專殺工具在應(yīng)急響應(yīng)服務(wù)中的價(jià)值

威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗CONTENTS與需求威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗網(wǎng)絡(luò)安全應(yīng)急響應(yīng)工作痛點(diǎn)與需求Page4客戶在網(wǎng)絡(luò)安全應(yīng)急響應(yīng)工作中的幾個(gè)痛點(diǎn)序號(hào)威脅問(wèn)題1“熊貓燒香”蠕蟲(chóng)、“魔窟（WannaCry）”勒索蠕蟲(chóng)持續(xù)傳播感染擴(kuò)散的威脅。主機(jī)原有防御產(chǎn)品出現(xiàn)清除不掉、殺而復(fù)來(lái)的情況。2“暗云”系列、“機(jī)器狗”等帶有Rootkit、Bootkit、BIOSkit等機(jī)制的惡意代碼。主機(jī)原有防御產(chǎn)品無(wú)法發(fā)現(xiàn)，更無(wú)法清除。3病毒蠕蟲(chóng)在隔離網(wǎng)絡(luò)內(nèi)泛濫傳播。病毒庫(kù)無(wú)法及時(shí)分發(fā)升級(jí)，無(wú)法有效處置。4對(duì)一些安全風(fēng)險(xiǎn)，獲得了HASH、YAYA規(guī)則等格式情報(bào)。沒(méi)有對(duì)應(yīng)的主機(jī)側(cè)利用工具。1專殺工具23456需要怎樣的工具應(yīng)對(duì)?1專殺工具23456應(yīng)該滿足輕量化部署，具備高度靈活彈性應(yīng)該滿足對(duì)外部條件依賴性低，應(yīng)該滿足輕量化部署，具備高度靈活彈性應(yīng)該滿足對(duì)外部條件依賴性低，且具應(yīng)該滿足能夠在最大程度上避免被威脅察覺(jué)和破壞應(yīng)該具備服務(wù)運(yùn)營(yíng)多方參與性，能夠支持客戶和友商參與運(yùn)營(yíng)應(yīng)該滿足針對(duì)APT的對(duì)抗性，支持用作威脅獵殺的精巧利器響應(yīng)工作中長(zhǎng)期存在且數(shù)量眾多的隱痛，催生了對(duì)于除傳統(tǒng)終端防御系統(tǒng)之外的另一種形式的威脅防御措施——專殺工具的迫切需求，這種威脅防御措施應(yīng)該能Page5威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗Page6在哪些技術(shù)點(diǎn)上需要快速處置工具的輔助支持？利用自動(dòng)啟動(dòng)執(zhí)行引惡意代碼可以將系統(tǒng)設(shè)置配置為在系統(tǒng)啟動(dòng)或登錄期間自動(dòng)執(zhí)行程序，以保持持久性或在受到感染的系統(tǒng)上獲得更高級(jí)別的特權(quán)。專殺工具可將系統(tǒng)設(shè)置配置為在系統(tǒng)啟動(dòng)或登錄期間自動(dòng)執(zhí)行程序，從而將該類惡意代碼查殺。創(chuàng)建或修改系統(tǒng)進(jìn)程部分。專殺工具能夠檢測(cè)系統(tǒng)上的特權(quán)和服務(wù)濫用并對(duì)其進(jìn)行糾正。利用服務(wù)器軟件組件惡意代碼可能濫用服務(wù)器的合法可擴(kuò)展開(kāi)發(fā)功能來(lái)建立對(duì)系統(tǒng)的持久訪問(wèn)。專殺工惡意代碼可能試圖隱藏與其行為相關(guān)的文件等，以逃避檢測(cè)。專殺工具可查看隱藏惡意代碼可以通過(guò)劫持操作系統(tǒng)運(yùn)行程序的方式來(lái)執(zhí)行自己的惡意負(fù)載。專殺工具全限制。專殺工具通過(guò)接近底層的ARR處置規(guī)則腳本將其查殺。惡意代碼可以將代碼注入到進(jìn)程中，從而規(guī)避基于進(jìn)程的防御以及可能的提權(quán)。專惡意代碼可能使用rootkit來(lái)隱藏程序、文件、網(wǎng)絡(luò)連接、服務(wù)、驅(qū)動(dòng)程序和其他系統(tǒng)組件的存在。專殺工具具備Rootkit檢測(cè)能力并橫向移動(dòng)惡意代碼進(jìn)入網(wǎng)絡(luò)后可以利用遠(yuǎn)程服務(wù)獲得對(duì)內(nèi)部系統(tǒng)的未授權(quán)訪問(wèn)。專殺工具可下發(fā)相應(yīng)的補(bǔ)丁并封堵相應(yīng)的端口進(jìn)行惡意代碼查殺。橫向傳輸文件或工具惡意代碼可以在受害者環(huán)境中的不同系統(tǒng)之間傳輸工具或其他文件。專殺工具可封堵相應(yīng)的端口，攔截傳輸并進(jìn)行惡意代碼查殺。惡意代碼可以使用有效帳戶登錄專門(mén)用于接受遠(yuǎn)程連接的服務(wù)。專殺工具可有效禁惡意代碼可以利用增補(bǔ)系統(tǒng)的資源來(lái)解決可能影響系統(tǒng)和/或托管服務(wù)可用性的資源密集型問(wèn)題，如挖礦工具等。專殺工具可查殺指定進(jìn)程或文件等。惡意代碼可以停止或禁用系統(tǒng)上的服務(wù)，從而使合法用戶無(wú)法使用這些服務(wù)。專殺工具可查殺該惡意代碼并將被惡意修改的服務(wù)等恢復(fù)。威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗專殺工具在應(yīng)急響應(yīng)工作中專殺工具的定義與演進(jìn)專殺工具產(chǎn)生于DOS殺毒時(shí)代，對(duì)于一些較為頑固或有特殊感染方式的病毒，反病毒廠商或安全研究者，編寫(xiě)出獨(dú)立于殺毒軟件之外的專用殺毒程序，被稱為專殺工具。在經(jīng)歷了多年應(yīng)急響應(yīng)對(duì)抗后，安天對(duì)專殺工具定義已經(jīng)成為面對(duì)特定的一種或多種安全威脅，能夠進(jìn)行檢測(cè)、清除、隔離、驗(yàn)證、免疫、修復(fù)綜合應(yīng)對(duì)的安全小工具。Page8威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗安天歷史上發(fā)布過(guò)的較為重要的專殺工具Page9威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗專殺工具形式的威脅防御措施的與時(shí)俱進(jìn)與時(shí)俱進(jìn)，正如圖中所示的部分典型工具，從單一威脅專殺到某一類別威脅專殺再到統(tǒng)一界面風(fēng)格的流程化研發(fā)、開(kāi)放式框架AVLPK火眼（FireEye）失竊工具專Page10威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗Page11當(dāng)前檢測(cè)文件發(fā)現(xiàn)威脅導(dǎo)出結(jié)果暫停/繼續(xù)提取樣本處置威脅設(shè)置排查模式當(dāng)前檢測(cè)文件發(fā)現(xiàn)威脅導(dǎo)出結(jié)果暫停/繼續(xù)提取樣本處置威脅設(shè)置排查模式可處置列表一鍵排查免疫設(shè)置免疫設(shè)置Page12安天專殺工具的處置機(jī)理和規(guī)則擴(kuò)展）， 插件模塊插件YARAYARA檢測(cè)規(guī)則處置規(guī)則安天專殺工具AVLPK可擴(kuò)展性安天專殺工具支持YAYA檢測(cè)規(guī)則擴(kuò)展YARAYARA是VirusTotal的反病毒工程師VictorManuelAlvarez在2008年開(kāi)發(fā)的工具。該工具旨在幫助惡意軟件研究人員識(shí)別和分類惡意軟件樣本。對(duì)開(kāi)源沙箱（CuckooSandbox）的支持，提供了一種使用文本或二進(jìn)制形式描述惡意軟件的規(guī)則。該規(guī)Perl的正則表達(dá)式。{}Page13威脅框架：細(xì)粒度對(duì)抗威脅框架：細(xì)粒度對(duì)抗Page14安天ARR(AntiyResponseRule)開(kāi)放式處置規(guī)則定義ARRARR（AntiyResponseRule）的部分指令集1.創(chuàng)建注冊(cè)表項(xiàng)/值[Reg_Create] 2.修改注冊(cè)表項(xiàng)/值[Reg_Modify] 3.刪除注冊(cè)表項(xiàng)/值[Reg_Delete] 4.重命名注冊(cè)表項(xiàng)/值[Reg_Rename]5.刪除注冊(cè)表值[Reg_Delete_Value]1.創(chuàng)建計(jì)劃任務(wù)[Task_Create]2.修改計(jì)劃任務(wù)[Task_Modify]3.刪除計(jì)劃任務(wù)[Task_Delete]1.創(chuàng)建文件[File_Create]2.修改文件[File_Modify]3.刪除文件[File_Delete]4.重命名文件[File_Rename]5.修改文件屬性[File_Attribute]6.刪除文件指定內(nèi)容[File_DelText]7.MBR修復(fù)[File_repairMbr]1.創(chuàng)建進(jìn)程[Proc_Create] 2.掛起/恢復(fù)進(jìn)程[Proc_Modify] 3.結(jié)束進(jìn)程[Proc_Terminate]4.掛起指定模塊線程[Proc_Module_Threads]1.下發(fā)bat腳本并運(yùn)行[Script_Bat]2.下發(fā)shell腳本并運(yùn)行[Script_Shell]3.下發(fā)vbs腳本并運(yùn)行[Script_Vbs]4.下發(fā)powershell腳本并運(yùn)行[Script_PWL]5.下載文件并運(yùn)行[Script_File]1.外設(shè)彈出/規(guī)則[Other_Device]2.斷網(wǎng)處置[Other_NetOff]3.禁用端口[Other_Disabled_Port]3.禁用ip[Other_Disabled_Ip]4.補(bǔ)丁修復(fù)[Other_Fix_patch]5.創(chuàng)建互斥免疫[Other_Create_Mutex]6.創(chuàng)建掃描并自動(dòng)處置[Other_QuickScan]二、計(jì)劃任務(wù)（可配自動(dòng)處置規(guī)則）一、注冊(cè)表（可配自動(dòng)處置規(guī)則）三、文件（可配自動(dòng)處置規(guī)則）四、進(jìn)程（可配自動(dòng)處置規(guī)則）五、腳本六、其他安天ARR開(kāi)放式處置規(guī)則定義是安天為實(shí)現(xiàn)細(xì)粒度端點(diǎn)響應(yīng)策略而定義的一組指令集合，包括了對(duì)扇區(qū)、注冊(cè)表、文件、驅(qū)動(dòng)、進(jìn)程等進(jìn)行相關(guān)操作的動(dòng)作定義，并可以執(zhí)行包括磁盤(pán)遍歷，特征匹配搜索等邏輯動(dòng)作?？梢杂糜谔幚聿呗跃幣?、專殺腳本生成，以執(zhí)行細(xì)粒度的處置動(dòng)作。安天專殺程序由符合ARR規(guī)則的腳本和解析器、處理器構(gòu)成。ARR處置規(guī)則支持判定條件，用于觸發(fā)相應(yīng)處置:Page15安天專殺工具與SOAR、IEP緊密協(xié)同面對(duì)網(wǎng)空威脅，安天專殺工具在應(yīng)急響應(yīng)工作中的應(yīng)用具有完備的支撐環(huán)境，并與安天態(tài)勢(shì)感知平臺(tái)編排響應(yīng)（SOAR）子系統(tǒng)、安天智甲終端防御系統(tǒng)（IEP）緊密協(xié)同，共同組成終端一體化防御。針對(duì)態(tài)勢(shì)感知平臺(tái)發(fā)現(xiàn)并告警的安全威脅，安天SOAR進(jìn)行細(xì)粒度的處置編排并將處置策略下發(fā)至IEP執(zhí)行；針對(duì)某些未部署IEP等終端防御系統(tǒng)的敏感終端或不適用于IEP開(kāi)展處置的場(chǎng)景下，由專殺工具直接加載處置策略（安天SOAR生成并下發(fā)實(shí)施針對(duì)性的專殺作業(yè)，直至清除威脅后將專殺結(jié)果以日志等形式反饋至安天SOAR，形成閉環(huán)。在這其中，安天專殺工具與IEP共享統(tǒng)一的內(nèi)核處置機(jī)制，包括但不限于ARR處置規(guī)則等。安天態(tài)勢(shì)感知平臺(tái)編排響應(yīng)（SOAR）子系統(tǒng)安天智甲終端防御系統(tǒng)（IEP）安天專殺Page16案例1：“暗云Ⅲ”木馬事件安天安全研究與應(yīng)急處理中心（AntiyCERT）于北京時(shí)間2017年5月26日19時(shí)，監(jiān)測(cè)的DDoS攻擊事件。參與攻擊的源地址覆蓋廣泛，幾乎在全國(guó)所有省市運(yùn)人員將此次攻擊命名為“RainbowDay”——“經(jīng)過(guò)多次取證分析發(fā)現(xiàn)，該惡意代碼感染量較大，其功能非常復(fù)雜，可以利用帶有正常數(shù)字簽183.60.111.150，一直持續(xù)到2攻擊第二階段，于5月28日早7時(shí)左右開(kāi)始攻擊59.1發(fā)送數(shù)據(jù)包詳情部分受害IP向C2服務(wù)器發(fā)起請(qǐng)求Page17案例1：“暗云Ⅲ”木馬執(zhí)行流程此次DDoS攻擊事件最原始的傳播是通過(guò)捆常游戲微端的方式將ShellCode捆綁到正執(zhí)行后會(huì)從網(wǎng)絡(luò)上下載一個(gè)配置文件，讀取配置文件中的下載地址執(zhí)行后再一次連接網(wǎng)絡(luò)下載文件lcdn.db（lua腳本解釋器）和ndn.系統(tǒng)每次運(yùn)行都會(huì)調(diào)用案例1：“暗云Ⅲ”木馬特征與查殺工具腳本示例“暗云Ⅲ”木馬特征，包括但不限于：1.通過(guò)游戲微端、外掛、私服登錄