安天下一代引擎結(jié)合知識庫如何揭示載荷的ATTCK戰(zhàn)術(shù)能力

載荷的ATT&CK戰(zhàn)術(shù)能力威脅框架：細粒度對抗威脅框架：細粒度對抗?生態(tài)合伙伙伴突破100家?內(nèi)置安天網(wǎng)絡(luò)檢測引擎的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備累計超過90萬臺??生態(tài)合伙伙伴突破100家?內(nèi)置安天網(wǎng)絡(luò)檢測引擎的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備累計超過90萬臺?安天移動安全引擎覆蓋手機和其他類型智能終端累計超過22億部，已經(jīng)成為國民級安全內(nèi)核。生態(tài)穩(wěn)步發(fā)展CETC30inspurZTE中興能力始終如一????2018年，AV-????2019年度，AV-TEST移動安全檢測年度檢測能力全雙滿分廠商2018年國家應(yīng)急中心安全引擎技術(shù)對抗賽雙賽第一名2019年國家應(yīng)急中心安全引擎技術(shù)對抗賽（兩賽合一）第一名安天引擎的2020從學(xué)術(shù)化的研究轉(zhuǎn)化為可工程化實現(xiàn)的能力Page3威脅框架：細粒度對抗威脅框架：細粒度對抗應(yīng)用案例應(yīng)用案例CONTENTS01威脅情報與知識庫的當前問題02可結(jié)合知識庫的威脅檢測引擎威脅框架：細粒度對抗威脅框架：細粒度對抗01威脅情報與知識庫的當前問題Page6變化中的攻擊方與防御方對手在變化防御方的需求在變化?用戶的單點需求?用戶的面的需求?用戶的立體需求Page7滿足防御方需求的解決辦法以捕獲到一些攻擊載荷為例業(yè)界實現(xiàn)的方式輸出攻擊手段和危害信息步驟1分析攻擊的危害利用輸出攻擊手段和危害信息步驟1分析攻擊的危害段、可能造成的危害等信息是步驟2判斷是否從屬已知攻擊組織或事件確認攻擊者身份利用已知IOC是步驟2判斷是否從屬已知攻擊組織或事件確認攻擊者身份抗的時效性和精準指向性否是作為重點可疑觀察對象跟蹤分析，進一步否是作為重點可疑觀察對象跟蹤分析，進一步確認身份信息通過關(guān)聯(lián)和聚類，發(fā)現(xiàn)可能存在的相關(guān)APT組織間的關(guān)聯(lián)關(guān)系，是否具有同源性否暫不重點追蹤現(xiàn)有威脅知識輸出方式的真實效果結(jié)合期望達成結(jié)合傳統(tǒng)反病毒引擎測和辨識能力）發(fā)現(xiàn)、阻斷和獵殺高級威脅行動傳統(tǒng)反病毒引擎?zhèn)鹘y(tǒng)反病毒引擎這種檢測能力組合雖然對類似海蓮花、白象、綠斑一類的APT攻擊具有一定的價值，但在過去十年內(nèi)對于對抗來自更高水平的威脅行為體的活動，其實收效甚微。針對類似毒曲II、方程式等高級威脅行動或組織的發(fā)現(xiàn)、阻斷和獵殺活動中，這些信息幾乎無法發(fā)揮任何作用。Page8威脅框架：細粒度對抗威脅框架：細粒度對抗Page9分類數(shù)量說明效果不佳的主要原因—效用性分類數(shù)量說明主要功能：攻擊用于數(shù)據(jù)采集與監(jiān)控的工業(yè)控制系統(tǒng)。漏洞，通過一套完整的入侵和傳播流程，突破工業(yè)專用局域網(wǎng)的物理限制，攻擊用于數(shù)據(jù)采集與監(jiān)控的工業(yè)控制系統(tǒng)。DROPPER1200+~WTR4132.tmp,其STUB節(jié)的內(nèi)容變換、樣本自身代碼的升級與發(fā)布、人工二進制更改，組合操作生成多個樣本DROPPERLOADER460+~WTR4141.tmp，通過少量原始樣本，經(jīng)過二進制修改、簽名、追加損壞簽名、簽名后繼續(xù)追加文件等操作，造成樣本量增加LNK20+漏洞利用載荷，用于加載惡意DLL文件其他文件100+CAB文件、驅(qū)動文件、Step7使用的DLL等編譯器版本10+多版本編譯器表明工程代碼經(jīng)過多人編譯，生成母體樣本基數(shù)變大震網(wǎng)樣本集差異分析——《對Stuxnet蠕蟲攻擊工業(yè)控制系統(tǒng)事件的綜合分析報告》效果不佳的主要原因—知識性?傳統(tǒng)引擎的輸出不具備豐富的知識性1.原有的知識工程體系，不能滿足直接定位到高級網(wǎng)空威脅行為體的精準要求2.單一病毒名輸出的方式缺乏知識性，無法滿足用戶對于威脅想要深入了解的需求。在現(xiàn)有防御體系中，沒有把傳統(tǒng)引擎當作一個關(guān)鍵環(huán)節(jié)來看待，原因主要是普遍把引擎作為一個基礎(chǔ)支撐能力看待，作為黑箱使用，沒有把引擎的輸出作為知識供給。VirusTotal網(wǎng)站對某高級威脅樣本的檢測結(jié)果Page10威脅框架：細粒度對抗威脅框架：細粒度對抗效用性攻擊工具網(wǎng)絡(luò)或主機特征效果不佳的主要原因—效用性效用性攻擊工具網(wǎng)絡(luò)或主機特征人們試圖通過IOC信息來為高級威脅威脅情報的痛苦金字塔微不足道Page11威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗可結(jié)合知識庫的威脅檢測引擎輸出安天引擎結(jié)合知識庫輸出下一代威脅檢測引擎高價值威脅知識結(jié)合知識庫?達成客戶防御場景下的可消費信息?對高級威脅攻擊方身份的揭示Page13威脅框架：細粒度對抗威脅框架：細粒度對抗動靜態(tài)檢測相結(jié)合?解決不可執(zhí)行文件?解決組件分批下發(fā)的問題?提升檢測效率Page14威脅框架：細粒度對抗威脅框架：細粒度對抗當前主流以動態(tài)為主的ATT&CK提取的缺陷Page15威脅框架：細粒度對抗威脅框架：細粒度對抗Page16安天引擎利用靜態(tài)配置解密信息進行檢測?att&ck技術(shù)點：解密/去混淆#KCMDDC51#Page17安天引擎能力的維度--深入的識別與解析識別能力解析能力力支持識別：可執(zhí)行文件、包裹、文檔、媒體文件、圖片文件、軟件關(guān)聯(lián)格式、腳本、文本格式、其它格式等九大類格式編譯器種類40編譯器種類（含版本)108可識別殼種類數(shù)434可識別包裹數(shù)目58可深度拆解的可執(zhí)行程序的種類：下載器、釋放器134種可深度預(yù)處理的復(fù)合文檔的格式數(shù)目24可脫殼種類數(shù)31可拆解包裹數(shù)58Page18單一輸入Object單一輸出安天引擎能力的維度--多種輸入輸出對象單一輸入Object單一輸出100101010111010101010110011001Virus/Win32.Virut.n傳統(tǒng)引擎一結(jié)果為輸出。而隨著威脅的進一步演進和泛化，威脅檢測已不能僅僅停留在對單一對象進行鑒定上。AVLSDK威脅檢測引擎多種輸入對象，多種輸出結(jié)果。威脅檢測多樣化。網(wǎng)絡(luò)層次檢測二進制數(shù)據(jù)對象系統(tǒng)環(huán)境對象會話包檢測…會話包檢測…載荷流檢測網(wǎng)絡(luò)信標本地層次檢測多種輸入?識別信息?基礎(chǔ)信息?附加信息?行為信息?遠控廣告?DDoS下載?竊取?傳播偽裝?隱蔽對抗?信息獲取攻擊輸出2?組織名稱?組織簡介?攻擊領(lǐng)域?攻擊方式?活躍時間?利用漏洞輸出3ATT&CK框架信息發(fā)現(xiàn)、橫向移動、收集、命令控制、滲透安天引擎后臺分析運營系統(tǒng)Page19威脅框架：細粒度對抗威脅框架：細粒度對抗安天引擎后臺分析運營系統(tǒng)Page20威脅框架：細粒度對抗威脅框架：細粒度對抗②應(yīng)用效果—更好的知識性②①①各反病毒引擎廠商檢測結(jié)果某白象分析報告各反病毒引擎廠商檢測結(jié)果③③安天下一代威脅檢測引擎輸出結(jié)果Page21威脅框架：細粒度對抗威脅框架：細粒度對抗應(yīng)用效果--更好的效用性文件HASH：7c498b7ad4c12c38b1f4eb12044a9def?卡巴斯基輸出Backdoor.Win32.Agent.mytihl?ESET輸出Win32/Poison.NOL?安天下一代威脅檢測引擎配合情報平臺的輸出結(jié)果組織名稱：綠斑別名：APT-C-01，毒云藤攻擊目標：中國攻擊領(lǐng)域：政府,軍事,科研攻擊方式：釣魚郵件，水坑攻擊活躍時間：2011年,2012年,2013年,2014年,2017年利用漏洞CVE-2012-0158,CVE-2014-4114,CVE-2017-8759,CVE-2017-0199組織簡介2018年9月安天實驗室曝光了綠斑組織，該組織至少從2007年開始活躍，擅長對目標實施魚叉攻擊和水坑攻擊、植入修改后的ZXShell、PoisonIvy、XRAT商業(yè)木馬，并使用動態(tài)域名作為其控制基礎(chǔ)設(shè)施。普通引擎僅能將其認定為商馬，安天的引擎可以依靠情報判斷出該樣本從屬綠斑組織文件屬性信息文件版本信息文件結(jié)構(gòu)信息F93AFE4A0FB30B1293FCAA32DDAF59F1身份信息上線ID：motices解密信息解密偏移=0x628B解密方式=異或密鑰=0x22Page22威脅框架：細粒度對抗威脅框架：細粒度對抗安天引擎輸出向量映射ATT&CK案例??獲取屏幕截圖?獲取機器名稱?發(fā)現(xiàn)宏P(guān)age23威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗安天引擎輸出向量映射ATT&CK案例威脅框架：細粒度對抗Page24安天引擎輸出向量映射ATT&CK案例?發(fā)現(xiàn)cmd.exe?查詢注冊表?修改注冊表Page25威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗安天引擎輸出向量映射ATT&CK案例威脅框架：細粒度對抗Page26威脅框架：細粒度對抗Page27威脅框架：細粒度對抗安天引擎映射ATT&CK框架的意義威脅框架：細粒度對抗威脅框架：細粒度對抗應(yīng)用案例適用場景?可以在所有可嵌入安天AVLSDK威脅檢測引擎的場景下工作，主要面向?qū)Ω呒壨{檢測在流量檢測監(jiān)測設(shè)備上提升威形成有效判定能力，其知識化的輸出可以讓分析人人員聚焦于高等級威脅攻擊載荷深入分析層面。知識化的輸出能力可以讓其理解威脅并Page29威脅框架：細粒度對抗威脅框架：細粒度對抗安天下一代威脅檢測引擎對安天全線產(chǎn)品的支撐Page30威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗Page31威脅框架：細粒度對抗震網(wǎng)樣本實例—引擎輸出結(jié)果安天下一代引擎對震網(wǎng)樣本輸出信息震網(wǎng)樣本實例—安天追影分析系統(tǒng)產(chǎn)品界面④威脅分析①組織信息②意圖及目標③攻擊活動⑤戰(zhàn)術(shù)技術(shù)過程Page32威脅框架：細粒度對抗威脅框架：細粒度對抗Page33安天智甲處置防御技術(shù)攻擊動作輸出標簽戰(zhàn)術(shù)環(huán)節(jié)初始訪問接收惡意郵件誘導(dǎo)用戶執(zhí)行附件寫入磁盤利用誘餌文件名，誘導(dǎo)用戶運行后，枚舉操作系統(tǒng)和軟件枚舉賬戶和權(quán)限獲得用戶名密碼憑證模擬單位郵箱，發(fā)送釣魚郵件附件利用rar軟件CVE-2018-20252漏洞，執(zhí)行惡意代碼利用rar軟件CVE-2018-20252漏洞，執(zhí)行惡意代碼利用誘餌文件名，誘導(dǎo)用戶主動執(zhí)行，繞過UAC驗證查詢系統(tǒng)操作系統(tǒng)和已經(jīng)安裝的軟件查詢系統(tǒng)當前用戶信息執(zhí)行powershell安天智甲處置防御技術(shù)攻擊動作輸出標簽戰(zhàn)術(shù)環(huán)節(jié)初始訪問接收惡意郵件誘導(dǎo)用戶執(zhí)行附件寫入磁盤利用誘餌文件名，誘導(dǎo)用戶運行后，枚舉操作系統(tǒng)和軟件枚舉賬戶和權(quán)限獲得用戶名密碼憑證模擬單位郵箱，發(fā)送釣魚郵件附件利用rar軟件CVE-2018-20252漏洞，執(zhí)行惡意代碼利用rar軟件CVE-2018-20252漏洞，執(zhí)行惡意代碼利用誘餌文件名，誘導(dǎo)用戶主動執(zhí)行，繞過UAC驗證查詢系統(tǒng)操作系統(tǒng)和已經(jīng)安裝的軟件查詢系統(tǒng)當前用戶信息執(zhí)行powershell腳本獲取lsass.exe進程中當前系統(tǒng)的用戶名和密碼執(zhí)行防御規(guī)避發(fā)現(xiàn)憑證訪問橫向移動通過SMB漏洞橫向移動寫入注冊表啟動項記錄鍵盤與服務(wù)端回連執(zhí)行遠程指令采用CVE-2017-0143永恒之藍SMB遠程服務(wù)漏洞進行橫向擴散達到持久化目的通過鍵盤鉤子實現(xiàn)鍵盤記錄客戶端和服務(wù)端每45s會進行一次tcp連接，并持續(xù)交互指令信息，其中流量數(shù)據(jù)均加密與服務(wù)端交互指令，并執(zhí)行指令持久化憑證訪問命令控制攻擊者操作T1060注冊表運行鍵值/啟動文件夾創(chuàng)建啟動項檢測T1021遠程服務(wù)網(wǎng)絡(luò)鏈接監(jiān)控，敏感端口向內(nèi)網(wǎng)高頻橫向擴散行為檢測，敏感端口向本機惡意入侵檢測T1003憑證轉(zhuǎn)儲件檢測T1071標準應(yīng)用層協(xié)議T1022數(shù)據(jù)加密T1094自定義命令和控制協(xié)議進程聯(lián)網(wǎng)情況檢測CMD執(zhí)行命令及參數(shù)T1179Hooking內(nèi)存存在異常鉤子T1193魚叉式釣魚附件用戶接收附件時檢測附件T1204用戶