专家个人简介
在上一期文章《华为勒索攻击防御的四层防护网之边界入侵防线》中,我们对勒索攻击常见的入侵方式进行了介绍,入侵是网络攻击的前奏,入侵成功后,攻击者会执行真正的恶意勒索行为。在这个时候,勒索病毒文件就成了主要的攻击载体,这一步也是攻击环节中最重要的一步,攻击者运用开发的勒索病毒文件执行真正的恶意勒索行为,对客户资产造成直接的勒索、破坏。我们可以看到,从2013年起,勒索病毒发展迅速,新的勒索家族不断出现,加密、攻击的手段也在逐步对抗升级。对于防护方来说,如何有效的跟踪、对抗和防护勒索病毒文件,一方面不仅能够防护住已知的勒索病毒,同时还能够有效防护最新的勒索病毒,是要解决的关键问题,本期我们就重点看一下华为对于勒索病毒文件是如何进行防御的。
我们以一个典型的中小型企业网场景为例,如下图所示,勒索病毒文件的防护技术主要由3部分组成,分别是CDE(Content-based Detection Engine)病毒检测引擎、HIPS(Host Intrusion Prevent System)与云端沙箱。其中,CDE病毒检测引擎主要部署在企业网络边界的防火墙产品中,同时也部署在办公网络或数据中心的终端EDR产品中,提供亿级海量病毒的防护能力;HIPS则主要部署在终端EDR产品中,提供基于动态行为的实时防护能力;云沙箱则主要作为云服务,在云端提供对可疑或未知文件的高级威胁分析、检测能力。
华为通过云、网、端各类安全产品做协同、联动,构建针对勒索病毒文件的立体防护体系,准确性达99%以上,如下图所示:
1.通过网关的网络防病毒在文件传输阶段防护勒索病毒文件
2.通过EDR的主机防病毒在文件的落盘阶段防护勒索病毒文件
3.通过EDR的主机HIPS在文件的执行阶段防护勒索病毒文件
4.通过云沙箱在文件的深度隐藏、对抗阶段防护勒索病毒文件
接下来我们具体介绍下这3类技术是如何工作的。
1CDE病毒检测引擎
CDE病毒检测引擎主要在病毒传输和病毒落盘阶段进行防护,主要是针对性检测已知勒索病毒,并具备一定的未知勒索病毒检测能力,支持防护包括勒索、挖矿、木马、僵尸、后门、漏洞利用、蠕虫、病毒、黑客工具、灰色软件、恶意广告等各类恶意家族病毒。当客户终端被攻击下载勒索病毒文件时,边界防火墙的CDE病毒检测引擎就会分析流量中传输的病毒文件,进行实时防护;当勒索病毒通过加密协议传输等手段逃过了边界的检测,那么勒索病毒在终端落盘时,终端EDR中的CDE病毒检测引擎也会对勒索病毒进行实时的防护。
CDE病毒检测引擎主要由文件类型识别、内容深度分析以及病毒扫描引擎组成,主要原理如下图所示。
各模块的主要功能是:
2HIPS
HIPS主要在病毒运行阶段,对终端主机进行防护。相较于CDE病毒检测引擎的已知勒索病毒检测能力,HIPS更针对于检测未知的勒索病毒,通过对关键系统行为的实时分析,尽早阻断勒索病毒的恶意行为。当勒索病毒文件在传输和落盘阶段绕过防火墙和主机CDE病毒检测引擎的防护时,HIPS就会在病毒的执行阶段进行防护,HIPS会实时分析勒索病毒的每一个关键系统行为,包括对文件、网络、注册表、API、系统等方面的关键操作,一旦发现有勒索相关恶意动作,就会立即实时阻断勒索病毒的后续执行过程,将勒索的危害降到最低。
HIPS由引擎和威胁行为库两部分组成,其基本原理如下图所示,即,引擎负责在微秒级别内极速、实时的分析每条系统关键行为,并配合集成了丰富华为安全专家知识的勒索威胁行为库,即时的发现勒索相关的各类恶意行为。
HIPS同时也会联动华为云端安全智能中心,持续更新最新的专家勒索防护经验。
3云沙箱
当勒索病毒文件运用了对抗、潜伏或隐藏手段逃过各类防护手段,云沙箱就会发挥重要的分析、检测作用。作为对抗高级威胁APT(Advanced Persistent Threat)的专属产品,云沙箱对可疑、未知的文件进行深度分析,判定是否恶意、提供具体恶意行为,并联动全网安全产品有效防护高级未知威胁。云沙箱的检测原理如下图所示。
云沙箱集成了多级、全量的华为恶意文件分析、检测能力,包括海量威胁信息、静态检测、动态检测以及综合威胁分析能力,支持50 文件类型检测。云沙箱通过云端的Windows XP、Windows 7、Windows10等执行环境,动态运行分析可疑文件,细颗粒度地监控恶意文件API、内存、进程、文件、通信等操作,使用丰富的防逃逸技术充分触发深度隐藏的恶意行为,并最终给出恶意文件具体的病毒类型、恶意行为、上下文关联威胁信息。
结束语
勒索病毒在不断演进,但万变不离其宗,华为通过在恶意文件传输、落盘、执行、对抗隐藏的各个关键环节部署全面的专有防护手段,并通过全网联动,7*24小时协同防护已知、未知的勒索病毒。
Copyright © 2024 妖气游戏网 www.17u1u.com All Rights Reserved