安全技术运营的学习与笔记4

上一篇写了恶意文件的一些必须了解的背景和工作中实际遇到的场景，由于对这块的背景知识 ，主要是恶意文件使用的躲避技术，可以通过阅读一些公开分析报告知道部分经常出现的利用手法（不用对具体的技术细节进行了解，因为是全局视角的观察）。除了躲避技术外，我们还可能遇到破坏型的恶意文件，破坏型恶意文件更倾向于直接对抗安全防护软件，这里会涉及到多种恶意技巧的利用或者说奇淫技巧。

破坏技术如残杀术，书里提及是直接结束安全软件的进程或删除安全软件文件，这是最基础的对抗技巧，不过目前在权限不足的情况下对抗的效果很差，要提权需要有缺陷或漏洞。遇到过只单纯删除文件的灰样本，属于破坏型恶意文件。考虑到BYOVD场景，例如就可以利用Avast驱动程序来结束指定进程，正常驱动程序相对杀软驱动程序，大家的权限相对是一致的，且提供了IOCTL控制接口，因此能够直接通过逆向实现特定功能。Mandiant团队（目前已被谷歌收购成为了谷歌云的一部分，擅长事件追踪与调查取证，公开过不少开源安全工具或脚本）捕获了COLDDRAW新的勒索软件样本。在该样本中，可以看到勒索软件的攻击技术在攻防对抗过程中不断升级。该样本释放杀毒软件Avast的驱动程序并加载，利用该驱动在内核级别终止安全产品相关进程，达到防御削弱的效果。

破坏技术如卸载术，书里提及可以通过调用安全软件的卸载程序来卸载达到目的，不过目前企业端的安全防护软件会考虑使用防卸载密码的方式进行二次保护，在应急的时候遇到过，只有相关管理员才有权限更换密码，因此也增强了安全性，即使是利用精灵助手之类的键鼠模拟器模拟人为行为，在获取不到卸载密码的情况下也无能为力。

破坏技术如致癌术，这个感觉通常是利用安全软件的缺陷或漏洞，对其进行拒绝服务攻击或者漏洞提权甚至于获取代码执行权限。公开案例如漏洞CVE-2022-26522和CVE-2022-26523，存在于名为 aswArPot.sys的反rootkit内核驱动程序中，该驱动程序于2012年6月的Avast12.1版本中引入，其问题的根源来自内核驱动程序中的套接字连接处理程序，可允许攻击者提升权限并禁用防病毒软件，甚至还会造成系统蓝屏、死机。但由于存在对抗技术的升级，终端安全软件如存在守护进程的情况（内核层），可能单一缺陷的程序被利用缺陷终止后仍会被唤起，能同时发现全部守护进程的缺陷概率非常低，假设真的出现此类情况，也许理想情况下终端安全软件采用心跳的机制也能将异常的终止行为给记录下来，后端将进行分析。再有就是那种类似几千层的压缩包需要解压杀毒的场景，处理不当的话安全防护软件直接会拒绝服务，不过目前一般会设置只解压多少层压缩包后就不再继续解压，所以很可能具体的恶意文件就在其中但无法检测到。这些涉及的是静态检测杀毒未检测到的场景下，并不能证明终端安全防护软件的能力不足，因此检测是多维度的，启发式查杀也会发挥自己的作用，毕竟恶意文件的行为是无法逃脱被记录的。

破坏技术如断网术，现在由于网络基础设施的完善，云查能力也得到了应用与加强，而如果非正常断网情况下，本地终端安全软件的查杀能力肯定会受到一定影响，因此恶意文件会考虑进行此类操作来破坏安全软件的对外网络连接，具体有应用层劫持、网络层劫持、DNS解析劫持、HOST劫持等。这里仍然属于攻防对抗的场景，具体可以阅读相关公开研究报告进行细节探究。

破坏技术如拦截术，这个场景遇到的机会真的很少很少，目前从未在真实的工作中遇到，说不定以后有机会。“这种情况出现在恶意程序先进入系统，用户发现异常并试图安装安全软件的时候，恶意程序实施对安全软件的拦截。完善的拦截术会在用户打开安全软件的网站、搜索安全相关问题的时候，就进行劫持过滤，使用户无法找到解决方案。此时，恶意程序和安全软件像换了角色一样，安全软件想进来，恶意程序则拼命拦截。”每次有应急的机会都会心里假设一个场景，本台待应急响应的资产如果在部署安全防护软件前，系统已被入侵（存在驻留木马或者更底层的Rootkit与Bootkit等情况）。这是非常隐蔽的情况，不同于恶意文件对安全软件进行拦截，还能依靠什么方法检测出来吗？在阅读了本书的后续内容后，发现可以最初使用黑白名单的简单方法来筛选数据，最后依靠整个云端采集的终端数据的多维度分析来发现异常，例如可以在某个组织内部进行相似资产数据分析或其余维度数据分析（网络或应用与应用之前的图关联等），通过监测到的行为以及系统运行时的日志信息来发现异常的行为，之后就是根据异常的阈值分数来确定需不需要进一步调查。在完成安全核验后，需要进行安全基线数据的保存便于后续降低运营难度（在偏离基线时进行调查或记录），这块也在CISSP内容安全运营中有提及。

正如书里提及的“在安全运营过程中，面对恶意程序的技术攻防，没有捷径，唯有见招拆招。而面对恶意破坏，更需要做好“快速发现自己被破坏”的能力。这依赖数据建模分析，比如异常crash监控、异常卸载监控、异常网络监控、异常安装监控等。应对拦截术，则要准备专杀工具，让用户先杀毒，再安装安全防护软件。”这一块和手工作坊式的工作模式截然不同，因此细细读完后感觉确实因为没办法全部解决安全问题，只能是面对不同的场景进行逐一实践进行测试。

断网术中提及了云查杀能力的发展，这也是目前整个业界的趋势。终端能力由于考虑到产品性能等因素而不可避免会存在限制，所以云端相对于终端来说更具有优势，可以持续迭代更新覆盖面更广，优点就是快，快能在一定程度解决网络安全问题，但是事物总是相对的，云端也会有自己的不足，性价比以及存储和传输成本等因素也会制约安全的投入，安全始终是涉及成本的方向，过于理想化是不行的，合理的预算才有可能有合理的效果。只有结合好端与云的各自优势才能更好地打造优秀且健壮的安全架构，这里自己并不了解甲方实质的安全架构和特点（未在甲方有过工作经历，所以有可能会有一定的理解偏差，和周围的人聊了一点提及说甲方更多的时候会考虑定制，因此需要因地制宜），所以端与云更多地会应用在乙方提供安全能力的场景中，乙方产品涉及标准化的工业产品，因此会考虑到性价比，少部分情况下会出现定制场景。

总体来说书里提及了网络安全威胁的发现，经历了用户反馈、规则探知、大数据挖掘三个阶段。当阅读到这里的时候感觉有点豁然开朗，有个整体的框图便于理解，可以慢慢地把视角从单一的专项能力转换到全局视角下的安全威胁处理分析中。前面两个阶段其实比较好理解，第一个就是用户主动反馈问题，这块对于APT挖掘与追踪任务来说还挺重要的，普通的应急响应场景肯定经常会遇到。用户能主动来反馈问题可以一定程度带来新的线索或事件，平时的后端能力积累也能在此时此刻得到实战检验的机会，给客户解决完安全问题，也能发现产线的检测不足等问题。规则探知是基于端与云结合的专家经验或AI方式进行部分驱动的场景，已有的规则可以检测已有的风险或者少量的未知风险，AI也能在未知异常痕迹发现方向上提供一定的助力，当发现异常时还能再采集更多的信息来方便后端分析得出结论。最后是大数据挖掘阶段，大数据阶段依托于云端能力，利用数据来“看见”威胁，目的是要实现“实时”拦截的特性。这里并没接触过，因此还得根据自身情况和兴趣点依据提供的框图进行适当地扩展学习阅读相关材料。

下一篇写安全技术运营中大数据在安全运营上的应用与扩展学习

原文始发于微信公众号（OnionSec）：安全技术运营的学习与笔记4