|
在线攻击可视化与分析
非官方中文译本 • 安天实验室 译注
| | Live Attack Visualization and Analysis | | | | | | | |
| | | | 摘要:Bromium在线攻击可视化与分析(或称LAVA)系统为安全分析者们提供了一个关于恶意代码的独特观点,能使分析者们几分钟之内就确定攻击者使用的战略和战术,而不再需要像传统高级认证分析需要的多达几个小时或几天的较长时间。LAVA能够针对特定攻击提供全面的可视性。 关键词:LAVA;恶意软件;微虚拟检测 | | | | | | • 本译文译者为安天实验室工程师,本文系出自个人兴趣在业余时间所译,本文原文来自互联网的公共方式,译者力图忠于所获得之电子版本进行翻译,但受翻译水平和技术水平所限,不能完全保证译文完全与原文含义一致,同时对所获得原文是否存在臆造、或者是否与其原始版本一致未进行可靠性验证和评价。 • 本译文对应原文所有观点亦不受本译文中任何打字、排版、印刷或翻译错误的影响。译者与安天实验室不对译文及原文中包含或引用的信息的真实性、准确性、可靠性、或完整性提供任何明示或暗示的保证。译者与安天实验室亦对原文和译文的任何内容不承担任何责任。翻译本文的行为不代表译者和安天实验室对原文立场持有任何立场和态度。 • 译者与安天实验室均与原作者与原始发布者没有联系,亦未获得相关的版权授权,鉴于译者及安天实验室出于学习参考之目的翻译本文,而无出版、发售译文等任何商业利益意图,因此亦不对任何可能因此导致的版权问题承担责任。 • 本文为安天内部参考文献,主要用于安天实验室内部进行外语和技术学习使用,亦向中国大陆境内的网络安全领域的研究人士进行有限分享。望尊重译者的劳动和意愿,不得以任何方式修改本译文。译者和安天实验室并未授权任何人士和第三方二次分享本译文,因此第三方对本译文的全部或者部分所做的分享、传播、报道、张贴行为,及所带来的后果与译者和安天实验室无关。本译文亦不得用于任何商业目的,基于上述问题产生的法律责任,译者与安天实验室一律不予承担。 |
概述
Bromiun在虚拟化方面,是这一领域的领头企业,其微虚拟化技术能够提供可靠的、安全的及可管理的计算基础设施。Bromium vSentry™能够利用设计确保每个终端的安全,在对用户体验产生微乎其微影响的前提下,击败恶意软件并随时保护企业数据和应用。
Bromium的微虚拟化将虚拟化技术的隔离、控制和安全原则扩展至操作系统及其应用程序中。它能通过利用加强的硬件虚拟来实现动态虚拟并隔离易攻击的用户活动。为了操作系统中现有的软件隔离,它提供了一个功能强大、硬件强制逆止器,来保护敏感应用与数据,并且允许用户安全访问不受信任的网站、文档和可移动媒体。
微虚拟能够提供一个仅有少量误报的理想平台,用来观察、检测和分析已知和未知的恶意软件,也不需要重复出现的更新。
Bromiums在线攻击可视化与分析(或称LAVA)系统为安全分析者们提供了一个关于恶意软件的独特观点,能使分析者们几分钟之内就确定攻击者使用的战略和战术,而不再需要像传统高级认证分析需要的多达几个小时或几天的较长时间。
LAVA能够针对特定攻击提供全面的可视性,这些攻击多以最脆弱的应用程序为目标并被应用于现代终端,包括网页浏览器和相关的插件、Adobe Acrobat阅读器及其插件以及微软办公软件套装和Outlook邮件客户端。
凭借Bromium Microvisor的独特特点以及为LAVA开发的高级行为分析系统,为以下最复杂的现代恶意软件提供了无与伦比的可视性:
l 高级Rootkit和Bootkit技术,能够躲避其他形式的检测
l 针对JAVA、I.E.、Windows或Adobe的挂马
l 利用Man-in-the-browser威胁攻击高价值的企业云数据
l 木马、后门以及其他形式的远程控制工具和技术
l 键盘记录、密码剽窃及其他形式的窃取和监视技术
Bromium在线攻击可视化与分析的优势
vSentry所固有的任务隔离架构能够提供免遭破坏的防护,而不需要专门识别或拦截恶意软件的执行。然而,识别并分析未知形式恶意软件的能力为目标系统防护之外的机构提供了极大的好处。
› 战略情报:全面分析每个恶意软件特定行为的能力能够提供对攻击者战略意图的深入见解。知道了攻击者的目标是窃取特定类型的知识产权与试图安装键盘记录器来捕获通用密码,就能使安全团队通报攻击的目标以及组织的其他成员。
如果攻击者的初始行动进行的顺利,那他们还将不断尝试不同形式的攻击以实现既定目标。知道了潜在的攻击及攻击者的意图能够帮助组织提高对特定威胁的意识并对后续的社交或其他类型攻击做好防御。
› 零日攻击分析:准确地检测、分析并采样新型未知攻击,能使组织加强其他安全或政策执行机制,进而提高这些机制的“深度防御”策略的有效性。
LAVA能直接在攻击点或终端设备上收集情报,即使系统处于移动状态或位于企业边界之外,它也能持续有效。由此确保了每一条警报都是对确有漏洞的系统的有效攻击,而不是一条通用的恶意软件试图找到合适目标,但又对组织没有实质性的威胁。将LAVA识别的新恶意软件命令与控制URL或IP地址与现有的网页代理或安全网关解决方案联合起来,能够拦截所有未受vSentry保护的主机系统中的出站通讯。为了利用现有的反病毒或入侵防御系统进行扫描,新的恶意软件文件能够通过利用由LAVA生成的MD5或SHA1哈希值被识别并采样。
› 高级可视化:LAVA提供了一种全新的观察与分析攻击的方式。恶意软件采取的每一个步骤都被自动地连接起来,进而展示了攻击的完整“查杀链”。这种新型查看攻击的范式使得安全人员能在数分钟内重建并验证即便是最复杂的攻击,而通过传统的方式来解决复杂网页交互导致带来的现代攻击,则需要几个小时或几天的时间。
目前的恶意软件检测和分析技术
信息安全产业已经迈向使用带有“蜜罐”或专有设备的网络系统或云系统来进行攻击检测与分析。
独立的“离线”分析系统被用来运行并分析可能含有用户请求的恶意软件的流量样本。潜在的恶意软件被发送至请求终端,但分析服务或设备却在“应用沙箱”或传统虚拟的“特有”终端运行未知的代码。
离线系统在检测并分析大量攻击行为方面还有许多困难需要克服,以实现不出现大量难以接受的外部警报的目标。› 成功的攻击需要对不同形式的恶意软件进行多种不同结合。以I.E.v8和JAVA v6为目标的攻击并不会对使用I.E.v9和JAVA v7的系统造成很大的威胁。
› 离线检测器只需效仿受保护网络内存在的软件组合即可。以受保护网络中存在的终端配置为目标的攻击,也应该被评估并为安全工作人员生成重要的工作流,但对组织没有好处。
› 若终端系统不具有离线检测器部署的相同配置,就会被那些检测器无法识别的攻击入侵破坏,消除了检测器的值。
› 如果受离线检测器保护的终端系统升级,那么离线检测器必须也随之升级以保持其有效性。终端软件需要在持续的基础上升级和添加补丁。对大量检测器图像进行持续升级的要求给安全运营团体带来了可想而知的负担。
只有通过允许样本的充分执行并观察样本在目标终端的行为,才能对文档、电子邮件附件或网站内容进行精确的安全评估,而又不产生大量的外部警示。
离线分析系统,无论是位于安全厂商的恶意软件实验室中,在目标网络的设备中还是在基于云的系统中,都是固有的被动系统。只有当目标终端系统暴露给未知的潜在恶意软件时,才进行相应的检测。安全工作人员必须响应每一个警示,通过人工分析目标系统,并在攻击成功时对系统进行补救。
微虚拟化检测与分析的优势
由Bromium实行的微虚拟化技术提供了真正独特且强大的功能,其中最重要的就是只运行单一任务就能提供一个直接定位在攻击点的安全的硬件隔离区。这就为识别与分析攻击者入侵系统的意图提供了一个理想的实验室。下面是对微虚拟化所具有的主要特征的描述:
› 多阶段攻击检测:由vSentry提供的对系统受损的固有防护,使得LAVA能够观测任务的整个生命周期以及 微虚拟机内无威胁的任一恶意软件。
当恶意软件在其整个攻击序列中运行时,一系列的行为分析引擎定位在微虚拟区和Bromium Microvisor,用来观察和记录行为。建立完整事件或“查杀链”来记录恶意软件展示的全部行为。
观察整个恶意软件执行周期是消除误报的第一步。用户能够通过敲打键盘、移动鼠标等方式与任务(以及恶意软件)进行安全交互。这对于检测高级攻击是一个至关重要的因素,因为许多新形式的恶意软件通过监视它们运行的系统来确保系统是被人为控制,而它们并不是在自动化的“蜜罐”中或是位于独立分析设备或是云中的离线检测器中运行。只有当恶意软件确认其在真正的系统中运行时,它才会启动负载并开始攻击。
LAVA提供对个人计算事件的细粒度相关性,这种相关性跨越了多阶段任务,进而在发出警报和记录数据之前确保该行为的恶意性。这能使安全工作人员集中关注真正的事件,而不是误报,并且提高了他们的工作效率。
› 隔离任务执行:Bromium vSentry将每一个用户任务都隔离在专门的微虚拟区。用户任务是一种由系统的用户启动的应用程序实例。例如,当用户在网页浏览器中打开一个新的选项卡时,vSentry就会创建一个完整的微虚拟区以运行一个完全独立的网页浏览器实例,而不是被网站用来显示的第一选项卡。
这种细粒度的隔离消除了在标准终端系统中利用行为检测技术时所遇到的“噪音”。一般的Windows桌面系统能同时运行几十个应用程序和数百个不同的进程。这使得我们难以用特定应用进程对特定操作系统级别事件进行定性归类。例如,一个行为检测分析例程可能观测到,系统注册表通过接收来自进程的请求来创建新的入口。但这对于许多应用来说,是一种合法的操作行为,如果它是由不同的应用发起的,那就是对恶意活动的明显暗示。
在每一台微虚拟机中运行单一应用程序,每个事件都能归因于该应用的特定迭代。以上文为例,在微虚拟机中注册表修改的请求,只有Adobe Acrobat Reader可能是PDF文件受损的重要暗示。
Microvisor以及LAVA的优势——存在于微虚拟机之外——使其能够对微虚拟机对抗任务行为模板中所获取的每种资源进行关联活动。这包括了按任务等级进行的对微虚拟机合法发送与接收的网络流量的特定说明。例如,一台微虚拟机保护对受信SaaS应用的访问,应禁止其在公共网页发送数据至不受信任的网站。同样,不受信任的微虚拟机并不能为任何企业网站解决DNS检索,或发送流量至企业内部网络。绝不允许在互联网传收不受信任的文档,只有确认了安全性的文档才能在公司内部网络或特定网站被传送。
能够将低级事件直接归类到特定应用程序的单独实例的能力,使得LAVA能够实质性地消除误报或对系统并无直接威胁的外部攻击的警报。这种精确程度能够让分析师或安全组织专注于重要的事件,而不是“后院”的琐事。
虚拟反思
BromiumMicrovisor是一种高度专业化的管理程序,在其虚拟任务环境中对软件执行具有独特的见解能力。Microvisor在任务环境之外运行,它能控制并拥有所有虚拟内存并管理虚拟页表,控制代码执行的网络与存储I/O以及CPU分配。行业内对于在代码执行环境中检查其执行情况这种高度专业化能力的定义是“虚拟机反思”。
高级Rootkit和Bootkit以一种相似的方式运行,并试图将自身作为隐形层加入操作系统与底层硬件之间。从这个优势来看,Rootkit能够控制整个操作环境并能躲避正常操作系统中运行的安全软件。通过将其列入Microvisor,LAVA能够检测Rootkit进行自我安装的意图并能确保恶意软件无法禁止或躲避LAVA分析引擎。
企业范围的视角
如本文前面所详述的,由于传统虚拟机管理程序对于终端系统的资源和性能影响以及上文概述的其他因素,传统的行为分析系统在组织中并未得到广泛配置。由于性能挑战以及现代网络出现的日益增长的加密流量,基于网络的分析系统只对整个网络流量的一个小的子集进行捕捉和采样。这些限制使得对以组织为目标的攻击进行全面了解变得更加困难。
BromiumMicrovisor在行业标准桌面系统运行的能力使得组织能够真正实现对攻击活动的企业范围实时监控。
LAVA能够提供在企业内部关联详细信息的能力,并能将这些观点导出至诸如安全事件管理器(SIEM)的系统中,或诸如Splunk的IT管理系统或传统时间管理器。
LAVA分析
LAVA监控、关联并展示被微虚拟机隔离的大范围的恶意软件行为。每一个不同的方面都可实现单独可视化并被“分层”实现对整个恶意软件链的全局观测。
下面就是用来监控恶意行为的LAVA时间分类列表。其目标是监控并关联下列行为并与行为模版进行比对。
CPU:这些事件通常是由试图控制CPU硬件注册表的高级Rootkit和Bootkit所生成的。LAVA利用仅基于管理程序环境可用的反思能力来监控这种活动。
文件系统:文件系统事件在微虚拟机中对文件修改进行跟踪。恶意软件通常会修改.ini文件、.bat文件以及其他类型的文件,使其在系统中持续更长时间或便于执行完整的攻击任务。
网络:诸如DNS查询或远程连接的网络事件都会被识别和追踪。利用远程命令与控制服务器或恶意下载器来监控TCP和UDP协议的出站通信。
进程:所有纳入不同类型系统进程操控的事件都被显示出来,并且父关系/子关系也会被LAVA跟踪并显示。投放在系统并有恶意软件执行的新DLL文件都会被识别并采样。
注册表:注册表控制事件通常与设定隐蔽通讯通道相关联,禁止现有的保护措施,例如Windows防火墙或反病毒系统,并允许恶意软件在系统重启后持续存在。每一项注册表操控都会被记录并链接至原始进程。
API:Windows API是一种被用来访问Windows系统资源、文件、进程、网络、注册表以及Windows其他主要部分的程序接口。用户应用程序用API代替直接系统调用,这为在用户空间执行的恶意软件行为分析提供了极大的可见性。LAVA连接APT函数以确保未知恶意软件正被监控。
内存:在“在线”系统中分析恶意软件的一个好处就是能够监控系统的动态内存。恶意软件作者通常避免使用技巧,以防为传统取证工具的分析留下记录痕迹,并在可变内存中进行攻击或直接攻击敏感内存构造。
特权:安全令牌是被Windows利用的一种机制,能够确定用户的权限,以授予或拒绝对系统资源的访问。攻击者通常会访问并修改这些安全令牌,以实现加权并获取更高的访问权限。LAVA监控并显示这些活动,因为它们是恶意行为的有力暗示。
如何工作
当用户启动了与未知或不受信任的数据相交互的任务时,例如启动一个新的网页浏览器选项卡,Bromium Microvisor就会创建一个新的微虚拟机来控制该任务。
LAVA分析能够监控并记录微虚拟机生命周期内运行环境的所有行为方面。一旦任务完成并且微虚拟机被破坏,LAVA关联及分析引擎就会将观测到行为与数据库中的行为进行对比。
对行为模版中记录的每一项变化进行加权并反馈给利用高级启发算法的关联隐形,以确定是否出现了恶意行为。如果判定了恶意行为,LAVA可视化引擎就会在微虚拟机中生成事件的总结文件以及相关的警示。按照管理员设置的政策,详细的行为信息和可视化摘要文件都会被保留在本地或发送至Bromium 管理服务器。
如果没有发现恶意活动,由系统管理员设定的政策决定,LAVA行为数据库是被删除、还是保存并发送至Bromium 管理服务器以作历史参考。
这两个阶段记录系统,通过确保只保留有效的警报以及详细分析所需的活动记录,来节省本地资源和网络资源。
LAVA可视化
LAVA的可视化图形的设计,能够使读者对整个恶意软件执行周期“一目了然”,并能在利用其它安全执行设备(例如网页网关、签名扫描引擎、网络入侵防御系统设备或中断反病毒引擎等)时,判定“查杀链”中能够反击攻击的特定链接。
LAVA在时间轴上从左至右显示了个体事件的顺序。个体元素之间的相互关系是通过连接子进程与父进程的线所表示的,或由在其他元素启动操作行为的进程或应用所表示。
在每个事件方框内不同类别的事件由不同的图标所表示。该图是相互的,分析学者可通过检验图表最上面的适当方框来选择要显示的特定事件类别 。
点击特定事件方框,则图示底部能显示相应细节
其中的细节,通过提供C&C服务器的外部IP地址或URL,例如文件指纹(MD5和SHA1哈希值),能够被分析学者导出或复制粘贴进而在组织的其他地方扩展现有的防御。
STIX/MAEC兼容报告
STIX是一种由MITRE开发的用来报告威胁数据的标准化方法,MITRE是由美国政府资助的开发高科技项目(例如信息安全)的非盈利组织。MAEC是一种标准化语言,能使不同系统和不同厂商之间共享威胁数据。
STIX(结构化威胁信息表述)允许由LAVA收集的威胁信息在其他情报系统之间自动共享,以期将LAVA对现有或未来安全情报解决方案的独特见解所带来的好处扩散开来。
恶意软件存档
LAVA不仅能够上报微虚拟机中观察到的恶意活动,还能保存恶意软件的副本以供后续的详细分析。恶意软件的样本被存储、加密并传送至Bromium管理服务器,由安全运营中心分析师做出进一步的分析。
Bromium管理服务器
通过为所有LAVA警报、图表以及恶意软件档案提供一个集中的存储库,Bromium管理服务器(BMS)能够为企业的安全分析团队带来广阔的可见性。BMS能够提供一个网页洁面,允许分析师从任一LAVA启动的终端选择并查看图。
BMS能够为集中警示和攻击分析提供对vSentry和LAVA启动的终端管理的多角色访问能力。
总结
恶意软件变种被设计为可规避自动分析系统,由此可见,恶意软件还将继续高速进化。同时,以组织内的特定个体或群体为目标的高危害攻击使得有效情报变得比以往更为重要。
Bromium LAVA能够利用虚拟化硬件及软件技术的最新开发成果,并结合先进的虚拟化和行为分析,提供一种比以往更加有效的检测和分析恶意软件及攻击的方法。
安天公益翻译(非官方中文译本)下载
在线攻击可视化与分析[非官方中文译本 • 安天实验室译].pdf
(1.57 MB, 下载次数: 55)
| 
发表于 2015-7-20 11:12
