让逃逸性威胁无处遁形
网络犯罪份子变得越来越狡猾,他们通过打包、加密或者多态化等手段来伪装自己,以”零日恶意软件”的形式逃避安全检测。因为他们知道,一旦这些恶意软件被移入沙箱中进行分析并推迟执行的话,他们则需要等待数天、数星期、甚至数月才能找到下一个攻击的机会。这些逃逸性威胁的一个典型代表就是零日攻击,本文将从终端安全的角度来讨论如何在终端阻断这些威胁。
有些企业会问:“我们部署了很多强大的安全产品,比如基于特征码的防恶意软件引擎、主机入侵防御系统 (HIPS)、沙箱分析、信誉过滤等,为什么还是有一些威胁漏网?”答案很简单,当你在武装自己的时候,黑客也不会休息。他们也在孜孜不倦地创造更先进的恶意软件来寻找你的防护空白,并伺机而动。这些狡猾的黑客对合法文件和应用程序进行改造,将恶意代码埋藏在深处,通过逃避传统基于特征码技术的检测来攻击终端和系统。
随着越来越多的恶意软件突破前线防御,太多感染未知威胁的“零号病人”终端,安全人员需要花费大量时间和精力来补救,无法及时地做出响应,而且安全管理的复杂度也进一步的增加。
这些问题使得 IT 安全人员在这场与恶意威胁的赛跑中远远落后。企业需要什么?企业需要在没有足够专业安全人员的情况下有效应对这些狡猾的逃逸性威胁;企业还需要在威胁危害终端之前阻断它们。要达到这些目标,企业需要更睿智的安全方法。该方法还可以使 IT 安全部门能够在安全和灵活性之间寻找平衡。他们或者严格地限制哪些能够在终端运行的应用,或者给用户更大的自由空间,这些都取决于企业的优先级。然而,不管是哪一种,都应当做到对威胁的即时响应。最后,企业还需要一种方法将不同安全组件更加快速和简便地连接起来。他们需要一套成熟的零日威胁防御机制,而且是能够自适应的机制——收集并共享有关最可疑逃逸性威胁的信息,并自动将它们应用于整个企业中以保护尚未被感染的环境。
找到并遏制隐藏的威胁
在去年 11 月初的 FOCUS 16 大会上,Intel Security 推出了保护新数字经济安全战略,其中之一是动态的终端。该方法藉由强大的机器学习分析和应用程序遏制工具,来帮助企业和组织更快速、更省力地找到和阻断隐藏的威胁。
这些功能通过 Intel Security 的两大创新技术来实现:
- Real Protect(真实保护):该技术通过将执行前静态分析和执行后行为分析结合在一起来防御恶意软件,其效果远高于基于特征码或只有静态分析的解决方案,所有这些都集成在 Intel Security 的生态系统里。它采用机器学习技术,通过对恶意代码的静态特征(执行前分析)和其实际行为(动态行为分析)进行深度评估,来识别恶意代码。这是超越特征码的技术。它可以剥离隐藏威胁的伪装技术,使零日威胁无处可藏。
- Dynamic Application Containment(动态应用遏制):该技术可以保护“零号病人”终端免于下一波零日威胁的感染,而不会影响生产力。当某个终端检测到可疑文件时,动态应用遏制技术可以即时拦截恶意软件的常见行为,如更改注册表、写入临时目录或删除文件等。不同于其它一次会将文件(和用户)停顿几分钟的技术,动态应用遏制则会让可疑文件载入内存,而不让它们在可疑的情况下对终端做某些修改或感染其它系统。这样,终端和用户可以不用中断工作,同时也可以使安全部门进行深度分析。
借助静态和动态分析找到隐藏威胁
网络攻击者使用各种各样的技术来伪装恶意软件的外观或者“指纹”,如通过对代码进行微小的更改来改变特征码或者哈希值,从而逃避安全检测。不需要做很多更改,只要能够逃避那些基于攻击特征码的防御就行。然而,虽然改变表面的代码比较容易,但却很难隐藏恶意软件的所有属性。更重要的是,不可能隐藏恶意软件的行为。
Real Protect 凭借机器学习和统计分析来揭开这些逃逸性威胁的面具,使它们无可遁形。不同于其它解决方案,该方法同时应用了静态分析和行为分析。这样,与基于特征码或仅有静态分析的解决方案相比,它能够拦截更多的零日威胁。
在威胁执行前拦截它们:Real Protect静态分析
传统基于特征码的防御方法是一个与时间赛跑的终端保护方法。首先,发现某个未知文件是恶意的,然后创建针对该威胁的特征码,然后将该 .DAT 文件分发给终端以拦截该威胁,这些都需要时间。恶意软件的制作者知道只需更改恶意代码的微小部分,就可以轻松逃避这些基于特征码的防御。而且,在创建和更新特征码的这段时间内,他们可以发动多次攻击。
Real Protect 技术则基于一个不同的假设来打破零日特征码循环。恶意软件的制作者可以改变恶意代码周边的所有内容,但归根结底,它仍然是恶意软件。因而,我们可以推断零日威胁拥有很多与已知恶意代码共有的属性:使用的编译器、编程语言、它所引用的共享和动态库,以及其它特征。
Real Protect 通过对所有这些静态二进制代码特征进行机器学习统计分析,可在几毫秒内识别恶意软件,而不需要特征码。通过将这些特征与已知威胁进行对比,它可以剥离最新的伪装技术,识别大多数零日威胁,阻止它们进一步运行。
它是如何工作的呢?这要得益于 Intel Security 独一无二的迈克菲全球威胁智能感知系统 (McAfee GTI)。通过将 5 亿多条通过 McAfee GTI 收集自来自全球数以百万台终端上的恶意软件样本,以及与来自其它威胁情报源的恶意软件样本结合在一起,创建了针对不同恶意软件二进制类型的机器学习模型。它们并不是已知攻击的特征码,而是各种类型恶意软件的资料。
由此,Real Protect 得以在隐藏的恶意软件运行之前找到它们。所有这些不需要人工检查代码,也不需要人工创建特征码。大多数威胁感染可在侵入用户和系统之前被阻止,而 IT 安全部门也避免了耗时耗力地补救和清除。
检测最会逃逸的恶意软件:RealProtect 动态行为分析
静态代码分析可以捉到一些零日威胁,但却不能捉到所有零日威胁。如果黑客通过精心设计,利用合法应用来发动攻击(比如:隐藏在合法 Word 文档里宏命令的网络钓鱼攻击),哪怕是最优秀的纯静态分析防御也无法捉到它。
然而,我们看到大部分声称是“下一代”终端防御系统都只有静态代码分析。Intel Security 则走得更远。我们知道,即便是经过精心设计的伪装,恶意软件却无法掩盖其行为。如果是恶意软件,那么就摆脱不了其作为进程时的恶意行径。Real Protect 的动态分析则采用静态代码分析所采用的同样的无特征码的机器学习技术,将其应用于实际行为。
如果一个未知的可执行的“灰色代码”可以通过Real Protect 的静态分析和其它防御,但终端依然认为它是可疑代码,则就会触发 RealProtect 动态分析。终端会将这个代码在一个可控且被监控的环境中运行,Real Protect 动态分析将会密切扫描该应用的行为,并将其回报给云端进行分析。
随后在 Real Protect 的静态分析中,系统将该灰色代码的行为与收集自 McAfee GTI 和其它来源的数以百万计的已知恶意软件样本进行比对。如果该行为符合已知恶意行为的范畴,如删除子进程、覆盖文件以及更改注册表等已知的恶意行为,将会立即通知终端并采取行动来拦截该威胁,而这一过程仅需要几秒钟。
动态行为分析的防护能力非常强大,以一个典型的勒索软件攻击为例。这些攻击通常将自己隐藏在合法的文件或应用中,从而造成致命的危害。但是,在造成危害之前,它们则需要执行一系列不同的操作:
- 第一步:通过隐藏在邮件附件中逃避前线防御,或者通过破坏网站到达终端。
- 第二步:一旦到达终端,将开启激活程序:与加密密钥服务器通信,搜索系统中重要的用户文件,复制、移动、重命名以及加密这些文件。
- 第三步:进行勒索。
如果您只依赖纯静态分析,一旦勒索软件躲过了它们的搜查,那么它们将长驱直入。即使你后来意识到发生了什么,并立即切断该终端与网络的联系,但你仍然失去了该终端及上面的所有内容。相反,如果您的防御体系还可以观察灰色代码的实际行为,那么,只要它在终端上有所动作,您就有机会检测到并阻止它。
即使这时候勒索软件已经运行了,但并不会造成实质性的危害。在对它进行分析的几秒钟内,它可能开始与加密密钥服务器进行通信,甚至于加密了一两个文件,但是,在它采取实质性攻击之前就会被阻截并修复。
综上,借助于 Real Protect 动态分析,您可以在发现它的第一台终端上将其阻截,从而防止它进一步扩散到其它系统并对终端造成严重危害。您使“零号病人”免于损失系统中所有的资料。而且,所有这一切都是在数秒钟内自动完成,而不需要人工干预。
借助 Dynamic ApplicationContainment 保护零号病人
什么时候您觉得让一个未知文件或应用执行是很严重的问题?什么时候您觉得拦截那些可能是恶意的行为比较重要?每个企业对这两个问题的答案都不一样,甚至于同一企业的不同部门的答案都不一样。
有时候,用户有正当的理由和业务需要来运行第三方文件和应用。安全部门不能拦截所有可执行文件和应用,他们也不能要求用户先等一等,直到每个文件都分析完。这种情况下,先允许可疑文件执行,然后再通过动态行为分析来监控它们就变得很重要。而在有些行业,尤其是要求比较严格的金融业,终端安全则没有弹性的空间,通常采取“先拦截,再询问”的理念。但是,对于安全部门来说,他们也不想在非绝对必要的情况下对用户干涉太多。
Dynamic ApplicationContainment 则为灰色软件提供了一个备选的、基于行为的方法,通过规定它们在终端上的行为来预先遏制可疑应用。 它是怎么做的呢?一旦终端防御将一个可执行应用归类为可疑,那么就会触发应用遏制功能。Dynamic Application Containment 可以让文件载入内存,但却拦截那些恶意应用通常会采用的进程操作。这种做法会即时防止灰色软件在终端上做任何更改、扩散到其它系统以及将用户暴露在危险之中。系统和用户可以照常工作,而同时 IT 安全部门则可以对该应用执行更深入的分析。
企业和组织可以自定义那些可以触发Dynamic Application Containment 的因素,以及哪些动作需要拦截,从而防御不同类型的威胁;或者可以自定义针对特定目标和活动的遏制措施。此外,Dynamic Application Control 在终端上运行所需的资源非常少,因而即便在用户和系统下线的情况下依然可以提供保护。
Dynamic ApplicationContainment 还可以充当灰色软件的“黑匣子”,跟踪该应用试图进行的所有活动。它可以与迈克菲终端安全产品以及其它安全产品进行通信,这样,一旦该灰色软件被认为是恶意的,其它环境将会被近乎实时地自动更新以阻断它。
综上,该技术的动态遏制功能包括:
- 挽救零号病人:Dynamic Application Containment 可以减少或消除灰色软件在终端进行恶意更改的能力,而不需要用户等待进行进一步的代码分析。
- 击溃在分析时发现的恶意软件:Dynamic Application Containment 可以在终端正常工作时遏制进程,因而恶意软件难以发现它正在被遏制。
- 显著加快从检测到修正再到保护的威胁防御生命周期:Dynamic Application Containment 可以在终端阻断更改,因而很多时候将不需要采取“修正”措施,因为可疑软件已经被遏制了。同时,它将有关灰色软件的信息反馈到整个威胁防御体系里,从而保护其它终端被感染。
一套集成且自动化的防御体系
Real Protect 静态分析、动态分析和 Dynamic Application Containment 都提供了强大的功能来揭开隐藏威胁的面具,从而阻截零日恶意软件。而且不同于其它各自为战的单点解决方案,Intel Security 的解决方案是集成在一起的,形成一个统一的、自适应的防御体系。
Real Protect 和Dynamic Application Containment 不仅可以协同工作,它们还与其它 IntelSecurity 的解决方案,如迈克菲终端安全、迈克菲威胁情报交换系统 (McAfee TIE)、McAfee Active Response、McAfee AdvancedThreat Defense 等协同工作,形成一个集成的防御体系。举例说明:当 Real Protect 或 Dynamic Application Containment 发现一个逃逸的恶意软件,它们会立即将信息反馈给 McAfee TIE,而 TIE 则可以将威胁情报信息共享给整个环境。如果任一防御在终端发现了零日恶意软件,那么余下的环境将会被近乎实时地更新并保护起来。
这种做法将为企业和组织带来一个不断发展的威胁防御模式。每一个检测到的新威胁都会自动地增强企业的整体防御水平。而之前在威胁防御生命周期中的检测、修正和保护阶段的人工操作将会消失。而企业和组织则可以通过一个平台自由组合来自业界最广泛的防御功能,因为他们知道,一个组件发现的威胁情报将会被自动地传递给下一个。
而对于 IT 安全部门来讲,所带来的效益则最直接:能够发现并拦截更多的零日恶意软件。威胁响应得到根本的加速,安全运营也更加简单,更加省时省力。
发表于 2017-3-27 18:40:49
卧槽,我居然是龙大的沙发
楼主
之前bbszy同学测试个人版推送的RealProtect,结果变得更差劲了,牙膏厂好像弄回去重新打磨了