一种通过诱骗方式检测高级威胁的方法

高级威胁程序盗取用户数据的方法形式多样，近年来笔者经常看到的有特种木马、正常工具黑化、供应链攻击等等，其中故事更是把36计演义了一个遍，有工具对重点目录做了权限保护，不过笔者这里提醒一句，需要注意硬链接与符号链接。

笔者在上篇文章文末提到了一个方法用于检测活动的威胁，可适用于服务器或重点资产防护，这篇文章细化一下，也可将此方法穿插至方法论合集中的其他方法中。

总体设计

通过诱骗入侵者读取刻意为其构造的敏感文件，从而发现其不轨行为，找到并阻断相关程序。

功能比较简单，分为初始化、判断、处置三部分。初始化流程用于安装与启动磁盘过滤驱动、获取诱饵文件的起始扇区、初始化可信进程列表、防护可信进程被注入，均是常规技术。判断流程用于检测读取诱饵文件起始扇区行为是否为异常行为，处置流程对行为进行处置。

初始化

同上，这里只说重点，恶意行为盗取数据，肯定需要盗取一个文件的完整数据，所以诱饵文件的所在扇区使用文件起始扇区即可，诱饵文件可使用这类文件名，比如“重点XX数据标注”、“保密人员通讯录备份”、“XX工程关键技术详细说明”等等，XX可替换为所属行业，这类文件存储在一个分区的根目录或者容易被找到的目录，比如叫历史数据备份或backup，比较能吸引入侵者，获取文件所在扇区的技术记得早年有个比较流行的机器狗病毒，可借鉴，笔者记不清具体的IOCode了，遍历诱饵文件获取到其所在的起始扇区即将其扇区号传递给磁盘过滤驱动，这里之所以用扇区号判断而不用文件路径之类的，一是文件路径被访问太频繁，二是文件路径比较容易被软硬连接移花接木，相关扇区被读取能代表文件数据被真实访问且具备唯一性。

可信进程列表具备针对性，在文章《针对勒索软件防护，这里支个招》中，笔者提到了白名单权限表的概念，这里的可信仅是针对读取诱饵文件扇区行为为可信，比如碎片整理功能、文件内容搜索相关进程等，单独目录的作用是为防止打开其中其他文件导致一些不可预测的预读取影响性能，其他都是通用技术。

检测逻辑

通过磁盘过滤驱动对读磁盘请求进行过滤，比对关注的诱饵文件扇区号，如果是获取到当前线程id，交由上层业务判断该线程id是否有文章所指的可信进程创建，如果是则使用处置逻辑4，如果不是则根据业务情况使用初始逻辑1、2、3

处置逻辑

1、静默杀死线程，适用于服务器这种无交互系统

2、挂起线程并报警，适用于人为交互系统，由用户选择是否处置

3、dump内存，适用于具备一定取证需求的业务场景，可结合其他方式使用

4、不处理，表示正常业务范畴

写到最后

本方法本文作者不保留任何知识产权，可在公益与商用环境下随意使用，但禁止使用本文相关内容申请发明专利，如与他人知识产权存在冲突，本文作者概不负责。

原文始发于微信公众号（锐眼安全实验室）：一种通过诱骗方式检测高级威胁的方法