華為：HiSec Endpoint智能終端安全系統(tǒng)報(bào)告2024

智能終端安全系統(tǒng)2024-09-1001版權(quán)所有?華為技術(shù)有限公司2024。保留一切權(quán)利。非經(jīng)本公司書面許可，任何單位和個(gè)人不得擅自摘抄、復(fù)制本文檔內(nèi)容的部分或全部，并不得以任何形式傳播。商標(biāo)聲明和其他華為商標(biāo)均為華為技術(shù)有限公司的商標(biāo)。本文檔提及的其他所有商標(biāo)或注冊(cè)商標(biāo)，由各自的所有人擁有。注意您購(gòu)買的產(chǎn)品、服務(wù)或特性等應(yīng)受華為公司商業(yè)合同和條款的約束，本文檔中描述的全部或部分產(chǎn)品、服務(wù)或特性可能不在您的購(gòu)買或使用范圍之內(nèi)。除非合同另有約定，華為公司對(duì)本文檔內(nèi)容不做任何明示或默示的聲明或保證。由于產(chǎn)品版本升級(jí)或其他原因，本文檔內(nèi)容會(huì)不定期進(jìn)行更新。除非另有約定，本文檔僅作為使用指導(dǎo)，本文檔中的所有陳述、信息和建議不構(gòu)成任何明示或暗示的擔(dān)保。i吳興勇：2011年加入華為，長(zhǎng)期從事數(shù)據(jù)通信產(chǎn)品文檔開發(fā)工作，曾參與《華為防陳姝：華為數(shù)據(jù)通信安全營(yíng)銷工程師，2021年加入華為，具有豐富的安全產(chǎn)品及解決方案管理和營(yíng)銷工作經(jīng)驗(yàn)。當(dāng)前主要負(fù)責(zé)本書介紹HiSecEndpoint智能終端安全系統(tǒng)的產(chǎn)生背景、方案架構(gòu)、優(yōu)勢(shì)與價(jià)值，并在此基礎(chǔ)上闡述HiSecEndpoint智能終端安全系統(tǒng)的工作原理和典型場(chǎng)景，幫助本書適合對(duì)終端安全及其應(yīng)用場(chǎng)景感興趣，或是在數(shù)字化轉(zhuǎn)型中的對(duì)網(wǎng)絡(luò)安全有業(yè)務(wù) 11.1網(wǎng)絡(luò)安全建設(shè)面臨的挑戰(zhàn) 11.2HiSecEndpoint智能終端安全系統(tǒng) 2 52.1威脅感知全 5 72.3威脅處置優(yōu) 10 113.1全棧數(shù)據(jù)采集 113.2病毒查殺與處置 143.3勒索檢測(cè)與處置 173.4挖礦檢測(cè)與處置 233.5無(wú)文件攻擊檢測(cè)與處置 273.6釣魚木馬檢測(cè)與處置 293.7溯源取證 30 341本章主要介紹網(wǎng)絡(luò)安全建設(shè)面臨的挑戰(zhàn)，以及HiSecEndpoint智能終企業(yè)面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也越來(lái)越大。從近幾年現(xiàn)網(wǎng)安全運(yùn)營(yíng)和安全報(bào)告披露的數(shù)據(jù)來(lái)看，勒索、挖礦、蠕蟲、竊密和遠(yuǎn)控木馬依然活躍，并呈現(xiàn)出隱蔽性、多樣性的特點(diǎn)。這些惡意軟件的入侵手段不斷翻新，融合了更復(fù)雜的技術(shù)，因此檢測(cè)這些惡意軟件的難度與日俱增。終端作為業(yè)務(wù)和數(shù)據(jù)的計(jì)算載體，是各類威脅鎖定的最終目標(biāo)，面臨更多的安全風(fēng)險(xiǎn)，往往也是整個(gè)網(wǎng)絡(luò)安全防護(hù)流程中最薄弱的環(huán)節(jié)。面對(duì)不斷演進(jìn)的新型網(wǎng)絡(luò)威脅攻勢(shì)下，以單向防御和管控為核心的終端防護(hù)已無(wú)力應(yīng)對(duì)，攻擊者不僅可以從外部入侵，還可以直接從企業(yè)內(nèi)部發(fā)起攻擊2隨著威脅手段和攻擊技術(shù)的不斷提高，企業(yè)頻頻遭受未知威脅攻擊，勒索變種、高級(jí)持續(xù)性威脅等。然而傳統(tǒng)反病毒產(chǎn)品僅采用威脅特征庫(kù)匹配技術(shù)，基于已知樣本提取病毒特征，只能識(shí)別已知威脅企業(yè)網(wǎng)絡(luò)每天遭受很多網(wǎng)絡(luò)探測(cè)、攻擊嘗試，但哪些是真正的攻擊，產(chǎn)生了什么影響卻難以判斷。通過終端進(jìn)行溯源是最有效手段，但傳統(tǒng)終端安全產(chǎn)品記錄或上報(bào)數(shù)據(jù)有限，忽視攻擊路徑分析，無(wú)法對(duì)威脅事件進(jìn)行事后溯源，企業(yè)不能感知威脅事件發(fā)生的原因和過程。因此，管理員無(wú)法根據(jù)威脅發(fā)生原因制定對(duì)應(yīng)的防御策略，不能從新型惡意軟件采用多跳攻擊滲透到內(nèi)網(wǎng)終端，單向、點(diǎn)狀的防御和檢測(cè)已經(jīng)無(wú)法應(yīng)對(duì)。云端、邊界、終端有效協(xié)同形成從點(diǎn)到全鏈路的防御體系至關(guān)重要。為了提升防御效果，企業(yè)客戶往往需要部署5個(gè)以上不同安全廠商的產(chǎn)品，但跨廠商、跨系統(tǒng)的產(chǎn)品缺乏全局統(tǒng)籌分析能力，無(wú)法形成有效的全鏈路防御體系，難以準(zhǔn)確識(shí)別威脅并進(jìn)行1.2HiSecEndpoint智能終端安全系統(tǒng)傳統(tǒng)終端安全產(chǎn)品已無(wú)法解決未知威脅應(yīng)對(duì)難、溯源分析難、統(tǒng)籌分析差等問題，華為在深入分析終端安全建設(shè)困境后，創(chuàng)新推出了HiSecEndpoint智能終端安全系統(tǒng)。該系統(tǒng)致力于在網(wǎng)絡(luò)空間抵御新型威脅攻擊，作為安全的錨點(diǎn)和托底，整合大數(shù)據(jù)安全深度分析能力，深度協(xié)同，形成感知、檢測(cè)、判定和處置等多層面的自適應(yīng)防御閉環(huán)系統(tǒng)，同時(shí)依托HiSecEndpointAgent（下圖顯示為EDRAgent）統(tǒng)一終端平臺(tái)，以小身材，撬動(dòng)安全大乾坤，架構(gòu)如圖1-1所示。3HiSecEndpoint智能終端安全系統(tǒng)在云端提供資產(chǎn)管理、威脅檢測(cè)和溯源處置功能，在終端部署HiSecEndpointAgent，具體功能如下。4l資產(chǎn)管理：提供自動(dòng)化終端資產(chǎn)清點(diǎn)能力，統(tǒng)籌管理終端信息并進(jìn)行多維資產(chǎn)風(fēng)能夠檢出常規(guī)簽名無(wú)法檢測(cè)到的惡意樣本，發(fā)現(xiàn)多種WAF（WebApplicationFirewall，網(wǎng)站應(yīng)用程式防火墻）繞過手段，對(duì)抗未知和變種威脅，并對(duì)檢出的l溯源處置：提供攻擊可視化能力，對(duì)威脅事件進(jìn)行精確的溯源分析，支撐威脅事lHiSecEndpointAgent：需要安裝到企業(yè)的每一臺(tái)終端上，主要負(fù)責(zé)收集并上報(bào)終端上的租戶登錄、進(jìn)程運(yùn)行/創(chuàng)建、目錄/文件訪問日志、DNS（DomainNameSystem，域名系統(tǒng)）請(qǐng)求等信息，并執(zhí)行預(yù)置的主動(dòng)防御策略和云端下5優(yōu)勢(shì)與價(jià)值本章主要介紹HiSecEndpoint智能終端安全系統(tǒng)的優(yōu)勢(shì)與價(jià)值，包括HiSecEndpoint智能終端安全系統(tǒng)通過輕量級(jí)HiSecEndpointAgent采集的數(shù)據(jù)全面感知終端存在的威脅。HiSecEndpointAgent支持分鐘級(jí)批量部署上線，實(shí)時(shí)防護(hù)CPU占用小于1%，內(nèi)存占用?。凰诳尚胚M(jìn)程樹、白名單自學(xué)習(xí)和威脅圖降噪專利技術(shù)，能夠在各類數(shù)據(jù)采集無(wú)損的條件下，去除80%以上的噪聲和冗余數(shù)據(jù)，幫助HiSecEndpoint智能終端安全系統(tǒng)多維度全面感知威脅。HiSecEndpointAgent采集數(shù)據(jù)的特點(diǎn)如圖2-1所示。6優(yōu)勢(shì)與價(jià)值在終端防護(hù)場(chǎng)景中涉及到檢測(cè)、處置、溯源、取證等多方面操作，為重要，HiSecEndpointAgent與傳統(tǒng)EPP（EndpointProtectionPlatform，威脅圖的構(gòu)建，包含了完整的事件主體信息，客體信息和行為的詳細(xì)隨著安全對(duì)抗進(jìn)入白熱化階段，基礎(chǔ)的數(shù)據(jù)采集能種繞過、躲避手段層出不窮，因此必須持續(xù)獲取攻防領(lǐng)地的制高點(diǎn)，態(tài)應(yīng)對(duì)變幻莫測(cè)的攻擊手法。HiSecEndpointAgent在惡意軟件泛化行為上提供多種打點(diǎn)，從進(jìn)程行為到線程行為，從文件行為到內(nèi)存行為，由淺入路徑上全段覆蓋，從網(wǎng)絡(luò)連接到爆破登錄，從注冊(cè)表變化到啟動(dòng)項(xiàng)增7優(yōu)勢(shì)與價(jià)值細(xì)。同時(shí)為保證數(shù)據(jù)采集的有效性，為抵御繞過、篡改等對(duì)抗行為，HiSecEndpointAgent也構(gòu)建了進(jìn)程、文件、注冊(cè)表、服務(wù)等多方位的自身防護(hù)能力。HiSecEndpointAgent除常規(guī)的數(shù)據(jù)采集能力外，還包含由多種單獨(dú)事件組合而在不降低置信度的前提下，直接在采集器內(nèi)部識(shí)別出行為異常，降在多種采集技術(shù)中，如文件事件采集、注冊(cè)表事件采集、API調(diào)用采集，由于安插了眾多采集點(diǎn)，性能成為數(shù)據(jù)采集技術(shù)挑戰(zhàn)之一。HiSecEndpointAgent對(duì)此行為等多元素進(jìn)行高效過濾，在數(shù)據(jù)采集最前端實(shí)現(xiàn)篩選，并結(jié)合可信專利威脅圖降噪技術(shù)，單終端數(shù)據(jù)上報(bào)可控制在20MB/天以下，保證關(guān)鍵數(shù)據(jù)對(duì)于輕量化安全防護(hù)場(chǎng)景，HiSecEndpointAgent專為數(shù)據(jù)采集提供了精細(xì)化的開關(guān)控制，可有針對(duì)性地開啟、關(guān)閉或者部分關(guān)閉采集功能，進(jìn)一步除Windows平臺(tái)外，HiSecEndpointAgent還支持Linux平臺(tái)數(shù)據(jù)采集，以基于BPF（BerkeleyPacketFilter，伯克利包過濾器）的高性能數(shù)據(jù)采集時(shí)兼顧差異化的操作系統(tǒng)版本，借助內(nèi)核模塊以及系統(tǒng)回調(diào)機(jī)制，在文件、進(jìn)程、網(wǎng)絡(luò)、DNS請(qǐng)求等多方面構(gòu)筑數(shù)據(jù)采集及防護(hù)技術(shù)，為上層勒索、挖礦、木馬、HiSecEndpointAgent集成第三代反病毒引擎、威脅溯源圖引擎，能夠?qū)K端進(jìn)行8優(yōu)勢(shì)與價(jià)值l第三代反病毒引擎：是華為自主研發(fā)的最新反病毒引擎，集成了專用的文件類型識(shí)別算法，可以快速、精確地識(shí)別上百種文件類型。同時(shí)通過對(duì)各類復(fù)雜文件進(jìn)行全面深度解析，識(shí)別隱藏在原始文件中的惡意信息，即使攻擊者通過深層混合壓縮或者復(fù)合文檔附件等手段隱藏病毒，在CDE病毒檢測(cè)引擎檢測(cè)下都無(wú)所遁擬合成網(wǎng)狀行為“快照”，對(duì)威脅進(jìn)行全鏈路上下文深度關(guān)聯(lián)，層層分析可疑信9優(yōu)勢(shì)與價(jià)值優(yōu)勢(shì)與價(jià)值HiSecEndpoint智能終端安全系統(tǒng)可聯(lián)動(dòng)邊界防護(hù)與響應(yīng)服務(wù)，進(jìn)行威脅分析和封禁外部攻擊源，為用戶提供最優(yōu)阻斷方案，全方位抵御安全風(fēng)險(xiǎn)。HiSecEndpoint智能終端安全系統(tǒng)采用智能化技術(shù)，當(dāng)攻擊發(fā)生時(shí)，可自動(dòng)挖掘同一攻擊鏈上所有威脅事件，并對(duì)所有威脅事件提供一鍵快速處置方式。針對(duì)勒索病毒，HiSecEndpoint智能終端安全系統(tǒng)內(nèi)置輕量級(jí)備份恢復(fù)機(jī)制，可以在檢測(cè)到勒索攻擊后，將被加密文件恰本章主要介紹HiSecEndpoint智能終端安全系統(tǒng)的工作原理。九層之臺(tái)，起于壘土，數(shù)據(jù)采集決定終端安全防護(hù)的可行性和能力上限。HiSecEndpoint智能終端安全系統(tǒng)的全棧數(shù)據(jù)采集在實(shí)時(shí)監(jiān)控與防護(hù)、威脅檢測(cè)、威脅響注冊(cè)表操作、網(wǎng)絡(luò)連接等，把這些數(shù)據(jù)內(nèi)容作為行為檢測(cè)引擎的據(jù)規(guī)則實(shí)現(xiàn)對(duì)主機(jī)的防護(hù)，即HIPS（Host-basedIntrusionPreventionSystem，通過數(shù)據(jù)采集的多種數(shù)據(jù)源，可以實(shí)現(xiàn)對(duì)惡意軟件行為的抽象，對(duì)多種進(jìn)程行為、系統(tǒng)行為進(jìn)行描述，大量的描述匯聚成威脅圖，然后通過檢測(cè)引擎惡意腳本執(zhí)行、進(jìn)程挖空、Shellcode異常外連等行為，進(jìn)一步可以確定勒索、挖礦、橫向移動(dòng)等多種攻擊場(chǎng)景，以此發(fā)現(xiàn)環(huán)境中的已知威脅、未通過HIPS規(guī)則檢測(cè)、病毒查殺、聯(lián)動(dòng)等手段，可以識(shí)別到目標(biāo)惡意處置過程，單純的對(duì)目標(biāo)文件清理往往并不能達(dá)到最佳效果，多種持久以讓惡意程序反復(fù)生成，頻繁發(fā)作，觸發(fā)惡意行為。借助數(shù)據(jù)采集的能對(duì)惡意程序從初始訪問到持久化，從持久化到命令執(zhí)行等每個(gè)階段的行錄，甚至也可以做到多終端的協(xié)同運(yùn)作，這樣在處置階段更容易對(duì)整個(gè)數(shù)據(jù)采集是終端安全防護(hù)軟件中與操作系統(tǒng)甚至硬件關(guān)系最緊密的能力，數(shù)據(jù)采集模塊部署在HiSecEndpointAgent客戶端中，采集用戶終端或服務(wù)器的用戶態(tài)和內(nèi)核數(shù)據(jù)采集模塊采用Windows內(nèi)核驅(qū)動(dòng)、APIHook、ETW（EventTracingforWindows，Windows事件跟蹤）以及其他輔助采集技術(shù)，對(duì)系統(tǒng)進(jìn)程、線程、注冊(cè)表、文件、網(wǎng)絡(luò)、DNS請(qǐng)求、API調(diào)用等進(jìn)行監(jiān)控，基本模型如圖3-1所示。l內(nèi)核態(tài)實(shí)現(xiàn)對(duì)系統(tǒng)進(jìn)程、文件、注冊(cè)表、網(wǎng)絡(luò)等資源的監(jiān)控，通過內(nèi)核事件，并接收來(lái)自EDR進(jìn)程外的API調(diào)用事件。多種信息經(jīng)過渲染后被發(fā)送至用戶態(tài)事件過濾器完成篩選，并生成原始事件，最后將原始事件傳遞至上層檢測(cè)引數(shù)據(jù)采集的信息越豐富，越能滿足對(duì)復(fù)雜攻擊的檢測(cè)需求，不錯(cuò)過惡意行為的蛛絲馬14一段惡意的代碼、一個(gè)惡意的模塊，一般都是通過獨(dú)立進(jìn)程或者利承載，而惡意進(jìn)程對(duì)資源的訪問方式有多種。例如，執(zhí)行勒索通常會(huì)頻繁重命名、刪除文件；持久化過程需要操作注冊(cè)表等啟動(dòng)項(xiàng)；木馬竊密存在可疑及對(duì)隱私文件的訪問；程序挖礦會(huì)發(fā)起特殊的DNS域名請(qǐng)求，此外很多惡意程系統(tǒng)的登錄退出信息可以用來(lái)輔助分析爆力破解過程，例如審計(jì)惡意程序通過持久化保證操作系統(tǒng)重啟后可以繼續(xù)留存，觸發(fā)惡要的手段包括注冊(cè)表啟動(dòng)項(xiàng)的增加、啟動(dòng)目錄文件的增加、創(chuàng)建系A(chǔ)PI調(diào)用采集，即對(duì)系統(tǒng)中一些重要行為對(duì)應(yīng)的API進(jìn)行記錄，如網(wǎng)絡(luò)下載、權(quán)為了應(yīng)對(duì)惡意文件數(shù)量的持續(xù)增長(zhǎng)和新樣本的不斷進(jìn)化，華為反病毒引擎檢測(cè)技術(shù)經(jīng)過10余年的演進(jìn)和積累，迎來(lái)了CDE（Content-basedDetectionEngine，內(nèi)容檢測(cè)引擎）第三代反病毒引擎，如圖3-2所示。CDE的核心功能是檢測(cè)惡意文件中是否包含惡意代碼，然后刪除計(jì)算機(jī)中的惡意文件來(lái)防止惡意文件對(duì)計(jì)算機(jī)進(jìn)行感染和破壞。它可以動(dòng)態(tài)模擬執(zhí)行引擎，還原真實(shí)威脅信息并進(jìn)行數(shù)據(jù)分析。同時(shí)也基于云端智能中心分析海量病毒構(gòu)建專用的病毒檢測(cè)AI算法，具備未知威脅檢測(cè)和全面智能HiSecEndpoint智能終端安全系統(tǒng)病毒檢測(cè)引擎處理華為HiSecEndpoint智能終端安全系統(tǒng)集成CDE，支持防護(hù)包括勒索、挖礦、木馬、僵尸、后門、漏洞利用、蠕蟲、病毒、黑客工具、灰色軟件、惡意廣告等各類惡意家族病毒。當(dāng)客戶終端被攻擊下載病毒文件，病毒在終端落盤或運(yùn)行時(shí)，HiSecEndpoint智能終端安全系統(tǒng)中的病毒檢測(cè)引擎會(huì)對(duì)病毒進(jìn)行實(shí)時(shí)的檢測(cè)并處理。如圖3-3所示，防護(hù)過程包括文件類型識(shí)別、內(nèi)容深度分析和病毒檢測(cè)引擎。1.文件類型分類：HiSecEndpoint智能終端安全系統(tǒng)首先通過分析終端用戶文件內(nèi)容實(shí)現(xiàn)對(duì)海量文件的類型分類。它集成了專用的文件類型識(shí)別算法，可以快速且精確地識(shí)別Windows、Linux等各類主流操作系統(tǒng)的上百種文件類型，包括PE、即使攻擊者對(duì)文件后綴或內(nèi)容進(jìn)行仿冒，它也能精準(zhǔn)識(shí)別實(shí)際的文件類型，防止2.內(nèi)容深度分析：當(dāng)文件類型確定后，HiSecEndpoint智能終端安全系統(tǒng)接著對(duì)二進(jìn)制文件、復(fù)合文檔和各類腳本文件進(jìn)行分析，識(shí)別潛藏的惡意信息，為病毒檢測(cè)模塊提供詳細(xì)的內(nèi)容特征信息。對(duì)于二進(jìn)制可執(zhí)行文件，通過極速模擬CPU、內(nèi)存及操作系統(tǒng)環(huán)境，運(yùn)用高性能的指令編譯和CPU軟cache核心加速技術(shù)，在虛擬隔離的微內(nèi)核中實(shí)現(xiàn)實(shí)時(shí)、安全的可疑惡意代碼和內(nèi)存片段的動(dòng)態(tài)分析，深度識(shí)別隱藏的惡意行為。通過對(duì)各類腳本進(jìn)行詞法和語(yǔ)義分析，精準(zhǔn)還原腳本3.病毒引擎檢測(cè)：最后，HiSecEndpoint智能終端安全系統(tǒng)會(huì)檢測(cè)文件中是否存在惡意代碼，通過MDL檢測(cè)引擎、神經(jīng)網(wǎng)絡(luò)引擎AI引擎和云端智能中心的加持，HiSecEndpoint智能終端安全系統(tǒng)支持本地用戶與云端管理員多模式的病毒查殺模式，l快速查殺：終端用戶使用系統(tǒng)默認(rèn)的查殺策略對(duì)終端執(zhí)行病毒掃描任務(wù)，只檢查l自定義查殺：根據(jù)終端用戶的實(shí)際需要自定義配置l高性能：通過高效的緩存和線程池調(diào)度技術(shù)，實(shí)現(xiàn)HiSecEndpoint智能終端安全系統(tǒng)病毒查殺速度領(lǐng)先，其中二次病毒查殺能力達(dá)到分鐘級(jí)，資源占用一半以l資源自適應(yīng)：在用戶辦公場(chǎng)景下，HiSecEndpoint智能終端安全系統(tǒng)通過對(duì)系統(tǒng)內(nèi)存、磁盤IO、CPU的綜合評(píng)估，實(shí)現(xiàn)了用HiSecEndpoint智能終端安全系統(tǒng)基于勒索攻擊鏈提供全鏈路防護(hù)。在偵查準(zhǔn)備階段，黑客通過掃描鎖定攻擊的目標(biāo)，缺乏安全防護(hù)手段的資產(chǎn)更容易成為黑客攻擊的目標(biāo)，HiSecEndpoint智能終端安全系統(tǒng)基于漏洞掃描服務(wù)與網(wǎng)絡(luò)威脅在攻擊入侵階段，黑客利用風(fēng)險(xiǎn)資產(chǎn)的漏洞入侵主機(jī)系統(tǒng)植入病毒，HiSecEndpoint智能終端安全系統(tǒng)的關(guān)鍵應(yīng)對(duì)理念是防御前移，建立實(shí)時(shí)防御的分層防御網(wǎng)，盡早斷開攻擊者的入侵鏈路，降低攻擊者ROI（Return-on-investment，投資凈利率不斷增加攻擊者的成本和難度。從基于NDR（NetworkDetectionandResponse，網(wǎng)絡(luò)威脅檢測(cè)與響應(yīng)）的高級(jí)入侵線索發(fā)現(xiàn)（如0-Day漏洞利用到XDR（DetectionandResponse，可擴(kuò)展威脅檢測(cè)與響應(yīng)）IOA（IndicatorofAttack，攻擊指標(biāo)）高級(jí)威脅檢測(cè)引擎實(shí)現(xiàn)勒索加密前阻斷，再到文件加密攻擊攔截，每一環(huán)節(jié)的防御機(jī)制均為上一環(huán)節(jié)防御機(jī)制的防御兜在勒索實(shí)施后，為了徹底控制、根除、恢復(fù)勒索軟件攻擊帶來(lái)的影響，我們通過攻擊可視化技術(shù)和深度溯源技術(shù)直接還原攻擊入口，助力定發(fā)現(xiàn)真實(shí)攻擊意圖，復(fù)盤企業(yè)信息系統(tǒng)弱點(diǎn)，多層次修復(fù)攻擊面，構(gòu)建更完善的勒索防御體系。通過主動(dòng)誘捕技術(shù)加快攻擊意圖顯現(xiàn)并在加密用戶核心數(shù)據(jù)前處置威脅實(shí)體，在“用戶數(shù)據(jù)早晚會(huì)被加密”的假設(shè)下為用戶提供加密文件恢復(fù)兜底方案，穩(wěn)定華為乾坤從風(fēng)險(xiǎn)預(yù)防的角度出發(fā)，基于漏洞掃描服務(wù)與網(wǎng)絡(luò)威脅評(píng)估服務(wù)對(duì)安全防御體系防護(hù)效果進(jìn)行評(píng)估，評(píng)估企業(yè)安全防御體系的風(fēng)險(xiǎn)和有效性，為用戶提供準(zhǔn)確的修復(fù)建議，提醒租戶及時(shí)加固風(fēng)險(xiǎn)資產(chǎn)。資產(chǎn)風(fēng)險(xiǎn)綜合評(píng)估的實(shí)現(xiàn)原理如圖3-5所示。1.資產(chǎn)梳理：支持用戶通過人工導(dǎo)入的方式錄入資產(chǎn)，或者通過網(wǎng)段掃描探活的方192.安全檢測(cè)：為確保資產(chǎn)安全性，定期進(jìn)行資產(chǎn)漏洞掃描、病毒查殺、威脅事件識(shí)3.綜合評(píng)估：通過脆弱性AI評(píng)估算分、漏洞優(yōu)先級(jí)排序、網(wǎng)絡(luò)威脅評(píng)估服務(wù)對(duì)網(wǎng)絡(luò)安全防御體系防護(hù)效果進(jìn)行綜合評(píng)估，識(shí)別需要優(yōu)先修復(fù)的漏洞與網(wǎng)絡(luò)安全防4.風(fēng)險(xiǎn)閉環(huán)：對(duì)于綜合評(píng)估過程中識(shí)別出的漏洞、風(fēng)險(xiǎn)點(diǎn)、威脅事件，為客戶提供NDR高級(jí)入侵線索發(fā)現(xiàn)邊界突破是未知勒索軟件進(jìn)入目標(biāo)系統(tǒng)的關(guān)鍵環(huán)節(jié)，外聯(lián)C&C通信是控制目標(biāo)系統(tǒng)的重要手段，傳統(tǒng)的IPS/IDS僅能解決已知攻擊檢測(cè)，例如：N-day漏洞、常規(guī)暴力破解、已知家族C&C信息等，面對(duì)0-Day漏洞和占比日益增加的加密流量攻擊卻束l無(wú)監(jiān)督學(xué)習(xí)+細(xì)粒度動(dòng)態(tài)特征基線+統(tǒng)計(jì)分析發(fā)現(xiàn)0-Day漏洞線索、未知加密流量攻擊線索，不依賴任何標(biāo)簽，由安全資深專家和數(shù)學(xué)家、AI科學(xué)家領(lǐng)域知識(shí)深度融合，基于場(chǎng)景化建模的思路，利用30+統(tǒng)計(jì)工具、孤立森林、極值理論等方法，將已知攻擊場(chǎng)景（20+）的數(shù)據(jù)泛化到未知行為發(fā)現(xiàn)，從而全面發(fā)現(xiàn)攻擊線索。目前，已經(jīng)累計(jì)開發(fā)了50+異常檢測(cè)模型。蔽攻擊，例如：代碼執(zhí)行漏洞、慢速暴破等，精度可達(dá)99.9%。l風(fēng)險(xiǎn)傳播算法+行為相似度模型進(jìn)行關(guān)系建模，持續(xù)發(fā)現(xiàn)類似的攻擊模式和受害IOA高級(jí)威脅檢測(cè)引擎對(duì)于繞過邊界防御的勒索軟件攻擊，華為XDRIOA行為檢測(cè)引擎毫秒級(jí)實(shí)時(shí)檢測(cè)終端上的異常行為模式，通過華為獨(dú)創(chuàng)的內(nèi)存威脅溯源圖與網(wǎng)絡(luò)側(cè)的攻擊線索實(shí)時(shí)深度聯(lián)動(dòng)，通過泛化能力極強(qiáng)的圖因果關(guān)聯(lián)模型、時(shí)序關(guān)聯(lián)模型、時(shí)間關(guān)聯(lián)模型、統(tǒng)計(jì)關(guān)聯(lián)模型等精準(zhǔn)研判0-Day漏洞利用成功、powershell攻擊投遞、釣魚入侵成功等高級(jí)無(wú)文件攻擊場(chǎng)景，并精準(zhǔn)識(shí)別威脅子圖、威脅實(shí)體，通過XDR與網(wǎng)關(guān)、終端聯(lián)動(dòng)毫秒級(jí)切斷攻擊執(zhí)行鏈路，當(dāng)前已累計(jì)模型15+，精度95%+。20對(duì)于已經(jīng)執(zhí)行起來(lái)的勒索軟件載體，同樣通過獨(dú)創(chuàng)的內(nèi)存溯源圖，通過啟發(fā)式的方式鎖定威脅根節(jié)點(diǎn)，組合400+流行勒索軟件家族專家深度分析，高維度泛化抽象+大數(shù)據(jù)挖掘的關(guān)鍵因果鏈條，疊加信任傳播算法和華為第三代靜態(tài)文件檢測(cè)引擎，可有效實(shí)現(xiàn)對(duì)勒索軟件變種和未知勒索軟件加密前的實(shí)時(shí)精準(zhǔn)研判，并基于威脅根節(jié)點(diǎn)毫在華為乾坤未知勒索軟件攻擊測(cè)評(píng)中，近百萬(wàn)勒索軟件樣本，在400+主流的勒索軟件家族上通過勒索軟件加密前的行為特征可有效支撐近90%的勒索軟件攻擊研判，現(xiàn)網(wǎng)運(yùn)行半年無(wú)誤報(bào)，半年后采用1000個(gè)流行勒索軟件樣本評(píng)測(cè)，檢出率下降不到5%。正如前文所述，文件攻擊（加密、破壞等）是勒索攻擊的不變量，也是整個(gè)勒索攻擊檢測(cè)鏈條上的兜底環(huán)節(jié)，是在勒索動(dòng)態(tài)攻防對(duì)抗上保持優(yōu)勢(shì)的關(guān)鍵為了從戰(zhàn)術(shù)上扭轉(zhuǎn)攻防對(duì)抗的不對(duì)等性，變被動(dòng)為主動(dòng)，HiSecEndpointAgent基于內(nèi)核級(jí)主動(dòng)誘捕技術(shù)，在用戶正常辦公和業(yè)務(wù)無(wú)感知狀態(tài)下全天候自動(dòng)守護(hù)，保護(hù)基于勒索軟件特征，在租戶終端的特定路徑中放置誘餌文件。誘餌文件放置位置和自身屬性均瞄準(zhǔn)勒索軟件偏好，確保最先吸引勒索軟件。誘餌捕獲功能會(huì)根據(jù)誘餌文件上體現(xiàn)的惡意行為捕獲異常事件，工作原理如圖3-6所示。租戶在開通智能終端安全服務(wù)后，HiSecEndpointAgent根據(jù)內(nèi)置的行為檢測(cè)引擎，實(shí)時(shí)檢測(cè)誘餌文件，一旦發(fā)現(xiàn)其被寫入、重命名或者刪除，并將該惡意行為上報(bào)為告警事件。租戶可以依靠誘餌捕獲的能力，判斷終端是否存在前面所述主要目標(biāo)是如何及時(shí)切斷整個(gè)勒索軟件攻擊的入侵鏈路，緩解勒索軟件攻擊帶來(lái)的影響，除了全面控制、根除、恢復(fù)攻擊帶來(lái)的負(fù)面影響，還需要還原整個(gè)攻擊鏈路，這是防御閉環(huán)的關(guān)鍵一步。當(dāng)前隨著操作系統(tǒng)組件日趨復(fù)雜，攻擊者的對(duì)抗和逃逸手段也日趨多樣化、隱秘化，攻擊鏈路的關(guān)鍵要素往往散落在多個(gè)數(shù)據(jù)域（進(jìn)程、文件、系統(tǒng)服務(wù)、計(jì)劃任務(wù)、網(wǎng)絡(luò)連接、數(shù)據(jù)包等呈現(xiàn)出碎片化的分布，給完整22為應(yīng)對(duì)上述挑戰(zhàn)，自動(dòng)揭示完整攻擊鏈路，幫助客戶一鍵完成深度清理并看清攻擊入l跨終端、異構(gòu)數(shù)據(jù)時(shí)空關(guān)聯(lián)還原事件全貌：勒索軟件攻擊不是一次性完成的，它們會(huì)在各個(gè)路徑上都留下痕跡，通常以網(wǎng)絡(luò)、終端為主，要全面遙測(cè)這些數(shù)據(jù)并l構(gòu)建攻擊逃逸知識(shí)庫(kù)以有效應(yīng)對(duì)攻擊路徑碎片化：覆蓋計(jì)劃任務(wù)濫用、系統(tǒng)服務(wù)濫用、惡意代碼注入、漏洞利用等多種復(fù)雜攻擊場(chǎng)景，并通過攻擊語(yǔ)義關(guān)聯(lián)技術(shù)l從終端失陷溯源可視化、攻擊影響面可視化、完整攻擊故事可視化等多視角提供l結(jié)合威脅信息、漏洞信息、沙箱等，組合IOA+IOC（IndicatorofCompromise，失陷指標(biāo)）+AI+UEBA（UserandEntityBehaviorAnalytics，用戶和實(shí)體行為分析）等全面精準(zhǔn)研判攻擊，實(shí)現(xiàn)70%以上的威脅一鍵自動(dòng)處置，并以可視化的方式定位根因，包括：攻擊者從哪里來(lái)？攻擊者整個(gè)入侵鏈路地圖是什么？攻擊者都干了哪些壞事？攻擊者是否還有潛伏？攻擊者是否取得更多權(quán)限？我們還為了確保數(shù)據(jù)零損失，HiSecEndpointAgent內(nèi)置終端輕量級(jí)備份恢復(fù)機(jī)制作為兜底方案，可在檢測(cè)到勒索攻擊后，將被加密文件恰好恢復(fù)至加密前的狀態(tài)并清理勒索l文件破壞全場(chǎng)景覆蓋：克服高難度的內(nèi)核態(tài)開發(fā)挑戰(zhàn)，在內(nèi)核層監(jiān)控勒索病毒對(duì)l勒索病毒全進(jìn)程鏈回滾：全面覆蓋勒索病毒的多進(jìn)程加密行為，支持全進(jìn)程鏈回滾，內(nèi)置復(fù)雜的精細(xì)化文件回滾順序機(jī)制，支持勒索病毒全進(jìn)程鏈自動(dòng)化逆修改。l輕量靈活：備份單文件時(shí)長(zhǎng)<10ms，單終端內(nèi)存<5M，CPU無(wú)感知。此外，不僅內(nèi)置對(duì)100多種重要文件的保護(hù)，用戶還可以自行添加需要備份的文件類型，23近年來(lái)，加密貨幣作為新興產(chǎn)業(yè)，發(fā)展速度令人矚目。加密貨幣的去中心化、無(wú)需監(jiān)管以及交易的匿名性等特性，使其成為黑客進(jìn)行網(wǎng)絡(luò)交易并獲取利潤(rùn)的主要手段之一。加密貨幣的獲取依賴于高性能計(jì)算機(jī)按照特定算法進(jìn)行計(jì)算，這個(gè)過程被稱為“挖礦”。由于挖礦需要大量的計(jì)算能力，即大量的計(jì)算機(jī)資源，而維持這種計(jì)算能力則立所謂的僵尸網(wǎng)絡(luò)，以此來(lái)幫助自己挖礦，這種行為就產(chǎn)生了所謂的“挖礦木馬”。當(dāng)個(gè)人或企業(yè)的計(jì)算機(jī)被植入挖礦惡意軟件后，不僅會(huì)導(dǎo)致系統(tǒng)卡頓，還會(huì)影響設(shè)備通過設(shè)置計(jì)劃任務(wù)或修改注冊(cè)表項(xiàng)等方式實(shí)現(xiàn)持久化，長(zhǎng)期進(jìn)行加密貨幣的挖礦l基于瀏覽器的挖礦木馬：這種木馬使用JavaScript或類似技術(shù)在瀏覽器中執(zhí)行。只要用戶打開了被植入挖礦木馬的網(wǎng)站，該木馬就會(huì)在瀏覽器中執(zhí)行挖礦操作，l無(wú)文件挖礦木馬：這種木馬利用合法工具如PowerShell等在機(jī)器的內(nèi)存中執(zhí)行挖礦木馬是黑客獲取加密貨幣的主要手段之一且極具隱蔽性，近年來(lái)，黑客越來(lái)越注一般來(lái)說(shuō)，挖礦惡意軟件攻擊鏈條分成四個(gè)關(guān)鍵步驟：攻擊入侵、挖礦準(zhǔn)備、安裝運(yùn)行以及隱藏自身行為。終端作為攻擊發(fā)生的真241.入侵：攻擊者通過漏洞利用、社會(huì)工程學(xué)攻擊或其他方式入侵目標(biāo)系統(tǒng)，許多已2.準(zhǔn)備：攻擊者首先探測(cè)系統(tǒng)信息，若滿足條件則開始構(gòu)建挖礦運(yùn)行環(huán)境，包括搶3.運(yùn)行：攻擊者通過C2（CommandandControl，命令與控制）通道下載或者直4.隱藏：攻擊者通常會(huì)采取措施來(lái)隱藏挖礦活動(dòng)，例如使用加密通信、進(jìn)程注入來(lái)基于上述攻擊特點(diǎn)，HiSecEndpoint智能終端安全系統(tǒng)推出了三大檢測(cè)引擎，從多角度監(jiān)控系統(tǒng)發(fā)生的可疑行為，同時(shí)支持一鍵深度處置，徹底下面介紹幾種不同類型的檢測(cè)引擎如何通過EDR應(yīng)對(duì)當(dāng)下更加復(fù)雜的挖礦木馬攻擊，包括基于加密通信的挖礦行為，采用進(jìn)程注入等更加隱蔽和高級(jí)的無(wú)文件攻擊技術(shù)來(lái)挖礦活動(dòng)的最本質(zhì)特點(diǎn)在于網(wǎng)絡(luò)連通，受害主機(jī)需要與礦池持續(xù)通信以確保挖礦活動(dòng)流量探針識(shí)別stratum挖礦協(xié)議，可以確保礦池的外部連接在網(wǎng)關(guān)或終端側(cè)被阻斷。25通過分析網(wǎng)絡(luò)流量數(shù)據(jù)，機(jī)器學(xué)習(xí)模型可以學(xué)習(xí)和識(shí)別與加密挖礦相關(guān)的特征和模式。這些特征包括通信報(bào)文大小和時(shí)序特征、特定的網(wǎng)絡(luò)通信模式以及與已知挖礦活動(dòng)相關(guān)的數(shù)據(jù)包。通過訓(xùn)練機(jī)器學(xué)習(xí)模型，我們可以建立一個(gè)智能的檢測(cè)系統(tǒng)，能夠自動(dòng)識(shí)別和報(bào)告潛在的加密挖礦行為。結(jié)合EDR調(diào)查取證可以幫助企業(yè)和組織及時(shí)發(fā)現(xiàn)對(duì)于落入端側(cè)的挖礦木馬攻擊，HiSecEndpointAgent檢測(cè)與響應(yīng)EDR行為檢測(cè)引擎基于內(nèi)存威脅溯源圖，在文件、進(jìn)程、網(wǎng)絡(luò)、注冊(cè)表和CPU占有率等多個(gè)關(guān)鍵維度上實(shí)時(shí)監(jiān)控系統(tǒng)資源，一旦發(fā)現(xiàn)威脅立即處置。同時(shí)，內(nèi)存威脅溯源圖集成了自適應(yīng)基線模型、時(shí)序關(guān)聯(lián)模型、因果關(guān)聯(lián)模型等，在入侵、執(zhí)行、持久化和橫移等多個(gè)圖3-8示意了利用內(nèi)存威脅溯源圖還原WebLogic漏洞投遞無(wú)文件挖礦木馬的攻擊鏈眾所周知，單純通過判斷CPU占有率高可能會(huì)導(dǎo)致挖礦木馬事件誤報(bào)或漏報(bào)的情況發(fā)生，因?yàn)橛?jì)算密集型任務(wù)也會(huì)導(dǎo)致CPU占有率飆升。因此，在檢測(cè)挖礦木馬時(shí)，我們需要結(jié)合攻擊的上下文信息進(jìn)行綜合分析，結(jié)合內(nèi)存威脅溯源圖，將典型的挖礦261.在挖礦啟動(dòng)前，攻擊者經(jīng)常做一些可疑的準(zhǔn)備工作，例如探測(cè)CPU/GPU信息、修改安全設(shè)置、搶占系統(tǒng)資源、配置網(wǎng)絡(luò)策略并創(chuàng)建計(jì)劃任務(wù)達(dá)到長(zhǎng)期劫持計(jì)算2.在挖礦啟動(dòng)時(shí)，攻擊者往往需要指定挖礦參數(shù)，例如錢包地址、幣種、HASH算3.在挖礦執(zhí)行時(shí)，HiSecEndpoint智能終端安全系統(tǒng)會(huì)提示CPU占用異常，結(jié)合結(jié)合內(nèi)存威脅溯源圖，HiSecEndpoint智能終端安全系統(tǒng)可阻斷99%以上的挖礦啟動(dòng)行為，同時(shí)可以看到完整的攻擊鏈，一個(gè)典型的挖礦木馬樣本威脅圖如圖3-9所示。高級(jí)威脅檢測(cè)引擎：識(shí)別文件屬性篡改、進(jìn)程注入等防御逃逸為了對(duì)抗挖礦檢測(cè)和處置，攻擊者會(huì)采用多種高級(jí)攻擊技術(shù)來(lái)保持木馬在系統(tǒng)中的存在。其中包括濫用系統(tǒng)敏感API來(lái)篡改文件屬性或進(jìn)程屬性，以避免被刪除另外，攻擊者還可能采用進(jìn)程注入的方式來(lái)躲避檢測(cè)。為了應(yīng)對(duì)這些威脅，HiSecEndpoint智能終端安全系統(tǒng)實(shí)現(xiàn)了在API級(jí)別監(jiān)控系統(tǒng)的可疑行為，并直接阻斷惡27意行為的執(zhí)行，以防患于未然。通過這種方式，可以有效地提高系統(tǒng)的安全性，防止在檢測(cè)到挖礦威脅后，對(duì)于檢測(cè)到的可疑點(diǎn)，HiSecEndpoint智能終端安全系統(tǒng)支持l網(wǎng)絡(luò)：可以聯(lián)合防火墻來(lái)阻斷與挖礦相關(guān)的通信IP地址，從而切斷其與外部的總之，通過自動(dòng)化的處置過程可以幫助快速有效地清除挖礦木馬，減少對(duì)系統(tǒng)和網(wǎng)絡(luò)近年來(lái)無(wú)文件和基于內(nèi)存的攻擊愈加火熱，需要注意的是無(wú)文件攻擊不代表真的沒有文件，只是一種攻擊策略，其出發(fā)點(diǎn)是避免將真正的惡意代碼放在磁盤上，以逃避安全檢測(cè)。所說(shuō)的無(wú)文件,也未必是攻擊全程無(wú)文件，而是其中的一部分采用了基于無(wú)文件攻擊通常不在硬盤上留下可識(shí)別的文件，而是利用系統(tǒng)內(nèi)他合法的系統(tǒng)工具（如Powershell、WMI等）進(jìn)行攻擊。這使得傳統(tǒng)的基于文28攻擊者常常注入操作系統(tǒng)自帶的合法工具（如記事本、svchost等）來(lái)執(zhí)行惡意攻擊者常常不在文件層面存放惡意代碼，真正的惡意代碼存放在由服務(wù)器中，或者存放于本地的加密文中。運(yùn)行時(shí)利用Shellcode從服務(wù)器下載或針對(duì)上述挑戰(zhàn)，HiSecEndpoint智能終端安全系統(tǒng)采用如圖3-10所示的檢測(cè)架構(gòu)檢l腳本基線和AMSI檢測(cè)學(xué)習(xí)腳本宿主（如wscript、jscript、Powershell）的行為基準(zhǔn)，在發(fā)生高度疑似系統(tǒng)破壞行為時(shí)，即時(shí)終止惡意腳本。同時(shí)還可以利用AMSI技術(shù)實(shí)時(shí)獲取解密基于內(nèi)存陷阱技術(shù)實(shí)時(shí)抓取攻擊者的控制服務(wù)器，同時(shí)利用深度快速掃描程序惡意內(nèi)存塊，精確識(shí)別惡意程序家族，斬?cái)酂o(wú)文件威關(guān)鍵路徑shellcode。29釣魚木馬是一種常見的惡意軟件，其通過誘騙用戶點(diǎn)擊執(zhí)行惡意文件，實(shí)現(xiàn)竊取敏感信息或控制受感染主機(jī)的目的。釣魚木馬對(duì)個(gè)人和大型組織的安全構(gòu)成了嚴(yán)重威脅。HiSecEndpoint智能終端安全系統(tǒng)通過對(duì)釣魚木馬特征的深入分析，并結(jié)合機(jī)器學(xué)習(xí)算法和圖像處理技術(shù)，能夠有效提高釣魚木馬的檢測(cè)精HiSecEndpoint智能終端安全系統(tǒng)提供如下兩種檢測(cè)方案。30快捷方式通常偽裝成合法的可執(zhí)行文件或PDF文件，誘使毫無(wú)戒心的用戶點(diǎn)擊，最終導(dǎo)致其系統(tǒng)或網(wǎng)絡(luò)受到損害。針對(duì)快捷方式釣魚木馬的特點(diǎn)，HiSecEndpoint智能終端安全系統(tǒng)利用圖像處理技術(shù)，結(jié)合快捷方式的屬性等方式動(dòng)HiSecEndpoint智能終端安全系統(tǒng)基于知識(shí)圖譜的攻擊可視化溯源與響應(yīng)技術(shù)，支持對(duì)進(jìn)程、文件、注冊(cè)表、網(wǎng)絡(luò)鏈接、DNS等進(jìn)行溯源操作，精準(zhǔn)還原威脅攻擊鏈路?；诠翩溌?，對(duì)風(fēng)險(xiǎn)全面加固并深度清理，防止同一威脅事件重復(fù)發(fā)生。工作原理如圖3-11所示。HiSecEndpoint智能終端安全系統(tǒng)的溯源功能支持3個(gè)月采集數(shù)據(jù)存儲(chǔ)，10跳以上溯源3秒以內(nèi)返回結(jié)果。3.查詢進(jìn)程調(diào)用鏈關(guān)系，向上查詢父進(jìn)程及祖父進(jìn)程，向下查詢子進(jìn)程。同時(shí)，對(duì)4.查詢進(jìn)程實(shí)體關(guān)聯(lián)的惡意進(jìn)程