《全量执行体识别场景的威胁情报赋能方案.docx》由会员分享,可在线阅读,更多相关《全量执行体识别场景的威胁情报赋能方案.docx(25页珍藏版)》请在三一办公上搜索。
1、应用上的挑战:更有效的威胁情报,看得见.摸不着、用不了名注册表互斥量字符串t*.5Page5什么是向量级威胁情报特异性向量典型字符串编译环境签名信息注册表互斥量通讯配置信息解密密钥关键代码片段等多维基础向量向量级威胁情报,承载高价值信息向量级威胁情报概念由安天提出,是基于威胁检测引擎的识别和深度拆解能力承载,从执行体中抽取的的能够表征威胁行为体基因特性、具备形式化特征的深度情报。包括但不限于:环境信息、编译信息、签名信息、通讯配置信息、解密秘钥、关键代码片段等。 基础信息(字符串、编码过的二三制) 属性信息(格式、编译器、壳、包、版本信息) 结构信息(PE结构、复合文档结构、结构异常) 身份信
2、息(开发者、翌录ID、密码、邮箱、数字签名) 环境信息(注册表、路径、GUID) 攻击技术(执行、持久化、限权、防御规避、凭证访问、发现、横向移动、收集)威胁情报痛苦金字塔向量级威胁情报,具备高鲁棒性、强语义表征与深层次揭示能力,蜕共享方式SDK顺U)本地化平台)部署环境(互联网)(隔离网)半开放环境)高鲁棒性检测能力更强的带有语义表征的支撑,深层次揭示载荷能力基础向量(J3D)3;、.AQS啦里(3O8)(4)-0;(Jr5)(12)iub-iwe2534;return;理放文件的相对偏移及长度向量:有语义(开机启动)超密密铜总结:高质量威胁情报生产和消费设施的要求情报生产设施要具备专属化、
3、向量级的威胁情报生产能力专属化情报,补充开源情报覆盖面不足的问题,让情报成为一种攻击者难以预测的安全能力向量级威胁情报生产,提升对高级威胁的抗绕过能力消费设施要具备向最级威胁情报的消费能力可基于注册表、文件路径、GUID等情报,检测免杀威胁可基于互斥量情报,进行威胁检测和关联可基于数字签名情报,进行APT组织溯源识别可基于文件结构异常情报,进行异常文件识别,辅助威胁狩猎消费设施,可低成本接入外源的高质量人读情报,并驱动威胁检测、溯源与响应吸收利用公开APT分析报告和内部人工分析报告中的高质量情报注册表键值、PDB路径、数字证书发布者、关键字符串等总结:高质量威胁情报管理平台的要求外海情报扩展接
4、入与多遁汇JK能力管理向量级威胁慵报的镂力威胁情报再编排能力可接收.管注.订诩向级成功恻皮确保时高级柝究成果的负收为消费设施播婚感兴趣的主发报可按场景要求,彳W过8三J消我的专SfRlS基于司源分析投木.识别ta税与来源关慵报关联与事件挖堀分析能力情报订阅情报查询情报分析情报汇聚情报编排情报接收向量级威胁情报多源接入情报录入专属情报线索情报生产人员外源交换情报外源商业情小厂商云然情报“网络空间龄对抗物技术研请衾累r%第十一安全塞课,基于文件深度分析技术的执行体识别与行为情报生产深度格式解析,静态提取未知执行体线索基因细粒度拆解,提取多维特征向量,支撑异常检测、关联拓线分析作的,公司,文档来源睁
5、态向量shellcode夹带文件宏代码自胭包裹脚本文件4,版本号,管理者.创建内容时间碎,翘,备注文档内容文档说明执行体行为IP,信获取UR1.1对抗传播,隐藏窃取,三API模块相关操作网络访问相关文件基本操作进程基本操作文件结构导入导出表编译器信息节信息数字签名结构特征、可执行文件远控静态配置解密数字签名属性特征、通信特征、行为特征、IP,UR1.MAI1.,DOMAIN证书信息倾发者,使用者,有效期,算法签名信息:证书链,签名人名字,签名时间判定标签:伪造,吊销,过期,证书不完整切片特征、签名特征虚拟运行未知执行体,揭示行为线索,生产专属化情报名管多手段行为监控、应用层监控:行为解读更精准
6、驱动层监控:权限高、数据全,运行时间早、一丰富的主机模拟环境操作系统:Windows.1.inux,国产操作系统.Android.MacOS软件松:OfIiCe、Pd阅读器、浏览器、解压软件、自定义环境:定制化软件襁.网络环境仿r*网络连接模式:隔离局域网、模拟网络、互联网连接模拟网络:模拟网络协议的响应情况PCaP获取:捕获样本在运行种产生的数据包进行下载对抗反分近技术/法蔽祥新态轨及投放/模拟移动介质:光盘、U盘拔插等/模拟外设操作:鼠标点击、鼠标移动、腕盘谕入等人工干预分析:通过脚本干预样本运行时的操作对抗行为褐示:注册表标识伪装、隐藏虚拟机自身特征、随机化分析起始路彳霜J1.细粒度行为
7、褐示主机侧:注册表、文件、进程操作、动仓截屏、内存DUMP文件网颤:TCP、UDPxDNS.FTP、HTTP、HTTPS.POP3、SMTP等解析揭示行为模式:800谢动态行为签名执行体情报输出案例一窃密包含反分析、迸程注入、监听键盘等行为组合疑似木马通信告警对外访问下载可执行组件WfnHw11输出勒索相关的行为记录VWUMrj11a11MOAMMMeRW入创建勒索信息WindOWS弹出勒索信息移除源文件,新建加密文件报动产情自生执行体情报输出案例一挖矿文件和进程操作记录基于计划任务进行持久化TCP砺组通信细节http通信细节终止其他种类挖矿进程http外联下我可执行文件一切安全设备,皆可生产
8、威胁情报,皆可消费威胁情报 追影一文件载荷深度分析,威胁情报生产 探海一流量情报生产和消费 青竹Web情报生产和消费 镇关一流量情报消费 捕风一威胁诱捕,威胁情报生产 智甲端点情报生产和消费 TIP情报管理及关联分析网络侧:情报驱动拒止威胁,事前阻断,事中定位,事后响应溯贬若颠情相APT勒索钓鱼挖矿攻防演练R知识APT组织APTB件漏洞库域名解析规则情报高级砌事件发布APT事件线索排查追踪响应失陷域名情报,阻断APT砌反连C2TlXCSS速SDKTIXC高速SDK青竹.基于APT情报政防演练主题情报,阻断WebShell上传基于漏洞检汉!三则.阻断漏洞利用镜像流.事前:在威胁进入网络之初即阻断
9、传播 钓鱼邮件发件人情报 勒索威胁分发Url情报 挖矿威胁情报 攻防演练攻击源IP情报.事中:基于情报,定位异常节点,阻断网间传播,缩小危害 对于漏洞情报和资产信息,识别利用漏洞的蠕虫威胁的分布,隔离相关网段 基于端点异常线索,一Wg索专属情报命中的网内同源威胁,还原事件全貌事后:情报驱动,对高级威胁回溯分析与响应基于安全厂商发布的APT组织报告,进行网内痕迹排查基于泄露的网络军火库情报,进行历史筛查网络侧:记录威胁流动与活跃痕迹,生产威胁情报.探海支持输出的情报类型全量采集威胁要素,捕获高级威胁攻击中载荷高度定向、一次性投放多维度检测,获取载荷行为能力,并对关键威胁信息进行留存通过威胁样本追
10、溯威胁源和传播路径自动化生T嘴报自动化提取C&C情报 基于恶意代码#融分类的C&C静态提取 联动沙箱进行动态分析,获取C&C地址 基于流量规则的C&C服务器识SU传统机读情报文件hash情报域名情报IP情报 UR1.情报 邮箱情报 R域名端口情报向量级情报 指令级向情报- APt级向量情报 功能级向量侑报 静态引擘输出情报 互斥量情报 数字签名情报 APTfSIg 尸网络情报 CSC情报 勒索情报 DDOStSlg挖矿情报由安天下一代威胁检测引擎支理网络侧:捕风蜜罐一欺骗式防御与网络情报生产S捕风蜜罐多层次仿真全链路采集强威胁检测攻防演练渗透攻击捕获威胁情报生产DNSSSifi、攻击捕获IPv
11、6t捕获远控窃密样本端点侧:情报赋能防御,检测,响应闭环智甲RDR:第助企业构建自适应的安全运营防护解力和响应体系流程主动钟估凤脸砒系统陵测施的,攻击攻击11.防护/S设计Mlit变更隔离宗短帜止攻击收宜做份析检测事件逐到件痫认硒并技优先纵撵列可执行体定向攻击非定向攻击文件格式:可执行程序(ee,dl.ef等)、脚本、庭合文档等威胁类型:木马、蜻虫、感染式病毒、S三SIH.灰色软件、高级威胁获利:定向勒索破坏:勒索.加密窃密权限维持:后门主流与启动持久化初始访问:定向钓鱼邮件、水坑攻击、U盅感染.移动设备突破获利:挖丁获利、无差别劭索获利、欺诈获利、广告流量获利权限控制.僵尸网络、后门驻留无控
12、制:炫技型蠕虫传播威胁防护环节基于漏洞利用缓解情报,官方补丁下发前执行临时缓解措施基于混同补丁情报、软件配置情报,实现已知海洞的提前预防攻击威胁检测环节已知流行威胁检测恶意邮件发件人情报:器件落顺才进行检出,阻止运行文件蛤希、C2域名等情报:告警并处置免票对抗木马、商用渗透工具等的高级威胁检测 进程情报:父子关系及命令行参数识别,咀止可疑进程运行 注册表情报:发生危睑动作,阻止创建 互斥量慵报:检测并阻止相关进程运行 自启动、服务等生机情报:检测阻断 PE数字证书情报:证书盗用签名、利用签名漏洞生成证书、低信誉广告件签名,阻止虽然签名验签通过但是不符合场里需求,存在风险的执行体的运行 文件未知
13、亮.埔泽熊情报:检测阻断实时响应环节APT主题情报:终端事件与情报命中情况排杳,用户、文件、进程、注册表、服务、内存和网络事件漏洞情报:调宜受影响端点情况,进行回滚,修卷,删除,阻止端点侧:精细化数据采集,生成本地端点情报.斐产信A里回三豆回支持采集34个大类、18泠子项的髭点数据,全面31盖业务所需的端点部分数据W1111R1通过内援投关.可实现对文件、进程.网格等事件的实时采集,确保数据时效性系统针对数据特性具有周期采集、任务式采集.实时监控采集等模式,兼顺效果与性能文件Il安全Il启动Il碘Il外设w.JI旃11砥11加IUisJ模晨11系统Ii有名Ii醐Bi所衣I百曲11幅I1.三f1
14、.J可通过身份认证、亮整住校验、BIlga)吃.多因子等确保安全性采集数据策略可配置,S于场景创便多种数运采集模板基于端点的精细化采集能力,可提供独有的端点视角情报异常事件线索情报漏洞利用事件、恶意文件下载、恶意文件运行、网络扫描事件、异常指令运行执行体载荷情报文件格式、壳、编译器的统计分布PE数字证书情报执行体的主机行为情报 执行体注册表行为数据,生成专属情报 执行体的进程行为异常数据,生成专属情报 执行体网络行为情报软件资产情报软件版本情报脆弱配置情报情报管理平台:提供情报消费与情报生产管理服务.TlP情报消铁记录图外源情报接入TlP情报生产记录人工情报接入C-11TiC-Sdk运转流程图
15、情报消费服务,联动接入设备精准情报检测 内置外源情报接入(安天情报云平台,VT,AlienVaUlt等),提供多源交叉鸵证能力 支持自定义接入外部情报 内M安天主题情报主题情报订阅 云端防作响应,主题订阅 针对网关类设备,梃供基于C的情报交换SDK,利用缓存设计提高检测速度生产情报命中直询用于关联分析场景与溯源情报生产接口,为本地情报消费提供素材本地设备情报生产接入 本地设备通过情报交换组件(TlXC)接入 支持向量级威胁情报接入人工情报生产接入现场运营人员手工加入情报情报管理平台:支持高级安全研究成果.开源规则接入基于sn。该示流!桁为情报基于STlXai已录IoC情报基于Sigma规则记录
16、行为情报基于yara规则记录载荷向量情报http,1vw.antiy,cnresearcWnoticeArepofVresearchreport,20221IOthtmI情报管理平台:具备关联分析与情报自动编排能力.TIP具备感于i。C和样本同源特征的关联分析能力TIP基于自动编排的情报生产能力简化分析师的机械垂爰”的情报挖掘分析工作 图模型关联拓线 同源溯源分析对情报消费的场景需求的敬费,支持用户对情报内容的再僦E 网关流量监测设备,睡报容忍度:多来源交叉验证(本地 威胁狩猎与调直系统,看重线索丰岔度:配置为宽松的线索收集条件 低幽牛配置安全设备:可设定的数限制、关注的情报主整、海汰规则向量
17、级威胁情报应用一APT攻击检测,37FF8272COEEBE1D90382S4761800使用NSYIECHNOUXiY1.MITEDen:CO26cW2M修的14222A9S6b5bb7(S30O4578有效期从:2Q2次3月31日800:00力效期到:2O2331607:59:59IbBueM67643WgEl8m38A874*SM*M7527g(HM288rffipW.or0TM注CrflaU。,rpc74,4WMOnQBO,WyGppWp74-.*9to492672273MVKAOv3UYEf9EpXAO6ppCfProflramDala,.VlorooltvXtDeSync,.nco
18、dkcxoHKCUSottAoMiofcWVndoCuniVwxv.tYeDfivfAndumm攻击过程1.钓鱼国接访导点击2.含漏河流饵文档运行3释放专有BADNEWS木4.执彳为有BADNEWS木. 糅放如C盘黑又件夹下 通过注册/创建_b-自启动 含有数字将名5YTECHNo1.OGY1.IMITEDttSf口创建反斤体处受害者信息使用自定义期去加在施1.发送收集的信总至C2接收进一步控制b指令并行动,.377lACb2ab5e96c4a2e636722t73生产情报生产情报追影基于执行体彩态分析与动JS虚拟执行,生产工具且荷类镇关FW青竹WAF探海NDR智甲EPP智甲EDR情报.主机环境类情报、c2回连情报消费网络环境类情报生产网络侧看到的事件线索消费主机环境类情报生产端点侧看的事件送索
