在终端安全防护软件尤其是EDR产品中,通过HIPS规则检测、病毒查杀、联动等手段,可以识别到目标恶意程序,但在处置过程,单纯的对目标文件清理往往并不能达到最佳效果,多种持久化手段可以让恶意程序反复生成,频繁发作,触发恶意行为。借助数据采集的能力,可以对恶意程序从初始访问到持久化,从持久化到命令执行等每个阶段的行为进行记录,甚至也可以做到多终端的协同运作,这样在处置阶段更容易对整个执行链路进行清理,达到有效清除威胁、防止进一步扩散的目的。
操作系统对不同的系统资源提供了访问、修改方式,针对经常面临安全风险的资源和敏感操作,通常包括以下采集项:
一段恶意的代码、一个恶意的模块,一般都是通过独立进程或者利用系统进程来承载,而恶意进程对资源的访问方式有多种,例如执行勒索通常会频繁重命名、删除文件;持久化过程需要操作注册表等启动项;木马窃密存在可疑网络连接以及对隐私文件的访问;程序挖矿会发起特殊的DNS域名请求,此外很多恶意程序还会创建自己的内核对象,如互斥体、管道等。
恶意程序通过持久化,保证操作系统重启后可以继续留存,触发恶意代码的执行,主要的手段包括注册表启动项的增加、启动目录文件的增加、创建系统服务、安装内核模块等。
图1-1Windows系统数据采集方法对比
华为终端检测与响应EDR产品,结合上述多种采集技术,包括Windows内核驱动、APIHook、ETW以及其他辅助采集技术,汲取多项技术的优点,对系统进程、线程、注册表、文件、网络、DNS请求、API调用等进行监控,基本架构如图1-2所示。
图1-2华为终端检测与响应EDR数据采集架构
在数据采集架构中,EDR内核态实现对系统进程、文件、注册表、网络等资源的监控,通过内核事件过滤器完成数据筛选。用户态对内核生成的事件进行处理,同时也主动采集DNS请求、CPU占用等事件,并接收来自EDR进程外的API调用事件,多种信息经过渲染后被发送至用户态事件过滤器完成筛选,并生成原始事件,最后将原始事件传递至上层检测引擎等安全模块处理。
根据数据采集的具体实现,华为终端检测与响应EDR数据采集在功能和安全性方面具备如图1-3所示的六大特点。
图1-3华为终端检测与响应EDR数据采集特点
为保证数据采集的有效性,为抵御绕过、篡改等对抗行为,数据采集内部也构建了进程、文件、注册表、服务等多方位的自身防护能力。
在华为终端检测与响应EDR中,除常规的数据采集能力外,还包含由多种单独事件组合而成的复合行为采集,由内核采集、API调用采集等抽象而成。这种方式可以在不降低置信度的前提下,直接在采集器内部识别出行为异常,降低下游检测引擎规则的复杂程度,例如以下两种:
在多种采集技术中,如文件事件采集、注册表事件采集,以及API调用采集,由于安插了众多采集点,性能成为数据采集技术挑战之一。华为终端检测与响应EDR对此做了大量优化和创新,内核和用户态模块均内置过滤引擎,可针对主体、客体、行为等多元素进行高效过滤,在数据采集最前端实现筛选,并结合可信进程树和专利威胁图降噪技术,单终端数据上报可控制在20MB/天以下,保证关键数据不被丢弃,满足下游检测、防护业务的需求。
华为终端检测与响应EDR数据采集,通过文件、网络过滤,内核监控、APIHook、日志采集等机制,结合多项创新技术,多维度感知系统异常和风险,为检测、处置和溯源提供全栈深度可视数据,轻松应对勒索、挖矿、木马和其他未知威胁,为构筑终端安全能力提供黑土地。
原文标题:华为安全大咖谈|华为终端检测与响应EDR第03期:全栈数据采集如何使威胁“被看到”
长沙市望城经济技术开发区航空路6号手机智能终端产业园2号厂房3层(0731-88081133)