FireHunter6000沙箱技術白皮書

1、華為FireHunter 沙箱技術白皮書華為技術有限公司目錄 HYPERLINK l _bookmark0 概述3 HYPERLINK l _bookmark1 APT 下一代威脅背景介紹3 HYPERLINK l _bookmark2 APT 下一代威脅發(fā)展趨勢5 HYPERLINK l _bookmark3 用戶現(xiàn)網(wǎng)現(xiàn)狀分析6 HYPERLINK l _bookmark4 安全防護解決方案7 HYPERLINK l _bookmark6 文件檢測技術原理8 HYPERLINK l _bookmark7 CC 檢測技術原理10 HYPERLINK l _bookmark8 典型應用場景11

2、HYPERLINK l _bookmark9 旁路獨立部署11 HYPERLINK l _bookmark10 與華為防火墻（簡稱 FW）聯(lián)合部署11 HYPERLINK l _bookmark11 與華為大數(shù)據(jù)安全產(chǎn)品CIS 聯(lián)動部署12 HYPERLINK l _bookmark12 與 FW、CIS 基礎版聯(lián)動部署13 HYPERLINK l _bookmark13 產(chǎn)品特性14 HYPERLINK l _bookmark14 全面的流量檢測14 HYPERLINK l _bookmark15 支持主流應用和文檔14 HYPERLINK l _bookmark16 模擬主流的操作系統(tǒng)和應

3、用軟件14 HYPERLINK l _bookmark17 分層的防御體系14 HYPERLINK l _bookmark18 提供準實時的處理能力14 HYPERLINK l _bookmark19 提供一流的針對 APT 威脅的反躲避能力15 HYPERLINK l _bookmark20 強大的 CC 檢測能力16 HYPERLINK l _bookmark21 產(chǎn)品規(guī)格17 HYPERLINK l _bookmark22 硬件配置19 1概述2010 年 Google 遭受 Aurora 下一代威脅攻擊，導致大規(guī)模的 Gmail 郵件泄漏，對 Google品牌造成嚴重影響；2010 年

4、伊朗核設施遭受 Stuxnet 攻擊，導致核設施核心部件-離心機受損嚴重，此次攻擊造成后果不亞于一次定點轟炸；2011 年 RSA 遭受針對 SecureID 的下一代威脅攻擊，導致大規(guī)模的 SecureID 數(shù)據(jù)泄漏， 嚴重影響使用 SecureID 的客戶安全，對公司的安全性質(zhì)疑嚴重影響公司的公眾形象；2013 年 3 月韓國銀行業(yè)遭受一次定向型 APT 攻擊，導致大面積的銀行主機系統(tǒng)宕機， 嚴重影響銀行在客戶心中的形象；2015 年 12 月，烏克蘭電網(wǎng)遭受惡意代碼攻擊，至少有三個電力區(qū)域被攻擊，導致了超過一半的地區(qū)和部分伊萬諾-弗蘭克夫斯克地區(qū)斷電數(shù)小時停電事故；2016 年 2 月，

5、孟加拉國中央銀行在美國紐約聯(lián)邦儲備銀行的賬戶，遭受黑客攻擊，被盜走超過 1 億美金。2017 年 4 月，全球爆發(fā) wannacry 勒索軟件攻擊，校園網(wǎng)、企業(yè)網(wǎng)受害嚴重。隨著以 APT 為代表的下一代威脅登場，傳統(tǒng)安全防護手段面臨挑戰(zhàn)，一次 APT 攻擊， 輕則造成公司核心商業(yè)機密泄漏，給公司造成不可估計得損失，重則導致金融行業(yè)、能源行業(yè)、交通行業(yè)等涉及國計民生的行業(yè)陷入癱瘓，其效果不亞于一場戰(zhàn)爭，未來如何應對以 APT 為代表的下一代威脅，事關國家安全，這已經(jīng)不是單純依靠安全公司就能應對的問題，需要從國家安全的角度來應對未來的以APT 為代表的下一代威脅，應對未來可能的網(wǎng)絡戰(zhàn)。APT 下一

6、代威脅背景介紹自 2010 年Google 承認遭受嚴重黑客攻擊之后，APT 高級持續(xù)性威脅便成為信息安全圈子人盡皆知的“時髦名詞”，當然對于像Google、RSA、Comodo 等深受其害的公司而言 APT 無疑是一場噩夢，噩夢的結果便是對現(xiàn)有安全防御體系的深入思考。APT(Advanced Persistent Threat)高級持續(xù)性威脅顧名思義，這種攻擊行為首先具有極強的隱蔽能力，通常是利用企業(yè)或 機構網(wǎng)絡中受信的應用程序漏洞來形成攻擊者所需C&C 網(wǎng)絡;其次 APT 攻擊具有很強的針對性，攻擊觸發(fā)之前通常需要收集大量關于用戶業(yè)務流程和目標系統(tǒng)使用情況的精確信息，情報收集的過程更是社會

7、工程藝術的完美展現(xiàn);當然針對被攻擊環(huán)境的各類 0day 收集更是必不可少的環(huán)節(jié)。下面我們以 2015 年 12 月烏克蘭電網(wǎng)遭受的 APT 攻擊為例，介紹一下一個典型的 APT攻擊過程：圖1-1 烏克蘭電網(wǎng)受到的 APT 攻擊過程在烏克蘭電網(wǎng)遭受的這次 APT 攻擊中，攻擊者首先偽造來自國會的郵件進行滲透，郵件附件有一個惡意 office 文檔，辦公區(qū)的員工打開文檔運行惡意宏，會將惡意軟件植入到辦公區(qū)的主機中。惡意軟件與外部的 C&C 服務器建立 C&C 通信，并且通過員工的VPN 權限訪問到機房的 SCADA 控制主機。攻擊者利用 SSH 的漏洞，在機房 SCADA 控制主機的 SSH Se

8、rver 添加了一個固定密碼，為攻擊留下后門。攻擊者通過 C&C 通道， 登陸辦公區(qū)員工主機，通過員工的 VPN 連接到機房的控制主機，通過 SSH 對機房的控制主機進行操作，發(fā)出打開電閘的命令，造成烏克蘭多個地區(qū)的斷電，之后擦除證據(jù)、破壞系統(tǒng)。同時對烏克蘭電網(wǎng)的呼叫中心發(fā)起 DDoS 電話攻擊，最終達成停電長達數(shù)小時，整個烏克蘭社會混亂的局面。這次攻擊點完全是通過惡意代碼針對 PC 主機環(huán)節(jié)的滲透和植入達成的，造成了及其惡劣的社會和政治影響。對于 APT 攻擊我們需要高度重視，正如看似固若金湯的馬奇諾防線，德軍只是改變的作戰(zhàn)策略，法國人的整條防線便淪落成擺設，至于 APT 攻擊，任何疏忽大意

9、都可能為信息系統(tǒng)帶來災難性的破壞。相信您迫切想了解傳統(tǒng)的網(wǎng)絡犯罪集團與 APT 攻擊行為到底有哪些異同，下面的表格或許能讓您找到答案。圖1-2 傳統(tǒng)威脅和 APT 威脅的區(qū)別不難看出 APT 攻擊更像一支配備了精良武器的特種部隊，這些尖端武器會讓用戶網(wǎng)絡環(huán)境中傳統(tǒng)的 IPS/IDS、防火墻、防病毒軟件等安全防御體系失去應有的防御能力。無論是 0day 或者精心構造的惡意程序，傳統(tǒng)的基于特征庫的被動防御體系都無法抵御定向攻擊的入侵。APT 下一代威脅發(fā)展趨勢典型的 APT 攻擊，通常會通過如下途徑入侵到您的網(wǎng)絡當中：通過 SQL 注入等攻擊手段突破面向外網(wǎng)的 Web Server、郵件服務器等服

10、務器，然后以被入侵的服務器做跳板，對內(nèi)網(wǎng)的其他服務器或桌面終端進行掃描，并為進一步入侵做準備;通過給高層主管郵件，發(fā)送帶有惡意程序的附件，誘騙員工點擊并入侵內(nèi)網(wǎng)終端。通過熟人給企業(yè)內(nèi)部的員工發(fā)送具有針對性的惡意鏈接，誘騙用戶訪問這個鏈接之后并入侵內(nèi)網(wǎng)終端。通過連接到 Internet 主機將惡意軟件通過 U 盤擺渡到隔離網(wǎng)絡，從而入侵到隔離網(wǎng)絡實現(xiàn)攻擊。一旦用戶被植入惡意軟件，如木馬、后門、Downloader 等，惡意軟件會在內(nèi)網(wǎng)建立與外網(wǎng)的 CC 通信，并持續(xù)回收集敏感文件(WORD、PPT、PDF、CAD 文件等)，通過隱蔽通道回傳到攻擊者手中。圖1-3 典型 APT 威脅攻擊流程以 A

11、PT 為代表的下一代威脅，綜合利用 AET、0-DAY 漏洞、社交工程等多種高級技術手段，主要的攻擊目標為高價值行業(yè)及涉及國家國計民生的基礎設施（能源、金融、電信、交通等），存在攻擊手段復雜、潛伏時間較長、檢測難度較高等特點，一旦爆發(fā)，輕則造成公司商業(yè)機密泄漏威脅公司生存、重則造成公司或者整個行業(yè)癱瘓，甚至可以說以 APT 為代表的下一代威脅已經(jīng)初具網(wǎng)絡戰(zhàn)雛形，兵者，國之大事，死生之地，存亡之道，不可不察。用戶現(xiàn)網(wǎng)現(xiàn)狀分析用戶已經(jīng)通過部署專業(yè)的防火墻、IPS、防病毒軟件、終端安全軟件等安全防護手段， 能夠針對主流威脅實現(xiàn)防護。然而基于特征檢測的傳統(tǒng)安全防御手段只能識別已知威脅， 且存在應對快速

12、演進的威脅滯后之間較長的弱點，另外以 APT（Advanced Persistent Threat）為代表的下一代威脅使得傳統(tǒng)的“依靠特征檢測的方法”失效，如何應對以 APT 為代表的下一代威脅成為所有企業(yè)的必修課之一。 2安全防護解決方案如 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark5 圖 2-1 給出了 APT 的攻擊鏈，以及對于攻擊鏈上各個階段的防護措施。如圖所示： APT 攻擊鏈包括前期引誘、滲透、安裝后門、建立 CC 通道、橫向移動、竊取機密幾個階段。其中滲透、安裝后門以及建立 cc 通道是攻擊者最費心費力，通過技術手段突破安全防線，

13、進入目標網(wǎng)絡的內(nèi)部，并構筑竊控制及竊取機密的通道，為最終發(fā)起攻擊做好準備。華為自研的 FireHunter（簡稱 FireHunter）憑借先進的技術能力，能夠分別在 APT 攻擊的滲透階段、安裝后門階段以及建立 cc 通道階段識別攻擊，讓 APT 攻擊“現(xiàn)形”，幫助客戶識別 APT 攻擊，進一步清除、阻斷 APT 攻擊。在滲透階段，攻擊者誘使目標對象的員工訪問惡意網(wǎng)站、或者將惡意文件發(fā)布到網(wǎng)站上， 或者是目標對象的員工發(fā)送帶有惡意鏈接或者是惡意文件的郵件，通過內(nèi)部員工的訪問網(wǎng)站、收郵件或者下載文件時，將惡意文件滲透進內(nèi)網(wǎng)。FireHunter 提供的文件檢測功能，采用創(chuàng)新的靜態(tài)分析、啟發(fā)式檢

14、測及虛擬執(zhí)行三層檢測技術，組合創(chuàng)新性的惡意行為分析技術，有效的彌補了傳統(tǒng)的基于特征檢測技術的弱點，從而可以高效的檢測惡意軟件，在 APT 的滲透及安裝后門階段對攻擊進行識別。成功滲透后，攻擊者會進一步建立 CC 通道，以對內(nèi)網(wǎng)設備進行控制，發(fā)布命令，控制內(nèi)網(wǎng)設備提供想要的服務。FireHunter 提供了 CC 檢測技術，不僅僅有傳統(tǒng)的基于特征的識別已知的 CC 攻擊，并且還有基于機器學習以及華為自研算法的 DGA 惡意域名的識別能力，有效識別通過請求及訪問DGA 惡意域名發(fā)起的 CC 攻擊進行識別。圖2-1 APT 攻擊鏈及防護鏈文件檢測技術原理 HYPERLINK l _bookmark5

15、 如圖 2-1 所示：APT 攻擊鏈包括前期引誘、滲透、安裝后門、建立 CC 通道、竊取機密幾個階段。滲透階段是 APT 攻擊鏈中最關鍵的一環(huán)，只有成功滲透了，才有可能進一步實施后面的攻擊。而文件檢測技術能有效地在滲透階段、安裝后門階段對惡意軟件進行檢測，能有效地檢出未知威脅，這是傳統(tǒng)的安全產(chǎn)品無法做到的。圖2-2 文件檢測技術原理文件檢測經(jīng)過信譽查詢、第三方 AV 檢測、靜態(tài)檢測引擎檢測、機器學習引擎檢測、CC 檢測引擎檢測、沙箱檢測引擎檢測，最終在威脅分析引擎進行對各個檢測結果進行關聯(lián)、聯(lián)合分析和威脅判定，最終給出威脅檢測結果。其中，沙箱檢測引擎，又包括了 web 啟發(fā)式引擎、PDF 啟發(fā)

16、式引擎、PE 啟發(fā)式引擎和虛擬執(zhí)行環(huán)境引擎。下面重點對各部分進行介紹：靜態(tài)檢測引擎支持 Office 文件，圖片文件，SWF 文件的深度解碼。文件數(shù)據(jù)格式異常分析。解析宏腳本、VB 腳本并分析惡意行為。逃避檢測的混淆數(shù)據(jù)分析。Shellcode 代碼檢測。病毒家族特征匹配。機器學習引擎靜態(tài)機器學習引擎，就是利用隨機森林，支持向量機等算法，將大量從惡意樣本和白樣本中提取的靜態(tài)數(shù)據(jù)進行訓練學習，從而建立學習模型，并使用學習模型對未知的樣本進行判斷分類。動態(tài)機器學習引擎，就是利用隨機森林，神經(jīng)網(wǎng)絡等算法，將大量從惡意樣本和白樣本運行過程中監(jiān)控到的主機和網(wǎng)絡行為進行訓練學習，從而建立學習模型，并使用學

17、習模型對未知的樣本進行判斷分類。CC 檢測引擎對樣本產(chǎn)生的上網(wǎng)行為進行 CC 檢測，CC 檢測包括基于特征的遠程訪問工具檢測和 DGA 域名檢測。詳述見 2.3 節(jié)。PE 啟發(fā)式引擎軟件模擬操作系統(tǒng)環(huán)境，模擬 CPU 指令和 API 調(diào)用。監(jiān)控軟件運行的指令流和 API 調(diào)用流。通過反匯編指令、API 調(diào)用及參數(shù)，與病毒家族特有的靜態(tài)指令、API 調(diào)用特征進行匹配，進行靜態(tài)分析。模擬執(zhí)行文件，監(jiān)控威脅行為，與病毒家族特有的行為及行為序列進行匹配。文件格式、文件屬性異常分析。WEB 啟發(fā)式引擎沙箱內(nèi)部模擬了 IE 瀏覽器環(huán)境，對頁面徹底去除混淆。通過機器學習，對 web 文件進行分類。對瀏覽過程

18、中產(chǎn)生的二進制內(nèi)容進行 Shellcode 檢測。實時檢測頁面執(zhí)行過程中的各種危險行為。實時分析頁面執(zhí)行過程中是否有出現(xiàn)了 POC 溢出代碼。PDF 啟發(fā)式引擎沙箱內(nèi)部模擬了 PDF 文檔解析器環(huán)境。充分執(zhí)行文檔內(nèi)部的腳本代碼。實時分析腳本執(zhí)行過程中是否出現(xiàn) POC 溢出代碼。靜態(tài)沙箱支持 Office 文件，圖片文件，SWF 文件的深度解碼。文件數(shù)據(jù)格式異常分析。解析宏腳本、VB 腳本并分析惡意行為。逃避檢測的混淆數(shù)據(jù)分析。Shellcode 代碼檢測。病毒家族特征匹配。使用虛擬化技術的重量級深度檢測引擎利用虛擬化技術構建操作系統(tǒng)環(huán)境以及各種軟件環(huán)境。讓待檢測文檔、可執(zhí)行程序在該環(huán)境中充分運

19、行。實時分析可執(zhí)行程序以及文檔在運行過程中的行為和參數(shù)信息。支持多種抗逃逸躲避檢測技術，如虛擬機環(huán)境監(jiān)察、延時對抗等。使用虛擬層監(jiān)控技術在 hypervisor 層對虛擬機內(nèi)的行為進行透明監(jiān)控。更豐富更直觀的惡意行為展示。CC 檢測技術原理在 APT 攻擊鏈中，如果將引誘用戶、滲透系統(tǒng)比喻成撒大網(wǎng)，那么建立 CC 通道就是準備收網(wǎng)階段。雖然 APT 攻擊所使用的惡意軟件變種多且升級頻繁，但惡意軟件所構建的命令控制通道通信模式并不經(jīng)常變化，因此，可以采用傳統(tǒng)入侵檢測方法來檢測 APT 的命令控制通道。該類方案成功的關鍵是如何及時獲取到各 APT 攻擊手法的命令控制通道的檢測特征。另外，使用隨機域

20、名生成算法DGA 生成域名并注冊，誘使用戶訪問惡意網(wǎng)站，從而植入木馬，達到建立 CC 通道的目的，這種攻擊手段也是近年來常見的攻擊方式。FireHunter 提供了兩類 CC 檢測技術，一種是基于遠控工具特征的 CC 檢測；一種是 DGA惡意域名檢測?；谶h控工具特征的 CC 檢測基于特征的傳統(tǒng)的檢測方法。從流信息中提取特征，與遠程工具特征進行比對。DGA 惡意域名檢測DGA 惡意域名檢測利用機器學習技術及特定的算法進行檢測，具體流程見圖 2.4。主要包括如下幾步：根據(jù)流量信息提取域名特征，利用樣本訓練生成分類器。當有新的流量時，提取域名相關特征送入分類器，分類器字段判定此域名是否正常。根據(jù)分

21、類器的檢測結果，套裝訓練參數(shù)、特征格式，使得分類器更加準確。圖2-3 DGA 檢測原理典型應用場景旁路獨立部署圖2-4 FireHunter 獨立部署獨立部署時，F(xiàn)ireHunter 的鏡像口與交換機或者其他網(wǎng)關的鏡像口直連，由交換機或者其他網(wǎng)關設備將待檢測的網(wǎng)絡流量通過鏡像口鏡像給FireHunter。FireHunter 接收鏡像的網(wǎng)絡流量，自行進行流量還原，對流量進行 CC 檢測，同時提取流量中的文件進行檢測， CC 檢測結果以及文件檢測結果都能夠在 FireHunter 自身的 WebUI 上進行展示。用戶還可以通過 webUI 查詢惡意文件的檢測結果報告以及惡意文件及其威脅分析相關文

22、件及證據(jù)。與華為防火墻（簡稱 FW）聯(lián)合部署圖2-5 FireHunter 與 FW 聯(lián)合部署在 FireHunter 與 FW 聯(lián)合部署的場景，首先要保證 FireHunter 的業(yè)務口，即聯(lián)動接口路由可達。網(wǎng)絡流量經(jīng)過 FW，F(xiàn)W 從網(wǎng)絡流量中提取文件，將待檢測文件通過聯(lián)動協(xié)議發(fā)送給 FireHunter。FireHunter 收到文件后進行檢測，F(xiàn)W 通過聯(lián)動接口查找所提交文件的檢測結果。在這種場景下，F(xiàn)W 可以提供文件檢測日志，而 FireHunter 自身的 WebUI 除了展示檢測日志外，還可以提供惡意文件的檢測結果報告的查看，并且能夠進一步查看到惡意文件以及其威脅分析相關文件及證

23、據(jù)。FireHunter 的聯(lián)動接口是 restful 接口，作為該場景的擴充該接口可以對外開放，其它設備可以針對該接口開發(fā)聯(lián)動客戶端向 FireHunter 提交文件進行檢測。與華為大數(shù)據(jù)安全產(chǎn)品 CIS 聯(lián)動部署圖2-6 FireHunter 與CIS 聯(lián)動部署FireHuner 與 CIS 聯(lián)動部署時，同樣要保證沙箱聯(lián)動口能路由可達。在這種場景下，CIS 的流探針接收網(wǎng)絡鏡像流量，對流量進行還原，提取網(wǎng)絡中的文件，通過 FireHunter 聯(lián)動協(xié)議發(fā)送給 FireHunter，F(xiàn)ireHunter 收到文件后進行文件檢測，將檢測日志發(fā)送給 CIS 的采集器進行處理。在這種場景下，F(xiàn)ir

24、eHuner 自身的 webUI 除檢測日志外，同樣也提供惡意文件的檢測報告，以及惡意文件及其威脅行為分析相關文件及證據(jù)。與 FW、CIS 基礎版聯(lián)動部署圖2-7 FireHunter 與 FW、CIS 基礎版聯(lián)動部署在這種場景下，首先，保證 FireHunter 業(yè)務口路由可達。網(wǎng)絡流量經(jīng)過 FW，F(xiàn)W 對網(wǎng)絡流量進行還原并提取文件，將文件發(fā)送給 FireHunter 進行檢測。FW 從 FireHunter 查詢檢測結果，依據(jù)檢測結果生成安全策略，對帶有已檢測文件的網(wǎng)絡流量進行阻斷或者放行，同時生成檢測日志，發(fā)送給 CIS 基礎版進行展示，并呈現(xiàn)全網(wǎng)安全態(tài)勢。同樣，在這種場景下，F(xiàn)ireH

25、unter 的 webUI 能夠提供惡意文件的檢測結果報告以及能夠查詢到惡意文件以及其威脅行為分析相關文件及證據(jù)。 3產(chǎn)品特性全面的流量檢測同時提供獨立的流量還原能力，可以識別主流的網(wǎng)絡協(xié)議 HTTP、SMTP、POP3、IMAP、FTP、NFS、SMB，從而確保識別所有通過網(wǎng)絡傳輸?shù)奈募?。支持主流應用和文檔FireHunter 可以針對主流的應用軟件及文檔實現(xiàn)檢測、分析，支持 Word、Excel、PPT、PDF、HTML、JS、EXE、JPG、GIF、PNG、chm、swf、可執(zhí)行腳本文件、媒體文件、LNK 文件、壓縮文件等軟件及文檔。模擬主流的操作系統(tǒng)和應用軟件FireHunter 可以

26、模擬Windows XP/7/10 操作系統(tǒng)，可以模擬Internet Explorer 6/7/8/9/10/11、Chrome 等瀏覽器，可以模擬 Office 2003/2007/2010/2013 辦公軟件，可以模擬 Adobe Reader 8/9/X/XI 等 PDF 閱讀器。分層的檢測體系FireHunter 的檢測手段豐富全面，從層次上可以分為：信譽查找，AV 檢測，靜態(tài)分析， 機器學習，CC 檢測，啟發(fā)式檢測和虛擬環(huán)境動態(tài)檢測，從而提高針對以 APT 為代表的下一代威脅的檢測能力，并提供下一代威脅的所有危險點分析清單，讓客戶對威脅的攻擊過程、攻擊目標一目了然。提供準實時的處理

27、能力FireHunter 提供接近實時的處理能力，有效的將對下一代威脅的檢測的響應時間從幾周降到秒級，并與下一代防火墻配合實現(xiàn)在線防御能力。提供一流的針對 APT 威脅的反躲避能力FireHunter 針對 APT 威脅的各種躲避手段，提供了相應的能力來反逃逸，包括：反虛擬機探測技術逃逸的能力、反用戶交互的逃逸手段的能力以及反延遲執(zhí)行逃逸的能力。強大的 CC 檢測能力FireHunter 既支持傳統(tǒng)的基于特征的 CC 攻擊檢測，又支持基于機器學習以及特定算法的 DGA 惡意域名檢測，有效地檢測 CC 攻擊。 4產(chǎn)品規(guī)格功能項指標要求檢測文件類型支持 Windows 可執(zhí)行文件 APT 未知威脅檢測支持 Office 文檔 APT 未知威脅檢測支持 PDF 文檔 APT 未知威脅檢測支持 Web 頁面 APT 未知威脅檢測支持 Images 圖片 APT 未知威脅檢測支持 Flash/SWF 文件 APT 未知威脅檢測支持Java Applet 文件 APT 未知威脅檢測支持 WPS 文檔 APT 未知威脅檢測支持壓縮文件檢測支持可執(zhí)行腳本類文件檢測支持媒體文件檢測支持 LNK 文