华为：HiSec Endpoint智能终端安全系统报告2024

智能终端安全系统2024-09-1001版权所有©华为技术有限公司2024。保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。商标声明和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。i吴兴勇：2011年加入华为，长期从事数据通信产品文档开发工作，曾参与《华为防陈姝：华为数据通信安全营销工程师，2021年加入华为，具有丰富的安全产品及解决方案管理和营销工作经验。当前主要负责本书介绍HiSecEndpoint智能终端安全系统的产生背景、方案架构、优势与价值，并在此基础上阐述HiSecEndpoint智能终端安全系统的工作原理和典型场景，帮助本书适合对终端安全及其应用场景感兴趣，或是在数字化转型中的对网络安全有业务 11.1网络安全建设面临的挑战 11.2HiSecEndpoint智能终端安全系统 2 52.1威胁感知全 5 72.3威胁处置优 10 113.1全栈数据采集 113.2病毒查杀与处置 143.3勒索检测与处置 173.4挖矿检测与处置 233.5无文件攻击检测与处置 273.6钓鱼木马检测与处置 293.7溯源取证 30 341本章主要介绍网络安全建设面临的挑战，以及HiSecEndpoint智能终企业面临的网络安全风险也越来越大。从近几年现网安全运营和安全报告披露的数据来看，勒索、挖矿、蠕虫、窃密和远控木马依然活跃，并呈现出隐蔽性、多样性的特点。这些恶意软件的入侵手段不断翻新，融合了更复杂的技术，因此检测这些恶意软件的难度与日俱增。终端作为业务和数据的计算载体，是各类威胁锁定的最终目标，面临更多的安全风险，往往也是整个网络安全防护流程中最薄弱的环节。面对不断演进的新型网络威胁攻势下，以单向防御和管控为核心的终端防护已无力应对，攻击者不仅可以从外部入侵，还可以直接从企业内部发起攻击2随着威胁手段和攻击技术的不断提高，企业频频遭受未知威胁攻击，勒索变种、高级持续性威胁等。然而传统反病毒产品仅采用威胁特征库匹配技术，基于已知样本提取病毒特征，只能识别已知威胁企业网络每天遭受很多网络探测、攻击尝试，但哪些是真正的攻击，产生了什么影响却难以判断。通过终端进行溯源是最有效手段，但传统终端安全产品记录或上报数据有限，忽视攻击路径分析，无法对威胁事件进行事后溯源，企业不能感知威胁事件发生的原因和过程。因此，管理员无法根据威胁发生原因制定对应的防御策略，不能从新型恶意软件采用多跳攻击渗透到内网终端，单向、点状的防御和检测已经无法应对。云端、边界、终端有效协同形成从点到全链路的防御体系至关重要。为了提升防御效果，企业客户往往需要部署5个以上不同安全厂商的产品，但跨厂商、跨系统的产品缺乏全局统筹分析能力，无法形成有效的全链路防御体系，难以准确识别威胁并进行1.2HiSecEndpoint智能终端安全系统传统终端安全产品已无法解决未知威胁应对难、溯源分析难、统筹分析差等问题，华为在深入分析终端安全建设困境后，创新推出了HiSecEndpoint智能终端安全系统。该系统致力于在网络空间抵御新型威胁攻击，作为安全的锚点和托底，整合大数据安全深度分析能力，深度协同，形成感知、检测、判定和处置等多层面的自适应防御闭环系统，同时依托HiSecEndpointAgent（下图显示为EDRAgent）统一终端平台，以小身材，撬动安全大乾坤，架构如图1-1所示。3HiSecEndpoint智能终端安全系统在云端提供资产管理、威胁检测和溯源处置功能，在终端部署HiSecEndpointAgent，具体功能如下。4l资产管理：提供自动化终端资产清点能力，统筹管理终端信息并进行多维资产风能够检出常规签名无法检测到的恶意样本，发现多种WAF（WebApplicationFirewall，网站应用程式防火墙）绕过手段，对抗未知和变种威胁，并对检出的l溯源处置：提供攻击可视化能力，对威胁事件进行精确的溯源分析，支撑威胁事lHiSecEndpointAgent：需要安装到企业的每一台终端上，主要负责收集并上报终端上的租户登录、进程运行/创建、目录/文件访问日志、DNS（DomainNameSystem，域名系统）请求等信息，并执行预置的主动防御策略和云端下5优势与价值本章主要介绍HiSecEndpoint智能终端安全系统的优势与价值，包括HiSecEndpoint智能终端安全系统通过轻量级HiSecEndpointAgent采集的数据全面感知终端存在的威胁。HiSecEndpointAgent支持分钟级批量部署上线，实时防护CPU占用小于1%，内存占用小；它基于可信进程树、白名单自学习和威胁图降噪专利技术，能够在各类数据采集无损的条件下，去除80%以上的噪声和冗余数据，帮助HiSecEndpoint智能终端安全系统多维度全面感知威胁。HiSecEndpointAgent采集数据的特点如图2-1所示。6优势与价值在终端防护场景中涉及到检测、处置、溯源、取证等多方面操作，为重要，HiSecEndpointAgent与传统EPP（EndpointProtectionPlatform，威胁图的构建，包含了完整的事件主体信息，客体信息和行为的详细随着安全对抗进入白热化阶段，基础的数据采集能种绕过、躲避手段层出不穷，因此必须持续获取攻防领地的制高点，态应对变幻莫测的攻击手法。HiSecEndpointAgent在恶意软件泛化行为上提供多种打点，从进程行为到线程行为，从文件行为到内存行为，由浅入路径上全段覆盖，从网络连接到爆破登录，从注册表变化到启动项增7优势与价值细。同时为保证数据采集的有效性，为抵御绕过、篡改等对抗行为，HiSecEndpointAgent也构建了进程、文件、注册表、服务等多方位的自身防护能力。HiSecEndpointAgent除常规的数据采集能力外，还包含由多种单独事件组合而在不降低置信度的前提下，直接在采集器内部识别出行为异常，降在多种采集技术中，如文件事件采集、注册表事件采集、API调用采集，由于安插了众多采集点，性能成为数据采集技术挑战之一。HiSecEndpointAgent对此行为等多元素进行高效过滤，在数据采集最前端实现筛选，并结合可信专利威胁图降噪技术，单终端数据上报可控制在20MB/天以下，保证关键数据对于轻量化安全防护场景，HiSecEndpointAgent专为数据采集提供了精细化的开关控制，可有针对性地开启、关闭或者部分关闭采集功能，进一步除Windows平台外，HiSecEndpointAgent还支持Linux平台数据采集，以基于BPF（BerkeleyPacketFilter，伯克利包过滤器）的高性能数据采集时兼顾差异化的操作系统版本，借助内核模块以及系统回调机制，在文件、进程、网络、DNS请求等多方面构筑数据采集及防护技术，为上层勒索、挖矿、木马、HiSecEndpointAgent集成第三代反病毒引擎、威胁溯源图引擎，能够对终端进行8优势与价值l第三代反病毒引擎：是华为自主研发的最新反病毒引擎，集成了专用的文件类型识别算法，可以快速、精确地识别上百种文件类型。同时通过对各类复杂文件进行全面深度解析，识别隐藏在原始文件中的恶意信息，即使攻击者通过深层混合压缩或者复合文档附件等手段隐藏病毒，在CDE病毒检测引擎检测下都无所遁拟合成网状行为“快照”，对威胁进行全链路上下文深度关联，层层分析可疑信9优势与价值优势与价值HiSecEndpoint智能终端安全系统可联动边界防护与响应服务，进行威胁分析和封禁外部攻击源，为用户提供最优阻断方案，全方位抵御安全风险。HiSecEndpoint智能终端安全系统采用智能化技术，当攻击发生时，可自动挖掘同一攻击链上所有威胁事件，并对所有威胁事件提供一键快速处置方式。针对勒索病毒，HiSecEndpoint智能终端安全系统内置轻量级备份恢复机制，可以在检测到勒索攻击后，将被加密文件恰本章主要介绍HiSecEndpoint智能终端安全系统的工作原理。九层之台，起于垒土，数据采集决定终端安全防护的可行性和能力上限。HiSecEndpoint智能终端安全系统的全栈数据采集在实时监控与防护、威胁检测、威胁响注册表操作、网络连接等，把这些数据内容作为行为检测引擎的据规则实现对主机的防护，即HIPS（Host-basedIntrusionPreventionSystem，通过数据采集的多种数据源，可以实现对恶意软件行为的抽象，对多种进程行为、系统行为进行描述，大量的描述汇聚成威胁图，然后通过检测引擎恶意脚本执行、进程挖空、Shellcode异常外连等行为，进一步可以确定勒索、挖矿、横向移动等多种攻击场景，以此发现环境中的已知威胁、未通过HIPS规则检测、病毒查杀、联动等手段，可以识别到目标恶意处置过程，单纯的对目标文件清理往往并不能达到最佳效果，多种持久以让恶意程序反复生成，频繁发作，触发恶意行为。借助数据采集的能对恶意程序从初始访问到持久化，从持久化到命令执行等每个阶段的行录，甚至也可以做到多终端的协同运作，这样在处置阶段更容易对整个数据采集是终端安全防护软件中与操作系统甚至硬件关系最紧密的能力，数据采集模块部署在HiSecEndpointAgent客户端中，采集用户终端或服务器的用户态和内核数据采集模块采用Windows内核驱动、APIHook、ETW（EventTracingforWindows，Windows事件跟踪）以及其他辅助采集技术，对系统进程、线程、注册表、文件、网络、DNS请求、API调用等进行监控，基本模型如图3-1所示。l内核态实现对系统进程、文件、注册表、网络等资源的监控，通过内核事件，并接收来自EDR进程外的API调用事件。多种信息经过渲染后被发送至用户态事件过滤器完成筛选，并生成原始事件，最后将原始事件传递至上层检测引数据采集的信息越丰富，越能满足对复杂攻击的检测需求，不错过恶意行为的蛛丝马14一段恶意的代码、一个恶意的模块，一般都是通过独立进程或者利承载，而恶意进程对资源的访问方式有多种。例如，执行勒索通常会频繁重命名、删除文件；持久化过程需要操作注册表等启动项；木马窃密存在可疑及对隐私文件的访问；程序挖矿会发起特殊的DNS域名请求，此外很多恶意程系统的登录退出信息可以用来辅助分析爆力破解过程，例如审计恶意程序通过持久化保证操作系统重启后可以继续留存，触发恶要的手段包括注册表启动项的增加、启动目录文件的增加、创建系API调用采集，即对系统中一些重要行为对应的API进行记录，如网络下载、权为了应对恶意文件数量的持续增长和新样本的不断进化，华为反病毒引擎检测技术经过10余年的演进和积累，迎来了CDE（Content-basedDetectionEngine，内容检测引擎）第三代反病毒引擎，如图3-2所示。CDE的核心功能是检测恶意文件中是否包含恶意代码，然后删除计算机中的恶意文件来防止恶意文件对计算机进行感染和破坏。它可以动态模拟执行引擎，还原真实威胁信息并进行数据分析。同时也基于云端智能中心分析海量病毒构建专用的病毒检测AI算法，具备未知威胁检测和全面智能HiSecEndpoint智能终端安全系统病毒检测引擎处理华为HiSecEndpoint智能终端安全系统集成CDE，支持防护包括勒索、挖矿、木马、僵尸、后门、漏洞利用、蠕虫、病毒、黑客工具、灰色软件、恶意广告等各类恶意家族病毒。当客户终端被攻击下载病毒文件，病毒在终端落盘或运行时，HiSecEndpoint智能终端安全系统中的病毒检测引擎会对病毒进行实时的检测并处理。如图3-3所示，防护过程包括文件类型识别、内容深度分析和病毒检测引擎。1.文件类型分类：HiSecEndpoint智能终端安全系统首先通过分析终端用户文件内容实现对海量文件的类型分类。它集成了专用的文件类型识别算法，可以快速且精确地识别Windows、Linux等各类主流操作系统的上百种文件类型，包括PE、即使攻击者对文件后缀或内容进行仿冒，它也能精准识别实际的文件类型，防止2.内容深度分析：当文件类型确定后，HiSecEndpoint智能终端安全系统接着对二进制文件、复合文档和各类脚本文件进行分析，识别潜藏的恶意信息，为病毒检测模块提供详细的内容特征信息。对于二进制可执行文件，通过极速模拟CPU、内存及操作系统环境，运用高性能的指令编译和CPU软cache核心加速技术，在虚拟隔离的微内核中实现实时、安全的可疑恶意代码和内存片段的动态分析，深度识别隐藏的恶意行为。通过对各类脚本进行词法和语义分析，精准还原脚本3.病毒引擎检测：最后，HiSecEndpoint智能终端安全系统会检测文件中是否存在恶意代码，通过MDL检测引擎、神经网络引擎AI引擎和云端智能中心的加持，HiSecEndpoint智能终端安全系统支持本地用户与云端管理员多模式的病毒查杀模式，l快速查杀：终端用户使用系统默认的查杀策略对终端执行病毒扫描任务，只检查l自定义查杀：根据终端用户的实际需要自定义配置l高性能：通过高效的缓存和线程池调度技术，实现HiSecEndpoint智能终端安全系统病毒查杀速度领先，其中二次病毒查杀能力达到分钟级，资源占用一半以l资源自适应：在用户办公场景下，HiSecEndpoint智能终端安全系统通过对系统内存、磁盘IO、CPU的综合评估，实现了用HiSecEndpoint智能终端安全系统基于勒索攻击链提供全链路防护。在侦查准备阶段，黑客通过扫描锁定攻击的目标，缺乏安全防护手段的资产更容易成为黑客攻击的目标，HiSecEndpoint智能终端安全系统基于漏洞扫描服务与网络威胁在攻击入侵阶段，黑客利用风险资产的漏洞入侵主机系统植入病毒，HiSecEndpoint智能终端安全系统的关键应对理念是防御前移，建立实时防御的分层防御网，尽早断开攻击者的入侵链路，降低攻击者ROI（Return-on-investment，投资净利率不断增加攻击者的成本和难度。从基于NDR（NetworkDetectionandResponse，网络威胁检测与响应）的高级入侵线索发现（如0-Day漏洞利用到XDR（DetectionandResponse，可扩展威胁检测与响应）IOA（IndicatorofAttack，攻击指标）高级威胁检测引擎实现勒索加密前阻断，再到文件加密攻击拦截，每一环节的防御机制均为上一环节防御机制的防御兜在勒索实施后，为了彻底控制、根除、恢复勒索软件攻击带来的影响，我们通过攻击可视化技术和深度溯源技术直接还原攻击入口，助力定发现真实攻击意图，复盘企业信息系统弱点，多层次修复攻击面，构建更完善的勒索防御体系。通过主动诱捕技术加快攻击意图显现并在加密用户核心数据前处置威胁实体，在“用户数据早晚会被加密”的假设下为用户提供加密文件恢复兜底方案，稳定华为乾坤从风险预防的角度出发，基于漏洞扫描服务与网络威胁评估服务对安全防御体系防护效果进行评估，评估企业安全防御体系的风险和有效性，为用户提供准确的修复建议，提醒租户及时加固风险资产。资产风险综合评估的实现原理如图3-5所示。1.资产梳理：支持用户通过人工导入的方式录入资产，或者通过网段扫描探活的方192.安全检测：为确保资产安全性，定期进行资产漏洞扫描、病毒查杀、威胁事件识3.综合评估：通过脆弱性AI评估算分、漏洞优先级排序、网络威胁评估服务对网络安全防御体系防护效果进行综合评估，识别需要优先修复的漏洞与网络安全防4.风险闭环：对于综合评估过程中识别出的漏洞、风险点、威胁事件，为客户提供NDR高级入侵线索发现边界突破是未知勒索软件进入目标系统的关键环节，外联C&C通信是控制目标系统的重要手段，传统的IPS/IDS仅能解决已知攻击检测，例如：N-day漏洞、常规暴力破解、已知家族C&C信息等，面对0-Day漏洞和占比日益增加的加密流量攻击却束l无监督学习+细粒度动态特征基线+统计分析发现0-Day漏洞线索、未知加密流量攻击线索，不依赖任何标签，由安全资深专家和数学家、AI科学家领域知识深度融合，基于场景化建模的思路，利用30+统计工具、孤立森林、极值理论等方法，将已知攻击场景（20+）的数据泛化到未知行为发现，从而全面发现攻击线索。目前，已经累计开发了50+异常检测模型。蔽攻击，例如：代码执行漏洞、慢速暴破等，精度可达99.9%。l风险传播算法+行为相似度模型进行关系建模，持续发现类似的攻击模式和受害IOA高级威胁检测引擎对于绕过边界防御的勒索软件攻击，华为XDRIOA行为检测引擎毫秒级实时检测终端上的异常行为模式，通过华为独创的内存威胁溯源图与网络侧的攻击线索实时深度联动，通过泛化能力极强的图因果关联模型、时序关联模型、时间关联模型、统计关联模型等精准研判0-Day漏洞利用成功、powershell攻击投递、钓鱼入侵成功等高级无文件攻击场景，并精准识别威胁子图、威胁实体，通过XDR与网关、终端联动毫秒级切断攻击执行链路，当前已累计模型15+，精度95%+。20对于已经执行起来的勒索软件载体，同样通过独创的内存溯源图，通过启发式的方式锁定威胁根节点，组合400+流行勒索软件家族专家深度分析，高维度泛化抽象+大数据挖掘的关键因果链条，叠加信任传播算法和华为第三代静态文件检测引擎，可有效实现对勒索软件变种和未知勒索软件加密前的实时精准研判，并基于威胁根节点毫在华为乾坤未知勒索软件攻击测评中，近百万勒索软件样本，在400+主流的勒索软件家族上通过勒索软件加密前的行为特征可有效支撑近90%的勒索软件攻击研判，现网运行半年无误报，半年后采用1000个流行勒索软件样本评测，检出率下降不到5%。正如前文所述，文件攻击（加密、破坏等）是勒索攻击的不变量，也是整个勒索攻击检测链条上的兜底环节，是在勒索动态攻防对抗上保持优势的关键为了从战术上扭转攻防对抗的不对等性，变被动为主动，HiSecEndpointAgent基于内核级主动诱捕技术，在用户正常办公和业务无感知状态下全天候自动守护，保护基于勒索软件特征，在租户终端的特定路径中放置诱饵文件。诱饵文件放置位置和自身属性均瞄准勒索软件偏好，确保最先吸引勒索软件。诱饵捕获功能会根据诱饵文件上体现的恶意行为捕获异常事件，工作原理如图3-6所示。租户在开通智能终端安全服务后，HiSecEndpointAgent根据内置的行为检测引擎，实时检测诱饵文件，一旦发现其被写入、重命名或者删除，并将该恶意行为上报为告警事件。租户可以依靠诱饵捕获的能力，判断终端是否存在前面所述主要目标是如何及时切断整个勒索软件攻击的入侵链路，缓解勒索软件攻击带来的影响，除了全面控制、根除、恢复攻击带来的负面影响，还需要还原整个攻击链路，这是防御闭环的关键一步。当前随着操作系统组件日趋复杂，攻击者的对抗和逃逸手段也日趋多样化、隐秘化，攻击链路的关键要素往往散落在多个数据域（进程、文件、系统服务、计划任务、网络连接、数据包等呈现出碎片化的分布，给完整22为应对上述挑战，自动揭示完整攻击链路，帮助客户一键完成深度清理并看清攻击入l跨终端、异构数据时空关联还原事件全貌：勒索软件攻击不是一次性完成的，它们会在各个路径上都留下痕迹，通常以网络、终端为主，要全面遥测这些数据并l构建攻击逃逸知识库以有效应对攻击路径碎片化：覆盖计划任务滥用、系统服务滥用、恶意代码注入、漏洞利用等多种复杂攻击场景，并通过攻击语义关联技术l从终端失陷溯源可视化、攻击影响面可视化、完整攻击故事可视化等多视角提供l结合威胁信息、漏洞信息、沙箱等，组合IOA+IOC（IndicatorofCompromise，失陷指标）+AI+UEBA（UserandEntityBehaviorAnalytics，用户和实体行为分析）等全面精准研判攻击，实现70%以上的威胁一键自动处置，并以可视化的方式定位根因，包括：攻击者从哪里来？攻击者整个入侵链路地图是什么？攻击者都干了哪些坏事？攻击者是否还有潜伏？攻击者是否取得更多权限？我们还为了确保数据零损失，HiSecEndpointAgent内置终端轻量级备份恢复机制作为兜底方案，可在检测到勒索攻击后，将被加密文件恰好恢复至加密前的状态并清理勒索l文件破坏全场景覆盖：克服高难度的内核态开发挑战，在内核层监控勒索病毒对l勒索病毒全进程链回滚：全面覆盖勒索病毒的多进程加密行为，支持全进程链回滚，内置复杂的精细化文件回滚顺序机制，支持勒索病毒全进程链自动化逆修改。l轻量灵活：备份单文件时长<10ms，单终端内存<5M，CPU无感知。此外，不仅内置对100多种重要文件的保护，用户还可以自行添加需要备份的文件类型，23近年来，加密货币作为新兴产业，发展速度令人瞩目。加密货币的去中心化、无需监管以及交易的匿名性等特性，使其成为黑客进行网络交易并获取利润的主要手段之一。加密货币的获取依赖于高性能计算机按照特定算法进行计算，这个过程被称为“挖矿”。由于挖矿需要大量的计算能力，即大量的计算机资源，而维持这种计算能力则立所谓的僵尸网络，以此来帮助自己挖矿，这种行为就产生了所谓的“挖矿木马”。当个人或企业的计算机被植入挖矿恶意软件后，不仅会导致系统卡顿，还会影响设备通过设置计划任务或修改注册表项等方式实现持久化，长期进行加密货币的挖矿l基于浏览器的挖矿木马：这种木马使用JavaScript或类似技术在浏览器中执行。只要用户打开了被植入挖矿木马的网站，该木马就会在浏览器中执行挖矿操作，l无文件挖矿木马：这种木马利用合法工具如PowerShell等在机器的内存中执行挖矿木马是黑客获取加密货币的主要手段之一且极具隐蔽性，近年来，黑客越来越注一般来说，挖矿恶意软件攻击链条分成四个关键步骤：攻击入侵、挖矿准备、安装运行以及隐藏自身行为。终端作为攻击发生的真241.入侵：攻击者通过漏洞利用、社会工程学攻击或其他方式入侵目标系统，许多已2.准备：攻击者首先探测系统信息，若满足条件则开始构建挖矿运行环境，包括抢3.运行：攻击者通过C2（CommandandControl，命令与控制）通道下载或者直4.隐藏：攻击者通常会采取措施来隐藏挖矿活动，例如使用加密通信、进程注入来基于上述攻击特点，HiSecEndpoint智能终端安全系统推出了三大检测引擎，从多角度监控系统发生的可疑行为，同时支持一键深度处置，彻底下面介绍几种不同类型的检测引擎如何通过EDR应对当下更加复杂的挖矿木马攻击，包括基于加密通信的挖矿行为，采用进程注入等更加隐蔽和高级的无文件攻击技术来挖矿活动的最本质特点在于网络连通，受害主机需要与矿池持续通信以确保挖矿活动流量探针识别stratum挖矿协议，可以确保矿池的外部连接在网关或终端侧被阻断。25通过分析网络流量数据，机器学习模型可以学习和识别与加密挖矿相关的特征和模式。这些特征包括通信报文大小和时序特征、特定的网络通信模式以及与已知挖矿活动相关的数据包。通过训练机器学习模型，我们可以建立一个智能的检测系统，能够自动识别和报告潜在的加密挖矿行为。结合EDR调查取证可以帮助企业和组织及时发现对于落入端侧的挖矿木马攻击，HiSecEndpointAgent检测与响应EDR行为检测引擎基于内存威胁溯源图，在文件、进程、网络、注册表和CPU占有率等多个关键维度上实时监控系统资源，一旦发现威胁立即处置。同时，内存威胁溯源图集成了自适应基线模型、时序关联模型、因果关联模型等，在入侵、执行、持久化和横移等多个图3-8示意了利用内存威胁溯源图还原WebLogic漏洞投递无文件挖矿木马的攻击链众所周知，单纯通过判断CPU占有率高可能会导致挖矿木马事件误报或漏报的情况发生，因为计算密集型任务也会导致CPU占有率飙升。因此，在检测挖矿木马时，我们需要结合攻击的上下文信息进行综合分析，结合内存威胁溯源图，将典型的挖矿261.在挖矿启动前，攻击者经常做一些可疑的准备工作，例如探测CPU/GPU信息、修改安全设置、抢占系统资源、配置网络策略并创建计划任务达到长期劫持计算2.在挖矿启动时，攻击者往往需要指定挖矿参数，例如钱包地址、币种、HASH算3.在挖矿执行时，HiSecEndpoint智能终端安全系统会提示CPU占用异常，结合结合内存威胁溯源图，HiSecEndpoint智能终端安全系统可阻断99%以上的挖矿启动行为，同时可以看到完整的攻击链，一个典型的挖矿木马样本威胁图如图3-9所示。高级威胁检测引擎：识别文件属性篡改、进程注入等防御逃逸为了对抗挖矿检测和处置，攻击者会采用多种高级攻击技术来保持木马在系统中的存在。其中包括滥用系统敏感API来篡改文件属性或进程属性，以避免被删除另外，攻击者还可能采用进程注入的方式来躲避检测。为了应对这些威胁，HiSecEndpoint智能终端安全系统实现了在API级别监控系统的可疑行为，并直接阻断恶27意行为的执行，以防患于未然。通过这种方式，可以有效地提高系统的安全性，防止在检测到挖矿威胁后，对于检测到的可疑点，HiSecEndpoint智能终端安全系统支持l网络：可以联合防火墙来阻断与挖矿相关的通信IP地址，从而切断其与外部的总之，通过自动化的处置过程可以帮助快速有效地清除挖矿木马，减少对系统和网络近年来无文件和基于内存的攻击愈加火热，需要注意的是无文件攻击不代表真的没有文件，只是一种攻击策略，其出发点是避免将真正的恶意代码放在磁盘上，以逃避安全检测。所说的无文件,也未必是攻击全程无文件，而是其中的一部分采用了基于无文件攻击通常不在硬盘上留下可识别的文件，而是利用系统内他合法的系统工具（如Powershell、WMI等）进行攻击。这使得传统的基于文28攻击者常常注入操作系统自带的合法工具（如记事本、svchost等）来执行恶意攻击者常常不在文件层面存放恶意代码，真正的恶意代码存放在由服务器中，或者存放于本地的加密文中。运行时利用Shellcode从服务器下载或针对上述挑战，HiSecEndpoint智能终端安全系统采用如图3-10所示的检测架构检l脚本基线和AMSI检测学习脚本宿主（如wscript、jscript、Powershell）的行为基准，在发生高度疑似系统破坏行为时，即时终止恶意脚本。同时还可以利用AMSI技术实时获取解密基于内存陷阱技术实时抓取攻击者的控制服务器，同时利用深度快速扫描程序恶意内存块，精确识别恶意程序家族，斩断无文件威关键路径shellcode。29钓鱼木马是一种常见的恶意软件，其通过诱骗用户点击执行恶意文件，实现窃取敏感信息或控制受感染主机的目的。钓鱼木马对个人和大型组织的安全构成了严重威胁。HiSecEndpoint智能终端安全系统通过对钓鱼木马特征的深入分析，并结合机器学习算法和图像处理技术，能够有效提高钓鱼木马的检测精HiSecEndpoint智能终端安全系统提供如下两种检测方案。30快捷方式通常伪装成合法的可执行文件或PDF文件，诱使毫无戒心的用户点击，最终导致其系统或网络受到损害。针对快捷方式钓鱼木马的特点，HiSecEndpoint智能终端安全系统利用图像处理技术，结合快捷方式的属性等方式动HiSecEndpoint智能终端安全系统基于知识图谱的攻击可视化溯源与响应技术，支持对进程、文件、注册表、网络链接、DNS等进行溯源操作，精准还原威胁攻击链路。基于攻击链路，对风险全面加固并深度清理，防止同一威胁事件重复发生。工作原理如图3-11所示。HiSecEndpoint智能终端安全系统的溯源功能支持3个月采集数据存储，10跳以上溯源3秒以内返回结果。3.查询进程调用链关系，向上查询父进程及祖父进程，向下查询子进程。同时，对4.查询进程实体关联的恶意进程