專殺工具在應(yīng)急響應(yīng)服務(wù)中的價值

威脅框架：細粒度對抗威脅框架：細粒度對抗CONTENTS與需求威脅框架：細粒度對抗威脅框架：細粒度對抗網(wǎng)絡(luò)安全應(yīng)急響應(yīng)工作痛點與需求Page4客戶在網(wǎng)絡(luò)安全應(yīng)急響應(yīng)工作中的幾個痛點序號威脅問題1“熊貓燒香”蠕蟲、“魔窟（WannaCry）”勒索蠕蟲持續(xù)傳播感染擴散的威脅。主機原有防御產(chǎn)品出現(xiàn)清除不掉、殺而復(fù)來的情況。2“暗云”系列、“機器狗”等帶有Rootkit、Bootkit、BIOSkit等機制的惡意代碼。主機原有防御產(chǎn)品無法發(fā)現(xiàn)，更無法清除。3病毒蠕蟲在隔離網(wǎng)絡(luò)內(nèi)泛濫傳播。病毒庫無法及時分發(fā)升級，無法有效處置。4對一些安全風險，獲得了HASH、YAYA規(guī)則等格式情報。沒有對應(yīng)的主機側(cè)利用工具。1專殺工具23456需要怎樣的工具應(yīng)對?1專殺工具23456應(yīng)該滿足輕量化部署，具備高度靈活彈性應(yīng)該滿足對外部條件依賴性低，應(yīng)該滿足輕量化部署，具備高度靈活彈性應(yīng)該滿足對外部條件依賴性低，且具應(yīng)該滿足能夠在最大程度上避免被威脅察覺和破壞應(yīng)該具備服務(wù)運營多方參與性，能夠支持客戶和友商參與運營應(yīng)該滿足針對APT的對抗性，支持用作威脅獵殺的精巧利器響應(yīng)工作中長期存在且數(shù)量眾多的隱痛，催生了對于除傳統(tǒng)終端防御系統(tǒng)之外的另一種形式的威脅防御措施——專殺工具的迫切需求，這種威脅防御措施應(yīng)該能Page5威脅框架：細粒度對抗威脅框架：細粒度對抗Page6在哪些技術(shù)點上需要快速處置工具的輔助支持？利用自動啟動執(zhí)行引惡意代碼可以將系統(tǒng)設(shè)置配置為在系統(tǒng)啟動或登錄期間自動執(zhí)行程序，以保持持久性或在受到感染的系統(tǒng)上獲得更高級別的特權(quán)。專殺工具可將系統(tǒng)設(shè)置配置為在系統(tǒng)啟動或登錄期間自動執(zhí)行程序，從而將該類惡意代碼查殺。創(chuàng)建或修改系統(tǒng)進程部分。專殺工具能夠檢測系統(tǒng)上的特權(quán)和服務(wù)濫用并對其進行糾正。利用服務(wù)器軟件組件惡意代碼可能濫用服務(wù)器的合法可擴展開發(fā)功能來建立對系統(tǒng)的持久訪問。專殺工惡意代碼可能試圖隱藏與其行為相關(guān)的文件等，以逃避檢測。專殺工具可查看隱藏惡意代碼可以通過劫持操作系統(tǒng)運行程序的方式來執(zhí)行自己的惡意負載。專殺工具全限制。專殺工具通過接近底層的ARR處置規(guī)則腳本將其查殺。惡意代碼可以將代碼注入到進程中，從而規(guī)避基于進程的防御以及可能的提權(quán)。專惡意代碼可能使用rootkit來隱藏程序、文件、網(wǎng)絡(luò)連接、服務(wù)、驅(qū)動程序和其他系統(tǒng)組件的存在。專殺工具具備Rootkit檢測能力并橫向移動惡意代碼進入網(wǎng)絡(luò)后可以利用遠程服務(wù)獲得對內(nèi)部系統(tǒng)的未授權(quán)訪問。專殺工具可下發(fā)相應(yīng)的補丁并封堵相應(yīng)的端口進行惡意代碼查殺。橫向傳輸文件或工具惡意代碼可以在受害者環(huán)境中的不同系統(tǒng)之間傳輸工具或其他文件。專殺工具可封堵相應(yīng)的端口，攔截傳輸并進行惡意代碼查殺。惡意代碼可以使用有效帳戶登錄專門用于接受遠程連接的服務(wù)。專殺工具可有效禁惡意代碼可以利用增補系統(tǒng)的資源來解決可能影響系統(tǒng)和/或托管服務(wù)可用性的資源密集型問題，如挖礦工具等。專殺工具可查殺指定進程或文件等。惡意代碼可以停止或禁用系統(tǒng)上的服務(wù)，從而使合法用戶無法使用這些服務(wù)。專殺工具可查殺該惡意代碼并將被惡意修改的服務(wù)等恢復(fù)。威脅框架：細粒度對抗威脅框架：細粒度對抗專殺工具在應(yīng)急響應(yīng)工作中專殺工具的定義與演進專殺工具產(chǎn)生于DOS殺毒時代，對于一些較為頑固或有特殊感染方式的病毒，反病毒廠商或安全研究者，編寫出獨立于殺毒軟件之外的專用殺毒程序，被稱為專殺工具。在經(jīng)歷了多年應(yīng)急響應(yīng)對抗后，安天對專殺工具定義已經(jīng)成為面對特定的一種或多種安全威脅，能夠進行檢測、清除、隔離、驗證、免疫、修復(fù)綜合應(yīng)對的安全小工具。Page8威脅框架：細粒度對抗威脅框架：細粒度對抗安天歷史上發(fā)布過的較為重要的專殺工具Page9威脅框架：細粒度對抗威脅框架：細粒度對抗專殺工具形式的威脅防御措施的與時俱進與時俱進，正如圖中所示的部分典型工具，從單一威脅專殺到某一類別威脅專殺再到統(tǒng)一界面風格的流程化研發(fā)、開放式框架AVLPK火眼（FireEye）失竊工具專Page10威脅框架：細粒度對抗威脅框架：細粒度對抗Page11當前檢測文件發(fā)現(xiàn)威脅導(dǎo)出結(jié)果暫停/繼續(xù)提取樣本處置威脅設(shè)置排查模式當前檢測文件發(fā)現(xiàn)威脅導(dǎo)出結(jié)果暫停/繼續(xù)提取樣本處置威脅設(shè)置排查模式可處置列表一鍵排查免疫設(shè)置免疫設(shè)置Page12安天專殺工具的處置機理和規(guī)則擴展）， 插件模塊插件YARAYARA檢測規(guī)則處置規(guī)則安天專殺工具AVLPK可擴展性安天專殺工具支持YAYA檢測規(guī)則擴展YARAYARA是VirusTotal的反病毒工程師VictorManuelAlvarez在2008年開發(fā)的工具。該工具旨在幫助惡意軟件研究人員識別和分類惡意軟件樣本。對開源沙箱（CuckooSandbox）的支持，提供了一種使用文本或二進制形式描述惡意軟件的規(guī)則。該規(guī)Perl的正則表達式。{}Page13威脅框架：細粒度對抗威脅框架：細粒度對抗Page14安天ARR(AntiyResponseRule)開放式處置規(guī)則定義ARRARR（AntiyResponseRule）的部分指令集1.創(chuàng)建注冊表項/值[Reg_Create] 2.修改注冊表項/值[Reg_Modify] 3.刪除注冊表項/值[Reg_Delete] 4.重命名注冊表項/值[Reg_Rename]5.刪除注冊表值[Reg_Delete_Value]1.創(chuàng)建計劃任務(wù)[Task_Create]2.修改計劃任務(wù)[Task_Modify]3.刪除計劃任務(wù)[Task_Delete]1.創(chuàng)建文件[File_Create]2.修改文件[File_Modify]3.刪除文件[File_Delete]4.重命名文件[File_Rename]5.修改文件屬性[File_Attribute]6.刪除文件指定內(nèi)容[File_DelText]7.MBR修復(fù)[File_repairMbr]1.創(chuàng)建進程[Proc_Create] 2.掛起/恢復(fù)進程[Proc_Modify] 3.結(jié)束進程[Proc_Terminate]4.掛起指定模塊線程[Proc_Module_Threads]1.下發(fā)bat腳本并運行[Script_Bat]2.下發(fā)shell腳本并運行[Script_Shell]3.下發(fā)vbs腳本并運行[Script_Vbs]4.下發(fā)powershell腳本并運行[Script_PWL]5.下載文件并運行[Script_File]1.外設(shè)彈出/規(guī)則[Other_Device]2.斷網(wǎng)處置[Other_NetOff]3.禁用端口[Other_Disabled_Port]3.禁用ip[Other_Disabled_Ip]4.補丁修復(fù)[Other_Fix_patch]5.創(chuàng)建互斥免疫[Other_Create_Mutex]6.創(chuàng)建掃描并自動處置[Other_QuickScan]二、計劃任務(wù)（可配自動處置規(guī)則）一、注冊表（可配自動處置規(guī)則）三、文件（可配自動處置規(guī)則）四、進程（可配自動處置規(guī)則）五、腳本六、其他安天ARR開放式處置規(guī)則定義是安天為實現(xiàn)細粒度端點響應(yīng)策略而定義的一組指令集合，包括了對扇區(qū)、注冊表、文件、驅(qū)動、進程等進行相關(guān)操作的動作定義，并可以執(zhí)行包括磁盤遍歷，特征匹配搜索等邏輯動作?？梢杂糜谔幚聿呗跃幣?、專殺腳本生成，以執(zhí)行細粒度的處置動作。安天專殺程序由符合ARR規(guī)則的腳本和解析器、處理器構(gòu)成。ARR處置規(guī)則支持判定條件，用于觸發(fā)相應(yīng)處置:Page15安天專殺工具與SOAR、IEP緊密協(xié)同面對網(wǎng)空威脅，安天專殺工具在應(yīng)急響應(yīng)工作中的應(yīng)用具有完備的支撐環(huán)境，并與安天態(tài)勢感知平臺編排響應(yīng)（SOAR）子系統(tǒng)、安天智甲終端防御系統(tǒng)（IEP）緊密協(xié)同，共同組成終端一體化防御。針對態(tài)勢感知平臺發(fā)現(xiàn)并告警的安全威脅，安天SOAR進行細粒度的處置編排并將處置策略下發(fā)至IEP執(zhí)行；針對某些未部署IEP等終端防御系統(tǒng)的敏感終端或不適用于IEP開展處置的場景下，由專殺工具直接加載處置策略（安天SOAR生成并下發(fā)實施針對性的專殺作業(yè)，直至清除威脅后將專殺結(jié)果以日志等形式反饋至安天SOAR，形成閉環(huán)。在這其中，安天專殺工具與IEP共享統(tǒng)一的內(nèi)核處置機制，包括但不限于ARR處置規(guī)則等。安天態(tài)勢感知平臺編排響應(yīng)（SOAR）子系統(tǒng)安天智甲終端防御系統(tǒng)（IEP）安天專殺Page16案例1：“暗云Ⅲ”木馬事件安天安全研究與應(yīng)急處理中心（AntiyCERT）于北京時間2017年5月26日19時，監(jiān)測的DDoS攻擊事件。參與攻擊的源地址覆蓋廣泛，幾乎在全國所有省市運人員將此次攻擊命名為“RainbowDay”——“經(jīng)過多次取證分析發(fā)現(xiàn)，該惡意代碼感染量較大，其功能非常復(fù)雜，可以利用帶有正常數(shù)字簽183.60.111.150，一直持續(xù)到2攻擊第二階段，于5月28日早7時左右開始攻擊59.1發(fā)送數(shù)據(jù)包詳情部分受害IP向C2服務(wù)器發(fā)起請求Page17案例1：“暗云Ⅲ”木馬執(zhí)行流程此次DDoS攻擊事件最原始的傳播是通過捆常游戲微端的方式將ShellCode捆綁到正執(zhí)行后會從網(wǎng)絡(luò)上下載一個配置文件，讀取配置文件中的下載地址執(zhí)行后再一次連接網(wǎng)絡(luò)下載文件lcdn.db（lua腳本解釋器）和ndn.系統(tǒng)每次運行都會調(diào)用案例1：“暗云Ⅲ”木馬特征與查殺工具腳本示例“暗云Ⅲ”木馬特征，包括但不限于：1.通過游戲微端、外掛、私服登錄