未知威脅整體解決方案v1.0

未知威逼整體解決方案█文檔編號(hào)█密級█版本編號(hào)V1.0█日期360企業(yè)平安集團(tuán)█版權(quán)說明本文中出現(xiàn)的任何文字表達(dá)、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特殊注明外。全部版權(quán)均屬360企業(yè)平安集團(tuán)全部，受到有關(guān)產(chǎn)權(quán)及版權(quán)法愛惜。任何個(gè)人、機(jī)構(gòu)未經(jīng)360企業(yè)平安集團(tuán)的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文的任何片段。█適用性說明本模板用于撰寫360企業(yè)平安集團(tuán)中各種正式文件、包括技術(shù)手冊、標(biāo)書、白皮書、會(huì)議通知、公司制度等文檔運(yùn)用。

書目TOC\o"2-3"\h\z\t"標(biāo)題1,1,樣式附錄1,1"1. 背景 12. 存在問題 32.1. 傳統(tǒng)防護(hù)手段面臨失效 32.1.1. 多變的攻擊手段 42.1.2. 攻擊隱藏性強(qiáng) 62.1.3. 攻擊目標(biāo)明確 82.2. 免殺木馬無法檢測 82.3. 大量內(nèi)網(wǎng)數(shù)據(jù)無法有效利用 93. 方案思路 103.1. 未知威逼檢測思路 103.2. 未知威逼響應(yīng)攔截思路 123.3. 未知威逼溯源思路 133.4. 整體思路 134. 方案設(shè)計(jì) 144.1. 方案架構(gòu) 144.1.1. 云端威逼情報(bào) 154.1.2. 本地網(wǎng)絡(luò)信息采集 164.1.3. 本地文件威逼檢測 174.1.4. 本地大數(shù)據(jù)威逼分析平臺(tái) 174.1.5. 終端聯(lián)動(dòng)響應(yīng) 174.1.6. 網(wǎng)關(guān)聯(lián)動(dòng)響應(yīng) 184.1.7. 專業(yè)平安效勞 194.2. 詳細(xì)設(shè)計(jì) 204.2.1. 部署拓?fù)鋱D 204.2.2. 解決的問題 204.2.3. 方案清單 215. 方案優(yōu)勢和特點(diǎn) 22

背景近年來，具備國家和組織背景的APT攻擊日益增多，例如：2010年攻擊伊朗核電站的“震網(wǎng)病毒”、針對Google郵件效勞器的“極光攻擊”、2013年韓國金融和電視媒體網(wǎng)絡(luò)被大面積入侵而癱瘓等等，2014年APT攻擊的主要目標(biāo)行業(yè)是金融和政府，分別高達(dá)84%和77%。中國是APT〔AdvancedPersistentThreats，高級持續(xù)性威逼〕攻擊的受害國，國內(nèi)多個(gè)省、市受到不同程度的影響，其中北京、廣東是重災(zāi)區(qū)，行業(yè)上教化科研、政府機(jī)構(gòu)是APT攻擊的重點(diǎn)關(guān)注領(lǐng)域。截至2015年11月底，360威逼情報(bào)中心監(jiān)測到的針對中國境內(nèi)科研教化、政府機(jī)構(gòu)等組織機(jī)構(gòu)發(fā)動(dòng)APT攻擊的境內(nèi)外黑客組織累計(jì)29個(gè)，其中15個(gè)APT組織曾經(jīng)被國外平安廠商披露過，另外14個(gè)為360獨(dú)立發(fā)覺并監(jiān)測到的APT組織。在這29個(gè)APT組織中，針對中國境內(nèi)目標(biāo)的攻擊最早可以追溯到2007年，而2015年9月以后照舊處于活潑狀態(tài)的APT組織至少有9個(gè)。統(tǒng)計(jì)顯示，僅僅在2015年這12個(gè)月中，這些APT組織發(fā)動(dòng)的攻擊行動(dòng)，至少影響了中國境內(nèi)超過萬臺(tái)電腦，攻擊范圍遍布國內(nèi)31個(gè)省級行政區(qū)。以下是360威逼情報(bào)中心監(jiān)控到的針對中國攻擊的局部APT組織列表，其中OceanLotus〔APT-C-00〕、APT-C-05、APT-C-06、APT-C-12是360截獲的APT組織及行動(dòng)。排序APT組織APT行動(dòng)首先報(bào)告廠商確定最早活動(dòng)時(shí)間監(jiān)測最近活動(dòng)時(shí)間1APT28APT28、OperationRussianDollFireEye2007年2014年7月2DarkhotelDarkhotelKaspersky2007年2015年11月3APT-C-05APT-C-053602007年2015年11月4APT-C-12APT-C-123602011年2015年11月5OceanLotus(APT-C-00)OceanLotus3602011年2015年11月6APT-C-06APT-C-063602011年2015年11月7OperationAridViperOperationAridViperTrendMicro2012年2014年12月8DesertFalconDesertFalconKaspersky2013年2014年11月9CarberpAnunakFOXIT2013年2015年6月10ScanBoxScanBoxAlienVault2014年2015年5月表1針對中國攻擊的局部APT組織列表從2015年的統(tǒng)計(jì)來看，針對科研教化機(jī)構(gòu)發(fā)起的攻擊次數(shù)最多，占到了全部APT攻擊總量的37.4%；其次是政府機(jī)構(gòu)，占27.8%；能源企業(yè)排第三，占9.1%。其他被攻擊的重要領(lǐng)域還包括軍事系統(tǒng)、工業(yè)系統(tǒng)、商業(yè)系統(tǒng)、航天系統(tǒng)和交通系統(tǒng)等。圖1APT組織主要攻擊行業(yè)分布2012年4月起至今，某境外黑客組織對中國政府、科研院所、海事機(jī)構(gòu)、海疆建立、航運(yùn)企業(yè)等相關(guān)重要領(lǐng)域綻開了有組織、有準(zhǔn)備、有針對性的長時(shí)間不連續(xù)攻擊。該組織主要通過魚叉攻擊和水坑攻擊等方法，協(xié)作多種社會(huì)工程學(xué)手段進(jìn)展?jié)B透，向境內(nèi)特定目標(biāo)人群傳播免殺木馬程序，隱私限制局部政府人員、外包商和行業(yè)專家的電腦系統(tǒng)，竊取系統(tǒng)中相關(guān)領(lǐng)域的機(jī)密資料。依據(jù)該組織的某些攻擊特點(diǎn)，360公司將其命名為OceanLotus〔海蓮花〕。在平安形勢不斷惡化的今日，中國重要企業(yè)和政府用戶所處的特殊位置，常常會(huì)面臨來自APT攻擊的威逼，雖然企業(yè)的平安管理人員已經(jīng)在網(wǎng)絡(luò)中的各個(gè)位置部署了大量的平安設(shè)備，但照舊會(huì)有局部威逼繞過全部防護(hù)直達(dá)企業(yè)內(nèi)部，對重要數(shù)據(jù)資產(chǎn)造成泄漏、損壞或篡改等緊要損失。存在問題傳統(tǒng)防護(hù)手段面臨失效高級持續(xù)性威逼〔AdvancedPersistentThreat，簡稱APT〕是一種可以繞過各種傳統(tǒng)平安檢測防護(hù)措施，通過細(xì)心偽裝、定點(diǎn)攻擊、長期潛藏、持續(xù)滲透等方式，伺機(jī)竊取網(wǎng)絡(luò)信息系統(tǒng)核心資料和各類情報(bào)的攻擊方式。事實(shí)證明，傳統(tǒng)平安設(shè)備已經(jīng)無法抵抗困難、隱藏的APT攻擊。針對伊朗核設(shè)施的“震網(wǎng)攻擊”、針對跨過能源公司的“夜龍攻擊”、針對Google郵件效勞器的“極光攻擊”、針對RSASecureID的攻擊、針對美國政府和國際組織的“暗鼠行動(dòng)”、美國國家航空航天局〔NASA〕噴氣推動(dòng)試驗(yàn)室核心資料被竊取、韓國金融和電視媒體網(wǎng)絡(luò)被大面積入侵而癱瘓，幾乎全部的被曝光的APT攻擊無一例外都是以入侵者的全面成功而完畢，在這些已公開的APT攻擊中，依靠傳統(tǒng)平安設(shè)備的防備體系均被輕易繞過而失去防備實(shí)力。在某些APT攻擊的案例〔如震網(wǎng)攻擊、夜龍攻擊〕中，傳統(tǒng)平安防備設(shè)備甚至在長達(dá)數(shù)年的持續(xù)攻擊中毫無發(fā)覺。無需過多探討，APT攻擊在事關(guān)各國民生命脈的能源、電力、金融、政治、軍事、核設(shè)施等關(guān)鍵領(lǐng)域造成的史無前例，難以評估的緊要損失的事實(shí)已經(jīng)清楚告知我們：傳統(tǒng)平安設(shè)備無法抵抗網(wǎng)絡(luò)攻擊的核武器：APT。傳統(tǒng)平安防備體系的框架一般包括：接入限制、平安隔離、邊界檢測/防備、終端防備、網(wǎng)絡(luò)審計(jì)、訪問限制等，所涉及的平安產(chǎn)品包括：防火墻、IDS/IPS、殺毒軟件、桌面管理軟件、網(wǎng)絡(luò)審計(jì)、雙因素認(rèn)證Token等。從傳統(tǒng)平安防備體系的設(shè)備和產(chǎn)品可以看到，這些產(chǎn)品遍布網(wǎng)絡(luò)2~7層的數(shù)據(jù)分析，其中，和APT攻擊相關(guān)的7層設(shè)備主要是IDS、IPS、審計(jì)，而負(fù)責(zé)7層檢測IDS、IPS接受經(jīng)典的CIDF檢測模型，該模型最核心的思想就是依靠攻擊特征庫的模式匹配完成對攻擊行為的檢測。反觀APT攻擊，其接受的攻擊手法和技術(shù)都是未知漏洞〔0day〕、未知惡意代碼等未知行為，在這種狀況下，依靠確定特征、確定行為模式進(jìn)展檢測的IDS、IPS在無法預(yù)知攻擊特征、攻擊行為模式的狀況下，理論上就已無法檢測APT攻擊。多變的攻擊手段一次APT攻擊就像軍事上針對特定目標(biāo)的定點(diǎn)打擊或間諜滲透，其中很關(guān)鍵的步驟就是入侵過程，其中分為所謂的載荷投遞和突防利用。從下列圖內(nèi)容看，魚叉式釣魚郵件攻擊和水坑式攻擊屬于載荷投遞的過程，而漏洞利用就是突防利用的過程。圖2APT攻擊組織的主要入侵方式〔一〕載荷投遞的本錢從上圖最頂端是魚叉郵件攻擊，是APT攻擊中運(yùn)用最為常見的投遞載體，攻擊者無論是發(fā)動(dòng)一次精良的魚叉郵件攻擊，還是平凡的刺探郵件，本錢是上圖這四項(xiàng)中最低的。攻擊者只需知道目標(biāo)郵箱地址即可發(fā)動(dòng)一次攻擊，當(dāng)然攜帶的攻擊程序有可能是PE二進(jìn)制可執(zhí)行程序，也可能是漏洞文檔，也可能是一個(gè)被作為水坑攻擊的網(wǎng)站URL。而針對中國的攻擊中大多數(shù)都是干脆攜帶PE二進(jìn)制可執(zhí)行程序，這不僅和APT組織發(fā)動(dòng)攻擊的本錢有關(guān)系，而且和被攻擊目標(biāo)本身的強(qiáng)弱有干脆關(guān)系。一次APT攻擊的成功和否主要取決于APT組織針對目標(biāo)的意圖〔Intent〕和到達(dá)相關(guān)意圖的實(shí)力〔Capability〕，而不取決于目標(biāo)本身的強(qiáng)和弱，目標(biāo)本身的強(qiáng)弱只是確定了APT組織接受的攻擊方式。針對中國的魚叉郵件攻擊主要是攜帶PE二進(jìn)制可執(zhí)行程序，這一現(xiàn)象也從側(cè)面反響出中國相關(guān)目標(biāo)領(lǐng)域的平安防備措施、以及人員的平安意識(shí)比擬欠缺。上圖的其次層是水坑式攻擊，發(fā)動(dòng)水坑攻擊較魚叉攻擊，其本錢主要高在須要一個(gè)目標(biāo)用戶常常關(guān)注的網(wǎng)站的權(quán)限。水坑攻擊中的網(wǎng)站我們也可以理解為一個(gè)載體，上面可以放置PE二進(jìn)制木馬〔即須要用戶交互下載安裝執(zhí)行〕，也可以放置漏洞文件〔即不須要用戶交互干脆下載安裝執(zhí)行〕?！捕惩环览玫谋惧X上圖最底端的兩層：確定漏洞和0day漏洞，漏洞在APT組織中是最為消耗本錢的，尤其是0day漏洞。只有當(dāng)具備高價(jià)值的目標(biāo)且確定漏洞攻擊在目標(biāo)環(huán)境無效，攻擊者才會(huì)啟用0day漏洞。而在針對中國的攻擊中，我們更多看到的是APT組織選擇如1day或Nday的確定漏洞，但這并不代表APT組織不具備持有0day漏洞的實(shí)力。在APT-C-00和APT-C-059組織的攻擊中，我們都捕獲到了0day漏洞，在APT-C-05組織發(fā)動(dòng)的0day漏洞攻擊中，只是對特定幾個(gè)目標(biāo)發(fā)動(dòng)了攻擊，且啟用時(shí)間很短。APT組織主要以郵件作為投遞載體，郵件的標(biāo)題、正文和附件都可能攜帶惡意代碼。在用戶供應(yīng)的原始郵件中，目前主要的方式是附件是漏洞文檔、附件是二進(jìn)制可執(zhí)行程序和正文中包含指向惡意網(wǎng)站的超鏈接這三種，前兩種更為主流。下列圖是攜帶二進(jìn)制可執(zhí)行程序，可執(zhí)行程序多為“.exe”和“.scr”擴(kuò)展名。一般這類可執(zhí)行程序均進(jìn)展壓縮，以壓縮包形態(tài)發(fā)送。從我們發(fā)覺的事務(wù)中存在極少數(shù)接受壓縮包加密后發(fā)送的狀況，這種一般通過正文或其他方式將壓縮包密碼供應(yīng)應(yīng)目標(biāo)用戶。圖3針對科研機(jī)構(gòu)的魚叉郵件〔APT-C-05〕此外APT組織還常常以水坑攻擊的方式誘使目標(biāo)用戶下載安裝病毒文件，從而到達(dá)限制目標(biāo)用戶終端進(jìn)而竊取其網(wǎng)絡(luò)內(nèi)部的機(jī)密信息的目的。APT-C-00中兩種水坑攻擊A方式替換目標(biāo)網(wǎng)站可信程序〔捆綁即時(shí)通、證書驅(qū)動(dòng)〕Windows對目標(biāo)網(wǎng)站插入惡意JS代碼〔偽裝AdobeFlash更新程序〕WindowsMacOSXB方式替換目標(biāo)網(wǎng)站指定鏈接〔傾向新聞公告類信息〕Windows表2APT-C-00中兩種水坑攻擊A方式：APT-C-00組織首先通過滲透入侵的攻擊方式非法獲得某機(jī)構(gòu)的文檔溝通效勞器的限制權(quán)，接著，在效勞器后臺(tái)對網(wǎng)站上的“即時(shí)通”和“證書驅(qū)動(dòng)”兩款軟件的正常安裝文件捆綁了自己的木馬程序，之后，當(dāng)有用戶下載并安裝即時(shí)通或證書驅(qū)動(dòng)軟件時(shí)，木馬就有時(shí)機(jī)得到執(zhí)行。攻擊者還在被篡改的效勞器頁面中插入了惡意的腳本代碼，用戶訪問網(wǎng)站時(shí)，會(huì)彈出提示更新Flash軟件，但實(shí)際供應(yīng)的是偽裝成Flash升級包的惡意程序，用戶假如不慎下載執(zhí)行就會(huì)中招。B方式：APT-C-00組織入侵網(wǎng)站以后修改了網(wǎng)站的程序，在用戶訪問公告信息時(shí)會(huì)被重定向到一個(gè)攻擊者限制的網(wǎng)站，提示下載某個(gè)看起來是新聞的文件，比方在新疆522暴恐事務(wù)的其次天網(wǎng)站就提示和暴恐事務(wù)相關(guān)的新聞，并供應(yīng)“烏魯木齊7時(shí)50分發(fā)生爆炸致多人傷亡.rar”壓縮包給用戶下載，而該壓縮包文件內(nèi)含的就是APT-C-00組織的RAT。這些由黑色產(chǎn)業(yè)鏈或國家驅(qū)動(dòng)的APT攻擊通常都具備強(qiáng)大的攻擊手段和技術(shù)，且手法多樣，在一次攻擊過程中常常接受多種手段和技術(shù)混合運(yùn)用，包括：社會(huì)工程學(xué)攻擊、0day漏洞利用、免殺木馬、定制化工具、逃逸技術(shù)等，找尋企業(yè)內(nèi)部平安薄弱環(huán)節(jié)，所以可以屢屢得手、很難被發(fā)覺。攻擊隱藏性強(qiáng)在大局部APT攻擊中，攻擊者針對不同的攻擊目標(biāo)會(huì)接受不同的策略，并在攻擊前有針對性的進(jìn)展信息收集，準(zhǔn)備特定的攻擊工具，攻擊發(fā)起的整個(gè)過程時(shí)間可長可短，少那么數(shù)小時(shí)，多那么潛藏?cái)?shù)月、數(shù)年，由于這些攻擊均會(huì)運(yùn)用高級免殺技術(shù)以躲避傳統(tǒng)平安設(shè)備的特征檢測，隱藏性極強(qiáng)。APT組織主要通過以下幾種方式對惡意軟件的投遞進(jìn)展細(xì)心偽裝：1〕自身偽裝攻擊者除了對魚叉郵件的正文、標(biāo)題等文字內(nèi)容細(xì)心構(gòu)造以外，其余大量偽裝構(gòu)造主要針對附件文件，尤其是二進(jìn)制可執(zhí)行程序。主要從文件名、文件擴(kuò)展名和文件圖標(biāo)等方面進(jìn)展偽裝，詳細(xì)參看下表所示：相關(guān)偽裝項(xiàng)詳細(xì)內(nèi)容文件名1、和郵件內(nèi)容、誘餌文檔內(nèi)容相符的文件名。2、超長文件名，其目的是隱藏文件擴(kuò)展名。文件擴(kuò)展名1、雙擴(kuò)展名，接受RLO7偽裝擴(kuò)展名。偽裝的文檔擴(kuò)展名以“.doc”等微軟office系列為主，另外偽裝的圖片擴(kuò)展名以“.jpg”等為主。2、雙擴(kuò)展名，不接受RLO方式。文件圖標(biāo)1、文檔圖標(biāo)，以微軟office系列中的word、excel文檔圖標(biāo)為主。2、文件夾圖標(biāo)。3、圖片圖標(biāo)。表3自身偽裝相關(guān)詳細(xì)內(nèi)容2〕快捷方式〔.lnk〕攻擊利用快捷方式〔.lnk〕攻擊是除利用漏洞以外運(yùn)用最多的一種攻擊方式，詳細(xì)如下：圖4壓縮包解壓后相關(guān)文件截圖〔APT-C-02組織〕從相關(guān)攻擊事務(wù)中來看，這種攻擊方式主要還是以郵件為攻擊前導(dǎo)，附件是壓縮包文件〔如上圖，解壓后的文件〕。當(dāng)用戶點(diǎn)擊相關(guān)快捷方式圖標(biāo)〔文檔或文件夾的〕，會(huì)執(zhí)行“cmd.exe/csystem.ini”，其中system.ini是可執(zhí)行木馬。這類攻擊手法特殊具有迷惑性，一般用戶很難區(qū)分壓縮包內(nèi)是否存在惡意可執(zhí)行程序。3〕捆綁合法應(yīng)用程序APT組織除了基于RAT本身進(jìn)展自身偽裝以外，還會(huì)將RAT植入到合法應(yīng)用程序中，攻擊者會(huì)針對不同的目標(biāo)群體選擇不同的合法應(yīng)用程序。APT組織名稱被捆綁的合法應(yīng)用程序涉及人群APT-C-00AcunetixWebVulnerabilityScanner〔WVS〕7網(wǎng)絡(luò)平安行業(yè)等APT-C-00國內(nèi)某辦公軟件政府機(jī)構(gòu)、事業(yè)單位等APT-C-00即時(shí)通、證書驅(qū)動(dòng)政府機(jī)構(gòu)等APT-C-01微軟更新程序一般用戶APT-C-06MicrosoftVisioProfessional2013非特定行業(yè)辦公人員等表4捆綁合法應(yīng)用程序的局部列表攻擊目標(biāo)明確APT組織主要目的是竊取目標(biāo)機(jī)器內(nèi)的情報(bào)數(shù)據(jù)，一旦攻擊獲得成功，首先會(huì)收集目標(biāo)機(jī)器相關(guān)根本信息，進(jìn)一步會(huì)大量竊取目標(biāo)機(jī)器上的敏感數(shù)據(jù)，假如橫向移動(dòng)到達(dá)效果，那么是竊取目標(biāo)網(wǎng)絡(luò)其他機(jī)器的敏感數(shù)據(jù)。APT組織從中國科研、政府機(jī)構(gòu)等領(lǐng)域竊取了大量敏感數(shù)據(jù)，對國家平安已造成緊要的危害。其中APT-C-05組織是一個(gè)針對中國攻擊的境外APT組織，也是我們至今捕獲到針對中國攻擊持續(xù)時(shí)間最長的一個(gè)組織，該組織主要針對中國政府、軍事、科技和教化等重點(diǎn)單位和部門，相關(guān)攻擊行動(dòng)最早可以追溯到2007，至今還特殊活潑。也就是從2007年起先APT-C-05組織進(jìn)展了持續(xù)8年的網(wǎng)絡(luò)間諜活動(dòng)。APT組織關(guān)注的敏感文檔，除了主流的微軟Office文檔，更關(guān)注中國外鄉(xiāng)的WPSOffice相關(guān)文檔，其中APT-C-05和APT-C-12組織都會(huì)關(guān)注以“.wps”擴(kuò)展名的文檔，這也是由于WPSOffice辦公軟件的用戶一般分布在國內(nèi)政府機(jī)構(gòu)或事業(yè)單位。APT組織長時(shí)間潛藏竊取了大量敏感數(shù)據(jù)是我們可以看到的危害，另外從APT組織對目標(biāo)所屬行業(yè)領(lǐng)域的熟悉、對目標(biāo)作業(yè)環(huán)境的駕馭，以及符合目標(biāo)習(xí)慣偏好，這些適應(yīng)中國外鄉(xiāng)化“量身定制”的攻擊行動(dòng)完全做到有的放矢，那么讓我們更是毛骨悚然。在平安形勢極不樂觀環(huán)境下，如何擺脫傳統(tǒng)思路，尋求精確的APT攻擊檢測方法是亟需解決的問題。免殺木馬無法檢測木馬(Trojan),也稱木馬病毒，是通過特定的程序(木馬程序)來限制另一臺(tái)計(jì)算機(jī)的軟件。木馬通常有兩個(gè)可執(zhí)行程序:一個(gè)是限制端，另一個(gè)是被限制端。"木馬"程序是目前比擬流行的病毒文件，和一般的病毒不同，它不會(huì)自我繁殖，也并不"刻意"地去感染其他文件，它通過將自身偽裝吸引用戶下載執(zhí)行，向施種木馬者供應(yīng)翻開被種主機(jī)的門戶，使施種者可以隨意毀壞、竊取被種者的文件，甚至遠(yuǎn)程操控被種主機(jī)。在APT攻擊中運(yùn)用的木馬通常為“免殺木馬”，這類木馬會(huì)利用加冷門殼、加花指令、改程序入口點(diǎn)、修改內(nèi)存特征碼等免殺技巧來幸免自身被殺毒軟件所查殺，在OceanLotus〔海蓮花〕事務(wù)中，境外黑客組織就運(yùn)用了多款免殺木馬，這些木馬的感染者遍布國內(nèi)29個(gè)省級行政區(qū)和境外的36個(gè)國家。OceanLotus免殺木馬接受包括文件偽裝、隨機(jī)加密和自我銷毀等一系列困難的攻擊技術(shù)和平安軟件進(jìn)展對抗，成功逃過傳統(tǒng)平安防備體系的檢測，盜走相關(guān)單位的機(jī)密信息。APT攻擊常常利用漏洞來躲避殺毒軟件檢測，如APT-C-00組織中利用國內(nèi)某視頻應(yīng)用0day漏洞，利用該溢出漏洞，惡意代碼能干脆在白進(jìn)程中執(zhí)行，所以殺毒軟件不會(huì)攔截。同時(shí)APT組織所運(yùn)用的木馬軟件為了幸免被殺毒軟件檢測并查殺還接受了大量對抗手法，其中針對國內(nèi)的平安軟件主要包括：360衛(wèi)士、360殺毒、瑞星殺毒、金山毒霸、金山衛(wèi)士、QQ軟件管家、東方微點(diǎn)等。在對抗的過程中假如發(fā)覺殺毒軟件，惡意代碼會(huì)選擇放棄執(zhí)行后續(xù)的功能代碼，或者會(huì)選擇繞過殺毒軟件的檢測。由此可見，如何檢測免殺木馬是應(yīng)對APT攻擊須要面對的一個(gè)問題。大量內(nèi)網(wǎng)數(shù)據(jù)無法有效利用APT攻擊通常都會(huì)在內(nèi)網(wǎng)的各個(gè)角落留下蛛絲馬跡，真相往往隱藏在網(wǎng)絡(luò)的流量中。傳統(tǒng)的平安事務(wù)分析思路是遍歷各個(gè)平安設(shè)備的告警日志，嘗試找出其中的關(guān)聯(lián)關(guān)系。但依據(jù)上文的分析，由于APT攻擊的隱藏性和特殊性，傳統(tǒng)平安設(shè)備通常都無法對APT攻擊的各個(gè)階段進(jìn)展有效的檢測，也就無法產(chǎn)生相應(yīng)的告警，平安人員花費(fèi)大量精力進(jìn)展告警日志分析往往都是徒勞無功。假如接受全流量采集的思路，一方面是存儲(chǔ)不便利，每天產(chǎn)生的全流量數(shù)據(jù)會(huì)占用過多的存儲(chǔ)空間，組織通常沒有足夠的資源來支撐長時(shí)間的存儲(chǔ)；另一方面是全流量數(shù)據(jù)包含了構(gòu)造化數(shù)據(jù)、非構(gòu)造化數(shù)據(jù)，涵蓋了視頻、圖片、文本等等多種格式，無法干脆進(jìn)展格式化檢索，平安人員也就無法從海量的數(shù)據(jù)中找到有價(jià)值的信息。因此，如何以恰當(dāng)?shù)姆绞介L時(shí)間保存對平安分析有價(jià)值的流量數(shù)據(jù)，是檢測、回溯APT攻擊必需解決的問題。方案思路首先看一下威逼的分類，目前大多數(shù)傳統(tǒng)平安產(chǎn)品是基于特征檢測技術(shù)的，能夠識(shí)別出確定的威逼，比方已公開的CVE漏洞利用、已入庫的病毒木馬樣本等。而繞過防護(hù)體系的惡意威逼、免殺木馬、0Day漏洞利用、APT等未知威逼，那么是本方案重點(diǎn)要解決的問題。圖威逼金字塔未知威逼檢測思路對未知威逼管理的第一步，勢必是要發(fā)覺威逼。參考Gartner對高級威逼檢測技術(shù)的分類，包括了以下五個(gè)方面：由此可見未知威逼檢測有幾個(gè)關(guān)鍵點(diǎn)：檢測應(yīng)當(dāng)同時(shí)覆蓋網(wǎng)絡(luò)流量和終端行為。因?yàn)閱渭儚木W(wǎng)絡(luò)流量或者終端行為中看到的信息并不全面，比方從網(wǎng)絡(luò)流量中可以識(shí)別樣本外聯(lián)行為，假如惡意樣本通過U盤等途徑進(jìn)入終端并且處于潛藏期時(shí)，是無法從網(wǎng)絡(luò)流量中識(shí)別出來的。要保存本地歷史數(shù)據(jù)，并且應(yīng)當(dāng)盡量完整。傳統(tǒng)的平安檢測產(chǎn)品如IDS，在進(jìn)展溯源分析時(shí)會(huì)發(fā)覺，只有命中規(guī)那么的行為才會(huì)生成告警，而其他的流量信息都被當(dāng)做正常行為丟棄了，造成威逼溯源的困難，并且難以取證。因此未知威逼的發(fā)覺，應(yīng)當(dāng)有歷史全量數(shù)據(jù)的支撐，才能為威逼關(guān)聯(lián)分析和事務(wù)取證供應(yīng)充分的依據(jù)。要對應(yīng)用負(fù)載進(jìn)展深度檢測。一次成功的APT攻擊，通常都會(huì)利用到免殺木馬，并且可能有很多的變種。一個(gè)新制作的樣本可能并不攜帶惡意代碼，能順當(dāng)通過第一道檢測在終端上運(yùn)行起來，然后通過創(chuàng)立新的變種或者通過下載器從互聯(lián)網(wǎng)上下載攻擊代碼。因此須要對數(shù)據(jù)包里的payload進(jìn)展深度檢測分析。360未知威逼檢測的思路如下列圖所示：未知威逼響應(yīng)攔截思路在識(shí)別出未知威逼之后，接下來思索如何進(jìn)展威逼的處置。先看一個(gè)典型的未知威逼攻擊手法。對于一個(gè)受害企業(yè)來講，威逼主要是從網(wǎng)絡(luò)邊界和終端兩個(gè)入口進(jìn)入到內(nèi)網(wǎng)的，同時(shí)數(shù)據(jù)泄露也主要是從網(wǎng)絡(luò)邊界和終端出去的。因此在識(shí)別到未知威逼之后，如何能通過終端和網(wǎng)關(guān)處的一些聯(lián)動(dòng)協(xié)作，攔截掉威逼進(jìn)出的路徑，是本方案要解決的問題。360未知威逼響應(yīng)攔截的思路如下列圖所示：未知威逼溯源思路企業(yè)平安管理員在平安分析時(shí)常會(huì)面臨這樣的場景，發(fā)覺內(nèi)網(wǎng)有終端在向外網(wǎng)IP傳數(shù)據(jù)，跟蹤到這個(gè)IP后就不知道怎么辦了，也無法判定這是一次獨(dú)立偶然事務(wù)，還是一次有組織的APT攻擊。緣由是缺少互聯(lián)網(wǎng)數(shù)據(jù)的支撐。而攻擊者在互聯(lián)網(wǎng)上總會(huì)留下痕跡，如何通過這些線索，來復(fù)原出攻擊的全貌，那就須要對互聯(lián)網(wǎng)大數(shù)據(jù)進(jìn)展挖掘和分析，借助第三方的威逼情報(bào)來對未知威逼進(jìn)展溯源。整體思路依據(jù)上述分析，未知威逼管理應(yīng)當(dāng)形成一個(gè)閉環(huán)體系，本方案的整體思路如下列圖所示：檢測：持續(xù)、實(shí)時(shí)地對網(wǎng)絡(luò)和終端數(shù)據(jù)進(jìn)展采集和威逼檢測；響應(yīng)：基于威逼，針對實(shí)時(shí)狀態(tài)關(guān)聯(lián)分析，生成平安響應(yīng)任務(wù)自動(dòng)執(zhí)行；攔截：依據(jù)情報(bào)策略在終端和網(wǎng)關(guān)層面進(jìn)展威逼主動(dòng)攔截；溯源：快速定位威逼來源，固化數(shù)據(jù)證據(jù)。方案設(shè)計(jì)方案架構(gòu)360未知威逼整體解決方案以本地大數(shù)據(jù)分析平臺(tái)為大腦，通過對網(wǎng)絡(luò)、終端的數(shù)據(jù)采集，結(jié)合云端威逼情報(bào)進(jìn)展威逼分析，識(shí)別未知威逼并供應(yīng)響應(yīng)策略，指導(dǎo)終端和網(wǎng)關(guān)進(jìn)展威逼響應(yīng)和攔截。同時(shí)能夠利用大數(shù)據(jù)搜尋技術(shù)在本地全量數(shù)據(jù)中進(jìn)展威逼的快速溯源。方案的整體架構(gòu)如下列圖所示：云端威逼情報(bào)大數(shù)據(jù)360天眼依托360公司對5億PC終端和6億移動(dòng)終端實(shí)時(shí)愛惜產(chǎn)生的海量大數(shù)據(jù)，以及全球最大的IP、DNS、URL、文件黑白名單四大信譽(yù)數(shù)據(jù)庫，擁有全球獨(dú)一無二的平安大數(shù)據(jù)優(yōu)勢，同時(shí)可以對互聯(lián)網(wǎng)上活潑的任何一次未被發(fā)覺的攻擊進(jìn)展記錄。360目前在云端擁有海量的平安數(shù)據(jù)。DNS庫擁有90億DNS解析記錄，超過100個(gè)外部數(shù)據(jù)源獲得數(shù)據(jù)；樣本庫總樣本95億，每天新增900萬;360URL庫每天處理100億條，每天攔截用戶訪問釣魚數(shù)超過1.4億URL；主防庫,覆蓋5億客戶端,總?cè)罩緮?shù)189000億,每天新增380億；漏洞庫，總漏洞數(shù)超過47萬，

平均每天新增400個(gè)。這些數(shù)據(jù)給未知威逼發(fā)覺和APT攻擊檢測供應(yīng)了完全真實(shí)網(wǎng)絡(luò)環(huán)境下的大量數(shù)據(jù)支撐。數(shù)據(jù)處理通過DNS解析記錄、WHOIS信息、樣本信息、文件行為日志等內(nèi)容，360天眼試驗(yàn)室在云端共搜集了200PB和平安相關(guān)的數(shù)據(jù)，并針對全部這些信息運(yùn)用了機(jī)器學(xué)習(xí)、深度學(xué)習(xí)、重沙箱集群、關(guān)聯(lián)分析等分析手段，PB級的搜尋引擎的全網(wǎng)抓取數(shù)據(jù)、可視化的分析數(shù)據(jù)，以及其他多個(gè)維度的互聯(lián)網(wǎng)大數(shù)據(jù)進(jìn)展關(guān)聯(lián)分析和歷史檢索，再結(jié)合一個(gè)專家運(yùn)營團(tuán)隊(duì)不斷的通過不同的攻擊思路挖掘大量數(shù)據(jù)。依靠于以上不斷運(yùn)營，360天眼試驗(yàn)室駕馭發(fā)覺了國內(nèi)最多的APT攻擊組織信息、并不斷的跟蹤相關(guān)信息，海蓮花〔OceanLotus〕報(bào)告便是其中成果。全部此類成果都是經(jīng)過人工確認(rèn)的精確結(jié)果，根本杜絕了誤報(bào)的狀況，同時(shí)360可以依靠于海量數(shù)據(jù)對攻擊背景做出精確和足夠的判定。確認(rèn)未知威逼360無線平安探究院、360網(wǎng)絡(luò)平安探究院、360網(wǎng)絡(luò)攻防試驗(yàn)室、360漏洞探究試驗(yàn)室等以頂尖探究資源為根底的多個(gè)國內(nèi)高水平平安探究試驗(yàn)室為未知威逼的最終確認(rèn)供應(yīng)專業(yè)高水平的技術(shù)支撐，全部大數(shù)據(jù)分析出的未知威逼都會(huì)通過專業(yè)的人員進(jìn)展人工干預(yù)，做到精細(xì)分析，確認(rèn)攻擊手段攻擊對象以及攻擊的目的，通過人工智能結(jié)合大數(shù)據(jù)學(xué)問以及攻擊者的多個(gè)維度特征復(fù)原出攻擊者的全貌，包括程序形態(tài)，不同編碼風(fēng)格和不同攻擊原理的同源木馬程序，惡意效勞器〔C&C〕等，通過全貌特征‘跟蹤’攻擊者，持續(xù)的發(fā)覺未知威逼，最終確保發(fā)覺的未知威逼的精確性。情報(bào)交付為了將360云端的攻擊發(fā)覺成果傳遞到企業(yè)側(cè)，360天眼系統(tǒng)將全部和攻擊相關(guān)的信息，如攻擊團(tuán)體，惡意域名，受害者IP，惡意文件MD5等相關(guān)信息匯總，遵照標(biāo)準(zhǔn)格式封裝成威逼情報(bào)并通過加密通道推送到企業(yè)側(cè)的天眼威逼感知系統(tǒng)。威逼情報(bào)做為天眼整個(gè)方案的核心內(nèi)容擔(dān)當(dāng)了連接互聯(lián)網(wǎng)信息和企業(yè)本地信息的重要作用，為APT事務(wù)在企業(yè)側(cè)的最終定位供應(yīng)了數(shù)據(jù)線索和定位依據(jù)。本地網(wǎng)絡(luò)信息采集本地網(wǎng)絡(luò)信息采集是通過360天眼網(wǎng)絡(luò)傳感器對網(wǎng)絡(luò)流量的鏡像文件進(jìn)展采集并復(fù)原，復(fù)原后的流量日志會(huì)加密傳輸給天眼分析平臺(tái)，流量鏡像中的PE和非PE文件復(fù)原后那么加密傳輸給天眼文件威逼鑒定器進(jìn)展檢測。天眼傳感器通過對網(wǎng)絡(luò)流量進(jìn)展解碼復(fù)原出真實(shí)流量，提取網(wǎng)絡(luò)層、傳輸層和應(yīng)用層的頭部信息，甚至是重要負(fù)載信息，這些信息將通過加密通道傳送到分析平臺(tái)進(jìn)展統(tǒng)一處理。傳感器中應(yīng)用的自主學(xué)問產(chǎn)權(quán)的協(xié)議分析模塊，可以在IPv4/IPv6網(wǎng)絡(luò)環(huán)境下，支持HTTP〔網(wǎng)頁〕、SMTP/POP3〔郵件〕等主流協(xié)議的高性能分析。同時(shí)，天眼傳感器預(yù)置了入侵攻擊庫和WEB攻擊庫，可檢測流量中的常見掃描行為和常見的遠(yuǎn)控木馬行為等攻擊行為，也可檢測主流的Web應(yīng)用攻擊，包括：注入、跨站、webshell、叮囑執(zhí)行、文件包含等。天眼傳感器檢測到此類攻擊后會(huì)產(chǎn)生告警，并將告警日志加密傳輸給天眼分析平臺(tái)供統(tǒng)一管理。本地文件威逼檢測360天眼通過文件鑒定器對文件進(jìn)展高級威逼檢測，沙箱可以接收復(fù)原自傳感器的大量PE和非PE文件，運(yùn)用靜態(tài)檢測、動(dòng)態(tài)檢測、沙箱檢測等一系列無簽名檢測方式發(fā)覺傳統(tǒng)平安設(shè)備無法發(fā)覺的高級威逼，并將威逼相關(guān)狀況以報(bào)告行為供應(yīng)應(yīng)中國重要企業(yè)和政府用戶平安管理人員。檢測器上的相關(guān)告警也可發(fā)送至分析平臺(tái)實(shí)現(xiàn)告警的統(tǒng)一管理和后續(xù)的進(jìn)一步分析。本地大數(shù)據(jù)威逼分析平臺(tái)分析平臺(tái)擔(dān)當(dāng)對全部數(shù)據(jù)進(jìn)展存儲(chǔ)、預(yù)處理和檢索的工作。由于傳統(tǒng)關(guān)系型數(shù)據(jù)庫在面對大量數(shù)據(jù)存儲(chǔ)時(shí)常常出現(xiàn)性能缺乏導(dǎo)致查詢相關(guān)數(shù)據(jù)緩慢，天眼分析平臺(tái)底層的數(shù)據(jù)檢索模塊接受了分布式計(jì)算和搜尋引擎技術(shù)對全部數(shù)據(jù)進(jìn)展處理，可通過多臺(tái)設(shè)備建立集群以保證存儲(chǔ)空間和計(jì)算實(shí)力的供應(yīng)。終端聯(lián)動(dòng)響應(yīng)天眼可以和360天擎終端平安管理系統(tǒng)進(jìn)展聯(lián)動(dòng)，借助360天眼的深度檢測實(shí)力，結(jié)合360天擎在終端上的精確防備實(shí)力，實(shí)現(xiàn)對PC終端的攻擊防備。天眼可以和360天擎終端平安管理系統(tǒng)進(jìn)展聯(lián)動(dòng)，通過天擎的EDR模塊細(xì)粒度地采集終端的進(jìn)程socket事務(wù)、進(jìn)程dns事務(wù)、帶附件郵件發(fā)送接收事務(wù)、出入文件事務(wù)和接收上傳附件事務(wù)等日志信息集中上傳到天眼分析平臺(tái)，通過360天眼的威逼情報(bào)、大數(shù)據(jù)分析實(shí)力和深度檢測技術(shù)發(fā)覺本地未知威逼的惡意行為。天眼將針對該威逼的處理建議和相關(guān)威逼情報(bào)信息發(fā)送給天擎的限制中心，由天擎管理員參考該建議通過天擎客戶端對有危害的終端威逼進(jìn)展處理。天眼和360天擎終端平安管理系統(tǒng)聯(lián)動(dòng)，可以構(gòu)建對以未知漏洞〔0day〕利用、未知惡意代碼植入為核心的APT攻擊過程從精確檢測到深度防備的縱深防范閉環(huán)體系。網(wǎng)關(guān)聯(lián)動(dòng)響應(yīng)天眼可以和360天堤下一代才智防火墻進(jìn)展聯(lián)動(dòng)，借助云端威逼情報(bào)，結(jié)合360天堤在網(wǎng)關(guān)層面的應(yīng)用級訪問限制實(shí)力，實(shí)此時(shí)此刻網(wǎng)絡(luò)邊界處對未知威逼進(jìn)展主動(dòng)防備。360全球威逼情報(bào)分析中心能基于互聯(lián)網(wǎng)進(jìn)展全網(wǎng)威逼情報(bào)分析，分析得出的威逼情報(bào)可以于防范未知威逼。威逼情報(bào)中心實(shí)時(shí)推送情報(bào)至用戶內(nèi)部的360天眼未知威逼感知系統(tǒng)，通過和用戶內(nèi)網(wǎng)所產(chǎn)生的行為日志進(jìn)展匹配分析，將命中未知威逼的異樣行為結(jié)果同步給防火墻，可以讓防火墻對這些有危害的異樣行為進(jìn)展處置。防火墻將接收到的異樣行為情報(bào)列表遵照威逼級別的中學(xué)低，對這些異樣行為進(jìn)展記錄或者阻斷處置。相比于防火墻自身用來對抗確定威逼的綜合應(yīng)用平安實(shí)力而言，威逼情報(bào)功能有效補(bǔ)充了傳統(tǒng)平安產(chǎn)品及其次代防火墻產(chǎn)品中無法對抗未知威逼的短板，而往往滲透網(wǎng)絡(luò)用戶造成重大損失的威逼均來自未知威逼。下列圖是一個(gè)網(wǎng)關(guān)聯(lián)動(dòng)響應(yīng)的場景展示：專業(yè)平安效勞為了更有效的應(yīng)對未知威逼問題，在建立了未知威逼技術(shù)體系后，再協(xié)作360專業(yè)的平安團(tuán)隊(duì)，為企業(yè)用戶供應(yīng)完善的平安效勞。如未知威逼的樣本分析、云端大數(shù)據(jù)關(guān)聯(lián)分析、深度下鉆分析、攻擊背景研判、事務(wù)復(fù)盤等效勞。360平安效勞體系：360專業(yè)平安團(tuán)隊(duì)：詳細(xì)設(shè)計(jì)部署拓?fù)鋱D解決的問題在本方案中，對企業(yè)客戶網(wǎng)絡(luò)中的流量進(jìn)展全量檢測和記錄，全部網(wǎng)絡(luò)行為都將以標(biāo)準(zhǔn)化的格式保存于天眼的數(shù)據(jù)平臺(tái)，云端威逼情報(bào)和本地沙箱分析結(jié)果和本地分析平臺(tái)進(jìn)展對接，為客戶供應(yīng)基于情報(bào)和沙箱檢測的威逼發(fā)覺和溯源的實(shí)力。360天眼分析平臺(tái)可以實(shí)現(xiàn)和天擎系統(tǒng)的對接，可以收集客戶端主機(jī)上的大量行為信息〔包括：網(wǎng)絡(luò)行為、進(jìn)程信息、文件訪問等〕，利用相關(guān)主機(jī)行為可以實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊事務(wù)的完整回溯，可最終追溯到詳細(xì)什么時(shí)間、哪個(gè)進(jìn)程、哪個(gè)文件觸發(fā)了怎樣的攻擊行為。并通過天眼下發(fā)指令給天擎進(jìn)展威逼防護(hù)。天眼分析平臺(tái)還可以和天堤防火墻進(jìn)展聯(lián)動(dòng)，將命中未知威逼的異樣行為結(jié)果同步給防火墻，可以讓防火墻對這些有危害的異樣行為進(jìn)展主動(dòng)防備。部署該方案后，可以為企業(yè)客戶解決以下平安問題：檢測發(fā)覺傳統(tǒng)防護(hù)手段漏過的未知威逼在隔離網(wǎng)絡(luò)環(huán)境下檢測未知威逼對發(fā)覺的未知威逼進(jìn)展主動(dòng)攔截對企業(yè)內(nèi)的海量數(shù)據(jù)進(jìn)展平安分析對企業(yè)內(nèi)已發(fā)覺的問題進(jìn)展攻擊回溯方案清單產(chǎn)品系列產(chǎn)品/模塊產(chǎn)品形態(tài)功能簡介天眼威逼情報(bào)云端效勞威逼情報(bào)來自360云端的分析成果，可對APT攻擊、新型木馬、特種免殺木馬進(jìn)展規(guī)那么化描述，形成機(jī)讀格式的IOC情報(bào)。網(wǎng)絡(luò)傳感器硬件〔可分布式〕對網(wǎng)絡(luò)流量進(jìn)展采集和協(xié)議復(fù)原，歸一化處理后的流量日志會(huì)加密傳輸給分析平臺(tái)文件威逼鑒定硬件〔可分布式〕負(fù)責(zé)對傳感器復(fù)原后的文件進(jìn)展沙箱檢測、靜態(tài)檢測和動(dòng)態(tài)檢測等多種檢測，剛好發(fā)覺有惡意行為的文件并告警，告警日志可傳給天眼分析平臺(tái)供統(tǒng)一分析。分析平臺(tái)硬件〔可分布式〕用于存儲(chǔ)傳感器提交的流量日志和文件威逼鑒定器提交的告警日志，可對全部數(shù)據(jù)進(jìn)展快速的處理并為檢索供應(yīng)支持，同時(shí)可和威逼情報(bào)或其他告警進(jìn)展關(guān)聯(lián)幫助進(jìn)一步分析，對攻擊進(jìn)展有效地回溯定位天擎終端平安響應(yīng)系統(tǒng)軟件〔限制中心+客戶端〕作為終端數(shù)據(jù)采集點(diǎn)，并和天眼進(jìn)展聯(lián)動(dòng)，依靠于天眼推送的威逼情報(bào)，和終端的平安行為數(shù)據(jù)進(jìn)展關(guān)聯(lián)檢測，定位淪陷終端進(jìn)展平安響應(yīng)。天堤下一代才智防火墻〔威逼情報(bào)聯(lián)動(dòng)模塊〕硬件天眼分析平臺(tái)將威逼情報(bào)和用戶內(nèi)部數(shù)據(jù)碰撞后，會(huì)將受害的信息及威逼信息推送給防火墻，并下發(fā)至防火墻的情報(bào)列表模塊，形成情報(bào)列表策略