查看: 6096|回复: 13
收起左侧

[交流探讨] 来自卡巴斯基的技术介绍(下)

[复制链接]
renyifei
发表于 2018-5-20 22:47:59 | 显示全部楼层 |阅读模式
本帖最后由 renyifei 于 2018-5-21 06:40 编辑

前言:很长很长的下半部分,模拟器部分有我的好朋友帮忙,我难免有疏漏,请多多理解哈
上半部分请自行查阅谢谢
1.大数据 -阿斯特拉技术
大数据.png
卡巴斯基保护系统Astraea通过处理大数据来检测恶意对象
Astraea技术构成了卡巴斯基安全网络(KSN)的关键“云网络” - 卡巴斯基实验室多层次下一代保护的另一个元素。
该系统实时汇集所有收集的有关全球可疑活动和威胁的统计信息和元信息,并对恶意对象进行检测决策。然后,通过卡巴斯基安全网络,所有用户都可立即获得此信息。
每天有超过8000万用户受益于使用卡巴斯基安全网络云服务。卡巴斯基实验室的产品请求并接收有关请求对象声誉的信息,并参与与可疑对象元信息共享统计信息。这导致数以亿计的通知和每天数百GB的数据流。

所有这些数据被转发到和检测系统称为Astraea。系统验证传入数据的一致性,以防止任何甚至假设的数据操作尝试。然后,数据被存储到一个大型数据库中,包括文件,URL等对象和相应的元信息以及它们之间的链接。
例如,产品可以发送有关可疑对象的信息,如:

对象的名称是“修改后装箱清单.docx.exe”
该对象位于存档“修改后装箱清单.docx.zip”
该对象从文件路径c:\ windows\ temp开始
该对象未被签名
等等

汇总传入信息后,可以生成以下知识:
完整的URL列表,其中文件从其下载或根据其要求下载
磁盘上存储路径的完整列表
检测文件的完整列表
启动文件的完整进程列表
文件流行率及其随时间的变化
每个对象都通过和系统创建的大量指标进行验证。例如,检查以下内容可能很重要:
如果该文件在运行时具有双倍扩展名(“MyPhotos.jpg .exe”)
如果文件位于文件夹C:\Windows \ System32中,虽然打包并具有文件属性“隐藏”
如果文件具有过期的扩展名(比如“.com”,“.pif”等)
如果文件名与可信系统文件非常相似,只有一个区别(比如“svcnost.exe”)
如果文件是由已知为恶意的对象下载的
等等

通过规则列表后,每个对象都会获得一个计算得出的对象风险分数,Astraea会使用该分数来对该对象是否是恶意进行系统判断。因此,收集到的对象信息越多,可以做出更精确的自动结论。很明显,在某些情况下,它可能仍然不足以作出判决的信息。如果是这种情况,则在收集到额外的信息后,将在稍后重新计算评分。
一旦Astraea针对对象产生判决结果,将其转交给卡巴斯基安全网络云服务,使其能够立即覆盖全球各地的用户。
重要的是要注意,系统逻辑不是静态的 - 系统是永久自我加强的。恶意软件编写者总是通过安全解决方案对其代码进行验证并通过新技术进行武器化的世界中,指标系统可能变得不实际,并且容易导致检测率效率降低和误报率增加。这意味着各个指标单独列出并且整体列表应该根据卡巴斯基实验室数据库和收集的信息进行效率测试和动态更新。
自2012年启动以来,2016年底,Astraea创建的检测次数占新检测次数的比例从7.53%增加到40.5%(每日323,000次新检测次数),共有10亿个独特的恶意文件

2.反Rootkit病毒和修复技术
反R.png
Rootkit 病毒- 一种恶意程序,它应用不同的技术隐藏恶意代码和活动以防止被检测到,并抵制反病毒企图进行的修复。反Rootkit技术是卡巴斯基实验室多层次下一代防护的一部分,可检测这些rootkit程序的活动感染并修复系统免受此类感染。

在大多数情况下,rootkit病毒包含一个驱动程序(或驱动程序链),在内核模式下运行,并执行一些或所有以下功能:
隐藏存储(HDD)上的文件,Windows注册表项和值,系统中的进程,加载的模块,内存区域(无文件恶意软件时),网络活动,磁盘扇区,其他对象和工件
在检测情况下防止修复和/或消除rootkit病毒,包括恢复更改的文件
为恶意代码\应用程序提供对操作系统内核的访问(为了终止防病毒进程),将恶意代码注入合法进程,拦截网络流量(嗅探),拦截按键(键盘记录)等
恶意软件编写者有兴趣在特定主机上长时间运行其恶意代码,即使在运行防病毒软件的情况下也是如此。为此,他们需要使用不同的技术来阻止对活动性感染的检测和修复。他们可能使用操作系统的文档化和非文档化方法。已知Rootkit病毒在用户模式和内核模式下使用不同的拦截方法,使用对象进行操作(DKOM),绕过过滤器驱动程序和回调函数的技术等。为了支持受害者系统上的持久性,RootKit病毒需要开始执行操作系统启动的早期阶段,因此它们感染引导扇区,如主引导记录(MBR)和卷引导记录(VBR)。具有此类功能的RootKit病毒称为BootKit。

卡巴斯基实验室的反rootkit病毒技术
在操作系统的系统内存中搜索活动感染
扫描用于自动运行的所有可能位置
在主动感染检测的情况下进行修复,在操作系统启动的早期阶段恢复
在产品安装到感染系统期间中和活动性感染
这种复杂的多模块保护技术实现了两种检测和中和活动性感染的方法:确切的和通用的。
确切的方法:检测和中和的过程针对特定的rootkit技术,如隐藏或抵制防病毒补救。这种方法可以在短时间内防御rootkit,以覆盖当前的爆发,节省更多时间来开发更通用的方法。
通用方法:Anti-RootKit扫描活动进程,系统模块,内存,AutoRun对象,并向其他防病毒组件提供对恶意软件代码的访问,如仿真器,反病毒引擎,静态启发式,ML模型授权的基于行为的启发式扫描等。在列出的任何组件触发的情况下,反rootkit病毒技术开始运行。
反rootkit病毒技术由以下组件组成:
安装程序保护程序:在安全产品安装到受害程序系统期间抵御主动感染
低级别磁盘访问,低级别注册表访问,遏制:提供对硬盘驱动器和Windows注册表的低级访问,绕过不同的访问拦截方法。包含在一段时间内进行主动感染遏制技术的实施
BootStageCleaner:修复操作系统启动的早期阶段
系统内存扫描程序:用于搜索和修复系统内存中的Rootkit的模块
文件系统解析器,注册表解析器:解析多种格式的文件系统和注册表
关键区域扫描仪:用于扫描和修复AutoRun对象的模块,可从上述模块中获益。
卡巴斯基实验室产品使用这两种方法。

3.卡巴斯基安全网络(KSN)
云1.png
卡巴斯基安全网络(KSN)处理与网络安全相关的数据并确保对新威胁的最快反应时间
卡巴斯基安全网络(KSN)是卡巴斯基实验室开发的一个复杂的分布式系统,致力于智能处理来自全球数百万自愿参与者的网络安全相关数据。 通过在云中自动分析这些数据流,系统可确保以最快的反应时间处理新的但未知的网络威胁,并为每个合作伙伴或客户提供最高级别的保护。它是卡巴斯基实验室多层次,下一代保护方法中最重要的组件之一。这种方法的基本要素是我们的Machine,它结合了系统分析,机器学习算法和大数据,使我们能够在技术和准确性的情况下发现网络环境中的模式,变化和新威胁。

上面的方案说明了KSN功能的基本原理:
关于检测到的威胁和可疑活动的统计数据由卡巴斯基实验室的产品发送到云基础架构。
收到的信息构成大数据,由自动分析系统处理,能够识别大多数新的网络威胁。该系统利用了卡巴斯基实验室强大的资源,而不必依靠用户设备的资源。
如果代码或URL被证明是恶意的,那么在几分钟内就可以向所有用户提供检测。同时,合法应用程序的记录被添加到白名单数据库。
对象声誉的任何新请求都会立即回复给卡巴斯基。
该方法为客户系统及其数据的最高安全级别提供了以下好处:
检测先进的和以前未知的恶意软件
减少检测错误(误报)
显着减少对新威胁的响应时间 - 与传统的基于签名的响应从几小时到几秒或几分钟形成对比

卡巴斯基安全网络的基本原理
处理的信息仅限于改进检测算法所需的信息,改进产品的操作并为我们的客户提供更好的解决方案;
处理的信息是从已接受EndUser许可协议(EULA)和KSN协议的客户处获得的,其中所获得的信息类型已完整描述;
参与KSN协议可以随时在设置中加入或退出;
KSN收到的数据不属于特定的个人。这些信息以汇总统计的形式使用,在分离的服务器上使用严格的访问权限;
所分享的信息即使在符合法律要求和严格的标准(包括通过加密,数字证书,防火墙等)的传输过程中也受到保护。

4.模拟器
模拟器.jpg
卡巴斯基实验室解决方案中用于恶意软件检测的代码仿真
关于代码仿真技术
恶意软件检测的代码仿真方法通过在虚拟(模拟)环境中模拟其执行来扫描文件的行为。通常,这种方法与沙箱中的恶意软件检测类似,但仿真和全功能沙箱在设计和应用程序的细节上有所不同。让我们看看差异。
与模拟器不同,功能齐全的沙箱是“重量级”方法。它模拟整个环境,并在安装有实际操作系统(OS)和应用程序的虚拟机中运行扫描样本。结果,该方法需要高计算能力并且对主机系统造成兼容性限制。出于这个原因,沙盒在集中式本地和云端解决方案中最为有效。它不适合用户主机和其他常规计算机上的恶意软件检测。
模拟器仅模拟样本本身的执行情况。它临时创建样本与之交互的对象:一段恶意软件想要窃取的密码,它会尝试阻止内存,系统注册表等等。这些对象不是操作系统或软件的真实部分,而是模拟器的仿制品。它对仿真环境的控制让仿真器快速转发时间,见证未来的文件行为,并防止恶意软件逐时延迟。
模拟器在使用比沙箱少得多的资源时确定扫描文件的基本行为功能,并且适用于用户主机。通常会延迟执行未知文件,直到用模拟器扫描它们。仿真方法并不新鲜,但有些仿真器非常先进,在恶意软件检测中的份额很大。今天的模拟器拥有基于云的信誉服务,其功效受机器学习的推动。

卡巴斯基实验室模拟器
卡巴斯基实验室解决方案包括一个仿真器作为多层保护方法中的一道防线。它模拟二进制文件和脚本,随着基于脚本的无文件攻击越来越流行,后者的重要性正在增长。
仿真针对有限的计算机资源进行了优化。每个对象的内存比沙箱少得多,同时扫描许多对象,而不会显着加载系统。由于硬件加速,仿真安全地使用处理器加速扫描大约20次。
当用户请求进行磁盘扫描时,卡巴斯基实验室解决方案会“按需”启动仿真扫描,或者在访问或执行对象之前自动扫描对象时,卡巴斯基实验室解决方案会启动仿真扫描。仿真可能会与其他检测方法(例如云中的进程信誉请求)并行启动。
仿真器在卡巴斯基实验室端点解决方案,网关级解决方案(例如代{过}{滤}理和电子邮件服务器)以及虚拟化环境保护中实施。在卡巴斯基实验室基础架构中,强大的仿真器是保护的一部分
仿真器任务:
在Windows环境中模拟任何可执行文件(PE)的执行:.exe, .dll, .sys和其他文件。
处理JavaScript,VBScript和AutoIT脚本类型,独立脚本(作为文件下载)。
扫描通过网页链接(在网页上,电子邮件中,在邮件中)收到的嵌入PDF和​​MS Office文件的脚本。

更新
仿真技术通过仿真核心和检测记录来实现,该记录分析核心提供的数据。这些记录是在卡巴斯基实验室中创建的,并且每小时都会通过解决方案下载更新。一个检测记录可以检测具有不同二进制内容的许多不同恶意软件样本,但具有相似的行为。

恶意软件检测工作流程
仿真程序收到从安全解决方案的另一个组件扫描对象(可执行文件或脚本)的请求。
仿真器从虚拟环境中逐个安全地执行对象的指令,从对象的入口点开始。如果指令与环境(操作系统,注册表,其他文件,网页,内存等)交互,仿真器会模仿这些对象的响应。
仿真器收集信息和数据并将它们传递给启发式分析器。分析仪将基于这些工件的判定传递给请求分析的组件。

规避预防
高级恶意软件编写人员为其恶意软件提供了一些功能以防止在仿真中检测到。卡巴斯基实验室追踪并反制这些新的逃避技术。

5.沙箱
沙箱_3.jpg
在云端和卡巴斯基实验室基础架构内部部署运行
关于沙箱技术
沙箱是一个恶意软件检测系统,它在具有全功能操作系统的虚拟机(VM)中运行可疑对象,并通过分析其行为来检测对象的恶意活动。如果对象在虚拟机中执行恶意操作,沙箱会将其检测为恶意软件。虚拟机与真实的业务基础设施隔离开来。
沙箱分析对象在执行时的行为,这使得它们能够有效抵御恶意软件,从而避免静态分析。与此同时,与其他行为分析设计相比,沙箱更安全,因为它不会冒险在真实的业务基础架构中运行可疑对象。

卡巴斯基实验室沙箱
在卡巴斯基实验室,我们几年前开发了自己的沙箱。在我们的基础架构中,它是用于恶意软件分析,研究和创建抗病毒数据库的工具之一。沙盒也是卡巴斯基反目标攻击平台和卡巴斯基实验室威胁智能平台的一部分。它有助于将文件和URL评为恶意或良性,并提供有关其活动的信息,这对创建检测规则和算法很有用。

沙盒功能
沙盒基于硬件虚拟化,这使得它快速而稳定。
虚拟机可用于:
Windows操作系统(所有个人计算机版本从Windows XP开始,所有服务器版本从Windows Server 2003开始),
AndroidOS(x86,ARM处理器架构)。
沙箱监视所探索的进程与操作系统的交互在可疑的情况下,沙箱会变得更严格。
沙盒提供了从开发早期阶段开始的漏洞检测。它检测典型的利用行为,例如ROP链使用情况,,可疑内存保护更改等。沙箱能够检测到甚至是针对性攻击中使用的高级攻击。

可以执行的对象类型
Windows:任何文件,例如: .exe, .dll,.NET对象,MSOffice文件,PDF。
Android:APK(DEX)。
网址:沙箱会转到一个网址并检测以下事件:下载,JavaScript,Adobe Flash执行等。
恶意软件检测工作流程
沙盒接收到扫描来自另一个安全解决方案组件的对象(文件或URL)的请求,并附带说明:操作系统和运行该对象的配置,对象的执行参数,VM中安装的其他第三方应用程序,测试时间限制等。
被测试的对象被运行。
沙箱在指定的时间范围内收集工件。如果对象与具有已知信誉的其他进程或URL进行交互,则沙箱会捕获此信息。
沙箱分析数据和信息并将其判决提交给请求系统:恶意软件或良性软件。沙箱将对象的数据添加到判决(ID,功能,日志,行为细节)中,这可能有助于进一步分析,而无需向沙箱提出新的请求。

由沙箱收集的信息:
应用程序执行日志(带有参数的API函数调用,执行事件)
内存转储
加载模块转储
文件系统,注册表的变化
网络流量(PCAP文件)
屏幕截图(如果需要,可以更轻松地进行审计和手动分析)

规避预防
今天的恶意软件通常会尝试检测并躲避沙箱。一旦它知道它正在沙盒中运行,它可能会跳过执行任何恶意活动,从磁盘中删除自己,终止它自己或使用其他逃避技术。
更简单的硬件沙​​箱监控设计(例如挂接API函数)会留下迹象表明正在监视可疑进程。因此,我们实施了其他非侵入式监控技术,并且不会在扫描的对象上留下任何痕迹。沙箱控制CPU和RAM,但不会修改磁盘和内存中的进程操作,内存,系统库,不会留下任何监视痕迹。

好了到此为止所有主要内容的翻译已经完成。希望大家能够多多支持。
5.20

评分

参与人数 5技术 +1 人气 +4 收起 理由
FUZE + 1 精品文章
月影天心 + 1 版区有你更精彩: )
雪拥蓝关 + 1 版区有你更精彩: )
dongwenqi + 1 版区有你更精彩: )
飘落的泪 + 1 版区有你更精彩: )

查看全部评分

derQiQ
发表于 2018-5-20 23:00:56 | 显示全部楼层
前排插入,先赞后看
renyifei
 楼主| 发表于 2018-5-20 23:06:10 | 显示全部楼层
derQiQ 发表于 2018-5-20 23:00
前排插入,先赞后看

感谢支持!
derQiQ
发表于 2018-5-20 23:57:50 | 显示全部楼层
阅读总结:

0、收货很大,系统论述了当前卡巴斯基所使用的安全技术,比那些零零散散的技术阅读,更让人震撼和印象深刻。

1、【所有这些数据被转发到和检测系统称为Astraea】,难理解。

2、【工件】,难理解。

3、【沙盒】、【沙箱】那一节,有点绕。@_@

4、阿斯特拉技术,会上获取可疑文件的完整路径,这点会让人有隐私焦虑。




评分

参与人数 1人气 +1 收起 理由
renyifei + 1 版区有你更精彩: )

查看全部评分

renyifei
 楼主| 发表于 2018-5-21 06:38:28 | 显示全部楼层
本帖最后由 renyifei 于 2018-5-21 06:42 编辑
derQiQ 发表于 2018-5-20 23:57
阅读总结:

0、收货很大,系统论述了当前卡巴斯基所使用的安全技术,比那些零零散散的技术阅读, ...

工件这种东西你可以大致理解为信息检测出的各种信息和数据之类的。
他说那个收集用户信息是严格保密的,不用担心由于这种介绍的高度专业化所以我没有很好的办法去加一下修饰词,所以有点绕别介意啦。
pal家族
发表于 2018-5-21 07:10:26 | 显示全部楼层
艾斯特莱雅
艾斯翠亚
比较好听
derQiQ
发表于 2018-5-21 08:58:20 | 显示全部楼层
pal家族 发表于 2018-5-21 07:10
艾斯特莱雅
艾斯翠亚
比较好听

【阿斯特拉】多霸气逼人,上面这2翻译有点娘上不了台面啊



renyifei
 楼主| 发表于 2018-5-21 21:31:51 | 显示全部楼层
derQiQ 发表于 2018-5-21 08:58
【阿斯特拉】多霸气逼人,上面这2翻译有点娘上不了台面啊

这个名字是我自己音译的没什么实际意义
renyifei
 楼主| 发表于 2018-5-21 21:32:21 | 显示全部楼层
pal家族 发表于 2018-5-21 07:10
艾斯特莱雅
艾斯翠亚
比较好听

可以可以
大神F4
发表于 2018-5-22 15:59:30 | 显示全部楼层
支持收藏了。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 10:53 , Processed in 0.136436 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表