專家個人簡介

在上一期文章《華為勒索攻擊防御的四層防護網(wǎng)之邊界入侵防線》中，我們對勒索攻擊常見的入侵方式進行了介紹，入侵是網(wǎng)絡(luò)攻擊的前奏，入侵成功后，攻擊者會執(zhí)行真正的惡意勒索行為。在這個時候，勒索病毒文件就成了主要的攻擊載體，這一步也是攻擊環(huán)節(jié)中最重要的一步，攻擊者運用開發(fā)的勒索病毒文件執(zhí)行真正的惡意勒索行為，對客戶資產(chǎn)造成直接的勒索、破壞。我們可以看到，從2013年起，勒索病毒發(fā)展迅速，新的勒索家族不斷出現(xiàn)，加密、攻擊的手段也在逐步對抗升級。對于防護方來說，如何有效的跟蹤、對抗和防護勒索病毒文件，一方面不僅能夠防護住已知的勒索病毒，同時還能夠有效防護最新的勒索病毒，是要解決的關(guān)鍵問題，本期我們就重點看一下華為對于勒索病毒文件是如何進行防御的。

我們以一個典型的中小型企業(yè)網(wǎng)場景為例，如下圖所示，勒索病毒文件的防護技術(shù)主要由3部分組成，分別是CDE（Content-based Detection Engine）病毒檢測引擎、HIPS（Host Intrusion Prevent System）與云端沙箱。其中，CDE病毒檢測引擎主要部署在企業(yè)網(wǎng)絡(luò)邊界的防火墻產(chǎn)品中，同時也部署在辦公網(wǎng)絡(luò)或數(shù)據(jù)中心的終端EDR產(chǎn)品中，提供億級海量病毒的防護能力；HIPS則主要部署在終端EDR產(chǎn)品中，提供基于動態(tài)行為的實時防護能力；云沙箱則主要作為云服務(wù)，在云端提供對可疑或未知文件的高級威脅分析、檢測能力。

華為通過云、網(wǎng)、端各類安全產(chǎn)品做協(xié)同、聯(lián)動，構(gòu)建針對勒索病毒文件的立體防護體系，準確性達99%以上，如下圖所示：

1.通過網(wǎng)關(guān)的網(wǎng)絡(luò)防病毒在文件傳輸階段防護勒索病毒文件

2.通過EDR的主機防病毒在文件的落盤階段防護勒索病毒文件

3.通過EDR的主機HIPS在文件的執(zhí)行階段防護勒索病毒文件

4.通過云沙箱在文件的深度隱藏、對抗階段防護勒索病毒文件

接下來我們具體介紹下這3類技術(shù)是如何工作的。

1

CDE病毒檢測引擎主要在病毒傳輸和病毒落盤階段進行防護，主要是針對性檢測已知勒索病毒，并具備一定的未知勒索病毒檢測能力，支持防護包括勒索、挖礦、木馬、僵尸、后門、漏洞利用、蠕蟲、病毒、黑客工具、灰色軟件、惡意廣告等各類惡意家族病毒。當客戶終端被攻擊下載勒索病毒文件時，邊界防火墻的CDE病毒檢測引擎就會分析流量中傳輸?shù)牟《疚募M行實時防護；當勒索病毒通過加密協(xié)議傳輸?shù)仁侄翁舆^了邊界的檢測，那么勒索病毒在終端落盤時，終端EDR中的CDE病毒檢測引擎也會對勒索病毒進行實時的防護。

CDE病毒檢測引擎主要由文件類型識別、內(nèi)容深度分析以及病毒掃描引擎組成，主要原理如下圖所示。

各模塊的主要功能是：

• 文件類型識別：負責對海量病毒進行文件類型分類，精準識別Windows/Linux等各類主流平臺的文件類型，包括PE、ELF、APK、OFFICE、PDF、HTML、JS、WEBSHELL、LNK、BASH等文件。

• 內(nèi)容深度分析：負責對二進制、復合文檔、各類Web及腳本文件進行深度解析，深挖惡意文件的“內(nèi)涵”，為檢測模塊提供深度的內(nèi)容信息。

• 病毒掃描引擎：通過使用華為安全團隊多年研究定義的MDL可編程病毒檢測語言，實現(xiàn)使用少量資源精準覆蓋海量變種；同時病毒掃描引擎也集成了多種專用啟發(fā)式及神經(jīng)網(wǎng)絡(luò)智能檢測算法，精確防護億級海量病毒；病毒掃描引擎也會實時更新來自華為云端安全智能中心的最新防毒能力，及時防護全網(wǎng)最新流行病毒。

HIPS主要在病毒運行階段，對終端主機進行防護。相較于CDE病毒檢測引擎的已知勒索病毒檢測能力，HIPS更針對于檢測未知的勒索病毒，通過對關(guān)鍵系統(tǒng)行為的實時分析，盡早阻斷勒索病毒的惡意行為。當勒索病毒文件在傳輸和落盤階段繞過防火墻和主機CDE病毒檢測引擎的防護時，HIPS就會在病毒的執(zhí)行階段進行防護，HIPS會實時分析勒索病毒的每一個關(guān)鍵系統(tǒng)行為，包括對文件、網(wǎng)絡(luò)、注冊表、API、系統(tǒng)等方面的關(guān)鍵操作，一旦發(fā)現(xiàn)有勒索相關(guān)惡意動作，就會立即實時阻斷勒索病毒的后續(xù)執(zhí)行過程，將勒索的危害降到最低。

HIPS由引擎和威脅行為庫兩部分組成，其基本原理如下圖所示，即，引擎負責在微秒級別內(nèi)極速、實時的分析每條系統(tǒng)關(guān)鍵行為，并配合集成了豐富華為安全專家知識的勒索威脅行為庫，即時的發(fā)現(xiàn)勒索相關(guān)的各類惡意行為。

HIPS同時也會聯(lián)動華為云端安全智能中心，持續(xù)更新最新的專家勒索防護經(jīng)驗。

3

當勒索病毒文件運用了對抗、潛伏或隱藏手段逃過各類防護手段，云沙箱就會發(fā)揮重要的分析、檢測作用。作為對抗高級威脅APT（Advanced Persistent Threat）的專屬產(chǎn)品，云沙箱對可疑、未知的文件進行深度分析，判定是否惡意、提供具體惡意行為，并聯(lián)動全網(wǎng)安全產(chǎn)品有效防護高級未知威脅。云沙箱的檢測原理如下圖所示。

云沙箱集成了多級、全量的華為惡意文件分析、檢測能力，包括海量威脅信息、靜態(tài)檢測、動態(tài)檢測以及綜合威脅分析能力，支持50+文件類型檢測。云沙箱通過云端的Windows XP、Windows 7、Windows10等執(zhí)行環(huán)境，動態(tài)運行分析可疑文件，細顆粒度地監(jiān)控惡意文件API、內(nèi)存、進程、文件、通信等操作，使用豐富的防逃逸技術(shù)充分觸發(fā)深度隱藏的惡意行為，并最終給出惡意文件具體的病毒類型、惡意行為、上下文關(guān)聯(lián)威脅信息。

勒索病毒在不斷演進，但萬變不離其宗，華為通過在惡意文件傳輸、落盤、執(zhí)行、對抗隱藏的各個關(guān)鍵環(huán)節(jié)部署全面的專有防護手段，并通過全網(wǎng)聯(lián)動，7*24小時協(xié)同防護已知、未知的勒索病毒。