華為安全大咖談 | 華為終端檢測與響應(yīng)EDR 第03期：全棧數(shù)據(jù)采集如何使威脅“被看到”

EDR終端檢測與響應(yīng)是一種新型的智能化、迅捷的主動(dòng)防御概念，以給企業(yè)帶來攻擊全路徑的可視、防御、檢測、溯源和響應(yīng)為價(jià)值。其中威脅可視是第一步，各類網(wǎng)絡(luò)空間破壞活動(dòng)的承載主體絕大部分是惡意代碼，不論是肉眼可見的可執(zhí)行文件、一段注入到系統(tǒng)進(jìn)程的代碼片段，還是幾行僅僅在內(nèi)存中“閃現(xiàn)”的Shellcode，能否“被看到”，決定了檢測防御的可行性和能力上限。威脅“被看到”勢(shì)必需要獲取全面的數(shù)據(jù)，全棧數(shù)據(jù)采集可以被喻為EDR的能力基石和黑土地。

為什么數(shù)據(jù)采集在EDR
或終端安全防護(hù)軟件中如此重要

數(shù)據(jù)采集是終端安全防護(hù)軟件中與操作系統(tǒng)甚至硬件關(guān)系最緊密的能力。從功能上看，需要對(duì)系統(tǒng)中的行為、資源、運(yùn)行狀態(tài)等多方面進(jìn)行監(jiān)控及記錄；從重要性上看，數(shù)據(jù)采集捕獲到的信息，是終端安全防護(hù)軟件核心業(yè)務(wù)的下層基礎(chǔ)，采集信息的準(zhǔn)確性、效率和完備度，決定了行為判定、處置和溯源的有效性。數(shù)據(jù)采集內(nèi)容既包括簡單的文件哈希信息、可執(zhí)行程序數(shù)字簽名，也包括關(guān)鍵的API調(diào)用，敏感資源的訪問，甚至還包括線程調(diào)用棧、CPU的執(zhí)行指令序列等，更豐富的信息才能滿足復(fù)雜的安全需求，不錯(cuò)過惡意行為的蛛絲馬跡。

數(shù)據(jù)采集可以實(shí)時(shí)監(jiān)控終端設(shè)備上的活動(dòng)，包括但不限于進(jìn)程操作、文件操作、注冊(cè)表操作、網(wǎng)絡(luò)連接等，把這些數(shù)據(jù)內(nèi)容作為行為檢測引擎的輸入，就可以根據(jù)規(guī)則實(shí)現(xiàn)對(duì)主機(jī)的防護(hù)，即HIPS（Host-based Intrusion Prevention System，主機(jī)入侵防御系統(tǒng)），這也是大部分終端安全防護(hù)軟件具備的關(guān)鍵能力之一，而其中的進(jìn)程啟動(dòng)和文件操作又可以同病毒掃描引擎協(xié)同，實(shí)現(xiàn)病毒實(shí)時(shí)防護(hù)的基本能力。

數(shù)據(jù)采集的多種數(shù)據(jù)源，可以幫助EDR產(chǎn)品實(shí)現(xiàn)對(duì)惡意軟件行為的抽象，通過以主體操作客體的表達(dá)方式，來對(duì)多種進(jìn)程行為、系統(tǒng)行為進(jìn)行描述，大量的描述匯聚成圖，然后通過檢測引擎可識(shí)別出諸如惡意腳本執(zhí)行、進(jìn)程挖空、Shellcode異常外連等行為，進(jìn)一步可以確定勒索、挖礦、橫向移動(dòng)等多種攻擊場景，以此發(fā)現(xiàn)環(huán)境中的已知威脅、未知威脅，促進(jìn)提升安全防御能力。

在終端安全防護(hù)軟件尤其是EDR產(chǎn)品中，通過HIPS規(guī)則檢測、病毒查殺、聯(lián)動(dòng)等手段，可以識(shí)別到目標(biāo)惡意程序，但在處置過程，單純的對(duì)目標(biāo)文件清理往往并不能達(dá)到最佳效果，多種持久化手段可以讓惡意程序反復(fù)生成，頻繁發(fā)作，觸發(fā)惡意行為。借助數(shù)據(jù)采集的能力，可以對(duì)惡意程序從初始訪問到持久化，從持久化到命令執(zhí)行等每個(gè)階段的行為進(jìn)行記錄，甚至也可以做到多終端的協(xié)同運(yùn)作，這樣在處置階段更容易對(duì)整個(gè)執(zhí)行鏈路進(jìn)行清理，達(dá)到有效清除威脅、防止進(jìn)一步擴(kuò)散的目的。

操作系統(tǒng)對(duì)不同的系統(tǒng)資源提供了訪問、修改方式，針對(duì)經(jīng)常面臨安全風(fēng)險(xiǎn)的資源和敏感操作，通常包括以下采集項(xiàng)：

一段惡意的代碼、一個(gè)惡意的模塊，一般都是通過獨(dú)立進(jìn)程或者利用系統(tǒng)進(jìn)程來承載，而惡意進(jìn)程對(duì)資源的訪問方式有多種，例如執(zhí)行勒索通常會(huì)頻繁重命名、刪除文件；持久化過程需要操作注冊(cè)表等啟動(dòng)項(xiàng)；木馬竊密存在可疑網(wǎng)絡(luò)連接以及對(duì)隱私文件的訪問；程序挖礦會(huì)發(fā)起特殊的DNS域名請(qǐng)求，此外很多惡意程序還會(huì)創(chuàng)建自己的內(nèi)核對(duì)象，如互斥體、管道等。

系統(tǒng)的登錄退出信息可以用來輔助分析爆力破解過程，例如審計(jì)歷史的登錄失敗數(shù)據(jù)和登錄來源等。

惡意程序通過持久化，保證操作系統(tǒng)重啟后可以繼續(xù)留存，觸發(fā)惡意代碼的執(zhí)行，主要的手段包括注冊(cè)表啟動(dòng)項(xiàng)的增加、啟動(dòng)目錄文件的增加、創(chuàng)建系統(tǒng)服務(wù)、安裝內(nèi)核模塊等。

API調(diào)用采集，即對(duì)系統(tǒng)中一些重要行為對(duì)應(yīng)的API進(jìn)行記錄，如網(wǎng)絡(luò)下載、權(quán)限修改、內(nèi)存修改、進(jìn)程注入、鉤子設(shè)置等，這些行為雖然并不代表惡意行為，但在惡意程序執(zhí)行過程中卻經(jīng)常被使用。系統(tǒng)調(diào)用的采集與API調(diào)用采集類似，目的是識(shí)別出系統(tǒng)中發(fā)生的某一次對(duì)資源的訪問、控制，對(duì)系統(tǒng)配置的修改。

基于操作系統(tǒng)以及處理器的能力，在Windows和Linux中有多種數(shù)據(jù)采集方法，因其使用到的技術(shù)不同，在穩(wěn)定性、可靠性及兼容性等方面有較大差異，圖1-1以Windows系統(tǒng)數(shù)據(jù)采集的不同方法為例做簡單對(duì)比。

圖1-1Windows系統(tǒng)數(shù)據(jù)采集方法對(duì)比

華為終端檢測與響應(yīng)EDR產(chǎn)品，結(jié)合上述多種采集技術(shù)，包括Windows內(nèi)核驅(qū)動(dòng)、API Hook、ETW以及其他輔助采集技術(shù)，汲取多項(xiàng)技術(shù)的優(yōu)點(diǎn)，對(duì)系統(tǒng)進(jìn)程、線程、注冊(cè)表、文件、網(wǎng)絡(luò)、DNS請(qǐng)求、API調(diào)用等進(jìn)行監(jiān)控，基本架構(gòu)如圖1-2所示。

圖1-2華為終端檢測與響應(yīng)EDR數(shù)據(jù)采集架構(gòu)

在數(shù)據(jù)采集架構(gòu)中，EDR內(nèi)核態(tài)實(shí)現(xiàn)對(duì)系統(tǒng)進(jìn)程、文件、注冊(cè)表、網(wǎng)絡(luò)等資源的監(jiān)控，通過內(nèi)核事件過濾器完成數(shù)據(jù)篩選。用戶態(tài)對(duì)內(nèi)核生成的事件進(jìn)行處理，同時(shí)也主動(dòng)采集DNS請(qǐng)求、CPU占用等事件，并接收來自EDR進(jìn)程外的API調(diào)用事件，多種信息經(jīng)過渲染后被發(fā)送至用戶態(tài)事件過濾器完成篩選，并生成原始事件，最后將原始事件傳遞至上層檢測引擎等安全模塊處理。

根據(jù)數(shù)據(jù)采集的具體實(shí)現(xiàn)，華為終端檢測與響應(yīng)EDR數(shù)據(jù)采集在功能和安全性方面具備如圖1-3所示的六大特點(diǎn)。

圖1-3華為終端檢測與響應(yīng)EDR數(shù)據(jù)采集特點(diǎn)

在EDR場景中涉及到檢測、處置、溯源、取證等多方面操作，數(shù)據(jù)完整性尤為重要，包括用于建立進(jìn)程樹的進(jìn)程關(guān)系、命令行、事件觸發(fā)時(shí)間、文件修改過程、移動(dòng)過程、文件真實(shí)類型及HASH變化、注冊(cè)表變化、網(wǎng)絡(luò)連接信息、DNS請(qǐng)求信息等。華為終端檢測與響應(yīng)EDR與傳統(tǒng)EPP（Endpoint Protection Platform，終端防護(hù)平臺(tái)）產(chǎn)品的重要差異之一是數(shù)據(jù)采集的能力必須滿足進(jìn)程調(diào)用鏈構(gòu)建、威脅圖的構(gòu)建，要包含完整的事件主體信息，客體信息和行為的詳細(xì)類型，使安全系統(tǒng)發(fā)現(xiàn)威脅后可分析、可處置、可溯源。

隨著安全對(duì)抗進(jìn)入白熱化階段，基礎(chǔ)的數(shù)據(jù)采集能力已經(jīng)很難應(yīng)對(duì)高級(jí)威脅，多種繞過、躲避手段層出不窮，因此必須持續(xù)獲取攻防領(lǐng)地的制高點(diǎn)，并且可以動(dòng)態(tài)應(yīng)對(duì)變幻莫測的攻擊手法。華為終端檢測與響應(yīng)EDR在惡意軟件泛化行為上提供多種打點(diǎn)，從進(jìn)程行為到線程行為，從文件行為到內(nèi)存行為，由淺入深；在攻擊路徑上全段覆蓋，從網(wǎng)絡(luò)連接到爆破登錄，從注冊(cè)表變化到啟動(dòng)項(xiàng)增加，由粗到細(xì)。

為保證數(shù)據(jù)采集的有效性，為抵御繞過、篡改等對(duì)抗行為，數(shù)據(jù)采集內(nèi)部也構(gòu)建了進(jìn)程、文件、注冊(cè)表、服務(wù)等多方位的自身防護(hù)能力。

在華為終端檢測與響應(yīng)EDR中，除常規(guī)的數(shù)據(jù)采集能力外，還包含由多種單獨(dú)事件組合而成的復(fù)合行為采集，由內(nèi)核采集、API調(diào)用采集等抽象而成。這種方式可以在不降低置信度的前提下，直接在采集器內(nèi)部識(shí)別出行為異常，降低下游檢測引擎規(guī)則的復(fù)雜程度，例如以下兩種：

• 注入行為采集：在終端設(shè)備中，注入行為由多個(gè)不同事件組合而成，終端安全防護(hù)軟件通常會(huì)將這些事件直接提供給檢測引擎做判定處理，這種方式會(huì)導(dǎo)致事件處理流程過長，性能下降。在華為終端檢測與響應(yīng)EDR中，數(shù)據(jù)采集引擎內(nèi)部即可直接識(shí)別出大部分注入行為，提前做出有效判定。

• Shellcode采集：借助安全專家能力，持續(xù)針對(duì)Metasploit及Cobalt Strike生成Shellcode方法跟蹤分析，對(duì)內(nèi)存變化、Shellcode產(chǎn)生、代碼執(zhí)行多點(diǎn)監(jiān)控，結(jié)合關(guān)鍵數(shù)據(jù)提取，數(shù)據(jù)采集引擎直接抽象出高置信度的惡意Shellcode執(zhí)行行為。

在多種采集技術(shù)中，如文件事件采集、注冊(cè)表事件采集，以及API調(diào)用采集，由于安插了眾多采集點(diǎn)，性能成為數(shù)據(jù)采集技術(shù)挑戰(zhàn)之一。華為終端檢測與響應(yīng)EDR對(duì)此做了大量優(yōu)化和創(chuàng)新，內(nèi)核和用戶態(tài)模塊均內(nèi)置過濾引擎，可針對(duì)主體、客體、行為等多元素進(jìn)行高效過濾，在數(shù)據(jù)采集最前端實(shí)現(xiàn)篩選，并結(jié)合可信進(jìn)程樹和專利威脅圖降噪技術(shù)，單終端數(shù)據(jù)上報(bào)可控制在20MB/天以下，保證關(guān)鍵數(shù)據(jù)不被丟棄，滿足下游檢測、防護(hù)業(yè)務(wù)的需求。

對(duì)于輕量化安全防護(hù)場景，華為終端檢測與響應(yīng)EDR專為數(shù)據(jù)采集提供了精細(xì)化的開關(guān)控制，可有針對(duì)性地開啟、關(guān)閉或者部分關(guān)閉采集功能，進(jìn)一步降低資源消耗。在對(duì)帶寬有限制時(shí)，也可達(dá)到靈活控制數(shù)據(jù)上報(bào)的目的。

除Windows平臺(tái)外，華為終端檢測與響應(yīng)EDR還支持Linux平臺(tái)數(shù)據(jù)采集，以基于BPF（Berkeley Packet Filter，伯克利包過濾器）的高性能數(shù)據(jù)采集為主，同時(shí)兼顧差異化的操作系統(tǒng)版本，借助內(nèi)核模塊以及系統(tǒng)回調(diào)機(jī)制，在文件、進(jìn)程、網(wǎng)絡(luò)、DNS請(qǐng)求等多方面構(gòu)筑數(shù)據(jù)采集及防護(hù)技術(shù)，為上層勒索、挖礦、木馬、橫向移動(dòng)等檢測和防護(hù)場景提供能力基礎(chǔ)。

華為終端檢測與響應(yīng)EDR數(shù)據(jù)采集，通過文件、網(wǎng)絡(luò)過濾，內(nèi)核監(jiān)控、API Hook、日志采集等機(jī)制，結(jié)合多項(xiàng)創(chuàng)新技術(shù)，多維度感知系統(tǒng)異常和風(fēng)險(xiǎn)，為檢測、處置和溯源提供全棧深度可視數(shù)據(jù)，輕松應(yīng)對(duì)勒索、挖礦、木馬和其他未知威脅，為構(gòu)筑終端安全能力提供黑土地。