專家個(gè)人簡介

在上一期文章《華為勒索攻擊防御的四層防護(hù)網(wǎng)之邊界入侵防線》中，我們對(duì)勒索攻擊常見的入侵方式進(jìn)行了介紹，入侵是網(wǎng)絡(luò)攻擊的前奏，入侵成功后，攻擊者會(huì)執(zhí)行真正的惡意勒索行為。在這個(gè)時(shí)候，勒索病毒文件就成了主要的攻擊載體，這一步也是攻擊環(huán)節(jié)中最重要的一步，攻擊者運(yùn)用開發(fā)的勒索病毒文件執(zhí)行真正的惡意勒索行為，對(duì)客戶資產(chǎn)造成直接的勒索、破壞。我們可以看到，從2013年起，勒索病毒發(fā)展迅速，新的勒索家族不斷出現(xiàn)，加密、攻擊的手段也在逐步對(duì)抗升級(jí)。對(duì)于防護(hù)方來說，如何有效的跟蹤、對(duì)抗和防護(hù)勒索病毒文件，一方面不僅能夠防護(hù)住已知的勒索病毒，同時(shí)還能夠有效防護(hù)最新的勒索病毒，是要解決的關(guān)鍵問題，本期我們就重點(diǎn)看一下華為對(duì)于勒索病毒文件是如何進(jìn)行防御的。

我們以一個(gè)典型的中小型企業(yè)網(wǎng)場景為例，如下圖所示，勒索病毒文件的防護(hù)技術(shù)主要由3部分組成，分別是CDE（Content-based Detection Engine）病毒檢測引擎、HIPS（Host Intrusion Prevent System）與云端沙箱。其中，CDE病毒檢測引擎主要部署在企業(yè)網(wǎng)絡(luò)邊界的防火墻產(chǎn)品中，同時(shí)也部署在辦公網(wǎng)絡(luò)或數(shù)據(jù)中心的終端EDR產(chǎn)品中，提供億級(jí)海量病毒的防護(hù)能力；HIPS則主要部署在終端EDR產(chǎn)品中，提供基于動(dòng)態(tài)行為的實(shí)時(shí)防護(hù)能力；云沙箱則主要作為云服務(wù)，在云端提供對(duì)可疑或未知文件的高級(jí)威脅分析、檢測能力。

華為通過云、網(wǎng)、端各類安全產(chǎn)品做協(xié)同、聯(lián)動(dòng)，構(gòu)建針對(duì)勒索病毒文件的立體防護(hù)體系，準(zhǔn)確性達(dá)99%以上，如下圖所示：

1.通過網(wǎng)關(guān)的網(wǎng)絡(luò)防病毒在文件傳輸階段防護(hù)勒索病毒文件

2.通過EDR的主機(jī)防病毒在文件的落盤階段防護(hù)勒索病毒文件

3.通過EDR的主機(jī)HIPS在文件的執(zhí)行階段防護(hù)勒索病毒文件

4.通過云沙箱在文件的深度隱藏、對(duì)抗階段防護(hù)勒索病毒文件

接下來我們具體介紹下這3類技術(shù)是如何工作的。

1

CDE病毒檢測引擎主要在病毒傳輸和病毒落盤階段進(jìn)行防護(hù)，主要是針對(duì)性檢測已知勒索病毒，并具備一定的未知勒索病毒檢測能力，支持防護(hù)包括勒索、挖礦、木馬、僵尸、后門、漏洞利用、蠕蟲、病毒、黑客工具、灰色軟件、惡意廣告等各類惡意家族病毒。當(dāng)客戶終端被攻擊下載勒索病毒文件時(shí)，邊界防火墻的CDE病毒檢測引擎就會(huì)分析流量中傳輸?shù)牟《疚募M(jìn)行實(shí)時(shí)防護(hù)；當(dāng)勒索病毒通過加密協(xié)議傳輸?shù)仁侄翁舆^了邊界的檢測，那么勒索病毒在終端落盤時(shí)，終端EDR中的CDE病毒檢測引擎也會(huì)對(duì)勒索病毒進(jìn)行實(shí)時(shí)的防護(hù)。

CDE病毒檢測引擎主要由文件類型識(shí)別、內(nèi)容深度分析以及病毒掃描引擎組成，主要原理如下圖所示。

各模塊的主要功能是：

• 文件類型識(shí)別：負(fù)責(zé)對(duì)海量病毒進(jìn)行文件類型分類，精準(zhǔn)識(shí)別Windows/Linux等各類主流平臺(tái)的文件類型，包括PE、ELF、APK、OFFICE、PDF、HTML、JS、WEBSHELL、LNK、BASH等文件。

• 內(nèi)容深度分析：負(fù)責(zé)對(duì)二進(jìn)制、復(fù)合文檔、各類Web及腳本文件進(jìn)行深度解析，深挖惡意文件的“內(nèi)涵”，為檢測模塊提供深度的內(nèi)容信息。

• 病毒掃描引擎：通過使用華為安全團(tuán)隊(duì)多年研究定義的MDL可編程病毒檢測語言，實(shí)現(xiàn)使用少量資源精準(zhǔn)覆蓋海量變種；同時(shí)病毒掃描引擎也集成了多種專用啟發(fā)式及神經(jīng)網(wǎng)絡(luò)智能檢測算法，精確防護(hù)億級(jí)海量病毒；病毒掃描引擎也會(huì)實(shí)時(shí)更新來自華為云端安全智能中心的最新防毒能力，及時(shí)防護(hù)全網(wǎng)最新流行病毒。

HIPS主要在病毒運(yùn)行階段，對(duì)終端主機(jī)進(jìn)行防護(hù)。相較于CDE病毒檢測引擎的已知勒索病毒檢測能力，HIPS更針對(duì)于檢測未知的勒索病毒，通過對(duì)關(guān)鍵系統(tǒng)行為的實(shí)時(shí)分析，盡早阻斷勒索病毒的惡意行為。當(dāng)勒索病毒文件在傳輸和落盤階段繞過防火墻和主機(jī)CDE病毒檢測引擎的防護(hù)時(shí)，HIPS就會(huì)在病毒的執(zhí)行階段進(jìn)行防護(hù)，HIPS會(huì)實(shí)時(shí)分析勒索病毒的每一個(gè)關(guān)鍵系統(tǒng)行為，包括對(duì)文件、網(wǎng)絡(luò)、注冊(cè)表、API、系統(tǒng)等方面的關(guān)鍵操作，一旦發(fā)現(xiàn)有勒索相關(guān)惡意動(dòng)作，就會(huì)立即實(shí)時(shí)阻斷勒索病毒的后續(xù)執(zhí)行過程，將勒索的危害降到最低。

HIPS由引擎和威脅行為庫兩部分組成，其基本原理如下圖所示，即，引擎負(fù)責(zé)在微秒級(jí)別內(nèi)極速、實(shí)時(shí)的分析每條系統(tǒng)關(guān)鍵行為，并配合集成了豐富華為安全專家知識(shí)的勒索威脅行為庫，即時(shí)的發(fā)現(xiàn)勒索相關(guān)的各類惡意行為。

HIPS同時(shí)也會(huì)聯(lián)動(dòng)華為云端安全智能中心，持續(xù)更新最新的專家勒索防護(hù)經(jīng)驗(yàn)。

3

當(dāng)勒索病毒文件運(yùn)用了對(duì)抗、潛伏或隱藏手段逃過各類防護(hù)手段，云沙箱就會(huì)發(fā)揮重要的分析、檢測作用。作為對(duì)抗高級(jí)威脅APT（Advanced Persistent Threat）的專屬產(chǎn)品，云沙箱對(duì)可疑、未知的文件進(jìn)行深度分析，判定是否惡意、提供具體惡意行為，并聯(lián)動(dòng)全網(wǎng)安全產(chǎn)品有效防護(hù)高級(jí)未知威脅。云沙箱的檢測原理如下圖所示。

云沙箱集成了多級(jí)、全量的華為惡意文件分析、檢測能力，包括海量威脅信息、靜態(tài)檢測、動(dòng)態(tài)檢測以及綜合威脅分析能力，支持50+文件類型檢測。云沙箱通過云端的Windows XP、Windows 7、Windows10等執(zhí)行環(huán)境，動(dòng)態(tài)運(yùn)行分析可疑文件，細(xì)顆粒度地監(jiān)控惡意文件API、內(nèi)存、進(jìn)程、文件、通信等操作，使用豐富的防逃逸技術(shù)充分觸發(fā)深度隱藏的惡意行為，并最終給出惡意文件具體的病毒類型、惡意行為、上下文關(guān)聯(lián)威脅信息。

勒索病毒在不斷演進(jìn)，但萬變不離其宗，華為通過在惡意文件傳輸、落盤、執(zhí)行、對(duì)抗隱藏的各個(gè)關(guān)鍵環(huán)節(jié)部署全面的專有防護(hù)手段，并通過全網(wǎng)聯(lián)動(dòng)，7*24小時(shí)協(xié)同防護(hù)已知、未知的勒索病毒。