安天AVL SDK為執(zhí)行體治理提供元數(shù)據(jù)化能力

為什么要將執(zhí)行體元數(shù)據(jù)化安天協(xié)同用戶達成全量執(zhí)行體識別和精細管控執(zhí)行體的元數(shù)據(jù)化什么是執(zhí)行體?網(wǎng)絡空間對抗中的“彈藥和裝置”??執(zhí)行體的元數(shù)據(jù)化是指將執(zhí)行體的元數(shù)據(jù)和執(zhí)行體本身分開存儲的過程。執(zhí)行體的元數(shù)據(jù)包括但不限于來源、成分、結構、用途、行為、脆弱性等維度的信息result=URLDownload(0,"http:/payload.exe",Page5為什么要將執(zhí)行體元數(shù)據(jù)化粗糙的標識難以支撐精細化的治理Page6?沒有提取或充分提取簽名、加密混淆手段、組成成分等重要信息?但存在執(zhí)行體無法觸發(fā)、不能完整執(zhí)行、效率低的問題?但主要服務與惡意代碼檢測，未輸出拆解結果檢測對象格式識別拆解情報承載格式識別拆解情報承載框架鑒定分析分析檢測結果威脅檢測工作過程能力未開放與輸出安天安天AVLSDK的執(zhí)行體元Page8成分來源成分歷史應用者第三方組件脆弱性行為環(huán)境行為加解密加解密用途Page9數(shù)字簽名是可信計算的重要組成部分現(xiàn)有安全軟件簽名機制的不足與問題通過驗證簽名是否有效進行運行管控，有的APT組織盜用合法證書給自利用身份相關數(shù)據(jù)構建證書鏈，而不能判定證書持有者的信譽度。證書未對證書屬性（如簽名算法）合法性驗證，攻擊者利用此攻擊點，偽裝簽名體結構帶有簽名的rE文件結構更收斂更精細的執(zhí)行體管控有效無效有效性有效性權威性權威性是否存在秘鑰泄露是否存在秘鑰泄露是否存在漏洞是否存在漏洞是否是廣告件是否是廣告件是否被是否被APT組織利用廢止證書離線場景下的驗證?在離線場景下，因無法連接遠程證書查詢服務器實時查詢證書狀態(tài)基于元數(shù)據(jù)化實現(xiàn)離線場景下廢止證書的識別?安天AVLSDK可對執(zhí)行體進行身份合法性相關的量級離線證書庫，綜合驗證證書合法性撤銷庫中證書元數(shù)據(jù)(序列號)安天EDR產(chǎn)品簽名結果顯示盜用證書簽名逃逸檢測的攻擊識別?證書被攻擊者盜用，使惡意執(zhí)行體規(guī)避了系統(tǒng)簽基于元數(shù)據(jù)支撐盜用證書的執(zhí)行體識別?安天AVLSDK可對執(zhí)行體進行元數(shù)據(jù)提取，得到身份相關的元數(shù)據(jù)是否被盜用“低信譽”證書識別基于元數(shù)據(jù)支撐擁有合法簽名的廣告件識別對該證書簽發(fā)的執(zhí)行體的判定信息，識別該證書處于低信譽值狀態(tài)，結合惡意代碼檢測特征庫，判定該執(zhí)行偽造證書的識別?證書驗簽算法存在漏洞風險，攻擊者可利用漏洞（如CVE-2020-0601）進行證書的偽造，攻擊者利用證書簽名算法（如橢圓算法構造了欺騙性的代碼簽名根證書，對惡意代碼進行簽名，從而使該基于元數(shù)據(jù)識別偽造證書?安天引擎可以對執(zhí)行體所攜帶的數(shù)字簽名證書進行證書算法相關的元數(shù)據(jù)提取，包括簽名算法，理判斷證書的簽名算法是否與標準算法匹配，如橢圓ECC算法中所提供的G（橢圓曲線上的一個點）是否與標準證書算法匹配，從而將源文件發(fā)給廠商進行分析?支撐不提交文檔內容情況下的脫敏分析、標記和溯源等?客戶防御場景的主要風險入口之一，存在多種利用復合威脅類型威脅分類1利用宏攻擊公式宏2公式宏隱藏3XLSB公式宏編碼4VBA宏5利用模版攻擊遠程模版注入6利用內嵌對象攻擊789利用漏洞攻擊利用加密攻擊文檔加密利用內嵌惡意宏的文檔進行魚叉郵件攻擊①攻擊投放階段執(zhí)執(zhí)②數(shù)據(jù)竊取階段攻擊者 下載 下載/釋放惡意程序 投放釣魚郵件釣魚網(wǎng)站公共網(wǎng)站宏文檔下載/釋放下載/釋放加載器竊取竊密木馬系統(tǒng)信息重要文件鍵盤記錄瀏覽器Cookie行保存的密碼遠程連接數(shù)字錢包數(shù)數(shù)據(jù)據(jù)服務器TCP/HTTP/SMTP/FTP等③數(shù)據(jù)回傳階段回回傳復合文檔檢測面臨的挑戰(zhàn)攻擊者利用復合文檔的易篡改、易嵌套、易填充等特性躲避檢測在屬性域內嵌惡意URL地址，利用正常VB代碼讀取屬性域中的惡意2、通過多層嵌套方式躲避檢利用正常的vba宏，讀取拼接內嵌在單元格中的url，下載執(zhí)行，躲2018-0802等，通過不同cve觸發(fā)漏洞執(zhí)行，在某個cve被補丁修復難以觸發(fā)，但可嘗試觸發(fā)其他漏洞4、通過加默認密碼躲避查殺office有一個內置的默認密碼，攻擊者基于這點通過對惡意文檔增屬性域中的標記被惡意填充惡意URL使用了01的標記用于進入到cve-0798的流程，通過cve-0798進入對應的cve-11882某復合文檔元數(shù)據(jù)示例復合文檔的細粒度元數(shù)據(jù)提取某復合文檔元數(shù)據(jù)示例12編寫文檔正文所使用的語言(中文、英文、3打卡文檔需要使用的軟件名稱(如Office,PDF等)打卡文檔需要使用的軟件版本(如Office2016)4文檔編碼的方式(如Office常采用XLS56可疑的shellcode數(shù)據(jù)7淆8安天智甲客戶端集群安天智甲管理中心客戶場景下的文檔脫敏分析與追溯安天智甲客戶端集群安天智甲管理中心終端資產(chǎn)管理終端資產(chǎn)管理終端安全查殺終端安全查殺終端合規(guī)檢查終端合規(guī)檢查可執(zhí)行體治理可執(zhí)行體治理歷史威脅溯源分析歷史威脅溯源分析遠程取證分析遠程取證分析可視化運維管理可視化運維管理訪問控制管理訪問控制管理監(jiān)控—新增復合文檔安天智甲客戶安天智甲客戶端服務器安天智甲客戶端PC機主動投遞主動投遞敏感文檔Page22傳統(tǒng)反病毒規(guī)則向量級規(guī)則知識標簽安天協(xié)同用戶達成全量執(zhí)行體識別和