专杀工具在应急响应服务中的价值

威胁框架：细粒度对抗威胁框架：细粒度对抗CONTENTS与需求威胁框架：细粒度对抗威胁框架：细粒度对抗网络安全应急响应工作痛点与需求Page4客户在网络安全应急响应工作中的几个痛点序号威胁问题1“熊猫烧香”蠕虫、“魔窟（WannaCry）”勒索蠕虫持续传播感染扩散的威胁。主机原有防御产品出现清除不掉、杀而复来的情况。2“暗云”系列、“机器狗”等带有Rootkit、Bootkit、BIOSkit等机制的恶意代码。主机原有防御产品无法发现，更无法清除。3病毒蠕虫在隔离网络内泛滥传播。病毒库无法及时分发升级，无法有效处置。4对一些安全风险，获得了HASH、YAYA规则等格式情报。没有对应的主机侧利用工具。1专杀工具23456需要怎样的工具应对?1专杀工具23456应该满足轻量化部署，具备高度灵活弹性应该满足对外部条件依赖性低，应该满足轻量化部署，具备高度灵活弹性应该满足对外部条件依赖性低，且具应该满足能够在最大程度上避免被威胁察觉和破坏应该具备服务运营多方参与性，能够支持客户和友商参与运营应该满足针对APT的对抗性，支持用作威胁猎杀的精巧利器响应工作中长期存在且数量众多的隐痛，催生了对于除传统终端防御系统之外的另一种形式的威胁防御措施——专杀工具的迫切需求，这种威胁防御措施应该能Page5威胁框架：细粒度对抗威胁框架：细粒度对抗Page6在哪些技术点上需要快速处置工具的辅助支持？利用自动启动执行引恶意代码可以将系统设置配置为在系统启动或登录期间自动执行程序，以保持持久性或在受到感染的系统上获得更高级别的特权。专杀工具可将系统设置配置为在系统启动或登录期间自动执行程序，从而将该类恶意代码查杀。创建或修改系统进程部分。专杀工具能够检测系统上的特权和服务滥用并对其进行纠正。利用服务器软件组件恶意代码可能滥用服务器的合法可扩展开发功能来建立对系统的持久访问。专杀工恶意代码可能试图隐藏与其行为相关的文件等，以逃避检测。专杀工具可查看隐藏恶意代码可以通过劫持操作系统运行程序的方式来执行自己的恶意负载。专杀工具全限制。专杀工具通过接近底层的ARR处置规则脚本将其查杀。恶意代码可以将代码注入到进程中，从而规避基于进程的防御以及可能的提权。专恶意代码可能使用rootkit来隐藏程序、文件、网络连接、服务、驱动程序和其他系统组件的存在。专杀工具具备Rootkit检测能力并横向移动恶意代码进入网络后可以利用远程服务获得对内部系统的未授权访问。专杀工具可下发相应的补丁并封堵相应的端口进行恶意代码查杀。横向传输文件或工具恶意代码可以在受害者环境中的不同系统之间传输工具或其他文件。专杀工具可封堵相应的端口，拦截传输并进行恶意代码查杀。恶意代码可以使用有效帐户登录专门用于接受远程连接的服务。专杀工具可有效禁恶意代码可以利用增补系统的资源来解决可能影响系统和/或托管服务可用性的资源密集型问题，如挖矿工具等。专杀工具可查杀指定进程或文件等。恶意代码可以停止或禁用系统上的服务，从而使合法用户无法使用这些服务。专杀工具可查杀该恶意代码并将被恶意修改的服务等恢复。威胁框架：细粒度对抗威胁框架：细粒度对抗专杀工具在应急响应工作中专杀工具的定义与演进专杀工具产生于DOS杀毒时代，对于一些较为顽固或有特殊感染方式的病毒，反病毒厂商或安全研究者，编写出独立于杀毒软件之外的专用杀毒程序，被称为专杀工具。在经历了多年应急响应对抗后，安天对专杀工具定义已经成为面对特定的一种或多种安全威胁，能够进行检测、清除、隔离、验证、免疫、修复综合应对的安全小工具。Page8威胁框架：细粒度对抗威胁框架：细粒度对抗安天历史上发布过的较为重要的专杀工具Page9威胁框架：细粒度对抗威胁框架：细粒度对抗专杀工具形式的威胁防御措施的与时俱进与时俱进，正如图中所示的部分典型工具，从单一威胁专杀到某一类别威胁专杀再到统一界面风格的流程化研发、开放式框架AVLPK火眼（FireEye）失窃工具专Page10威胁框架：细粒度对抗威胁框架：细粒度对抗Page11当前检测文件发现威胁导出结果暂停/继续提取样本处置威胁设置排查模式当前检测文件发现威胁导出结果暂停/继续提取样本处置威胁设置排查模式可处置列表一键排查免疫设置免疫设置Page12安天专杀工具的处置机理和规则扩展）， 插件模块插件YARAYARA检测规则处置规则安天专杀工具AVLPK可扩展性安天专杀工具支持YAYA检测规则扩展YARAYARA是VirusTotal的反病毒工程师VictorManuelAlvarez在2008年开发的工具。该工具旨在帮助恶意软件研究人员识别和分类恶意软件样本。对开源沙箱（CuckooSandbox）的支持，提供了一种使用文本或二进制形式描述恶意软件的规则。该规Perl的正则表达式。{}Page13威胁框架：细粒度对抗威胁框架：细粒度对抗Page14安天ARR(AntiyResponseRule)开放式处置规则定义ARRARR（AntiyResponseRule）的部分指令集1.创建注册表项/值[Reg_Create] 2.修改注册表项/值[Reg_Modify] 3.删除注册表项/值[Reg_Delete] 4.重命名注册表项/值[Reg_Rename]5.删除注册表值[Reg_Delete_Value]1.创建计划任务[Task_Create]2.修改计划任务[Task_Modify]3.删除计划任务[Task_Delete]1.创建文件[File_Create]2.修改文件[File_Modify]3.删除文件[File_Delete]4.重命名文件[File_Rename]5.修改文件属性[File_Attribute]6.删除文件指定内容[File_DelText]7.MBR修复[File_repairMbr]1.创建进程[Proc_Create] 2.挂起/恢复进程[Proc_Modify] 3.结束进程[Proc_Terminate]4.挂起指定模块线程[Proc_Module_Threads]1.下发bat脚本并运行[Script_Bat]2.下发shell脚本并运行[Script_Shell]3.下发vbs脚本并运行[Script_Vbs]4.下发powershell脚本并运行[Script_PWL]5.下载文件并运行[Script_File]1.外设弹出/规则[Other_Device]2.断网处置[Other_NetOff]3.禁用端口[Other_Disabled_Port]3.禁用ip[Other_Disabled_Ip]4.补丁修复[Other_Fix_patch]5.创建互斥免疫[Other_Create_Mutex]6.创建扫描并自动处置[Other_QuickScan]二、计划任务（可配自动处置规则）一、注册表（可配自动处置规则）三、文件（可配自动处置规则）四、进程（可配自动处置规则）五、脚本六、其他安天ARR开放式处置规则定义是安天为实现细粒度端点响应策略而定义的一组指令集合，包括了对扇区、注册表、文件、驱动、进程等进行相关操作的动作定义，并可以执行包括磁盘遍历，特征匹配搜索等逻辑动作。可以用于处理策略编排、专杀脚本生成，以执行细粒度的处置动作。安天专杀程序由符合ARR规则的脚本和解析器、处理器构成。ARR处置规则支持判定条件，用于触发相应处置:Page15安天专杀工具与SOAR、IEP紧密协同面对网空威胁，安天专杀工具在应急响应工作中的应用具有完备的支撑环境，并与安天态势感知平台编排响应（SOAR）子系统、安天智甲终端防御系统（IEP）紧密协同，共同组成终端一体化防御。针对态势感知平台发现并告警的安全威胁，安天SOAR进行细粒度的处置编排并将处置策略下发至IEP执行；针对某些未部署IEP等终端防御系统的敏感终端或不适用于IEP开展处置的场景下，由专杀工具直接加载处置策略（安天SOAR生成并下发实施针对性的专杀作业，直至清除威胁后将专杀结果以日志等形式反馈至安天SOAR，形成闭环。在这其中，安天专杀工具与IEP共享统一的内核处置机制，包括但不限于ARR处置规则等。安天态势感知平台编排响应（SOAR）子系统安天智甲终端防御系统（IEP）安天专杀Page16案例1：“暗云Ⅲ”木马事件安天安全研究与应急处理中心（AntiyCERT）于北京时间2017年5月26日19时，监测的DDoS攻击事件。参与攻击的源地址覆盖广泛，几乎在全国所有省市运人员将此次攻击命名为“RainbowDay”——“经过多次取证分析发现，该恶意代码感染量较大，其功能非常复杂，可以利用带有正常数字签183.60.111.150，一直持续到2攻击第二阶段，于5月28日早7时左右开始攻击59.1发送数据包详情部分受害IP向C2服务器发起请求Page17案例1：“暗云Ⅲ”木马执行流程此次DDoS攻击事件最原始的传播是通过捆常游戏微端的方式将ShellCode捆绑到正执行后会从网络上下载一个配置文件，读取配置文件中的下载地址执行后再一次连接网络下载文件lcdn.db（lua脚本解释器）和ndn.系统每次运行都会调用案例1：“暗云Ⅲ”木马特征与查杀工具脚本示例“暗云Ⅲ”木马特征，包括但不限于：1.通过游戏微端、外挂、私服登录