FireHunter6000沙箱技术白皮书

1、华为FireHunter 沙箱技术白皮书华为技术有限公司目录 HYPERLINK l _bookmark0 概述3 HYPERLINK l _bookmark1 APT 下一代威胁背景介绍3 HYPERLINK l _bookmark2 APT 下一代威胁发展趋势5 HYPERLINK l _bookmark3 用户现网现状分析6 HYPERLINK l _bookmark4 安全防护解决方案7 HYPERLINK l _bookmark6 文件检测技术原理8 HYPERLINK l _bookmark7 CC 检测技术原理10 HYPERLINK l _bookmark8 典型应用场景11

2、HYPERLINK l _bookmark9 旁路独立部署11 HYPERLINK l _bookmark10 与华为防火墙（简称 FW）联合部署11 HYPERLINK l _bookmark11 与华为大数据安全产品CIS 联动部署12 HYPERLINK l _bookmark12 与 FW、CIS 基础版联动部署13 HYPERLINK l _bookmark13 产品特性14 HYPERLINK l _bookmark14 全面的流量检测14 HYPERLINK l _bookmark15 支持主流应用和文档14 HYPERLINK l _bookmark16 模拟主流的操作系统和应

3、用软件14 HYPERLINK l _bookmark17 分层的防御体系14 HYPERLINK l _bookmark18 提供准实时的处理能力14 HYPERLINK l _bookmark19 提供一流的针对 APT 威胁的反躲避能力15 HYPERLINK l _bookmark20 强大的 CC 检测能力16 HYPERLINK l _bookmark21 产品规格17 HYPERLINK l _bookmark22 硬件配置19 1概述2010 年 Google 遭受 Aurora 下一代威胁攻击，导致大规模的 Gmail 邮件泄漏，对 Google品牌造成严重影响；2010 年

4、伊朗核设施遭受 Stuxnet 攻击，导致核设施核心部件-离心机受损严重，此次攻击造成后果不亚于一次定点轰炸；2011 年 RSA 遭受针对 SecureID 的下一代威胁攻击，导致大规模的 SecureID 数据泄漏， 严重影响使用 SecureID 的客户安全，对公司的安全性质疑严重影响公司的公众形象；2013 年 3 月韩国银行业遭受一次定向型 APT 攻击，导致大面积的银行主机系统宕机， 严重影响银行在客户心中的形象；2015 年 12 月，乌克兰电网遭受恶意代码攻击，至少有三个电力区域被攻击，导致了超过一半的地区和部分伊万诺-弗兰克夫斯克地区断电数小时停电事故；2016 年 2 月，

5、孟加拉国中央银行在美国纽约联邦储备银行的账户，遭受黑客攻击，被盗走超过 1 亿美金。2017 年 4 月，全球爆发 wannacry 勒索软件攻击，校园网、企业网受害严重。随着以 APT 为代表的下一代威胁登场，传统安全防护手段面临挑战，一次 APT 攻击， 轻则造成公司核心商业机密泄漏，给公司造成不可估计得损失，重则导致金融行业、能源行业、交通行业等涉及国计民生的行业陷入瘫痪，其效果不亚于一场战争，未来如何应对以 APT 为代表的下一代威胁，事关国家安全，这已经不是单纯依靠安全公司就能应对的问题，需要从国家安全的角度来应对未来的以APT 为代表的下一代威胁，应对未来可能的网络战。APT 下一

6、代威胁背景介绍自 2010 年Google 承认遭受严重黑客攻击之后，APT 高级持续性威胁便成为信息安全圈子人尽皆知的“时髦名词”，当然对于像Google、RSA、Comodo 等深受其害的公司而言 APT 无疑是一场噩梦，噩梦的结果便是对现有安全防御体系的深入思考。APT(Advanced Persistent Threat)高级持续性威胁顾名思义，这种攻击行为首先具有极强的隐蔽能力，通常是利用企业或 机构网络中受信的应用程序漏洞来形成攻击者所需C&C 网络;其次 APT 攻击具有很强的针对性，攻击触发之前通常需要收集大量关于用户业务流程和目标系统使用情况的精确信息，情报收集的过程更是社会

7、工程艺术的完美展现;当然针对被攻击环境的各类 0day 收集更是必不可少的环节。下面我们以 2015 年 12 月乌克兰电网遭受的 APT 攻击为例，介绍一下一个典型的 APT攻击过程：图1-1 乌克兰电网受到的 APT 攻击过程在乌克兰电网遭受的这次 APT 攻击中，攻击者首先伪造来自国会的邮件进行渗透，邮件附件有一个恶意 office 文档，办公区的员工打开文档运行恶意宏，会将恶意软件植入到办公区的主机中。恶意软件与外部的 C&C 服务器建立 C&C 通信，并且通过员工的VPN 权限访问到机房的 SCADA 控制主机。攻击者利用 SSH 的漏洞，在机房 SCADA 控制主机的 SSH Se

8、rver 添加了一个固定密码，为攻击留下后门。攻击者通过 C&C 通道， 登陆办公区员工主机，通过员工的 VPN 连接到机房的控制主机，通过 SSH 对机房的控制主机进行操作，发出打开电闸的命令，造成乌克兰多个地区的断电，之后擦除证据、破坏系统。同时对乌克兰电网的呼叫中心发起 DDoS 电话攻击，最终达成停电长达数小时，整个乌克兰社会混乱的局面。这次攻击点完全是通过恶意代码针对 PC 主机环节的渗透和植入达成的，造成了及其恶劣的社会和政治影响。对于 APT 攻击我们需要高度重视，正如看似固若金汤的马奇诺防线，德军只是改变的作战策略，法国人的整条防线便沦落成摆设，至于 APT 攻击，任何疏忽大意

9、都可能为信息系统带来灾难性的破坏。相信您迫切想了解传统的网络犯罪集团与 APT 攻击行为到底有哪些异同，下面的表格或许能让您找到答案。图1-2 传统威胁和 APT 威胁的区别不难看出 APT 攻击更像一支配备了精良武器的特种部队，这些尖端武器会让用户网络环境中传统的 IPS/IDS、防火墙、防病毒软件等安全防御体系失去应有的防御能力。无论是 0day 或者精心构造的恶意程序，传统的基于特征库的被动防御体系都无法抵御定向攻击的入侵。APT 下一代威胁发展趋势典型的 APT 攻击，通常会通过如下途径入侵到您的网络当中：通过 SQL 注入等攻击手段突破面向外网的 Web Server、邮件服务器等服

10、务器，然后以被入侵的服务器做跳板，对内网的其他服务器或桌面终端进行扫描，并为进一步入侵做准备;通过给高层主管邮件，发送带有恶意程序的附件，诱骗员工点击并入侵内网终端。通过熟人给企业内部的员工发送具有针对性的恶意链接，诱骗用户访问这个链接之后并入侵内网终端。通过连接到 Internet 主机将恶意软件通过 U 盘摆渡到隔离网络，从而入侵到隔离网络实现攻击。一旦用户被植入恶意软件，如木马、后门、Downloader 等，恶意软件会在内网建立与外网的 CC 通信，并持续回收集敏感文件(WORD、PPT、PDF、CAD 文件等)，通过隐蔽通道回传到攻击者手中。图1-3 典型 APT 威胁攻击流程以 A

11、PT 为代表的下一代威胁，综合利用 AET、0-DAY 漏洞、社交工程等多种高级技术手段，主要的攻击目标为高价值行业及涉及国家国计民生的基础设施（能源、金融、电信、交通等），存在攻击手段复杂、潜伏时间较长、检测难度较高等特点，一旦爆发，轻则造成公司商业机密泄漏威胁公司生存、重则造成公司或者整个行业瘫痪，甚至可以说以 APT 为代表的下一代威胁已经初具网络战雏形，兵者，国之大事，死生之地，存亡之道，不可不察。用户现网现状分析用户已经通过部署专业的防火墙、IPS、防病毒软件、终端安全软件等安全防护手段， 能够针对主流威胁实现防护。然而基于特征检测的传统安全防御手段只能识别已知威胁， 且存在应对快速

12、演进的威胁滞后之间较长的弱点，另外以 APT（Advanced Persistent Threat）为代表的下一代威胁使得传统的“依靠特征检测的方法”失效，如何应对以 APT 为代表的下一代威胁成为所有企业的必修课之一。 2安全防护解决方案如 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark5 图 2-1 给出了 APT 的攻击链，以及对于攻击链上各个阶段的防护措施。如图所示： APT 攻击链包括前期引诱、渗透、安装后门、建立 CC 通道、横向移动、窃取机密几个阶段。其中渗透、安装后门以及建立 cc 通道是攻击者最费心费力，通过技术手段突破安全防线，

13、进入目标网络的内部，并构筑窃控制及窃取机密的通道，为最终发起攻击做好准备。华为自研的 FireHunter（简称 FireHunter）凭借先进的技术能力，能够分别在 APT 攻击的渗透阶段、安装后门阶段以及建立 cc 通道阶段识别攻击，让 APT 攻击“现形”，帮助客户识别 APT 攻击，进一步清除、阻断 APT 攻击。在渗透阶段，攻击者诱使目标对象的员工访问恶意网站、或者将恶意文件发布到网站上， 或者是目标对象的员工发送带有恶意链接或者是恶意文件的邮件，通过内部员工的访问网站、收邮件或者下载文件时，将恶意文件渗透进内网。FireHunter 提供的文件检测功能，采用创新的静态分析、启发式检

14、测及虚拟执行三层检测技术，组合创新性的恶意行为分析技术，有效的弥补了传统的基于特征检测技术的弱点，从而可以高效的检测恶意软件，在 APT 的渗透及安装后门阶段对攻击进行识别。成功渗透后，攻击者会进一步建立 CC 通道，以对内网设备进行控制，发布命令，控制内网设备提供想要的服务。FireHunter 提供了 CC 检测技术，不仅仅有传统的基于特征的识别已知的 CC 攻击，并且还有基于机器学习以及华为自研算法的 DGA 恶意域名的识别能力，有效识别通过请求及访问DGA 恶意域名发起的 CC 攻击进行识别。图2-1 APT 攻击链及防护链文件检测技术原理 HYPERLINK l _bookmark5

15、 如图 2-1 所示：APT 攻击链包括前期引诱、渗透、安装后门、建立 CC 通道、窃取机密几个阶段。渗透阶段是 APT 攻击链中最关键的一环，只有成功渗透了，才有可能进一步实施后面的攻击。而文件检测技术能有效地在渗透阶段、安装后门阶段对恶意软件进行检测，能有效地检出未知威胁，这是传统的安全产品无法做到的。图2-2 文件检测技术原理文件检测经过信誉查询、第三方 AV 检测、静态检测引擎检测、机器学习引擎检测、CC 检测引擎检测、沙箱检测引擎检测，最终在威胁分析引擎进行对各个检测结果进行关联、联合分析和威胁判定，最终给出威胁检测结果。其中，沙箱检测引擎，又包括了 web 启发式引擎、PDF 启发

16、式引擎、PE 启发式引擎和虚拟执行环境引擎。下面重点对各部分进行介绍：静态检测引擎支持 Office 文件，图片文件，SWF 文件的深度解码。文件数据格式异常分析。解析宏脚本、VB 脚本并分析恶意行为。逃避检测的混淆数据分析。Shellcode 代码检测。病毒家族特征匹配。机器学习引擎静态机器学习引擎，就是利用随机森林，支持向量机等算法，将大量从恶意样本和白样本中提取的静态数据进行训练学习，从而建立学习模型，并使用学习模型对未知的样本进行判断分类。动态机器学习引擎，就是利用随机森林，神经网络等算法，将大量从恶意样本和白样本运行过程中监控到的主机和网络行为进行训练学习，从而建立学习模型，并使用学

17、习模型对未知的样本进行判断分类。CC 检测引擎对样本产生的上网行为进行 CC 检测，CC 检测包括基于特征的远程访问工具检测和 DGA 域名检测。详述见 2.3 节。PE 启发式引擎软件模拟操作系统环境，模拟 CPU 指令和 API 调用。监控软件运行的指令流和 API 调用流。通过反汇编指令、API 调用及参数，与病毒家族特有的静态指令、API 调用特征进行匹配，进行静态分析。模拟执行文件，监控威胁行为，与病毒家族特有的行为及行为序列进行匹配。文件格式、文件属性异常分析。WEB 启发式引擎沙箱内部模拟了 IE 浏览器环境，对页面彻底去除混淆。通过机器学习，对 web 文件进行分类。对浏览过程

18、中产生的二进制内容进行 Shellcode 检测。实时检测页面执行过程中的各种危险行为。实时分析页面执行过程中是否有出现了 POC 溢出代码。PDF 启发式引擎沙箱内部模拟了 PDF 文档解析器环境。充分执行文档内部的脚本代码。实时分析脚本执行过程中是否出现 POC 溢出代码。静态沙箱支持 Office 文件，图片文件，SWF 文件的深度解码。文件数据格式异常分析。解析宏脚本、VB 脚本并分析恶意行为。逃避检测的混淆数据分析。Shellcode 代码检测。病毒家族特征匹配。使用虚拟化技术的重量级深度检测引擎利用虚拟化技术构建操作系统环境以及各种软件环境。让待检测文档、可执行程序在该环境中充分运

19、行。实时分析可执行程序以及文档在运行过程中的行为和参数信息。支持多种抗逃逸躲避检测技术，如虚拟机环境监察、延时对抗等。使用虚拟层监控技术在 hypervisor 层对虚拟机内的行为进行透明监控。更丰富更直观的恶意行为展示。CC 检测技术原理在 APT 攻击链中，如果将引诱用户、渗透系统比喻成撒大网，那么建立 CC 通道就是准备收网阶段。虽然 APT 攻击所使用的恶意软件变种多且升级频繁，但恶意软件所构建的命令控制通道通信模式并不经常变化，因此，可以采用传统入侵检测方法来检测 APT 的命令控制通道。该类方案成功的关键是如何及时获取到各 APT 攻击手法的命令控制通道的检测特征。另外，使用随机域

20、名生成算法DGA 生成域名并注册，诱使用户访问恶意网站，从而植入木马，达到建立 CC 通道的目的，这种攻击手段也是近年来常见的攻击方式。FireHunter 提供了两类 CC 检测技术，一种是基于远控工具特征的 CC 检测；一种是 DGA恶意域名检测。基于远控工具特征的 CC 检测基于特征的传统的检测方法。从流信息中提取特征，与远程工具特征进行比对。DGA 恶意域名检测DGA 恶意域名检测利用机器学习技术及特定的算法进行检测，具体流程见图 2.4。主要包括如下几步：根据流量信息提取域名特征，利用样本训练生成分类器。当有新的流量时，提取域名相关特征送入分类器，分类器字段判定此域名是否正常。根据分

21、类器的检测结果，套装训练参数、特征格式，使得分类器更加准确。图2-3 DGA 检测原理典型应用场景旁路独立部署图2-4 FireHunter 独立部署独立部署时，FireHunter 的镜像口与交换机或者其他网关的镜像口直连，由交换机或者其他网关设备将待检测的网络流量通过镜像口镜像给FireHunter。FireHunter 接收镜像的网络流量，自行进行流量还原，对流量进行 CC 检测，同时提取流量中的文件进行检测， CC 检测结果以及文件检测结果都能够在 FireHunter 自身的 WebUI 上进行展示。用户还可以通过 webUI 查询恶意文件的检测结果报告以及恶意文件及其威胁分析相关文

22、件及证据。与华为防火墙（简称 FW）联合部署图2-5 FireHunter 与 FW 联合部署在 FireHunter 与 FW 联合部署的场景，首先要保证 FireHunter 的业务口，即联动接口路由可达。网络流量经过 FW，FW 从网络流量中提取文件，将待检测文件通过联动协议发送给 FireHunter。FireHunter 收到文件后进行检测，FW 通过联动接口查找所提交文件的检测结果。在这种场景下，FW 可以提供文件检测日志，而 FireHunter 自身的 WebUI 除了展示检测日志外，还可以提供恶意文件的检测结果报告的查看，并且能够进一步查看到恶意文件以及其威胁分析相关文件及证

23、据。FireHunter 的联动接口是 restful 接口，作为该场景的扩充该接口可以对外开放，其它设备可以针对该接口开发联动客户端向 FireHunter 提交文件进行检测。与华为大数据安全产品 CIS 联动部署图2-6 FireHunter 与CIS 联动部署FireHuner 与 CIS 联动部署时，同样要保证沙箱联动口能路由可达。在这种场景下，CIS 的流探针接收网络镜像流量，对流量进行还原，提取网络中的文件，通过 FireHunter 联动协议发送给 FireHunter，FireHunter 收到文件后进行文件检测，将检测日志发送给 CIS 的采集器进行处理。在这种场景下，Fir

24、eHuner 自身的 webUI 除检测日志外，同样也提供恶意文件的检测报告，以及恶意文件及其威胁行为分析相关文件及证据。与 FW、CIS 基础版联动部署图2-7 FireHunter 与 FW、CIS 基础版联动部署在这种场景下，首先，保证 FireHunter 业务口路由可达。网络流量经过 FW，FW 对网络流量进行还原并提取文件，将文件发送给 FireHunter 进行检测。FW 从 FireHunter 查询检测结果，依据检测结果生成安全策略，对带有已检测文件的网络流量进行阻断或者放行，同时生成检测日志，发送给 CIS 基础版进行展示，并呈现全网安全态势。同样，在这种场景下，FireH

25、unter 的 webUI 能够提供恶意文件的检测结果报告以及能够查询到恶意文件以及其威胁行为分析相关文件及证据。 3产品特性全面的流量检测同时提供独立的流量还原能力，可以识别主流的网络协议 HTTP、SMTP、POP3、IMAP、FTP、NFS、SMB，从而确保识别所有通过网络传输的文件。支持主流应用和文档FireHunter 可以针对主流的应用软件及文档实现检测、分析，支持 Word、Excel、PPT、PDF、HTML、JS、EXE、JPG、GIF、PNG、chm、swf、可执行脚本文件、媒体文件、LNK 文件、压缩文件等软件及文档。模拟主流的操作系统和应用软件FireHunter 可以

26、模拟Windows XP/7/10 操作系统，可以模拟Internet Explorer 6/7/8/9/10/11、Chrome 等浏览器，可以模拟 Office 2003/2007/2010/2013 办公软件，可以模拟 Adobe Reader 8/9/X/XI 等 PDF 阅读器。分层的检测体系FireHunter 的检测手段丰富全面，从层次上可以分为：信誉查找，AV 检测，静态分析， 机器学习，CC 检测，启发式检测和虚拟环境动态检测，从而提高针对以 APT 为代表的下一代威胁的检测能力，并提供下一代威胁的所有危险点分析清单，让客户对威胁的攻击过程、攻击目标一目了然。提供准实时的处理

27、能力FireHunter 提供接近实时的处理能力，有效的将对下一代威胁的检测的响应时间从几周降到秒级，并与下一代防火墙配合实现在线防御能力。提供一流的针对 APT 威胁的反躲避能力FireHunter 针对 APT 威胁的各种躲避手段，提供了相应的能力来反逃逸，包括：反虚拟机探测技术逃逸的能力、反用户交互的逃逸手段的能力以及反延迟执行逃逸的能力。强大的 CC 检测能力FireHunter 既支持传统的基于特征的 CC 攻击检测，又支持基于机器学习以及特定算法的 DGA 恶意域名检测，有效地检测 CC 攻击。 4产品规格功能项指标要求检测文件类型支持 Windows 可执行文件 APT 未知威胁检测支持 Office 文档 APT 未知威胁检测支持 PDF 文档 APT 未知威胁检测支持 Web 页面 APT 未知威胁检测支持 Images 图片 APT 未知威胁检测支持 Flash/SWF 文件 APT 未知威胁检测支持Java Applet 文件 APT 未知威胁检测支持 WPS 文档 APT 未知威胁检测支持压缩文件检测支持可执行脚本类文件检测支持媒体文件检测支持 LNK 文