淺談能力對抗下的終端未知威脅檢測

伴隨著虛擬貨幣的瘋狂炒作，勒索病毒和挖礦木馬漸漸成為了近期終端安全的熱點話題。這兩種新型攻擊形式依靠對數據和算力的「非法佔用」來盈利。不少政企行業的伺服器都被勒索或者變為「礦工」，導致業務運行受到影響。

勒索和挖礦類攻擊大行其道的同時，APT也不甘寂寞，海蓮花等多個惡意組織也陸續被曝光其最新的攻擊樣本，新的APT攻擊組織「寄生獸」也於5月3日被披露。隨著美國國安局的部分攻擊工具被「影子破壞者」組織披露並售賣，漏洞及攻擊方式已經變為了攻擊武器並成為惡意組織的標配。

將0day漏洞的利用方式與變種的惡意樣本結合起來就可以輕鬆構建起一種新的可規模傳播的攻擊鏈條，具有高穿透性、高傳播性、高危害性的攻擊將成為常態化的安全威脅。因此，我們需要思考一種更有效的手段來解決「殺毒軟體沒用」的問題。

終端安全的新背景

要解決問題首先要搞清楚問題的原因。對於APT來說，其非常重要的一個特徵就是隱蔽性強、攻擊特徵難以提取。為了躲避傳統檢測手段，APT攻擊更加註重動態行為和靜態文件的隱蔽性。例如通過隱蔽通道、加密通道避免網路行為被檢測，或者通過偽造合法簽名的方式避免惡意代碼文件本身被識別，這就給傳統基於簽名的檢測帶來很大困難；對於勒索病毒和挖礦木馬來說，每天的變種以指數級的數量在增長，而殺毒軟體的病毒庫更新之間的空窗期以及對未知威脅的「不敏感」就使得常規殺毒軟體無法應對這種場景。

因此現在終端所處的安全的背景是以勒索病毒和挖礦木馬為主的惡意樣本大量爆發，兼有高穿透性的APT攻擊常態化發生的複雜場景。在這種情況下，如何在終端進行有效的未知威脅檢測的工作？我們先就最新披露的「寄生獸」（由於少量惡意代碼被插入到大量開源代碼中，所以被命名為「寄生獸」）攻擊的場景進行討論：

某一企業的員工A誤點開了精心構造的魚叉郵件，郵件附件利用office漏洞執行腳本程序，由於惡意代碼採取了繞過安全軟體的手段而沒有被及時查殺。惡意腳本通過下載木馬及載入惡意插件的形式，定期將A的文件、截屏等上傳到C&C控制端。同時，惡意樣本也通過感染U盤中office文件的方式進行傳播，最終由於某位員工電腦上重要文件的泄露給企業帶來了巨額損失。IT管理員如何能夠發現潛藏於終端上的安全事件並第一時間響應？

對未知威脅的處理說到底是企業、安全廠商共同構建的防禦能力和惡意組織隱藏能力之間的對抗。惡意組織通過對惡意樣本加殼、花指令、構造合法簽名、隱匿通道等多種方式嘗試繞過安全產品的防線，而企業和安全廠商則通過大數據、機器學習、威脅情報等方法嘗試發現惡意組織的攻擊意圖和攻擊手段。以解決上述場景的問題為例，我們首先要發現異常的行為，之後追溯到為此負責的終端和進程，通過對進程行為的動作取證判斷是否為安全威脅。之後還需要在公司範圍內確認受此惡意樣本影響的終端範圍，先在小範圍內採取相應的管控措施對惡意進程進行查殺，如果不會影響業務再將響應方式推廣到其餘受影響到的終端。

對抗未知威脅的要點能力

一般來說，業界對未知威脅的處理可以歸納為「威脅核實—來源追溯—確定影響範圍—灰度處置—持續遏制」五個流程，而我們在終端上制定的安全策略和基本防禦基線主要提供了「評估」與「攔截」兩方面的能力，對應於處理流程中的「灰度處置」和「持續遏制」。然而通過一成不變的安全策略和防禦基線不可能將所有的未知威脅拒之門外，尤其是高穿透性的APT攻擊。

針對已經確認的安全事件，就需要運維人員及時對防禦策略和基線進行調整，比如在終端上進行惡意進程的封殺、網路禁入等動作。同時我們必須意識到，通過動態調整安全防護能力來應對未知威脅的前提是我們要檢測出未知威脅，針對其攻擊路徑進行封堵。但是僅僅憑藉「評估」與「攔截」兩種能力不能拓現出未知威脅的攻擊鏈條，再加上企業用戶的安全數據相對封閉，安全廠商也很難針對定向的高級威脅做出快速反應。

為了解決企業安全數據封閉的問題，安全廠商通常會把自身公有雲的安全數據和處理能力，通過私有雲的方式「前置」到企業內。這不光包括安全大數據存儲和檢索能力的前置，還包括安全廠商在雲引擎中處理安全大數據「知識」的前置。通過私有雲的模式，企業用戶能夠在本地對自身的安全大數據進行處理。同時在知識的引導下，配合安全產品的標準化業務流程，使企業用戶獲得針對未知威脅的「檢測」和「響應」能力，對應於流程中的「威脅核實」和「來源追溯」，在第一時間發現未知威脅，並把對未知威脅的單次響應快速轉化為對已知威脅的持續攔截。

所以在對抗未知威脅時，除了「評估」與「攔截」能力之外，企業用戶應更注重「檢測」與「響應」能力的建設。接下來將簡單談一下未知威脅檢測的新思路新方法。

未知威脅檢測的新思路新方法

當我們試圖發現未知威脅的蛛絲馬跡時，需要海量且多維度的終端信息作為支撐。為了拓現出未知威脅的感染途徑和傳播方法，這些信息需要涵蓋終端基礎信息、樣本投遞信息、內存活動信息、系統變更信息四個大類，具體可細分為移動存儲文件傳輸、進程啟停行為、DNS解析行為、URL訪問行為、進程注入行為、文件訪問行為等細化維度的信息。收集終端更多維度且更細化的數據可以給用戶提供更豐富的終端描述，能夠最大限度為檢測能力提供支撐。

終端信息多且雜，以上述涉及到的終端信息的收集為例，正常使用情況下每個終端每天大約要產生13M的日誌，多達20000餘條，如果在終端上同時進行數據的採集和分析則會給終端性能帶來很大的挑戰。因此一個有效的做法是將收集信息的工作下放到終端，而分析和響應的動作則後置於緩存伺服器或數據分析平台。那麼基於終端海量的行為數據，如何發現未知威脅的線索呢？以下將探討三種尋找未知威脅線索的方法。

基於異常知識的檢測

在海量的終端數據中尋找線索雖然十分困難，但並不是無跡可尋的。好比有經驗的警察可以根據一個人表情的異常、微小的動作來判斷一個人是否有嫌疑一樣，基於異常知識的檢測需要根據文件、進程等信息的偏離情況對收集上來的終端信息進行檢查，從而發現異常情況。

按照偏離的屬性或關係，我們可以先將異常的情況總結為文件靜態屬性偏離、進程動態屬性偏離和敏感激進的活動（如敏感的內存活動或磁碟變更）三大類。以「寄生獸」為例，我們發現終端上啟動了powershell並執行了腳本，這就屬於敏感激進活動的異常情況。基於這樣的思路找到線索之後，我們就需要根據進程的行為動作來判斷是否為安全威脅。如果確定為安全威脅，則可以通過進程查殺等動作將未知威脅的「檢測」落地為對已知威脅的「評估」和「攔截」。

基於異常知識的「檢測」對安全人員的知識儲備和能力要求較高，另一方面依賴人力進行海量數據的比對和分析效率太低，那麼是否有一種相對高效的方式來發現異常信息並以自動化的方式處理呢？答案是肯定的，這就是基於威脅情報的安全治理。

基於威脅情報的檢測

威脅情報可以幫助用戶快速識別安全威脅並做出明確決定，通常包含了安全威脅的行為描述和攻擊特徵。現如今安全廠商提供的威脅情報多用於網關類設備，對於處於潛伏期的惡意樣本或者內網擴散不經網關的安全威脅就有了很大的漏點。因此，若要建設終端的「檢測」能力，威脅情報就需要在終端落地並與終端數據進行碰撞比對。通過這種方式，安全產品可以對明確的已知威脅進行自動化處置，同時把潛在的未知威脅通過告警的方式提示安全運維人員。運維人員則可以通過對歷史相關的已知威脅的學習，對此風險告警進行人工介入，縮短未知威脅響應時間。

在威脅情報的引導下，不但企業用戶可以學習和了解生產環境中發現的已知威脅，終端安全產品同樣可以通過威脅情報檢出潛在的未知威脅，並協助安全運維人員進行安全決策。而通過最終決策結果，安全運維人員可以通過矯正或更新威脅情報的方式，實現終端安全治理中知識的管理和積累。通過這種本地知識的積累和雲端知識的傳遞的方式，企業中的終端安全產品會不斷向未知威脅檢出與響應流程自動化的目標前進。而企業中的安全運維人員，會不斷提升自身的安全運維能力。最終，終端安全治理得以向智能化的方向發展，而威脅情報將成為智能化的核心驅動力。

威脅情報是由安全廠商提供的，在這種安全能力傳遞到客戶之前將會存在一段「空窗期」。如何彌補在這一段「空窗期」對未知威脅的檢測能力不足？機器學習將會是非常好的補充。

基於機器學習的檢測

參考各大安全廠商的監測數據，新惡意樣本的產生越來越快，繞過終端防護基線的手段層出不窮，使用機器學習的方法來彌補客戶「空窗期」檢測能力的不足已經成為業界趨勢之一。

簡單來說，機器學習先要建立一個分析模型，之後對分析模型進行大量的訓練。這類模型的建立過程首先基於行為樣本或者網路訪問樣本進行聚類，之後建模出初次判斷模型（包含大量參數），然後根據大量的正負樣本通過神經網路的演算法對參數進行調整，使其偏離率越來越低。那麼要想獲得一個準確的判斷模型，神經網路的層數和樣本的訓練量就很重要：神經網路的層數如果過少，對樣本的分析就會不夠細化，導致誤漏報率的提高，但是從另一方面，也需考慮到神經網路層數過多對於性能的影響，如果神經網路層數過多，則會使訓練周期和判斷時間大大延長。一般來說，業界的最佳實踐是採用六層的神經網路演算法。

另一個涉及模型能力重要因素是樣本的訓練量。通過大量樣本的分析訓練，判斷模型會通過神經網路自動對判斷的參數進行調節，使之偏離率最小。如果樣本規模過小，則會使得模型的參數調整不夠成熟，產生大量誤報漏報。因此，神經網路層數和樣本訓練量是建立機器學習機制的重要考量因素，二者缺一不可。

但是不管機器學習的模型如何成熟，樣本訓練量如何巨大，其對未知樣本的檢測偏離率只能儘可能小，仍然會存在誤報漏報的情況，這個時候就需要安全人員再結合威脅情報或知識積累加以確認，輔助機器學習的完善過程。

最後

在終端安全的新態勢下，檢測能力是對抗未知威脅的關鍵。大數據分析、威脅情報和機器學習等新技術的引入可以減少大量的分析工作，提高對未知威脅檢測的效率。同時安全人員對大數據的運營、對機器學習模型和威脅情報的有效管理將極大的保障對抗未知威脅的準確性和可靠性，畢竟「人，才是安全的尺度」。

作者：張泰寧，360企業安全技術專家

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！