客戶終端被攻擊下載病毒文件，病毒在終端落盤或運行時，HiSecEndpoint智能終端安全系統(tǒng)中的病毒檢測引擎會對病毒進行實時的檢測并處理。如圖3-3所示，防護過程包括文件類型識別、內(nèi)容深度分析和病毒檢測引擎。1.文件類型分類：HiSecEndpoint智能終端安全系統(tǒng)首先通過分析終端用戶文件內(nèi)容實現(xiàn)對海量文件的類型分類。它集成了專用的文件類型識別算法，可以快速且精確地識別Windows、Linux等各類主流操作系統(tǒng)的上百種文件類型，包括PE、即使攻擊者對文件后綴或內(nèi)容進行仿冒，它也能精準識別實際的文件類型，防止2.內(nèi)容深度分析：當文件類型確定后，HiSecEndpoint智能終端安全系統(tǒng)接著對二進制文件、復合文檔和各類腳本文件進行分析，識別潛藏的惡意信息，為病毒檢測模塊提供詳細的內(nèi)容特征信息。對于二進制可執(zhí)行文件，通過極速模擬CPU、內(nèi)存及操作系統(tǒng)環(huán)境，運用高性能的指令編譯和CPU軟cache核心加速技術(shù)，在虛擬隔離的微內(nèi)核中實現(xiàn)實時、安全的可疑惡意代碼和內(nèi)存片段的動態(tài)分析，深度識別隱藏的惡意行為。通過對各類腳本進行詞法和語義分析，精準還原腳本3.病毒引擎檢測：最后，HiSecEndpoint智能終端安全系統(tǒng)會檢測文件中是否存在惡意代碼，通過MDL檢測引擎、神經(jīng)網(wǎng)絡(luò)引擎AI引擎和云端智能中心的加持，HiSecEndpoint智能終端安全系統(tǒng)支持本地用戶與云端管理員多模式的病毒查殺模式，l快速查殺：終端用戶使用系統(tǒng)默認的查殺策略對終端執(zhí)行病毒掃描任務(wù)，只檢查l自定義查殺：根據(jù)終端用戶的實際需要自定義配置l高性能：通過高效的緩存和線程池調(diào)度技術(shù)，實現(xiàn)HiSecEndpoint智能終端安全系統(tǒng)病毒查殺速度領(lǐng)先，其中二次病毒查殺能力達到分鐘級，資源占用一半以l資源自適應(yīng)：在用戶辦公場景下，HiSecEndpoint智能終端安全系統(tǒng)通過對系統(tǒng)內(nèi)存、磁盤IO、CPU的綜合評估，實現(xiàn)了用HiSecEndpoint智能終端安全系統(tǒng)基于勒索攻擊鏈提供全鏈路防護。在偵查準備階段，黑客通過掃描鎖定攻擊的目標，缺乏安全防護手段的資產(chǎn)更容易成為黑客攻擊的目標，HiSecEndpoint智能終端安全系統(tǒng)基于漏洞掃描服務(wù)與網(wǎng)絡(luò)威脅在攻擊入侵階段，黑客利用風險資產(chǎn)的漏洞入侵主機系統(tǒng)植入病毒，HiSecEndpoint智能終端安全系統(tǒng)的關(guān)鍵應(yīng)對理念是防御前移，建立實時防御的分層防御網(wǎng)，盡早斷開攻擊者的入侵鏈路，降低攻擊者ROI（Return-on-investment，投資凈利率不斷增加攻擊者的成本和難度。從基于NDR（NetworkDetectionandResponse，網(wǎng)絡(luò)威脅檢測與響應(yīng)）的高級入侵線索發(fā)現(xiàn)（如0-Day漏洞利用到XDR（DetectionandResponse，可擴展威脅檢測與響應(yīng)）IOA（IndicatorofAttack，攻擊指標）高級威脅檢測引擎實現(xiàn)勒索加密前阻斷，再到文件加密攻擊攔截，每一環(huán)節(jié)的防御機制均為上一環(huán)節(jié)防御機制的防御兜在勒索實施后，為了徹底控制、根除、恢復勒索軟件攻擊帶來的影響，我們通過攻擊可視化技術(shù)和深度溯源技術(shù)直接還原攻擊入口，助力定發(fā)現(xiàn)真實攻擊意圖，復盤企業(yè)信息系統(tǒng)弱點，多層次修復攻擊面，構(gòu)建更完善的勒索防御體系。通過主動誘捕技術(shù)加快攻擊意圖顯現(xiàn)并在加密用戶核心數(shù)據(jù)前處置威脅實體，在“用戶數(shù)據(jù)早晚會被加密”的假設(shè)下為用戶提供加密文件恢復兜底方案，穩(wěn)定華為乾坤從風險預(yù)防的角度出發(fā)，基于漏洞掃描服務(wù)與網(wǎng)絡(luò)威脅評估服務(wù)對安全防御體系防護效果進行評估，評估企業(yè)安全防御體系的風險和有效性，為用戶提供準確的修復建議，提醒租戶及時加固風險資產(chǎn)。資產(chǎn)風險綜合評估的實現(xiàn)原理如圖3-5所示。1.資產(chǎn)梳理：支持用戶通過人工導入的方式錄入資產(chǎn)，或者通過網(wǎng)段掃描探活的方192.安全檢測：為確保資產(chǎn)安全性，定期進行資產(chǎn)漏洞掃描、病毒查殺、威脅事件識3.綜合評估：通過脆弱性AI評估算分、漏洞優(yōu)先級排序、網(wǎng)絡(luò)威脅評估服務(wù)對網(wǎng)絡(luò)安全防御體系防護效果進行綜合評估，識別需要優(yōu)先修復的漏洞與網(wǎng)絡(luò)安全防4.風險閉環(huán)：對于綜合評估過程中識別出的漏洞、風險點、威脅事件，為客戶提供NDR高級入侵線索發(fā)現(xiàn)邊界突破是未知勒索軟件進入目標系統(tǒng)的關(guān)鍵環(huán)節(jié)，外聯(lián)C&C通信是控制目標系統(tǒng)的重要手段，傳統(tǒng)的IPS/IDS僅能解決已知攻擊檢測，例如：N-day漏洞、常規(guī)暴力破解、已知家族C&C信息等，面對0-Day漏洞和占比日益增加的加密流量攻擊卻束l無監(jiān)督學習+細粒度動態(tài)特征基線+統(tǒng)計分析發(fā)現(xiàn)0-Day漏洞線索、未知加密流量攻擊線索，不依賴任何標簽，由安全資深專家和數(shù)學家、AI科學家領(lǐng)域知識深度融合，基于場景化建模的思路，利用30+統(tǒng)計工具、孤立森林、極值理論等方法，將已知攻擊場景（20+）的數(shù)據(jù)泛化到未知行為發(fā)現(xiàn)，從而全面發(fā)現(xiàn)攻擊線索。目前，已經(jīng)累計開發(fā)了50+異常檢測模型。蔽攻擊，例如：代碼執(zhí)行漏洞、慢速暴破等，精度可達99.9%。l風險傳播算法+行為相似度模型進行關(guān)系建模，持續(xù)發(fā)現(xiàn)類似的攻擊模式和受害IOA高級威脅檢測引擎對于繞過邊界防御的勒索軟件攻擊，華為XDRIOA行為檢測引擎毫秒級實時檢測終端上的異常行為模式，通過華為獨創(chuàng)的內(nèi)存威脅溯源圖與網(wǎng)絡(luò)側(cè)的攻擊線索實時深度聯(lián)動，通過泛化能力極強的圖因果關(guān)聯(lián)模型、時序關(guān)聯(lián)模型、時間關(guān)聯(lián)模型、統(tǒng)計關(guān)聯(lián)模型等精準研判0-Day漏洞利用成功、powershell攻擊投遞、釣魚入侵成功等高級無文件攻擊場景，并精準識別威脅子圖、威脅實體，通過XDR與網(wǎng)關(guān)、終端聯(lián)動毫秒級切斷攻擊執(zhí)行鏈路，當前已累計模型15+，精度95%+。20對于已經(jīng)執(zhí)行起來的勒索軟件載體，同樣通過獨創(chuàng)的內(nèi)存溯源圖，通過啟發(fā)式的方式鎖定威脅根節(jié)點，組合400+流行勒索軟件家族專家深度分析，高維度泛化抽象+大數(shù)據(jù)挖掘的關(guān)鍵因果鏈條，疊加信任傳播算法和華為第三代靜態(tài)文件檢測引擎，可有效實現(xiàn)對勒索軟件變種和未知勒索軟件加密前的實時精準研判，并基于威脅根節(jié)點毫在華為乾坤未知勒索軟件攻擊測評中，近百萬勒索軟件樣本，在400+主流的勒索軟件家族上通過勒索軟件加密前的行為特征可有效支撐近90%的勒索軟件攻擊研判，現(xiàn)網(wǎng)運行半年無誤報，半年后采用1000個流行勒索軟件樣本評測，檢出率下降不到5%。正如前文所述，文件攻擊（加密、破壞等）是勒索攻擊的不變量，也是整個勒索攻擊檢測鏈條上的兜底環(huán)節(jié)，是在勒索動態(tài)攻防對抗上保持優(yōu)勢的關(guān)鍵為了從戰(zhàn)術(shù)上扭轉(zhuǎn)攻防對抗的不對等性，變被動為主動，HiSecEndpointAgent基于內(nèi)核級主動誘捕技術(shù)，在用戶正常辦公和業(yè)務(wù)無感知狀態(tài)下全天候自動守護，保護基于勒索軟件特征，在租戶終端的特定路徑中放置誘餌文件。誘餌文件放置位置和自身屬性均瞄準勒索軟件偏好，確保最先吸引勒索軟件。誘餌捕獲功能會根據(jù)誘餌文件上體現(xiàn)的惡意行為捕獲異常事件，工作原理如圖3-6所示。租戶在開通智能終端安全服務(wù)后，HiSecEndpointAgent根據(jù)內(nèi)置的行為檢測引擎，實時檢測誘餌文件，一旦發(fā)現(xiàn)其被寫入、重命名或者刪除，并將該惡意行為上報為告警事件。租戶可以依靠誘餌捕獲的能力，判斷終端是否存在前面所述主要目標是如何及時切斷整個勒索軟件攻擊的入侵鏈路，緩解勒索軟件攻擊帶來的影響，除了全面控制、根除、恢復攻擊帶來的負面影響，還需要還原整個攻擊鏈路，這是防御閉環(huán)的關(guān)鍵一步。當前隨著操作系統(tǒng)組件日趨復雜，攻擊者的對抗和逃逸手段也日趨多樣化、隱秘化，攻擊鏈路的關(guān)鍵要素往往散落在多個數(shù)據(jù)域（進程、文件、系統(tǒng)服務(wù)、計劃任務(wù)、網(wǎng)絡(luò)連接、數(shù)據(jù)包等呈現(xiàn)出碎片化的分布，給完整22為應(yīng)對上述挑戰(zhàn)，自動揭示完整攻擊鏈路，幫助客戶一鍵完成深度清理并看清攻擊入l跨終端、異構(gòu)數(shù)據(jù)時空關(guān)聯(lián)還原事件全貌：勒索軟件攻擊不是一次性完成的，它們會在各個路徑上都留下痕跡，通常以網(wǎng)絡(luò)、終端為主，要全面遙測這些數(shù)據(jù)并l構(gòu)建攻擊逃逸知識庫以有效應(yīng)對攻擊路徑碎片化：覆蓋計劃任務(wù)濫用、系統(tǒng)服務(wù)濫用、惡意代碼注入、漏洞利用等多種復雜攻擊場景，并通過攻擊語義關(guān)聯(lián)技術(shù)l從終端失陷溯源可視化、攻擊影響面可視化、完整攻擊故事可視化等多視角提供l結(jié)合威脅信息、漏洞信息、沙箱等，組合IOA+IOC（IndicatorofCompromise，失陷指標）+AI+UEBA（UserandEntityBehaviorAnalytics，用戶和實體行為分析）等全面精準研判攻擊，實現(xiàn)70%以上的威脅一鍵自動處置，并以可視化的方式定位根因，包括：攻擊者從哪里來？攻擊者整個入侵鏈路地圖是什么？攻擊者都干了哪些壞事？攻擊者是否還有潛伏？攻擊者是否取得更多權(quán)限？我們還為了確保數(shù)據(jù)零損失，HiSecEndpointAgent內(nèi)置終端輕量級備份恢復機制作為兜底方案，可在檢測到勒索攻擊后，將被加密文件恰好恢復至加密前的狀態(tài)并清理勒索l文件破壞全場景覆蓋：克服高難度的內(nèi)核態(tài)開發(fā)挑戰(zhàn)，在內(nèi)核層監(jiān)控勒索病毒對l勒索病毒全進程鏈回滾：全面覆蓋勒索病毒的多進程加密行為，支持全進程鏈回滾，內(nèi)置復雜的精細化文件回滾順序機制，支持勒索病毒全進程鏈自動化逆修改。l輕量靈活：備份單文件時長<10ms，單終端內(nèi)存<5M，CPU無感知。此外，不僅內(nèi)置對100多種重要文件的保護，用戶還可以自行添加需要備份的文件類型，23近年來，加密貨幣作為新興產(chǎn)業(yè)，發(fā)展速度令人矚目。加密貨幣的去中心化、無需監(jiān)管以及交易的匿名性等特性，使其成為黑客進行網(wǎng)絡(luò)交易并獲取利潤的主要手段之一。加密貨幣的獲取依賴于高性能計算機按照特定算法進行計算，這個過程被稱為“挖礦”。由于挖礦需要大量的計算能力，即大量的計算機資源，而維持這種計算能力則立所謂的僵尸網(wǎng)絡(luò)，以此來幫助自己挖礦，這種行為就產(chǎn)生了所謂的“挖礦木馬”。當個人或企業(yè)的計算機被植入挖礦惡意軟件后，不僅會導致系統(tǒng)卡頓，還會影響設(shè)備通過設(shè)置計劃任務(wù)或修改注冊表項等方式實現(xiàn)持久化，長期進行加密貨幣的挖礦l基于瀏覽器的挖礦木馬：這種木馬使用JavaScript或類似技術(shù)在瀏覽器中執(zhí)行。只要用戶打開了被植入挖礦木馬的網(wǎng)站，該木馬就會在瀏覽器中執(zhí)行挖礦操作，l無文件挖礦木馬：這種木馬利用合法工具如PowerShell等在機器的內(nèi)存中執(zhí)行挖礦木馬是黑客獲取加密貨幣的主要手段之一且極具隱蔽性，近年來，黑客越來越注一般來說，挖礦惡意軟件攻擊鏈條分成四個關(guān)鍵步驟：攻擊入侵、挖礦準備、安裝運行以及隱藏自身行為。終端作為攻擊發(fā)生的真241.入侵：攻擊者通過漏洞利用、社會工程學攻擊或其他方式入侵目標系統(tǒng)，許多已2.準備：攻擊者首先探測系統(tǒng)信息，若滿足條件則開始構(gòu)建挖礦運行環(huán)境，包括搶3.運行：攻擊者通過C2（CommandandControl，命令與控制）通道下載或者直4.隱藏：攻擊者通常會采取措施來隱藏挖礦活動，例如使用加密通信、進程注入來基于上述攻擊特點，HiSecEndpoint智能終端安全系統(tǒng)推出了三大檢測引擎，從多角度監(jiān)控系統(tǒng)發(fā)生的可疑行為，同時支持一鍵深度處置，徹底下面介紹幾種不同類型的檢測引擎如何通過EDR應(yīng)對當下更加復雜的挖礦木馬攻擊，包括基于加密通信的挖礦行為，采用進程注入等更加隱蔽和高級的無文件攻擊技術(shù)來挖礦活動的最本質(zhì)特點在于網(wǎng)絡(luò)連通，受害主機需要與礦池持續(xù)通信以確保挖礦活動流量探針識別stratum挖礦協(xié)議，可以確保礦池的外部連接在網(wǎng)關(guān)或終端側(cè)被阻斷。25通過分析網(wǎng)絡(luò)流量數(shù)據(jù)，機器學習模型可以學習和識別與加密挖礦相關(guān)的特征和模式。這些特征包括通信報文大小和時序特征、特定的網(wǎng)絡(luò)通信模式以及與已知挖礦活動相關(guān)的數(shù)據(jù)包。通過訓練機器學習模型，我們可以建立一個智能的檢測系統(tǒng)，能夠自動識別和報告潛在的加密挖礦行為。結(jié)合EDR調(diào)查取證可以幫助企業(yè)和組織及時發(fā)現(xiàn)對于落入端側(cè)的挖礦木馬攻擊，HiSecEndpointAgent檢測與響應(yīng)EDR行為檢測引擎基于內(nèi)存威脅溯源圖，在文件、進程、網(wǎng)絡(luò)、注冊表和CPU占有率等多個關(guān)鍵維度上實時監(jiān)控系統(tǒng)資源，一旦發(fā)現(xiàn)威脅立即處置。同時，內(nèi)存威脅溯源圖集成了自適應(yīng)基線模型、時序關(guān)聯(lián)模型、因果關(guān)聯(lián)模型等，在入侵、執(zhí)行、持久化和橫移等多個圖3-8示意了利用內(nèi)存威脅溯源圖還原WebLogic漏洞投遞無文件挖礦木馬的攻擊鏈眾所周知，單純通過判斷CPU占有率高可能會導致挖礦木馬事件誤報或漏報的情況發(fā)生，因為計算密集型任務(wù)也會導致CPU占有率飆升。因此，在檢測挖礦木馬時，我們需要結(jié)合攻擊的上下文信息進行綜合分析，結(jié)合內(nèi)存威脅溯源圖，將典型的挖礦261.在挖礦啟動前，攻擊者經(jīng)常做一些可疑的準備工作，例如探測CPU/GPU信息、修改安全設(shè)置、搶占系統(tǒng)資源、配置網(wǎng)絡(luò)策略并創(chuàng)建計劃任務(wù)達到長期劫持計算2.在挖礦啟動時，攻擊者往往需要指定挖礦參數(shù)，例如錢包地址、幣種、HASH算3.在挖礦執(zhí)行時，HiSecEndpoint智能終端安全系統(tǒng)會提示CPU占用異常，結(jié)合結(jié)合內(nèi)存威脅溯源圖，HiSecEndpoint智能終端安全系統(tǒng)可阻斷99%以上的挖礦啟動行為，同時可以看到完整的攻擊鏈，一個典型的挖礦木馬樣本威脅圖如圖3-9所示。高級威脅檢測引擎：識別文件屬性篡改、進程注入等防御逃逸為了對抗挖礦檢測和處置，攻擊者會采用多種高級攻擊技術(shù)來保持木馬在系統(tǒng)中的存在。其中包括濫用系統(tǒng)敏感API來篡改文件屬性或進程屬性，以避免被刪除另外，攻擊者還可能采用進程注入的方式來躲避檢測。為了應(yīng)對這些威脅，HiSecEndpoint智能終端安全系統(tǒng)實現(xiàn)了在API級別監(jiān)控系統(tǒng)的可疑行為，并直接阻斷惡27意行為的執(zhí)行，以防患于未然。通過這種方式，可以有效地提高系統(tǒng)的安全性，防止在檢測到挖礦威脅后，對于檢測到的可疑點，HiSecEndpoint智能終端安全系統(tǒng)支持l網(wǎng)絡(luò)：可以聯(lián)合防火墻來阻斷與挖礦相關(guān)的通信IP地址，從而切斷其與外部的總之，通過自動化的處置過程可以幫助快速有效地清除挖礦木馬，減少對系統(tǒng)和網(wǎng)絡(luò)近年來無文件和基于內(nèi)存的攻擊愈加火熱，需要注意的是無文件攻擊不代表真的沒有文件，只是一種攻擊策略，其出發(fā)點是避免將真正的惡意代碼放在磁盤上，以逃避安全檢測。所說的無文件,也未必是攻擊全程無文件，而是其中的一部分采用了基于無文件攻擊通常不在硬盤上留下可識別的文件，而是利用系統(tǒng)內(nèi)他合法的系統(tǒng)工具（如Powershell、WMI等）進行攻擊。這使得傳統(tǒng)的基于文28攻擊者常常注入操作系統(tǒng)自帶的合法工具（如記事本、svchost等）來執(zhí)行惡意攻擊者常常不在文件層面存放惡意代碼，真正的惡意代碼存放在由服務(wù)器中，或者存放于本地的加密文中。運行時利用Shellcode從服務(wù)器下載或針對上述挑戰(zhàn)，HiSecEndpoint智能終端安全系統(tǒng)采用如圖3-10所示的檢測架構(gòu)檢l腳本基線和AMSI檢測學習腳本宿主（如wscript、jscript、Powershell）的行為基準，在發(fā)生高度疑似系統(tǒng)破壞行為時，即時終止惡意腳本。同時還可以利用AMSI技術(shù)實時獲取解密基于內(nèi)存陷阱技術(shù)實時抓取攻擊者的控制服務(wù)器，同時利用深度快速掃描程序惡意內(nèi)存塊，精確識別惡意程序家族，斬斷無文件威關(guān)鍵路徑shellcode。29釣魚木馬是一種常見的惡意軟件，其通過誘騙用戶點擊執(zhí)行惡意文件，實現(xiàn)竊取敏感信息或控制受感染主機的目的。釣魚木馬對個人和大型組織的安全構(gòu)成了嚴重威脅。HiSecEndpoint智能終端安全系統(tǒng)通過對釣魚木馬特征的深入分析，并結(jié)合機器學習算法和圖像處理技術(shù)，能夠有效提高釣魚木馬的檢測精HiSecEndpoint智能終端安全系統(tǒng)提供如下兩種檢測方案。30快捷方式通常偽裝成合法的可執(zhí)行文件或PDF文件，誘使毫無戒心的用戶點擊，最終導致其系統(tǒng)或網(wǎng)絡(luò)受到損害。針對快捷方式釣魚木馬的特點，HiSecEndpoint智能終端安全系統(tǒng)利用圖像處理技術(shù)，結(jié)合快捷方式的屬性等方式動HiSecEndpoint智能終端安全系統(tǒng)基于知識圖譜的攻擊可視化溯源與響應(yīng)技術(shù)，支持對進程、文件、注冊表、網(wǎng)絡(luò)鏈接、DNS等進行溯源操作，精準還原威脅攻擊鏈路?；诠翩溌?，對風險全面加固并深度清理，防止同一威脅事件重復發(fā)生。工作原理如圖3-11所示。HiSecEndpoint智能終端安全系統(tǒng)的溯源功能支持3個月采集數(shù)據(jù)存儲，10跳以上溯源3秒以內(nèi)返回結(jié)果。3.查詢進程調(diào)用鏈關(guān)系，向上查詢父進程及祖父進程，向下查詢子進程。同時，對4.查詢進程實體關(guān)聯(lián)的惡意進程