威脅情報和檢測引擎結(jié)合有效提升安全防護(hù)能力

威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗CONTENTS01威脅情報的應(yīng)用現(xiàn)狀和挑戰(zhàn)02安天威脅情報和檢測引擎結(jié)合的實(shí)踐03應(yīng)用效果威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗01威脅情報的應(yīng)用現(xiàn)狀和挑戰(zhàn)威脅情報的內(nèi)容和標(biāo)準(zhǔn)【概念定義】威脅情報是一種基于證據(jù)的知識，包括了情境、機(jī)制、指標(biāo)、隱含和實(shí)際可行的建議。威脅情報描述了現(xiàn)存的、或者是即將出現(xiàn)針對資產(chǎn)的威脅或危險，并可以用于通知主體）：）：）：）：威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗威脅情報的使用價值過15%的大型企業(yè)將使用商業(yè)威脅情報（TI）如何向決策層報告具體安全威脅的危險、如何跟得上包括惡意攻擊、攻擊方法、安全漏洞、黑客目標(biāo)等等在內(nèi)的如潮水般海面對未來的安全威脅，如何獲取更多的主動？威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗效用性威脅情報應(yīng)用面臨挑戰(zhàn)效用性?高級威脅檢測能力不足Page6威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗《對stuxnet蠕蟲攻擊工業(yè)控制系統(tǒng)事件的綜合分析報告》震網(wǎng)樣本集差異分析《對stuxnet蠕蟲攻擊工業(yè)控制系統(tǒng)事件的綜合分析報告》震網(wǎng)樣本集差異分析木馬名稱:Stuxnet套完整的入侵和傳播流程，突破工業(yè)專用局域掃描了解詳情分類分類說明數(shù)量DROPPER1200+~WTR4132.tmp,其STUB節(jié)的內(nèi)容變換、樣本自身代碼的升級與發(fā)布、人工二進(jìn)制更改，組合操作生成多個樣本DROPPERLOADER460+~WTR4141.tmp，通過少量原始樣本，經(jīng)過二進(jìn)制修改、簽名、追加損壞簽名、簽名后繼續(xù)追加文件等操作，造成樣本量增加LNK20+漏洞利用載荷，用于加載惡意DLL文件其他文件100+CAB文件、驅(qū)動文件、Step7使用的DLL等編譯器版本10+多版本編譯器表明工程代碼經(jīng)過多人編譯，生成母體樣本基數(shù)變大VirusTotal網(wǎng)站對某高級威脅樣本的檢測結(jié)果SANS—《具備DDI可見性的增強(qiáng)事件響應(yīng)》威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗②③9掃碼查看《白象的舞步②③9掃碼查看《白象的舞步①①來自南亞次大陸安天威脅檢測引擎輸出結(jié)果各反病毒引擎廠商檢測結(jié)的攻擊某白象分析報告安天威脅檢測引擎輸出結(jié)果各反病毒引擎廠商檢測結(jié)的攻擊果威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗效用性效用性威脅情報規(guī)則目前集中在痛苦金子塔的下層，其效用性較低。TTPSTTPS攻擊工具網(wǎng)絡(luò)網(wǎng)絡(luò)/主機(jī)特征IP地址HASHHASH掃描了解詳細(xì)Yara規(guī)則Yara規(guī)則威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗安天威脅情報安全產(chǎn)品移動設(shè)備安天威脅情報安全產(chǎn)品移動設(shè)備威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗威脅情報和檢測引擎結(jié)合的 人工分析線索分析持續(xù)監(jiān)測分析威脅研判與評估總體思路：情報與監(jiān)測引擎結(jié)合，賦能全環(huán)節(jié)安全運(yùn)營 人工分析線索分析持續(xù)監(jiān)測分析威脅研判與評估?結(jié)合惡意代碼的動靜態(tài)深度分析，生產(chǎn)更深度的情報?面向高級威脅行為體的情報融合，關(guān)聯(lián)整編更具價值的情報?針對重要威脅的人機(jī)結(jié)合分析，提升預(yù)警和響應(yīng)支撐能力線索發(fā)現(xiàn)23情報與檢測引擎發(fā)揮的作用情報與檢測引擎發(fā)揮的作用追蹤溯源細(xì)粒度行為細(xì)粒度行為向量提取編譯器信息模塊相關(guān)操作全格式識別解析格式識別能力可執(zhí)行文件:39;文檔:25媒編譯器與殼識別能力格式解析能力解包：壓縮包，自解壓包，安裝包等共計40類脫殼：加密殼、壓縮殼等30+種對主流樣本格式解析的深入解析，在方便檢測的同時，也便于引擎提取盡可能行為揭示與情報生產(chǎn)行為揭示與情報生產(chǎn)加解密（23）、設(shè)備（3）、瀏覽器（9）、office（11）、內(nèi)存（3）、網(wǎng)絡(luò)管理（10）、flash（3）、其他（32）?行為分析規(guī)則：覆蓋網(wǎng)絡(luò)類（52）、注冊表類（322）、進(jìn)程類（288）、文件類（84）、其他（369）等類別行為分析規(guī)則域名的檢測特征數(shù)量超過160萬，對IP的檢測特征超過10萬，對URL的檢測特征超過20萬?支持API調(diào)用日志、截圖、衍生文件、進(jìn)程內(nèi)存DUMP等的輸出動靜態(tài)結(jié)合深度分析?300+文件格式識別?發(fā)現(xiàn)已知漏洞利用行為格式識別安全云?1.9億黑名單?1.4億白名單?靜態(tài)檢測規(guī)則匹配AVLSDK引擎檢測郵件分析?對郵件的附件進(jìn)行分析?驗(yàn)證數(shù)字證書有效性數(shù)字證書來源信息檢索?對文件來源進(jìn)行分析?根據(jù)豐富啟發(fā)點(diǎn)內(nèi)容鑒定靜態(tài)啟發(fā)式檢測動靜態(tài)特征提取&檢測?超1250項(xiàng)靜態(tài)向量提取?沙箱動態(tài)執(zhí)行細(xì)粒度動態(tài)向量提取?虛擬機(jī)和內(nèi)核監(jiān)控手段?定位類屬/感染程度/危害等級動態(tài)分析動態(tài)分析自定義檢測規(guī)則自定義檢測規(guī)則?yara自定義檢測規(guī)則實(shí)現(xiàn)靜態(tài)檢測?Autoit3腳本實(shí)現(xiàn)動態(tài)分析過程干預(yù)?提取文件元數(shù)據(jù)文件元數(shù)據(jù)分析文件元數(shù)據(jù)分析智能學(xué)習(xí)智能學(xué)習(xí)?對樣本文件進(jìn)行模型化分析?已知家族的變種進(jìn)行分類?對未知樣本進(jìn)行新的聚類……聚類分析……聚類分析關(guān)聯(lián)分析關(guān)聯(lián)分析?文件/進(jìn)程/網(wǎng)絡(luò)行為/事件關(guān)聯(lián)威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗I針對高級威脅行為體，融合整編更具價值的信息內(nèi)部情報(已知樣本、外部情報生產(chǎn)一→→輸出用戶側(cè)IOC信息等)APT分析報告等)?持續(xù)跟蹤分析近300個攻擊組織?涉及30多個國家?累計生產(chǎn)可機(jī)讀IOC數(shù)量12w+?跟蹤發(fā)現(xiàn)2000+篇APT攻擊分析報?自主發(fā)現(xiàn)或進(jìn)行深度分析并公開發(fā)布的30左右篇報告威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗-----◆下發(fā)至產(chǎn)品高價值威脅情報人工分析是否是APT?基礎(chǔ)信息?屬性信息?結(jié)構(gòu)信息?身份信息-----◆下發(fā)至產(chǎn)品高價值威脅情報人工分析是否是APT?基礎(chǔ)信息?屬性信息?結(jié)構(gòu)信息?身份信息?環(huán)境信息?行為信息?ATT&CK樣本預(yù)處理?解包?脫殼?Dropper?Inject?內(nèi)嵌腳本?復(fù)合文檔檢測NY情報庫?代碼?代碼?工具集?身份?攻擊資源?數(shù)據(jù)資源?攻擊技術(shù)待定待定APT相似性判斷威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗客戶側(cè)的多源情報聚合管理威脅情報和檢測引擎結(jié)合的適用場景安天的高價值威脅情報可以在所有嵌入安天AV志檢測形成針對于攻擊者的控制通道、傳輸通道的檢測及攔截能力，在流量檢測監(jiān)測設(shè)備上提升威脅檢測的深度自動分析形成有效判定能力，其知識化的輸出可以讓分析人員快速了解威脅，使分析人員聚焦于高等級威脅攻擊人工分析精準(zhǔn)的檢測結(jié)果也可以讓安全運(yùn)維人員從海量威脅事件中快速定位高等級威脅，知識化的輸出能力可以讓其理解威脅并快速威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗I高級威脅分析能力支撐的威脅情報I高級威脅分析能力支撐的威脅情報威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗應(yīng)用效果威脅檢測提升攻擊者識別追蹤溯源威脅預(yù)警靜態(tài)配置解密-上線密碼關(guān)聯(lián)425336C6696A2012-01-04netlink.VizVahook32winkdraqa.靜態(tài)配置解密-上線密碼關(guān)聯(lián)425336C6696A2012-01-04netlink.VizVahook32winkdraqa.D1E404622A612:19:45(+s2aEDA99F2BF0800)785b24a55dd42012-01-04netlink.VizVahook32win)!VoqA.I1c94060efe8b312:19:45(+s49dc6d4c0800)425336C6696AD1E404622A6EDAggF2BF 未知可疑文件MD5上線密碼5ee2958b130f9cda8f5f3fc1dc5249cf#My43@927639ed0f0c0f5ac48ec9a548a82e2f50@1234@250c9ec3e77d1c6d999ce782c69fc21badminf3ed0632cadd2d6beffb9d33db4188edadmin9b925250786571058dae5a7cbea71d28ftp1234ae004a5d4f1829594d830956c55d6ae4ftp1234785b24a55dd41c94060efe8b39dc6d4chook32winsa73d3f749e42e2b614f89c4b3ce97fe1ftp443fccb13c00df25d074a78f1eeeb04a0e7ftp123436c23c569205d6586984a2f6f8c3a39ekkbox5581e1332d15b29e8a19d0e97459d0a1dekkbox557c498b7ad4c12c38b1f4eb12044a9defpcf9684595dbf86e5e37ba95cc8updatewinc31549489bf0478ab4c367c563916adaupdatewin判定為開源商馬poisonlvy原始文件名原始文件名B53sd.exeMD5785b24a55dd41c94060efe8b39dc6d4c處理器架構(gòu)Intel386orlater,andcompatibles文件大小32.00KB(32768bytes)文件格式Win32EXE加殼類型編譯語言MicrosoftVisualC++互斥量)!VoqA.I4密碼hook32wins備注可疑文件已收集的PoisonIvy遠(yuǎn)控上線密碼集合型型相同注冊郵箱關(guān)聯(lián)m域名注冊郵箱45備注利用漏洞:CVE-2016-8655、CVE-201MD5url威脅名稱攻擊目的格式****afa1918240421b0a2749c2a3e24eBinExecute/Linux.EL****cf699252377b4e477357e4bf8e63BinExecute/Linux.EL****9fc3561e94051998d11381a00bbd****543e84f19f49bcec27313600845eBinExecute/Linux.EL****25f47dd6c62077cf52aeb5a759e725/d/mBinExecute/Microsoft.EX****8045df750419911c6e1bf493c747BinExecute/Linux.EL****a18d7949bcfc2b0928cfd8683478BinExecute/Linux.EL****8a6c72c06d1892132d5e1d793b4bhttp://25/BinExecute/Microsoft.EX****8a6c72c06d1892132d5e1d793b4bBinExecute/Microsoft.EX****bbef96b8507715dc4d975e7f8f5fBinExecute/Microsoft.EX****994a8f2fd5af2961166c8c456b6d25BinExecute/Microsoft.EX****74e871bce1df442b73bf927f1f3925/d/mBinExecute/Microsoft.EX****a336185bc2141f9c92a59a918c26http://25BinExecute/Microsoft.EX****2bc458d9e94e8fabfc8402cd2b78http://25BinExecute/Microsoft.EX****ee0187c61d8eb4348e939da5a36625/BinExecute/Linux.EL****a1dd0b7bb17a816c18cce18cdbc6http://25/d/Trojan[Exploit]/Win32.ShBinExecute/Microsoft.EX****bbda5f7c02ca179a366232adbb96http://25/d/Trojan[Exploit]/Win32.ShBinExecute/Microsoft.EX****4b74ee538dab998085e0dfaa5e8dTrojan[Ransom]/LinuBinExecute/Linux.EL****4e763a527f3ad43e9c30acd276ff25/Trojan[Ransom]/Win32bBinExecute/Microsoft.EX伙攻擊者識別：②提取更多情報信息，進(jìn)行威脅排查組織名稱:白象別名:Monsoon、摩訶草、Patchwork、DroppingElephant歸屬國家:印度組織性質(zhì):一般能力國家/地區(qū)行為體攻擊意圖:竊取敏感數(shù)據(jù)攻擊手法:魚叉式釣魚、水坑攻擊、0day漏洞利用、社會工程學(xué)等影響平臺:Windows、Android、macOS等目標(biāo)國家/地區(qū):中國、巴基斯坦等目標(biāo)行業(yè):政府、軍事、教育等利用漏洞:CVE-2017-0199、CVE-2017-8570等攻擊裝備:HangOver、DarkCometRAT、QuasarRAT、Badnews等IOC信息:1000+惡意樣本、200+惡意URL00a0a6071c335f78c161cb4a500bd9447c13afbbb7140bef9450128f683e508c807ec76d5092e01774e34e8a444685b1499ee001a7af987d7b2f6f355e37c8580c01adea2d3707a343f5a6524.名xwizard.exe1.工具信息2.已知APT組織海蓮花的公開信息和相關(guān)C&C信息列表追蹤溯源：②基于C2信息，進(jìn)行關(guān)聯(lián)拓線件文件1文件2追蹤溯源組織名稱:APT-TOCS別名:海蓮花、CobaltKitty、APT32等歸屬國家:越南組織性質(zhì):一般能力國家/地區(qū)行為體攻擊意圖:竊取敏感數(shù)據(jù)攻擊手法:魚叉式釣魚、