• 首页 >  信息科技 >  科技产业
  • 华为:2024年HiSec Endpoint智能终端安全系统技术白皮书(49页).pdf

    定制报告-个性化定制-按需专项定制研究报告

    行业报告、薪酬报告

    联系:400-6363-638

  • 《华为:2024年HiSec Endpoint智能终端安全系统技术白皮书(49页).pdf》由会员分享,可在线阅读,更多相关《华为:2024年HiSec Endpoint智能终端安全系统技术白皮书(49页).pdf(49页珍藏版)》请在本站上搜索。 1、华为 HiSec Endpoint智能终端安全系统技术白皮书华 为 技 术 有 限 公 司目 录1 安全背景与挑战.011.1 业界 EDR 定义.021.2 华为 HiSec Endpoint 功能概述.032 产品架构设计.063 核心功能.083.1 终端识别与管理.083.2 数据采集.103.3 威胁防御.113.4 威胁检测.133.5 XDR 联动.353.6 溯源和响应.384 部署场景.44 01版权所有 华为技术有限公司1 安 全 背 景 与 挑 战从近几年现网安全运营和安全报告披露的数据来看,勒索、挖矿、蠕虫、窃密和远控木马依然活跃,并呈现出隐蔽性、多样性的特点。根据202、23 年恶意软件防御报告的调查显示,企业面临的头号威胁是勒索软件,其次是网络钓鱼和信息窃取程序,具体数据如图 1-1 所示。三者“相伴相生”,互为攻击的前后脚。如果问首先需要防御哪种类型的恶意软件,很多组织可能很难回答。图 1-1 企业安全面临的恶意软件威胁排行榜观察几款持久存活的恶意软件,例如,国内勒索感染排名第二的 TargetCompay、挖矿窃密勒索远控复合恶意软件 DarkGate、银行木马 LokiBot、Emotet 僵尸网络等,这些恶意软件在进化过程中,其真正的有效载荷变化不大,但初始入侵感染手段不断翻新,融合了更复杂多变的技术,如钓鱼、漏洞利用、被盗凭据、shellcode、3、进程挖空躲避等手段。因此,检测这些恶意软件的难度与日俱增。0203版权所有 华为技术有限公司华为 HiSec Endpoint 智能终端安全系统技术白皮书版权所有 华为技术有限公司01安全背景与挑战整体上,当前的威胁形势融合了三个变量:第一个是数字化先行,组织暴露出更多的风险面;第二个是攻击技术、生态系统和工业化程度的进化;最后,更多攻击组织参与到新的地缘政治冲突中,加速了高级威胁武器的应用和民间滥用泛化。这些因素都加剧了网络空间环境的恶化。终端作为业务和数据的计算载体,是各类威胁锁定的最终目标。在面对不断演进的新型网络威胁攻势下,以单向防御和管控为核心的终端安全已无力应对,存在以下挑战:新型4、恶意软件生产速度更快、更多,反病毒产品基于已出现样本提取特征来检测,始终滞后一步,可提升检出的量变挖掘空间变得有限。行为检测、机器学习是应对新型和未知恶意软件的防御路径之一,但面临最大的问题是如何降低误报,提供可解释性,让行为检测和机器学习在运营面上可信;同时,要解决从产生分析结果到可研判、敢阻断的“鸿沟”,减少进一步人工分析,提升 ROI。企业网络每天遭受的网络嗅探、攻击尝试很多,哪些是有效攻击,产生了什么影响,终端是提供证据和溯源的最有效手段。终端记录的上报的数据越多,越有利于威胁线索的“全文“搜索,但后端存储和计算的投资是有限的,如何解决这个矛盾是一个迫切的问题。新型恶意软件采用多跳攻击5、渗透到内网终端,单向、点状的防御和检测已经无法应对,能有效协同云、边界、终端,形成从点到全链路的防御体系至关重要。安全因为本身碎片化程度高,企业客户往往部署 5 个以上不同安全厂商的产品,跨厂商、跨系统和团队的协同始终是一个难题。1.1 业界 EDR 定义为了应对复杂的网络威胁态势,企业需要构筑一套贯穿威胁攻击全链路的自防御体系,在事前、事中和事后投入更多的人力和时间成本。但安全投资是有限的,企业需要从可视、防御、检测和响应多个层面来建设一套纵深安全体系,兼顾实效和成本的平衡。2013 年 Gartner 首次提出 EDR(Endpoint Detection and Response,终端威6、胁检测与响应)的概念之后,该技术立即引起了安全界的广泛关注。EDR 是一种新型的、智能化和快速迅捷的主动防御技术,遵循 Gartner“预测、防护、检测和响应”的技术体系,其作用贯穿安全事件发生的全过程。由于终端是威胁攻击的主要作用点,大部分攻击都发生在各类端点计算设备上。以终端为锚点,可以达到撬动整个安全防御体系的效果。在 2023 年 Gartner 最新的终端安全魔术象限报告中,EDR 被作为 EPP(Endpoint Protection Platform,终端防御平台)的关键特性,主流安全厂商已经实现 EPP 与 EDR的合一(本文以 EDR 统称)。EDR 集成了下一代 AV、行为7、分析、机器学习、诱骗、XDR(Extended Detection and Response,可扩展威胁检测与响应)大数据日志存储和分析、沙箱、威胁信息、网络安全联动和自动恢复响应等最先进的技术。它可以覆盖办公终端、服务器、虚拟机、云 Workload 和容器等监控。EDR“小小”身材,可撬动端、网、云大安全。在近几年的攻防演练热点话题中,“如何防范 0-Day 打穿网络,从主机层面如何阻断已经攻入内网的红队”成为了主要关注点。尽管业界厂商提供的终端安全功能繁多,从业界实践总结(参考 Gartner)和客户反馈中,以下几个方面被认为是 EDR 产品的核心能力:1.防御和阻止安全威胁,包括已知、8、变种和加壳恶意软件。2.具备行为分析能力,覆盖设备活动、应用程序、身份和用户数据,集成威胁信息能力,检测和预防未知威胁,含 0-day 攻击、无文件攻击。3.在攻击被确认前实锤前,提供进一步事件调查和主动溯源能力,一方面确保日志可无损溯源,一方面兼顾存储和计算成本。4.具备攻击响应恢复能力,如恶意软件感染后文件恢复能力。5.支持多种操作系统和终端类型,并且支持多种部署模式,包括线下On Premise、云端和混合部署。更多高级能力包括XDR整合联动,以及部分EPP传统功能的反向整合,例如安全基线、漏洞管理等。其中,XDR 整合能力在业界普遍还不成熟,它包含了集成 SOAR、IT 服务管理、网络9、整合等功能。从业界实践来看,针对不同类型客户,在应对不断变化的威胁攻击时,如何做到低误报高检出、还原攻击链、自动响应和恢复,业界部分产品还存在不少差距。例如,针对安全建设不成熟的客户,易用性是一个关键考量,但不少厂商的 EDR 产品缺乏自动分析攻击链、一键自动响应能力,无预定义的威胁搜索条件,无感染文件恢复等功能。针对中大型客户,很多厂商的 EDR 在现网中,上报数据噪声大、行为检测误报高、ATT&CK 覆盖不全,无法真正拦截变种恶意软件和未知威胁;缺乏对多个操作系统和新的工作负载(如容器)的支持;与安全工作流程整合不够紧密,缺乏可定制的Playbook和行为规则能力。此外,XDR 整合联动还10、停留在宣传层面,终端、应用和网络安全管理界面分离,远没有达到消除跨团队、系统和数据孤岛的目的。1.2 华为 HiSec Endpoint 功能概述EDR 的防御理念与经典的 PPDR(Predict、Prevent、Detect、Response,预测、防护、检测、响应)的安全防御模型完全吻合。华为安全推出 HiSec Endpoint 智能终端安全系统致力于在网络空间抵御新型威胁攻击。作为大安全(即整网安全)的锚点和托底,整合网络安全、云端大数据安全深度分析能力,深度协同,形成感知、防御、检测、和响应多层面的自适应防御闭环。依托 OneAgent 统一终端平台,以小身材,撬动安全大乾坤。轻量11、化、易部署EDR 足够轻、上报噪声低、在主机操作系统上留下的足迹小,才能尽量降低对用户业务的影响,将安全风险面收到最小。HiSec Endpoint 轻量级 Agent,支持分钟级批量部署上线,闲时 CPU 占用低于 1%,0203版权所有 华为技术有限公司华为 HiSec Endpoint 智能终端安全系统技术白皮书版权所有 华为技术有限公司01安全背景与挑战整体上,当前的威胁形势融合了三个变量:第一个是数字化先行,组织暴露出更多的风险面;第二个是攻击技术、生态系统和工业化程度的进化;最后,更多攻击组织参与到新的地缘政治冲突中,加速了高级威胁武器的应用和民间滥用泛化。这些因素都加剧了网络空间12、环境的恶化。终端作为业务和数据的计算载体,是各类威胁锁定的最终目标。在面对不断演进的新型网络威胁攻势下,以单向防御和管控为核心的终端安全已无力应对,存在以下挑战:新型恶意软件生产速度更快、更多,反病毒产品基于已出现样本提取特征来检测,始终滞后一步,可提升检出的量变挖掘空间变得有限。行为检测、机器学习是应对新型和未知恶意软件的防御路径之一,但面临最大的问题是如何降低误报,提供可解释性,让行为检测和机器学习在运营面上可信;同时,要解决从产生分析结果到可研判、敢阻断的“鸿沟”,减少进一步人工分析,提升 ROI。企业网络每天遭受的网络嗅探、攻击尝试很多,哪些是有效攻击,产生了什么影响,终端是提供证据和13、溯源的最有效手段。终端记录的上报的数据越多,越有利于威胁线索的“全文“搜索,但后端存储和计算的投资是有限的,如何解决这个矛盾是一个迫切的问题。新型恶意软件采用多跳攻击渗透到内网终端,单向、点状的防御和检测已经无法应对,能有效协同云、边界、终端,形成从点到全链路的防御体系至关重要。安全因为本身碎片化程度高,企业客户往往部署 5 个以上不同安全厂商的产品,跨厂商、跨系统和团队的协同始终是一个难题。1.1 业界 EDR 定义为了应对复杂的网络威胁态势,企业需要构筑一套贯穿威胁攻击全链路的自防御体系,在事前、事中和事后投入更多的人力和时间成本。但安全投资是有限的,企业需要从可视、防御、检测和响应多个层14、面来建设一套纵深安全体系,兼顾实效和成本的平衡。2013 年 Gartner 首次提出 EDR(Endpoint Detection and Response,终端威胁检测与响应)的概念之后,该技术立即引起了安全界的广泛关注。EDR 是一种新型的、智能化和快速迅捷的主动防御技术,遵循 Gartner“预测、防护、检测和响应”的技术体系,其作用贯穿安全事件发生的全过程。由于终端是威胁攻击的主要作用点,大部分攻击都发生在各类端点计算设备上。以终端为锚点,可以达到撬动整个安全防御体系的效果。在 2023 年 Gartner 最新的终端安全魔术象限报告中,EDR 被作为 EPP(Endpoint Pr15、otection Platform,终端防御平台)的关键特性,主流安全厂商已经实现 EPP 与 EDR的合一(本文以 EDR 统称)。EDR 集成了下一代 AV、行为分析、机器学习、诱骗、XDR(Extended Detection and Response,可扩展威胁检测与响应)大数据日志存储和分析、沙箱、威胁信息、网络安全联动和自动恢复响应等最先进的技术。它可以覆盖办公终端、服务器、虚拟机、云 Workload 和容器等监控。EDR“小小”身材,可撬动端、网、云大安全。在近几年的攻防演练热点话题中,“如何防范 0-Day 打穿网络,从主机层面如何阻断已经攻入内网的红队”成为了主要关注点。尽16、管业界厂商提供的终端安全功能繁多,从业界实践总结(参考 Gartner)和客户反馈中,以下几个方面被认为是 EDR 产品的核心能力:1.防御和阻止安全威胁,包括已知、变种和加壳恶意软件。2.具备行为分析能力,覆盖设备活动、应用程序、身份和用户数据,集成威胁信息能力,检测和预防未知威胁,含 0-day 攻击、无文件攻击。3.在攻击被确认前实锤前,提供进一步事件调查和主动溯源能力,一方面确保日志可无损溯源,一方面兼顾存储和计算成本。4.具备攻击响应恢复能力,如恶意软件感染后文件恢复能力。5.支持多种操作系统和终端类型,并且支持多种部署模式,包括线下On Premise、云端和混合部署。更多高级能力17、包括XDR整合联动,以及部分EPP传统功能的反向整合,例如安全基线、漏洞管理等。其中,XDR 整合能力在业界普遍还不成熟,它包含了集成 SOAR、IT 服务管理、网络整合等功能。从业界实践来看,针对不同类型客户,在应对不断变化的威胁攻击时,如何做到低误报高检出、还原攻击链、自动响应和恢复,业界部分产品还存在不少差距。例如,针对安全建设不成熟的客户,易用性是一个关键考量,但不少厂商的 EDR 产品缺乏自动分析攻击链、一键自动响应能力,无预定义的威胁搜索条件,无感染文件恢复等功能。针对中大型客户,很多厂商的 EDR 在现网中,上报数据噪声大、行为检测误报高、ATT&CK 覆盖不全,无法真正拦截变种18、恶意软件和未知威胁;缺乏对多个操作系统和新的工作负载(如容器)的支持;与安全工作流程整合不够紧密,缺乏可定制的Playbook和行为规则能力。此外,XDR 整合联动还停留在宣传层面,终端、应用和网络安全管理界面分离,远没有达到消除跨团队、系统和数据孤岛的目的。1.2 华为 HiSec Endpoint 功能概述EDR 的防御理念与经典的 PPDR(Predict、Prevent、Detect、Response,预测、防护、检测、响应)的安全防御模型完全吻合。华为安全推出 HiSec Endpoint 智能终端安全系统致力于在网络空间抵御新型威胁攻击。作为大安全(即整网安全)的锚点和托底,整合网19、络安全、云端大数据安全深度分析能力,深度协同,形成感知、防御、检测、和响应多层面的自适应防御闭环。依托 OneAgent 统一终端平台,以小身材,撬动安全大乾坤。轻量化、易部署EDR 足够轻、上报噪声低、在主机操作系统上留下的足迹小,才能尽量降低对用户业务的影响,将安全风险面收到最小。HiSec Endpoint 轻量级 Agent,支持分钟级批量部署上线,闲时 CPU 占用低于 1%,0405版权所有 华为技术有限公司华为 HiSec Endpoint 智能终端安全系统技术白皮书版权所有 华为技术有限公司01安全背景与挑战内存占用低于 60M;杀毒引擎通过对语法、算法的深度优化,协同云端安全20、智能中心赋能,为客户提供领先的病毒检测能力的同时,内存、磁盘资源占用低;同时在使用杀毒功能时,会根据操作系统资源占用情况进行智能退避,不影响到操作系统的其他任务。基于可信进程树、白名单自学习和威胁图降噪专利技术,Agent 能够在各类数据采集无损的条件下,大大提升云端检测的有效性,降低云端存储成本。集成下一代 AV 检测引擎HiSec Endpoint 产品集成了自主研发的下一代 AV 引擎 CDE(Content-based Detection Engine,内容检测引擎),可实时扫描发现勒索、挖矿、远控等早期的恶意载荷投递,阻止进一步释放有效恶意载荷;基于内核级文件写入、运行阻断查杀技术,21、在有效载荷落盘或运行前高速扫描,确保恶意代码不运行下的高查杀率。CDE 采用 MDL(Malware Detection Language,恶意软件检测语言)专有病毒语言,以少量资源精准覆盖海量变种;集成专有在线神经网络等高精度AI算法、反躲避等技术,可检测深度隐藏、嵌套、压缩的病毒,并具备未知病毒检测能力;借助华为乾坤云端强大的文件安全生产系统,基于丰富自动化签名算法和专家经验,对海量样本进行高效高质覆盖,持续对抗分析每日海量新样本,准确检测流行勒索、挖矿、木马、僵尸、隐蔽通道、蠕虫等各类恶意软件。CDE 在对抗检测、AI 检测算法、签名泛化能力和扫描性能方面处于领先地位。云查杀功能通过客户22、端与云端安全智能中心的联动实时检测恶意样本,覆盖 Windows、linux、MacOS,Android 等常见桌面、服务器、移动操作系统环境等恶意文件。通过自主研发的下一代 AV 引擎 CDE 结合云查杀能力做综合研判可进一步提高恶意样本检出率,降低误报率。创新威胁溯源图捕获未知威胁据统计,有 20%的恶意软件可以成功绕过杀软的检测。未知行为检测是对抗杀软绕过的关键能力。要想有效地防御未知威胁,首先要精确感知终端行为异常,并且采集的数据越全面、越深入,检测的上限就越高。HiSec Endpoint 产品支持进程、文件、网络、DNS、注册表等细粒度的数据采集,并支持 API、shellcode23、 和内存深度采集。即使威胁攻击采用隐蔽性极高的躲避技术,如内存型无文件攻击、白加黑、shellcode 注入、直接系统调用、合法工具或 Powershell 命令等进行躲避,也能被 HiSec Endpoint 采集器感知。终端行为是一张以进程为中心的网状行为图。HiSec Endpoint 产品独创内存威胁溯源图,对单终端进程树、文件、凭据等对象访问行为链进行实时捕捉,拟合成动态行为图。基于溯源图可执行毫秒级上下文关联,覆盖原始事件和可疑信号,信号实时沿图传播汇聚,结合威胁打分和威胁根溯源算法研判,输出高置信度恶意威胁事件。研判准确率可达 99%以上。大大消除误报和“告警疲劳”,将未知攻击实24、时阻断闭环在终端侧。HiSec Endpoint 联动服务端,可撬动乾坤安全服务平台,对跨终端、异构数据源(资产、威胁信息)进行时空层面的综合关联和溯源,结合 AI 算法和云端强大的威胁知识库,通过全局威胁溯源图深度归因,自动还原攻击意图和攻击链条,检测多主机横向移动、和高级持续隐蔽型攻击。针对无文件攻击和 0-Day漏洞利用,HiSec Endpoint 产品支持多层检测防御,在攻击执行的关键路径打点,通过细粒度行为检测、shellcode 检测、白程序行为基线等分析研判,斩断攻击链。统一威胁分析和溯源狩猎平台HiSec Endpoint 基于端云协同的创新溯源图,为客户提供深度溯源与狩猎能25、力。Agent 侧通过高性能内存图引擎(GSP),实现原始事件归并,并结合白名单自学习进行过滤去重,将原始事件无损收敛到,仅可疑或者稀有事件才会上送到云端,单日单终端上报小于 20M,大幅降低后端存储和事件运营成本。端侧还会通过本地 DB 缓存全量原始事件,确保 100%可溯源。遥测数据实时存入经过高度优化和定制建模的图数据库,实现百亿以上原始事件的秒级 IOC 溯源能力,溯源深度大于 10 跳以上。包含可疑域名、网络地址、MD5、进程 UUID 的全局检索,精确返回受害者终端列表,并用威胁图呈现失陷终端事件的完整上下文。内置华为安全团队多年积累的实战狩猎脚本,实现自动搜索,捕获逃避前置防御的26、高级威胁。高级狩猎支持开放自定义脚本,企业安全团队可以根据自身业务特点定制狩猎脚本,并添加到例行任务中,实现精准狩猎和安全守护。HiSec Endpoint 后台是基于乾坤统一威胁分析和管理平台研发,该平台同时支持边界防护、威胁信息、网络威胁评估、漏洞扫描等多安全 APP 部署。通过华为乾坤统一安全运营中心,可天然支持多安全 APP 的日志中心化存储、检索、统一分析和可视。跨产品管理控制后台统一,可基于一套管理界面配置策略。通过跨域关联分析规则和算法,实现 XDR 跨域威胁研判,以及一键自动化编排响应风险。独创勒索加密文件恢复勒索加密家族 LockBit 最高可在 4 分钟加密 10 万个文件27、,检测的速度必须足够快和准。针对不断变异进化的勒索软件,要确保数据零损失,提供加密文件恢复是一个有效的兜底技术。HiSec Endpoint 产品独创内核级勒索行为捕获技术,可动态感知非受信程序的可疑文件访问模式,如诱饵文件访问、批量文件遍历、修改后缀名等,实时触发本地文件备份。支持轻量化勒索 AI 动态行为本地分析,在勒索攻击正确研判后,针对勒索病毒整个进程链自动执行处置,并将备份文件回滚,确保恢复到正确的文件修改版本,备份单文件毫秒级,将数据损失数量减少到个位数或 0 损失。0405版权所有 华为技术有限公司华为 HiSec Endpoint 智能终端安全系统技术白皮书版权所有 华为技术有28、限公司01安全背景与挑战内存占用低于 60M;杀毒引擎通过对语法、算法的深度优化,协同云端安全智能中心赋能,为客户提供领先的病毒检测能力的同时,内存、磁盘资源占用低;同时在使用杀毒功能时,会根据操作系统资源占用情况进行智能退避,不影响到操作系统的其他任务。基于可信进程树、白名单自学习和威胁图降噪专利技术,Agent 能够在各类数据采集无损的条件下,大大提升云端检测的有效性,降低云端存储成本。集成下一代 AV 检测引擎HiSec Endpoint 产品集成了自主研发的下一代 AV 引擎 CDE(Content-based Detection Engine,内容检测引擎),可实时扫描发现勒索、挖矿29、、远控等早期的恶意载荷投递,阻止进一步释放有效恶意载荷;基于内核级文件写入、运行阻断查杀技术,在有效载荷落盘或运行前高速扫描,确保恶意代码不运行下的高查杀率。CDE 采用 MDL(Malware Detection Language,恶意软件检测语言)专有病毒语言,以少量资源精准覆盖海量变种;集成专有在线神经网络等高精度AI算法、反躲避等技术,可检测深度隐藏、嵌套、压缩的病毒,并具备未知病毒检测能力;借助华为乾坤云端强大的文件安全生产系统,基于丰富自动化签名算法和专家经验,对海量样本进行高效高质覆盖,持续对抗分析每日海量新样本,准确检测流行勒索、挖矿、木马、僵尸、隐蔽通道、蠕虫等各类恶意软件。30、CDE 在对抗检测、AI 检测算法、签名泛化能力和扫描性能方面处于领先地位。云查杀功能通过客户端与云端安全智能中心的联动实时检测恶意样本,覆盖 Windows、linux、MacOS,Android 等常见桌面、服务器、移动操作系统环境等恶意文件。通过自主研发的下一代 AV 引擎 CDE 结合云查杀能力做综合研判可进一步提高恶意样本检出率,降低误报率。创新威胁溯源图捕获未知威胁据统计,有 20%的恶意软件可以成功绕过杀软的检测。未知行为检测是对抗杀软绕过的关键能力。要想有效地防御未知威胁,首先要精确感知终端行为异常,并且采集的数据越全面、越深入,检测的上限就越高。HiSec Endpoint 31、产品支持进程、文件、网络、DNS、注册表等细粒度的数据采集,并支持 API、shellcode 和内存深度采集。即使威胁攻击采用隐蔽性极高的躲避技术,如内存型无文件攻击、白加黑、shellcode 注入、直接系统调用、合法工具或 Powershell 命令等进行躲避,也能被 HiSec Endpoint 采集器感知。终端行为是一张以进程为中心的网状行为图。HiSec Endpoint 产品独创内存威胁溯源图,对单终端进程树、文件、凭据等对象访问行为链进行实时捕捉,拟合成动态行为图。基于溯源图可执行毫秒级上下文关联,覆盖原始事件和可疑信号,信号实时沿图传播汇聚,结合威胁打分和威胁根溯源算法研判,32、输出高置信度恶意威胁事件。研判准确率可达 99%以上。大大消除误报和“告警疲劳”,将未知攻击实时阻断闭环在终端侧。HiSec Endpoint 联动服务端,可撬动乾坤安全服务平台,对跨终端、异构数据源(资产、威胁信息)进行时空层面的综合关联和溯源,结合 AI 算法和云端强大的威胁知识库,通过全局威胁溯源图深度归因,自动还原攻击意图和攻击链条,检测多主机横向移动、和高级持续隐蔽型攻击。针对无文件攻击和 0-Day漏洞利用,HiSec Endpoint 产品支持多层检测防御,在攻击执行的关键路径打点,通过细粒度行为检测、shellcode 检测、白程序行为基线等分析研判,斩断攻击链。统一威胁分析和33、溯源狩猎平台HiSec Endpoint 基于端云协同的创新溯源图,为客户提供深度溯源与狩猎能力。Agent 侧通过高性能内存图引擎(GSP),实现原始事件归并,并结合白名单自学习进行过滤去重,将原始事件无损收敛到,仅可疑或者稀有事件才会上送到云端,单日单终端上报小于 20M,大幅降低后端存储和事件运营成本。端侧还会通过本地 DB 缓存全量原始事件,确保 100%可溯源。遥测数据实时存入经过高度优化和定制建模的图数据库,实现百亿以上原始事件的秒级 IOC 溯源能力,溯源深度大于 10 跳以上。包含可疑域名、网络地址、MD5、进程 UUID 的全局检索,精确返回受害者终端列表,并用威胁图呈现失陷34、终端事件的完整上下文。内置华为安全团队多年积累的实战狩猎脚本,实现自动搜索,捕获逃避前置防御的高级威胁。高级狩猎支持开放自定义脚本,企业安全团队可以根据自身业务特点定制狩猎脚本,并添加到例行任务中,实现精准狩猎和安全守护。HiSec Endpoint 后台是基于乾坤统一威胁分析和管理平台研发,该平台同时支持边界防护、威胁信息、网络威胁评估、漏洞扫描等多安全 APP 部署。通过华为乾坤统一安全运营中心,可天然支持多安全 APP 的日志中心化存储、检索、统一分析和可视。跨产品管理控制后台统一,可基于一套管理界面配置策略。通过跨域关联分析规则和算法,实现 XDR 跨域威胁研判,以及一键自动化编排响应35、风险。独创勒索加密文件恢复勒索加密家族 LockBit 最高可在 4 分钟加密 10 万个文件,检测的速度必须足够快和准。针对不断变异进化的勒索软件,要确保数据零损失,提供加密文件恢复是一个有效的兜底技术。HiSec Endpoint 产品独创内核级勒索行为捕获技术,可动态感知非受信程序的可疑文件访问模式,如诱饵文件访问、批量文件遍历、修改后缀名等,实时触发本地文件备份。支持轻量化勒索 AI 动态行为本地分析,在勒索攻击正确研判后,针对勒索病毒整个进程链自动执行处置,并将备份文件回滚,确保恢复到正确的文件修改版本,备份单文件毫秒级,将数据损失数量减少到个位数或 0 损失。07版权所有 华为技术36、有限公司02产品架构设计06版权所有 华为技术有限公司2 产 品 架构设计华为 HiSec Endpoint 智能终端安全系统由客户端和服务端两部分组成,支持 SaaS 服务和本地 On-Premises 两种部署形态。客户端以软件 Agent 形式部署在终端设备上,负责从多维度对终端系统中的行为、资源、运行状态等进行采集和监控。Agent 集成了下一代静态反病毒检测引擎、动态行为分析引擎(主机 IPS 和威胁溯源图关联)、AI 分析引擎和处置引擎,可以快速的对威胁进行本地响应闭环。同时提供独创勒索加密文件本地实时备份和恢复能力,为数据安全兜底,保护关键数据资产安全。HiSec Endpoin37、t 基于 One Agent理念打造插件化统一终端平台 Safra(Security Agent Framework,Safra),在统一终端平台的基础上不仅可快速扩展支持新的操作系统,同时可以快速横向扩展新的上层业务(如 NAC、ZTNA、DLP 等能力),具备扩展灵活、兼容性好、资源占用低、运维管理特点。服务端支持 SaaS 化公有云部署和本地服务器部署两种模式,负责提供统一的终端管理运维、终端检测和响应服务。作为安全分析和安全运维中心,HiSec Endpoint 服务端负责安全日志的中心化采集存储查询、安全事件分析、事件响应闭环,和安全预警和报告等功能。基于统一乾坤安全服务平台,产品可38、同时提供边界防护服务、威胁信息服务、安全评估服务等能力。图 2-1 华为 HiSec Endpoint 产品架构图07版权所有 华为技术有限公司02产品架构设计06版权所有 华为技术有限公司2 产 品架 构 设计华为 HiSec Endpoint 智能终端安全系统由客户端和服务端两部分组成,支持 SaaS 服务和本地 On-Premises 两种部署形态。客户端以软件 Agent 形式部署在终端设备上,负责从多维度对终端系统中的行为、资源、运行状态等进行采集和监控。Agent 集成了下一代静态反病毒检测引擎、动态行为分析引擎(主机 IPS 和威胁溯源图关联)、AI 分析引擎和处置引擎,可以快速39、的对威胁进行本地响应闭环。同时提供独创勒索加密文件本地实时备份和恢复能力,为数据安全兜底,保护关键数据资产安全。HiSec Endpoint 基于 One Agent理念打造插件化统一终端平台 Safra(Security Agent Framework,Safra),在统一终端平台的基础上不仅可快速扩展支持新的操作系统,同时可以快速横向扩展新的上层业务(如 NAC、ZTNA、DLP 等能力),具备扩展灵活、兼容性好、资源占用低、运维管理特点。服务端支持 SaaS 化公有云部署和本地服务器部署两种模式,负责提供统一的终端管理运维、终端检测和响应服务。作为安全分析和安全运维中心,HiSec En40、dpoint 服务端负责安全日志的中心化采集存储查询、安全事件分析、事件响应闭环,和安全预警和报告等功能。基于统一乾坤安全服务平台,产品可同时提供边界防护服务、威胁信息服务、安全评估服务等能力。图 2-1 华为 HiSec Endpoint 产品架构图09版权所有 华为技术有限公司03核心功能08版权所有 华为技术有限公司3 核 心 功能3.1 终端识别与管理3.1.1 终端识别终端主机在成功安装 HiSec Endpoint Agent 后,采集终端主机基本信息(包括主机名称、IP、MAC、操作系统,硬件信息等),并自动和服务端请求连接,在服务端集中统一管理。企业 IT 管理员通过服务端终端41、资产列表,盘点已安装 HiSec Endpoint Agent 的重点资产,结合华为乾坤网络漏洞扫描服务,发现和筛选未安装 HiSec Endpoint Agent 的终端主机。在 DHCP 自动分配终端 IP 的场景中,服务端支持对终端历史 IP 的查看功能。3.1.2 终端资产登记租户管理员开启资产登记后,可以在客户端登记终端资产信息,包含资产使用人、部门、联系电话和邮箱等信息,方便发现失陷主机后快速找到资产使用人。3.1.3 资产评分支持基于终端威胁事件等级、漏洞和脆弱性评估、资产价值等多维风险评分。图 3-1 资产价值多维评分09版权所有 华为技术有限公司03核心功能08版权所有 华为42、技术有限公司3 核 心功 能3.1 终端识别与管理3.1.1 终端识别终端主机在成功安装 HiSec Endpoint Agent 后,采集终端主机基本信息(包括主机名称、IP、MAC、操作系统,硬件信息等),并自动和服务端请求连接,在服务端集中统一管理。企业 IT 管理员通过服务端终端资产列表,盘点已安装 HiSec Endpoint Agent 的重点资产,结合华为乾坤网络漏洞扫描服务,发现和筛选未安装 HiSec Endpoint Agent 的终端主机。在 DHCP 自动分配终端 IP 的场景中,服务端支持对终端历史 IP 的查看功能。3.1.2 终端资产登记租户管理员开启资产登记后,43、可以在客户端登记终端资产信息,包含资产使用人、部门、联系电话和邮箱等信息,方便发现失陷主机后快速找到资产使用人。3.1.3 资产评分支持基于终端威胁事件等级、漏洞和脆弱性评估、资产价值等多维风险评分。图 3-1 资产价值多维评分1011版权所有 华为技术有限公司华为 HiSec Endpoint 智能终端安全系统技术白皮书版权所有 华为技术有限公司03核心功能3.2 数据采集数据采集是终端安全防护软件中与操作系统甚至硬件关系最紧密的能力。数据采集对系统中的行为、资源、运行状态等多方面进行监控及记录,是终端安全防护软件核心业务的下层基础。数据采集在 HiSec Endpoint 产品中为多种能力44、提供基础,如实时监控与防护、威胁检测、威胁响应。操作系统对不同的系统资源提供了访问、修改方式,针对经常面临安全风险的资源和敏感操作,通常包括以下采集项:进程行为、文件行为、注册表行为、网络连接、DNS 访问、内核对象创建。用户登录、退出 启动项增加 API 调用、系统调用等HiSec Endpoint Agent 数据采集模型HiSec Endpoint 产品,通过操作系统内核驱动、API Hook、ETW 以及其他辅助采集技术,对系统进程、线程、注册表、文件、磁盘、网络、DNS 请求、API 调用、系统调用等进行监控,基本架构如下图所示:图 3-2 数据采集模型基本架构根据数据采集的具体实现45、,HiSec Endpoint Agent 数据采集在功能和安全性方面具备以下六大特点。数据完整性HiSec Endpoint 与传统 EPP 产品的重要差异之一是数据采集的能力必须满足进程调用链构建、威胁图的构建,要包含完整的事件主体信息,客体信息和行为的详细类型,使安全系统发现威胁后可分析、可处置、可溯源。深度采集HiSec Endpoint 在恶意软件泛化行为上提供多种打点,从进程行为到线程行为,从文件行为到内存行为,由浅入深;在攻击路径上全段覆盖,从网络连接到爆破登录,从注册表变化到启动项增加,由粗到细。复合行为采集和抽象在 HiSec Endpoint 中,除常规的数据采集能力外,还46、包含由多种单独事件组合而成的复合行为采集,如注入行为采集和 shellcode 采集。高性能由于安插了众多数据采集点,性能成为主要技术挑战。HiSec Endpoint 对此做了大量优化和创新,在内核和用户态模块均内置过滤引擎,在最前端针对主体、客体、行为等多元素进行高效过滤;并结合可信进程树和专利威胁图降噪技术,单终端数据上报可控制在 20MB/天以下,保证关键数据不被丢弃,并满足下游防护业务的需求。精细化控制对于轻量化安全防护场景,HiSec Endpoint 专为数据采集提供了精细化的开关控制,可有针对性地开启、关闭或者部分关闭采集功能,进一步降低资源消耗。在对带宽有限制时,也可达到灵活47、控制数据上报的目的。多平台支持目前数据采集覆盖 Windows、Linux 平台,并通过 Hook、回调等多种技术方案屏蔽差异,实现对重要特性支持,为上层勒索、挖矿、木马、横向移动等检测和防护场景提供能力基础。3.3 威胁防御3.3.1 网络访问控制网络访问控制提供主机防火墙、单网通、网络隔离三大功能,访问控制核心是在网络协议栈对流量访问做控制。主机防火墙和单网通应用场景不同,功能互斥,同一终端只能引用一种网络访问控制策略。主机防火墙通常用于业务简单且固定场景,比如内部办公网络、生产制造。单网通通常在政务系统一机两用场景,政务外网与互联网隔离,通过单网通实现客户同时只能连一张网,防止跳板攻击入48、侵内部网络导致数据泄漏。1011版权所有 华为技术有限公司华为 HiSec Endpoint 智能终端安全系统技术白皮书版权所有 华为技术有限公司03核心功能3.2 数据采集数据采集是终端安全防护软件中与操作系统甚至硬件关系最紧密的能力。数据采集对系统中的行为、资源、运行状态等多方面进行监控及记录,是终端安全防护软件核心业务的下层基础。数据采集在 HiSec Endpoint 产品中为多种能力提供基础,如实时监控与防护、威胁检测、威胁响应。操作系统对不同的系统资源提供了访问、修改方式,针对经常面临安全风险的资源和敏感操作,通常包括以下采集项:进程行为、文件行为、注册表行为、网络连接、DNS 访49、问、内核对象创建。用户登录、退出 启动项增加 API 调用、系统调用等HiSec Endpoint Agent 数据采集模型HiSec Endpoint 产品,通过操作系统内核驱动、API Hook、ETW 以及其他辅助采集技术,对系统进程、线程、注册表、文件、磁盘、网络、DNS 请求、API 调用、系统调用等进行监控,基本架构如下图所示:图 3-2 数据采集模型基本架构根据数据采集的具体实现,HiSec Endpoint Agent 数据采集在功能和安全性方面具备以下六大特点。数据完整性HiSec Endpoint 与传统 EPP 产品的重要差异之一是数据采集的能力必须满足进程调用链构建、威50、胁图的构建,要包含完整的事件主体信息,客体信息和行为的详细类型,使安全系统发现威胁后可分析、可处置、可溯源。深度采集HiSec Endpoint 在恶意软件泛化行为上提供多种打点,从进程行为到线程行为,从文件行为到内存行为,由浅入深;在攻击路径上全段覆盖,从网络连接到爆破登录,从注册表变化到启动项增加,由粗到细。复合行为采集和抽象在 HiSec Endpoint 中,除常规的数据采集能力外,还包含由多种单独事件组合而成的复合行为采集,如注入行为采集和 shellcode 采集。高性能由于安插了众多数据采集点,性能成为主要技术挑战。HiSec Endpoint 对此做了大量优化和创新,在内核和用51、户态模块均内置过滤引擎,在最前端针对主体、客体、行为等多元素进行高效过滤;并结合可信进程树和专利威胁图降噪技术,单终端数据上报可控制在 20MB/天以下,保证关键数据不被丢弃,并满足下游防护业务的需求。精细化控制对于轻量化安全防护场景,HiSec Endpoint 专为数据采集提供了精细化的开关控制,可有针对性地开启、关闭或者部分关闭采集功能,进一步降低资源消耗。在对带宽有限制时,也可达到灵活控制数据上报的目的。多平台支持目前数据采集覆盖 Windows、Linux 平台,并通过 Hook、回调等多种技术方案屏蔽差异,实现对重要特性支持,为上层勒索、挖矿、木马、横向移动等检测和防护场景提供能力52、基础。3.3 威胁防御3.3.1 网络访问控制网络访问控制提供主机防火墙、单网通、网络隔离三大功能,访问控制核心是在网络协议栈对流量访问做控制。主机防火墙和单网通应用场景不同,功能互斥,同一终端只能引用一种网络访问控制策略。主机防火墙通常用于业务简单且固定场景,比如内部办公网络、生产制造。单网通通常在政务系统一机两用场景,政务外网与互联网隔离,通过单网通实现客户同时只能连一张网,防止跳板攻击入侵内部网络导致数据泄漏。1213版权所有 华为技术有限公司华为 HiSec Endpoint 智能终端安全系统技术白皮书版权所有 华为技术有限公司03核心功能3.3.1.1 主机防火墙传统的防火墙一般部署53、在网络出口控制南北向流量访问控制,无法做东西向流量控制,也无法针对每台终端做精细化网络访问控制,主机防火墙则可以解决该痛点。主机防火墙以 IP、流向、协议、端口细粒度做精细化访问控制,每个终端可以有独有的防火墙策略。管理员只需要配置不同策略、规则,并将策略应用在不同终端上即可实现终端精细化网络访问控制。3.3.1.2 网络隔离当发现有失陷主机时,管理员可以基于威胁事件选中对应终端快速进行网络隔离,防止病毒横移、数据泄露免去拔网线物理隔离的麻烦。恶意病毒处置后,管理员、终端用户可通过隔离区恢复网络。3.3.1.3 单网通单网通可以配置自定义网络允许访问的 IP 或者域名,针对特殊 IP、域名、进54、程可以配置例外,无论在那种网络模式下均允许其网络访问。单网通策略下发客户端后,终端用户就可以基于业务需要手动切换可访问的网络,达到一机两用的目的。3.3.2 防篡改在办公终端和服务器场景,都存在一些关键的资产,通常不希望受到非预期的修改,如 office 办公文档,行业工程文档、后台服务程序页面等等,在被篡改后会导致核心资产被破坏、对外提供服务异常等问题,因此需要对这些资产加以防护。HiSec Endpoint 利用内核驱动技术对文件系统中的文件资产实时监控,通过对主机中的重点目录配置策略,可以防止系统和用户的关键类型资产被恶意篡改;同时提供了特许进程的配置能力,用于满足员工和运维人员正常的业55、务修改需要。防篡改所针对的范围、目标文件类型、特许进程均可配置,因此具备较强的灵活性;防篡改基于文件过滤驱动实现,也具备较强的对抗性,可以应对简单的勒索以及特定类型的网页漏洞利用。3.3.3 黑白名单HiSec Endpoint 支持用户配置白名单和黑名单,服务端检测时会根据白名单直接放过,根据黑名单直接生成告警信息。同时 Hisec Endpoint 支持基于统计频繁项的白名单自学习机制,生成的白名单经过服务端汇总合并后,主动推送到各个 Agent,作为过滤基线,降低数据上报量。3.4 威胁检测3.4.1 静态检测3.4.1.1 下一代 AV 检测HiSec Endpoint集成下一代AV病56、毒检测引擎CDE(Content Detection Engine),支持防护包括勒索、挖矿、木马、僵尸、隐蔽通道、漏洞利用、蠕虫、病毒、黑客工具、灰色软件、恶意广告等各类恶意家族病毒。当客户终端被攻击下载病毒文件,在终端落盘或运行时,病毒检测引擎会对病毒进行实时的防护。病毒检测引擎主要由文件类型识别、内容深度分析以及病毒扫描引擎组成,主要原理如下图所示。图 3-3 病毒检测引擎组成1213版权所有 华为技术有限公司华为 HiSec Endpoint 智能终端安全系统技术白皮书版权所有 华为技术有限公司03核心功能3.3.1.1 主机防火墙传统的防火墙一般部署在网络出口控制南北向流量访问控制,57、无法做东西向流量控制,也无法针对每台终端做精细化网络访问控制,主机防火墙则可以解决该痛点。主机防火墙以 IP、流向、协议、端口细粒度做精细化访问控制,每个终端可以有独有的防火墙策略。管理员只需要配置不同策略、规则,并将策略应用在不同终端上即可实现终端精细化网络访问控制。3.3.1.2 网络隔离当发现有失陷主机时,管理员可以基于威胁事件选中对应终端快速进行网络隔离,防止病毒横移、数据泄露免去拔网线物理隔离的麻烦。恶意病毒处置后,管理员、终端用户可通过隔离区恢复网络。3.3.1.3 单网通单网通可以配置自定义网络允许访问的 IP 或者域名,针对特殊 IP、域名、进程可以配置例外,无论在那种网络模式58、下均允许其网络访问。单网通策略下发客户端后,终端用户就可以基于业务需要手动切换可访问的网络,达到一机两用的目的。3.3.2 防篡改在办公终端和服务器场景,都存在一些关键的资产,通常不希望受到非预期的修改,如 office 办公文档,行业工程文档、后台服务程序页面等等,在被篡改后会导致核心资产被破坏、对外提供服务异常等问题,因此需要对这些资产加以防护。HiSec Endpoint 利用内核驱动技术对文件系统中的文件资产实时监控,通过对主机中的重点目录配置策略,可以防止系统和用户的关键类型资产被恶意篡改;同时提供了特许进程的配置能力,用于满足员工和运维人员正常的业务修改需要。防篡改所针对的范围、目59、标文件类型、特许进程均可配置,因此具备较强的灵活性;防篡改基于文件过滤驱动实现,也具备较强的对抗性,可以应对简单的勒索以及特定类型的网页漏洞利用。3.3.3 黑白名单HiSec Endpoint 支持用户配置白名单和黑名单,服务端检测时会根据白名单直接放过,根据黑名单直接生成告警信息。同时 Hisec Endpoint 支持基于统计频繁项的白名单自学习机制,生成的白名单经过服务端汇总合并后,主动推送到各个 Agent,作为过滤基线,降低数据上报量。3.4 威胁检测3.4.1 静态检测3.4.1.1 下一代 AV 检测HiSec Endpoint集成下一代AV病毒检测引擎CDE(Content 60、Detection Engine),支持防护包括勒索、挖矿、木马、僵尸、隐蔽通道、漏洞利用、蠕虫、病毒、黑客工具、灰色软件、恶意广告等各类恶意家族病毒。当客户终端被攻击下载病毒文件,在终端落盘或运行时,病毒检测引擎会对病毒进行实时的防护。病毒检测引擎主要由文件类型识别、内容深度分析以及病毒扫描引擎组成,主要原理如下图所示。图 3-3 病毒检测引擎组成1415版权所有 华为技术有限公司华为 HiSec Endpoint 智能终端安全系统技术白皮书版权所有 华为技术有限公司03核心功能各模块的主要功能是:一、文件类型识别:支持精准识别上百种文件类型文件类型识别模块通过分析文件内容实现对海量文件的文61、件类型的精准分类。文件类型识别模块拥有以下三大能力:1.识别速度快:CDE 集成了专用的文件类型识别算法,可以快速、精确地识别上百种文件类型。2.识别范围多:CDE 支持各类常见的文件类型,包括 PE、ELF、APK、PDF、HTML、JS、WEBSHELL、LNK、BASH 和各类 OFFICE 等文件类型。3.识别结果准:CDE 会对文件的真实内容进行检测,即使攻击者对文件后缀或内容进行仿冒,CDE 也能精准识别实际的文件类型,防止恶意文件逃逸检测。二、内容深度解析:支持对恶意文件的深度分析内容深度分析模块负责对二进制文件、复合文档和各类脚本文件进行分析,识别潜藏的恶意信息,为检测模块提供62、完整的内容信息。内容深度分析精准的识别能力离不开强大的语义分析能力和动态引擎的加持:1.内容深度检测:针对各类复杂文件中可能潜藏的病毒,CDE通过各类复杂文件进行了全面、扎实、深度的解析,能够识别到隐藏在原始文件中的恶意信息。即使攻击者通过深层混合压缩或者复合文档附件等手段隐藏病毒,在 CDE 的检测下都无所遁形。2.语义分析能力:CDE 通过对脚本进行词法、语义分析,精准还原脚本病毒简化的原始语义内容,检测传统内容检测技术无法检测的脚本病毒。三、病毒扫描引擎:支持强大的病毒检测能力病毒检测引擎负责检测文件中是否存在恶意代码,通过 MDL 检测引擎、神经网络引擎 AI 引擎和云端智能中心的加持63、,实现使用少量资源即可精准覆盖海量病毒变种的检测,具体如下:1.MDL 检测引擎:CDE 使用了华为独有积累多年的 MDL 可编程病毒检测语言,通过丰富、灵活的病毒检测语法,配套专用病毒语言编译器,编译生成高性能病毒库,使用更少的内存对各类病毒变种进行更高性能的检测,实现数亿级的海量病毒覆盖。2.启发式检测引擎:是基于特征匹配技术上的升级,与传统反病毒特征检测技术相比,优点在于对未知病毒的防御。华为的 AV 支持静态启发式检测,通过分析数千万的恶意程序样本,提炼出恶意文件的代码逻辑并进行建模,在静态分析文件数据时与任意一种建模的代码逻辑一致即可识别为病毒文件。3.神经网络 AI 引擎:CDE 64、基于华为领先的轻量化、并行化和自动化的 SiteAI 平台,通过分析数亿级的海量病毒构建了多个专用的病毒检测 AI 算法。这些病毒检测 AI 算法实现了对海量已知病毒和未知病毒高性能和高准确率的检测。CDE 引擎部署在 HiSec Endpoint 中,发挥实际防护能力,除了引擎外,站在背后的是华为的核心云端智能中心,云端智能中心提供最全面的文件安全能力,为客户侧的 CDE 引擎提供了最关键的、持续、强力的安全能力支撑,华为病毒分析专家依托智能中心云计算技术构建了完整、可靠、高效的云端安全系统,实时、准确地对抗并分析海量最新病毒,CDE 引擎会实时更新来自云端安全智能中心的最新防病毒能力,及时65、为客户防护全网最新流行病毒。3.4.1.2 云查询云查询是在用户本地静态查杀的基础上,对于未完全确定的样本进行服务端威胁信息库二次查询,以此增强病毒检测和响应的技术手段。例如,当用户本地的病毒特征库版本较低,本地查杀引擎尚无法确信样本的危害时,可通过样本的特征信息去威胁信息库进行二次确定,以此快速锁定恶意样本,更快阻拦新型病毒。当前在服务端和客户端为用户提供了功能启停配置,配置项以服务端配置为优先。3.4.1.3 病毒查杀模式HiSec Endpoint 终端通过自研的 AV 病毒检测引擎,支持本地用户与云端管理员多模式的病毒查杀模式,包括快速查杀、全盘查杀、自定义查杀。快速查杀:使用系统默认66、的查杀策略对终端执行病毒扫描任务,只检查基本的系统目录和指定类型的文件。全盘查杀:对终端全磁盘执行病毒扫描任务,检查项最多,查杀病毒最彻底。自定义查杀:根据用户实际需要,使用针对性的查杀策略对终端执行病毒扫描任务,自定义查杀需要配置相应的查杀策略,以满足精细化的扫描要求。此外本地终端用户可通过选定部分文件及文件夹,通过右键触发自定义查杀。病毒查杀具有如下两大特点:高性能:通过病毒查杀高效的缓存和线程池调度技术,实现病毒查杀速度领先,其中二次病毒查杀能力达到分钟级,资源占用一半以下。资源自适应:在用户办公场景下,HiSec Endpoint 尽量做到病毒查杀无感知,不影响用户正常使用。通过对系统67、内存、磁盘 IO、CPU 的综合评估,实现用户办公时病毒查杀自动退避,等待空闲阶段再继续病毒查杀工作。3.4.1.3.1 专项查杀专项查杀是一种管理员基于已知高危样本特征 hash 对终端进行重点查杀的模式。管理员在某台终端发现恶意样本后,可以基于恶意样本的特征向租户管辖下其他终端下发专项查杀任务,确保相同特征的恶意样本可以被快速发现并处置,避免恶意样本的长期潜伏和扩散。管理员可以按需配1415版权所有 华为技术有限公司华为 HiSec Endpoint 智能终端安全系统技术白皮书版权所有 华为技术有限公司03核心功能各模块的主要功能是:一、文件类型识别:支持精准识别上百种文件类型文件类型识别68、模块通过分析文件内容实现对海量文件的文件类型的精准分类。文件类型识别模块拥有以下三大能力:1.识别速度快:CDE 集成了专用的文件类型识别算法,可以快速、精确地识别上百种文件类型。2.识别范围多:CDE 支持各类常见的文件类型,包括 PE、ELF、APK、PDF、HTML、JS、WEBSHELL、LNK、BASH 和各类 OFFICE 等文件类型。3.识别结果准:CDE 会对文件的真实内容进行检测,即使攻击者对文件后缀或内容进行仿冒,CDE 也能精准识别实际的文件类型,防止恶意文件逃逸检测。二、内容深度解析:支持对恶意文件的深度分析内容深度分析模块负责对二进制文件、复合文档和各类脚本文件进行分69、析,识别潜藏的恶意信息,为检测模块提供完整的内容信息。内容深度分析精准的识别能力离不开强大的语义分析能力和动态引擎的加持:1.内容深度检测:针对各类复杂文件中可能潜藏的病毒,CDE通过各类复杂文件进行了全面、扎实、深度的解析,能够识别到隐藏在原始文件中的恶意信息。即使攻击者通过深层混合压缩或者复合文档附件等手段隐藏病毒,在 CDE 的检测下都无所遁形。2.语义分析能力:CDE 通过对脚本进行词法、语义分析,精准还原脚本病毒简化的原始语义内容,检测传统内容检测技术无法检测的脚本病毒。三、病毒扫描引擎:支持强大的病毒检测能力病毒检测引擎负责检测文件中是否存在恶意代码,通过 MDL 检测引擎、神经网70、络引擎 AI 引擎和云端智能中心的加持,实现使用少量资源即可精准覆盖海量病毒变种的检测,具体如下:1.MDL 检测引擎:CDE 使用了华为独有积累多年的 MDL 可编程病毒检测语言,通过丰富、灵活的病毒检测语法,配套专用病毒语言编译器,编译生成高性能病毒库,使用更少的内存对各类病毒变种进行更高性能的检测,实现数亿级的海量病毒覆盖。2.启发式检测引擎:是基于特征匹配技术上的升级,与传统反病毒特征检测技术相比,优点在于对未知病毒的防御。华为的 AV 支持静态启发式检测,通过分析数千万的恶意程序样本,提炼出恶意文件的代码逻辑并进行建模,在静态分析文件数据时与任意一种建模的代码逻辑一致即可识别为病毒文71、件。3.神经网络 AI 引擎:CDE 基于华为领先的轻量化、并行化和自动化的 SiteAI 平台,通过分析数亿级的海量病毒构建了多个专用的病毒检测 AI 算法。这些病毒检测 AI 算法实现了对海量已知病毒和未知病毒高性能和高准确率的检测。CDE 引擎部署在 HiSec Endpoint 中,发挥实际防护能力,除了引擎外,站在背后的是华为的核心云端智能中心,云端智能中心提供最全面的文件安全能力,为客户侧的 CDE 引擎提供了最关键的、持续、强力的安全能力支撑,华为病毒分析专家依托智能中心云计算技术构建了完整、可靠、高效的云端安全系统,实时、准确地对抗并分析海量最新病毒,CDE 引擎会实时更新来自72、云端安全智能中心的最新防病毒能力,及时为客户防护全网最新流行病毒。3.4.1.2 云查询云查询是在用户本地静态查杀的基础上,对于未完全确定的样本进行服务端威胁信息库二次查询,以此增强病毒检测和响应的技术手段。例如,当用户本地的病毒特征库版本较低,本地查杀引擎尚无法确信样本的危害时,可通过样本的特征信息去威胁信息库进行二次确定,以此快速锁定恶意样本,更快阻拦新型病毒。当前在服务端和客户端为用户提供了功能启停配置,配置项以服务端配置为优先。3.4.1.3 病毒查杀模式HiSec Endpoint 终端通过自研的 AV 病毒检测引擎,支持本地用户与云端管理员多模式的病毒查杀模式,包括快速查杀、全盘查73、杀、自定义查杀。快速查杀:使用系统默认的查杀策略对终端执行病毒扫描任务,只检查基本的系统目录和指定类型的文件。全盘查杀:对终端全磁盘执行病毒扫描任务,检查项最多,查杀病毒最彻底。自定义查杀:根据用户实际需要,使用针对性的查杀策略对终端执行病毒扫描任务,自定义查杀需要配置相应的查杀策略,以满足精细化的扫描要求。此外本地终端用户可通过选定部分文件及文件夹,通过右键触发自定义查杀。病毒查杀具有如下两大特点:高性能:通过病毒查杀高效的缓存和线程池调度技术,实现病毒查杀速度领先,其中二次病毒查杀能力达到分钟级,资源占用一半以下。资源自适应:在用户办公场景下,HiSec Endpoint 尽量做到病毒查杀74、无感知,不影响用户正常使用。通过对系统内存、磁盘 IO、CPU 的综合评估,实现用户办公时病毒查杀自动退避,等待空闲阶段再继续病毒查杀工作。3.4.1.3.1 专项查杀专项查杀是一种管理员基于已知高危样本特征 hash 对终端进行重点查杀的模式。管理员在某台终端发现恶意样本后,可以基于恶意样本的特征向租户管辖下其他终端下发专项查杀任务,确保相同特征的恶意样本可以被快速发现并处置,避免恶意样本的长期潜伏和扩散。管理员可以按需配1617版权所有 华为技术有限公司华为 HiSec Endpoint 智能终端安全系统技术白皮书版权所有 华为技术有限公司03核心功能置专项查杀的策略,并选择终端进行下发,75、遇到相同特征的样本将自动发现并处置。3.4.1.4 U 盘扫描U 盘防护通过实时监控系统 USB 设备的插入拔出,对未知的 USB 设备加入进行高效的病毒扫描,并对其中高危的病毒进行安全处置。设备插入后,将基于 USB 防护配置进行安全扫描,扫描过程中也将实时显示扫描的进度信息。遇到高危的病毒将按照策略进行自动隔离。设备拔出后,将自动跟随退出3.4.2 爆破检测暴力破解是一种通过反复试验来破解密码、登录凭据和加密密钥的黑客方法。这是一种简单而可靠的策略,可用于未经授权访问个人帐户以及组织的系统和网络。HiSec Endpoint 基于采集到的原始登录日志和 HIPS 引擎提供的统计检测能力,登76、录服务包括不限于SSH、TELNET、RDP 等,对短时间内,大量次数的登录失败上报遭受暴力破解事件,同时监控是否暴力破解成功。HiSec Endpoint 可对异常登录状态实现实时监控,并精确检测暴力破解事件上报告警。3.4.3 漏洞检测企业 IT 环境漏洞从大类上可分为应用程序漏洞、操作系统远程 RCE 漏洞和提权漏洞。漏洞往往是攻击者入侵的初始路径,由于系统的复杂性和动态环境,导致新漏洞不断出现且难以识别,检测难度极大。攻击者的隐蔽性和技术演进,使得传统检测工具面临误报和漏报的挑战。HiSec Endpoint 针对终端侧漏洞建立了完整的防御体系。在应用程序漏洞上,从宏观层面学习重要应用77、的行为,以检测偏离基线的可疑漏洞利用;微观层面上使用基于栈序列的异常检测,检测函数级别的可疑偏离,实现检测已知和 0-Day 应用程序漏洞的目的。针对提权漏洞,监控 UAC、管道、令牌等关键路径,精确识别进程权限变化并告警。在内核层检测远程操作系统 RCE 漏洞,可实时阻拦漏洞利用,防止类似 Wannacry 之类的勒索病毒利用远程漏洞快速传播,造成企业基础设施不可用。针对漏洞利用,HiSec Endpoint 提供以下五个层面的纵深防御。3.4.3.1 应用程序漏洞检测HiSec Endpoint 团队基于现网流行漏洞利用的案例分析,针对常用攻击手法进行重点监控,如启动可疑下载进程,释放可疑78、文件,执行无文件攻击。基于自研内存图溯源引擎检测单跳和多跳可疑漏洞攻击,可锁定攻击入口并支持实时阻断,覆盖 Microsoft,Cisco,Adobe,Google,Oracle,Apache,VMware,Mozilla,Citrix,Atlassian,常见 OA 系统以及系统关键服务等重要应用程序。HiSec Endpoint 在漏洞攻击初期迅速感知并阻断可疑行为,避免真实攻击意图动作展开,造成不可挽回的损失,对于未知漏洞检测具有较好的感觉和防护效果,可有效保障企业和组织的终端免受 0-Day 漏洞的攻击威胁。3.4.3.2 基于白基线检测0-Day漏洞是指尚未被公开或修补的漏洞。近几年79、来0-Day漏洞数量不断增加,攻击者经常使用0-Day漏洞来执行恶意代码、窃取敏感信息或控制受害者的计算机系统,而不被发现。0-Day 漏洞攻击难以检测和防范,对于国家基础设施和企业来说都是一个严峻的挑战。HiSec Endpoint 针对 0-Day 漏洞攻击构建了白基线防护策略,对于容易被漏洞利用的应用如浏览器,office,Adobe 以及系统进程等,学习其正常运行时的行为特点,进行特征画像。当监控到行为不符合正常特征画像时,上报告警,并结合其他可疑信息研判攻击的真实性,实时溯源被漏洞利用的程序,并完成处置动作。部署 HiSec Endpoint 后,系统可以准确地捕捉 0-Day 漏洞80、攻击初期的可疑行为,并自动结合其他可疑行为联合研判漏洞攻击,显著降低误报,确认攻击后完成处置和事件上报,使得组织免疫漏洞攻击。3.4.3.3 基于栈回溯的检测调用栈能够清晰反映程序的执行过程,还原 API 调用序列及其上下文。通过识别异常的调用序列,华为HiSec Endpoint 能够在漏洞利用早期及时发现攻击行为。华为 HiSec Endpoint 在漏洞利用必经之路监控关键系统行为,采集调用栈序列,基于栈序列相似度识别异常行为栈。基于栈回溯的漏洞利用检测方案能有效覆盖缓冲区溢出、堆溢出、ROP 等漏洞类型。(Return-Oriented Programming,返回导向编程,在栈缓冲区81、溢出的基础上,通过利用程序中已有的小片段(gadgets)来改变某些寄存器或者变量的值,从而控制程序的执行流程)3.4.3.4 提权威胁检测Windows 上的 LPE(Local Privilege Escalation,本地特权提升)是指攻击者利用操作系统或应用程序中的漏洞,提升自身权限的一种手段,一旦成功,攻击者可以执行任意系统命令、安装恶意软件、窃取敏感信息等,对系统安全构成严重威胁。LPE 技术主要分为如下 7 种类型,其中用户账户控制(UAC)是最为常见的 LPE 技术。1617版权所有 华为技术有限公司华为 HiSec Endpoint 智能终端安全系统技术白皮书版权所有 华为技82、术有限公司03核心功能置专项查杀的策略,并选择终端进行下发,遇到相同特征的样本将自动发现并处置。3.4.1.4 U 盘扫描U 盘防护通过实时监控系统 USB 设备的插入拔出,对未知的 USB 设备加入进行高效的病毒扫描,并对其中高危的病毒进行安全处置。设备插入后,将基于 USB 防护配置进行安全扫描,扫描过程中也将实时显示扫描的进度信息。遇到高危的病毒将按照策略进行自动隔离。设备拔出后,将自动跟随退出3.4.2 爆破检测暴力破解是一种通过反复试验来破解密码、登录凭据和加密密钥的黑客方法。这是一种简单而可靠的策略,可用于未经授权访问个人帐户以及组织的系统和网络。HiSec Endpoint 基于83、采集到的原始登录日志和 HIPS 引擎提供的统计检测能力,登录服务包括不限于SSH、TELNET、RDP 等,对短时间内,大量次数的登录失败上报遭受暴力破解事件,同时监控是否暴力破解成功。HiSec Endpoint 可对异常登录状态实现实时监控,并精确检测暴力破解事件上报告警。3.4.3 漏洞检测企业 IT 环境漏洞从大类上可分为应用程序漏洞、操作系统远程 RCE 漏洞和提权漏洞。漏洞往往是攻击者入侵的初始路径,由于系统的复杂性和动态环境,导致新漏洞不断出现且难以识别,检测难度极大。攻击者的隐蔽性和技术演进,使得传统检测工具面临误报和漏报的挑战。HiSec Endpoint 针对终端侧漏洞建84、立了完整的防御体系。在应用程序漏洞上,从宏观层面学习重要应用的行为,以检测偏离基线的可疑漏洞利用;微观层面上使用基于栈序列的异常检测,检测函数级别的可疑偏离,实现检测已知和 0-Day 应用程序漏洞的目的。针对提权漏洞,监控 UAC、管道、令牌等关键路径,精确识别进程权限变化并告警。在内核层检测远程操作系统 RCE 漏洞,可实时阻拦漏洞利用,防止类似 Wannacry 之类的勒索病毒利用远程漏洞快速传播,造成企业基础设施不可用。针对漏洞利用,HiSec Endpoint 提供以下五个层面的纵深防御。3.4.3.1 应用程序漏洞检测HiSec Endpoint 团队基于现网流行漏洞利用的案例分析85、,针对常用攻击手法进行重点监控,如启动可疑下载进程,释放可疑文件,执行无文件攻击。基于自研内存图溯源引擎检测单跳和多跳可疑漏洞攻击,可锁定攻击入口并支持实时阻断,覆盖 Microsoft,Cisco,Adobe,Google,Oracle,Apache,VMware,Mozilla,Citrix,Atlassian,常见 OA 系统以及系统关键服务等重要应用程序。HiSec Endpoint 在漏洞攻击初期迅速感知并阻断可疑行为,避免真实攻击意图动作展开,造成不可挽回的损失,对于未知漏洞检测具有较好的感觉和防护效果,可有效保障企业和组织的终端免受 0-Day 漏洞的攻击威胁。3.4.3.2 基86、于白基线检测0-Day漏洞是指尚未被公开或修补的漏洞。近几年来0-Day漏洞数量不断增加,攻击者经常使用0-Day漏洞来执行恶意代码、窃取敏感信息或控制受害者的计算机系统,而不被发现。0-Day 漏洞攻击难以检测和防范,对于国家基础设施和企业来说都是一个严峻的挑战。HiSec Endpoint 针对 0-Day 漏洞攻击构建了白基线防护策略,对于容易被漏洞利用的应用如浏览器,office,Adobe 以及系统进程等,学习其正常运行时的行为特点,进行特征画像。当监控到行为不符合正常特征画像时,上报告警,并结合其他可疑信息研判攻击的真实性,实时溯源被漏洞利用的程序,并完成处置动作。部署 HiSec87、 Endpoint 后,系统可以准确地捕捉 0-Day 漏洞攻击初期的可疑行为,并自动结合其他可疑行为联合研判漏洞攻击,显著降低误报,确认攻击后完成处置和事件上报,使得组织免疫漏洞攻击。3.4.3.3 基于栈回溯的检测调用栈能够清晰反映程序的执行过程,还原 API 调用序列及其上下文。通过识别异常的调用序列,华为HiSec Endpoint 能够在漏洞利用早期及时发现攻击行为。华为 HiSec Endpoint 在漏洞利用必经之路监控关键系统行为,采集调用栈序列,基于栈序列相似度识别异常行为栈。基于栈回溯的漏洞利用检测方案能有效覆盖缓冲区溢出、堆溢出、ROP 等漏洞类型。(Return-Ori88、ented Programming,返回导向编程,在栈缓冲区溢出的基础上,通过利用程序中已有的小片段(gadgets)来改变某些寄存器或者变量的值,从而控制程序的执行流程)3.4.3.4 提权威胁检测Windows 上的 LPE(Local Privilege Escalation,本地特权提升)是指攻击者利用操作系统或应用程序中的漏洞,提升自身权限的一种手段,一旦成功,攻击者可以执行任意系统命令、安装恶意软件、窃取敏感信息等,对系统安全构成严重威胁。LPE 技术主要分为如下 7 种类型,其中用户账户控制(UAC)是最为常见的 LPE 技术。1819版权所有 华为技术有限公司华为 HiSec 89、Endpoint 智能终端安全系统技术白皮书版权所有 华为技术有限公司03核心功能图 3-4 LPE 技术类型HiSec Endpoint Agent 通过实时监测终端活动、收集关键数据、进行深度行为分析,能够精准识别并快速响应潜在的本地提权攻击,有效遏制威胁扩散,保护企业核心资产不受损害。尤其是针对 UAC 绕过的提权攻击,例如“Bypassuac_windows_store_reg”漏洞系列和“Bypassuac_sdclt”漏洞系列。3.4.3.5 内核态漏洞拦截HiSec Endpoint 可在内核层监控,实时截获细粒度指令流,及时阻断远程 RCE 漏洞如永恒之蓝,永恒之黑,远程 RD90、P 漏洞等。确保用户系统不遭受类似 wannacry 利用操作系统 RCE 漏洞进行快速传播的严重威胁。3.4.4 钓鱼木马检测钓鱼木马是一种常见的恶意软件,在高级持续性威胁(APT)攻击和国家护网对抗中被广泛使用。通过诱骗用户点击执行恶意文件,钓鱼木马实现窃取敏感信息或控制受感染设备的目的。钓鱼木马对个人用户和大型组织的安全构成了严重威胁。在文件格式方面,钓鱼样本常伪装为常见文件格式诱骗用户点击执行。其中,PE 文件数量最多,同时近年来 lnk 快捷方式文件明显增多。PE 钓鱼木马检测HiSec Endpoint 基于机器学习算法和图像处理技术检测 PE 钓鱼木马的关键特征,能够有效解决现有91、钓鱼检测方法准确性低,误报率高的问题。lnk 快捷方式检测快捷方式通常伪装成合法的可执行文件或 PDF 文件,诱使毫无戒心的用户点击,最终导致其系统或网络受到损害。针对快捷方式钓鱼木马的特点,HiSec Endpoint 利用图像处理技术,结合快捷方式的属性等方式动态识别恶意快捷方式。针对现有钓鱼木马检测技术的局限性,HiSec Endpoint 能有效提高钓鱼木马检测的精确率和召回率。通过对钓鱼木马的特征进行深入分析,结合机器学习算法和图像处理技术,HiSec Endpoint 能够有效识别和阻止钓鱼木马的传播。3.4.5 无文件攻击检测近年来无文件和基于内存的攻击显著攀升。据统计,202292、 年无文件攻击的增长速度超过 900%。无文件攻击不代表真的没有文件,是一种攻击策略,其出发点是避免将真正的恶意代码放在磁盘上,以逃避安全检测。无文件也不代表攻击全程无文件,部分采用了基于内存的攻击。无文件攻击给传统安全软件的检测带来了极大的挑战,特别是静态检测引擎,用于扫描的文件恶意代码成分少,真正的恶意部分直接在内存中执行。无文件攻击主要分为以下三类:1.利用系统合法工具无文件威胁通常不在硬盘上留下可识别的文件,而是利用系统内存、注册表或其他合法的系统工具(如Powershell、WMI 等)进行攻击。这使得传统的基于文件的检测方法无效。2.篡改合法进程攻击者常常采用注入,或进程挖空修改操93、作系统自带的合法工具(如记事本、svchost 等)内存,替换和执行恶意代码。由于工具本身是合法的,因此很难被安全软件识别。3.恶意代码外置攻击者常常不在文件层面存放恶意代码,真正的恶意代码放在网络上黑客控制的服务器中,或者存放于本地的加密文件中。运行时利用 shellcode 从网络下载或者读取本地文件解密后直接内存执行。HiSec Endpoint 产品使用以下关键技术检测无文件威胁:1.脚本基线和基于 AMSI 的检测学习脚本宿主如 wscript,jscript,Powershell 的行为基准,发生高度疑似系统破坏行为时,即时终止恶意脚本.还可以利用 AMSI 技术实时获取解密后的内94、容供杀毒引擎检测。2.实时进程行为检测在内核层和应用态关键函数上打点,检测各种进程注入技术,如远程线程,APC 注入,线程上下文修改,远程挖矿,反射 DLL 注入。3.深度内存分析1819版权所有 华为技术有限公司华为 HiSec Endpoint 智能终端安全系统技术白皮书版权所有 华为技术有限公司03核心功能图 3-4 LPE 技术类型HiSec Endpoint Agent 通过实时监测终端活动、收集关键数据、进行深度行为分析,能够精准识别并快速响应潜在的本地提权攻击,有效遏制威胁扩散,保护企业核心资产不受损害。尤其是针对 UAC 绕过的提权攻击,例如“Bypassuac_windows95、_store_reg”漏洞系列和“Bypassuac_sdclt”漏洞系列。3.4.3.5 内核态漏洞拦截HiSec Endpoint 可在内核层监控,实时截获细粒度指令流,及时阻断远程 RCE 漏洞如永恒之蓝,永恒之黑,远程 RDP 漏洞等。确保用户系统不遭受类似 wannacry 利用操作系统 RCE 漏洞进行快速传播的严重威胁。3.4.4 钓鱼木马检测钓鱼木马是一种常见的恶意软件,在高级持续性威胁(APT)攻击和国家护网对抗中被广泛使用。通过诱骗用户点击执行恶意文件,钓鱼木马实现窃取敏感信息或控制受感染设备的目的。钓鱼木马对个人用户和大型组织的安全构成了严重威胁。在文件格式方面,钓鱼样本96、常伪装为常见文件格式诱骗用户点击执行。其中,PE 文件数量最多,同时近年来 lnk 快捷方式文件明显增多。PE 钓鱼木马检测HiSec Endpoint 基于机器学习算法和图像处理技术检测 PE 钓鱼木马的关键特征,能够有效解决现有钓鱼检测方法准确性低,误报率高的问题。lnk 快捷方式检测快捷方式通常伪装成合法的可执行文件或 PDF 文件,诱使毫无戒心的用户点击,最终导致其系统或网络受到损害。针对快捷方式钓鱼木马的特点,HiSec Endpoint 利用图像处理技术,结合快捷方式的属性等方式动态识别恶意快捷方式。针对现有钓鱼木马检测技术的局限性,HiSec Endpoint 能有效提高钓鱼木马97、检测的精确率和召回率。通过对钓鱼木马的特征进行深入分析,结合机器学习算法和图像处理技术,HiSec Endpoint 能够有效识别和阻止钓鱼木马的传播。3.4.5 无文件攻击检测近年来无文件和基于内存的攻击显著攀升。据统计,2022 年无文件攻击的增长速度超过 900%。无文件攻击不代表真的没有文件,是一种攻击策略,其出发点是避免将真正的恶意代码放在磁盘上,以逃避安全检测。无文件也不代表攻击全程无文件,部分采用了基于内存的攻击。无文件攻击给传统安全软件的检测带来了极大的挑战,特别是静态检测引擎,用于扫描的文件恶意代码成分少,真正的恶意部分直接在内存中执行。无文件攻击主要分为以下三类:1.利用系98、统合法工具无文件威胁通常不在硬盘上留下可识别的文件,而是利用系统内存、注册表或其他合法的系统工具(如Powershell、WMI 等)进行攻击。这使得传统的基于文件的检测方法无效。2.篡改合法进程攻击者常常采用注入,或进程挖空修改操作系统自带的合法工具(如记事本、svchost 等)内存,替换和执行恶意代码。由于工具本身是合法的,因此很难被安全软件识别。3.恶意代码外置攻击者常常不在文件层面存放恶意代码,真正的恶意代码放在网络上黑客控制的服务器中,或者存放于本地的加密文件中。运行时利用 shellcode 从网络下载或者读取本地文件解密后直接内存执行。HiSec Endpoint 产品使用以下99、关键技术检测无文件威胁:1.脚本基线和基于 AMSI 的检测学习脚本宿主如 wscript,jscript,Powershell 的行为基准,发生高度疑似系统破坏行为时,即时终止恶意脚本.还可以利用 AMSI 技术实时获取解密后的内容供杀毒引擎检测。2.实时进程行为检测在内核层和应用态关键函数上打点,检测各种进程注入技术,如远程线程,APC 注入,线程上下文修改,远程挖矿,反射 DLL 注入。3.深度内存分析2021版权所有 华为技术有限公司华为 HiSec Endpoint 智能终端安全系统技术白皮书版权所有 华为技术有限公司03核心功能斩断无文件威胁进入内存的关键路径 shellcode,100、基于内存陷阱技术实时抓取黑客的控制服务器。即使有漏网之鱼,还有深度内存扫描兜底,可快速扫描程序恶意内存块,精确识别恶意程序家族。3.4.5.1 脚本检测3.4.5.1.1 Powershell 检测Powershell 是一种 Windows 系统的原生工具。据 splunk 2023 报告指出,在野利用的 TOP 20 ATT&CK 攻击技术中,Powershell 命令和脚本解释器武器化攻击技术占比第一。Powershell 是无文件攻击的首选工具,包括命令行混淆、防御方难以检测,因此很多攻击工具包中都集成了 Powershell 攻击技术,包括 Empire、PoShC2、PowerSp101、loit、Cobalt Strike 等。Powershell 在攻击链条中一般处于比较靠前的位置,因此对 Powershell 攻击进行精准检测,提前阻断后续恶意行为至关重要。HiSec Endpoint 基于大量样本分析,获取 Powershell 命令行的攻击语义,从信息收集、脚本执行、防御逃避、横向移动等八大场景中还原 100+Powershell 相关的检测规则;同时,静态分析出 Powershell 脚本中常见的单点恶意行为,以及 Powershell 脚本恶意行为序列,刻画出Powershell 脚本攻击检测模型。Powershell 目前覆盖的检测打点维度见下图。图 3-5 P102、owershell 打点维度3.4.5.1.2 基于 AMSI 的脚本检测一般静态检测覆盖仅 70%的 Powershell 脚本。攻击者为绕过静态签名,90%脚本会做加密、混淆,或直接在内存中解密执行,给传统 AV 检测带来极大挑战。AMSI 是微软公开的接口,在 HiSec Endpoint 中集成该框架后,会在脚本执行期间对混淆的脚本内容进行解混淆,并实时将解混淆后的脚本明文内容发送给 CDE 扫描;并将 Powershell 控制台中输入的(混淆/解混淆)命令行送给行为检测引擎,阻断恶意的内容或命令行。基于 AMSI 的解混淆能力,会大幅的提升 Powershell、js 等脚本和 P103、owershell 命令行的检出率。图 3-6 基于 AMSI 的脚本检测3.4.5.2 WMI 检测WMI(Windows Management Instrumentation)是 Windows 的管理工具,用于在 Windows 操作系统中管理和监控计算机系统、应用程序和网络资源,并且触发警报或执行相应的操作。黑客可以利用这些功能做持久化的无文件攻击,因此,安全软件需要对于一些可能应用于攻击的 WMI 事件进行监控、处置。恶意的 WMI 使用者程序可以创建有恶意的 WMI 使用者实例,订阅 WMI 托管服务的事件,通过这些事件触发 WMI 执行其恶意的命令,或恶意脚本,通过内存数据写入其104、创建的 WMI 使用者实例,以此达到无文件攻击的目的。HiSec Endpoint 监控 WMI 相关信息来检测是否有恶意的 WMI 使用行为,对于有恶意的 WMI 使用者程序进行处置,并且删除其创建的 WMI 使用者实例。3.4.5.3 注入检测进程注入是一种广泛应用于恶意软件和无文件攻击中的逃避技术,这意味着可以将自定义代码运行在另一个合法进程的地址空间内。进程注入提高了隐蔽性,也实现了持久化。HiSec Endpoint 通过将进程注入划分为确定目标进程、准备注入数据、写入目标进程、执行注入数据等四个阶段,并在各个阶段进行关键行为打点,检测异常 API 调用行为,最终通过关联分析产生高置105、信度告警。HiSec Endpoint 能够高效检测并处置包括远程线程注入、DLL 注入、APC 注入、进程镂空、线程劫持等多种常用注入手法,覆盖包括 process-inject、s-inject 等典型开源注入工具。3.4.5.4 shellcode 检测HiSec Endpoint 团队在实际运营中发现,利用 shellcode 技术的远控木马已经成为现网中的最大危害,2021版权所有 华为技术有限公司华为 HiSec Endpoint 智能终端安全系统技术白皮书版权所有 华为技术有限公司03核心功能斩断无文件威胁进入内存的关键路径 shellcode,基于内存陷阱技术实时抓取黑客的控制106、服务器。即使有漏网之鱼,还有深度内存扫描兜底,可快速扫描程序恶意内存块,精确识别恶意程序家族。3.4.5.1 脚本检测3.4.5.1.1 Powershell 检测Powershell 是一种 Windows 系统的原生工具。据 splunk 2023 报告指出,在野利用的 TOP 20 ATT&CK 攻击技术中,Powershell 命令和脚本解释器武器化攻击技术占比第一。Powershell 是无文件攻击的首选工具,包括命令行混淆、防御方难以检测,因此很多攻击工具包中都集成了 Powershell 攻击技术,包括 Empire、PoShC2、PowerSploit、Cobalt Strik107、e 等。Powershell 在攻击链条中一般处于比较靠前的位置,因此对 Powershell 攻击进行精准检测,提前阻断后续恶意行为至关重要。HiSec Endpoint 基于大量样本分析,获取 Powershell 命令行的攻击语义,从信息收集、脚本执行、防御逃避、横向移动等八大场景中还原 100+Powershell 相关的检测规则;同时,静态分析出 Powershell 脚本中常见的单点恶意行为,以及 Powershell 脚本恶意行为序列,刻画出Powershell 脚本攻击检测模型。Powershell 目前覆盖的检测打点维度见下图。图 3-5 Powershell 打点维度3.4108、.5.1.2 基于 AMSI 的脚本检测一般静态检测覆盖仅 70%的 Powershell 脚本。攻击者为绕过静态签名,90%脚本会做加密、混淆,或直接在内存中解密执行,给传统 AV 检测带来极大挑战。AMSI 是微软公开的接口,在 HiSec Endpoint 中集成该框架后,会在脚本执行期间对混淆的脚本内容进行解混淆,并实时将解混淆后的脚本明文内容发送给 CDE 扫描;并将 Powershell 控制台中输入的(混淆/解混淆)命令行送给行为检测引擎,阻断恶意的内容或命令行。基于 AMSI 的解混淆能力,会大幅的提升 Powershell、js 等脚本和 Powershell 命令行的检出率109、。图 3-6 基于 AMSI 的脚本检测3.4.5.2 WMI 检测WMI(Windows Management Instrumentation)是 Windows 的管理工具,用于在 Windows 操作系统中管理和监控计算机系统、应用程序和网络资源,并且触发警报或执行相应的操作。黑客可以利用这些功能做持久化的无文件攻击,因此,安全软件需要对于一些可能应用于攻击的 WMI 事件进行监控、处置。恶意的 WMI 使用者程序可以创建有恶意的 WMI 使用者实例,订阅 WMI 托管服务的事件,通过这些事件触发 WMI 执行其恶意的命令,或恶意脚本,通过内存数据写入其创建的 WMI 使用者实例,以此达110、到无文件攻击的目的。HiSec Endpoint 监控 WMI 相关信息来检测是否有恶意的 WMI 使用行为,对于有恶意的 WMI 使用者程序进行处置,并且删除其创建的 WMI 使用者实例。3.4.5.3 注入检测进程注入是一种广泛应用于恶意软件和无文件攻击中的逃避技术,这意味着可以将自定义代码运行在另一个合法进程的地址空间内。进程注入提高了隐蔽性,也实现了持久化。HiSec Endpoint 通过将进程注入划分为确定目标进程、准备注入数据、写入目标进程、执行注入数据等四个阶段,并在各个阶段进行关键行为打点,检测异常 API 调用行为,最终通过关联分析产生高置信度告警。HiSec Endpoi111、nt 能够高效检测并处置包括远程线程注入、DLL 注入、APC 注入、进程镂空、线程劫持等多种常用注入手法,覆盖包括 process-inject、s-inject 等典型开源注入工具。3.4.5.4 shellcode 检测HiSec Endpoint 团队在实际运营中发现,利用 shellcode 技术的远控木马已经成为现网中的最大危害,2223版权所有 华为技术有限公司华为 HiSec Endpoint 智能终端安全系统技术白皮书版权所有 华为技术有限公司03核心功能不仅数量庞大,攻击手段极多。例如,有黑产组织通过搜索引擎推广假的 Telegram,Chrome,Firefox 安装包,112、随后释放白加黑木马,控制用户电脑。还有利用 CobaltStrike,Sliver,Brute Ratel C4 等商业远控家族生成加密 shellcode,再使用一些新兴语言如 Rust,Go 等包裹。这种方式制造的远控木马恶意代码比例低,而白函数成分高,具有极强的对抗杀毒软件静动态检测能力。据权威测试组织统计,知名杀毒软件的初始拦截率只有 30%,有 70%的木马都会绕过防护并远控用户主机。同时攻击组织常常利用迷惑性很强的钓鱼邮件携带这种特种木马,用户打开后执行,给组织的价值数据和资产带来损失。针对上述流行的高级威胁攻击方式,HiSec Endpoint 构筑了多层检测防护体系。首先,记录113、恶意程序的关键行为序列,结合异常识别算法,精准识别白加黑威胁。其次,在进入内存的关键路径上,HiSec Endpoint 能智能将无文件高级威胁扼杀于攻击起始点。最后,即使有万分之一的概率木马绕过了上述检测,HiSec Endpoint 的深度系统监测模块还可以对进程做全面分析,高效识别模块挖空、反射注入、远程线程、系统关键白进程利用等高级内存攻击场景。此外,HiSec Endpoint 还能从恶意样本中提取攻击组织关键基础设施信息,与云端威胁信息联动获取攻击组织信息,辅助用户取证和定位。图 3-7 shellcode 检测流程3.4.5.5 内存扫描现代恶意软件往往会为了绕过杀毒软件使用加壳114、,混淆,加密等方式在静态文件层面隐藏攻击意图,在执行时再动态解密或从网上下载真正的恶意载荷,进而在内存中解密执行。如在护网场景中常见的MeterPreter,CobaltStrike 家族,以及新兴的 Sliver 及 Brute Ratel 商业远控。使用纯静态检测方式会存在极大困难。HiSec Endpoint 提供深度内存扫描,可以对计算机内存中的数据进行实时分析和监控,以识别潜在的无文件威胁。与传统的基于文件的扫描不同,内存扫描不依赖于文件系统中的可执行文件或文档,而是直接检查内存中的进程、线程和数据结构。这种方法能够及时发现那些在内存中运行的恶意代码,即使它们没有在硬盘上留下任何痕迹115、。3.4.6 逃逸检测EDR Hooking 是 EDR 实现对各种恶意软件行为进行检测的重要手段,随着 EDR 在安全防护中越来越重要,越来越多的攻击者尝试通过绕过 EDR Hooking 的检测实现逃逸,以达到攻击目的。一旦被绕过,EDR 将无法检测恶意软件行为活动。针对 EDR Hooking 的逃逸技术主要有直接系统调用和间接系统调用技术,其攻击方式都是通过注入代码指令改变系统调用执行路径,从而绕过 EDR Hooking 的检测,实现攻击目的。HiSec Endpoint 通过内核级别的监控和检测技术,能够实时检测直接系统调用、间接系统调用等各种逃逸行为。HiSec Endpoint116、 通过逃逸检测技术实时分析和应对那些突破传统防病毒软件的高级威胁,有效识别并阻止逃逸攻击,保护组织免受未知和复杂威胁的侵害,包括 Magniber Ransomware、Lumma Stealer、FlokiBot 等恶意软件的逃逸行为。3.4.7 内部发现内部发现是指对内部终端或内网进行可疑或恶意的行为探测、关键信息收集等。通常包括域发现、终端关键文件/服务/进程/注册表侦测与篡改、内网扫描等。内部发现有时会被用以内网信息收集、漏洞识别、恶意软件传播等恶意目的。因此精确识别内部发现有助于在攻击链条的第一阶段提前控制风险,守护终端安全。HiSec Endpoint 通过实时监控用户和网络行为来117、检测内部发现行为。监控异常网络活动,如内网扫描中利用工具主动发起的端口扫描、IP 扫描,被动的端口扫描等。监控异常用户行为,如域信息的侦测,包括侦测系统账户列表、系统软硬件详细信息、关键应用版本信息、关键文件/服务/进程/注册表侦测与篡改、远程系统关键信息侦测等;尝试使用扫描工具对内部网络进行系统性扫描,以识别网络中的设备、服务、开放端口和操作系统等信息,或进行内网穿透/代理等。内部发现检测可有效守护终端安全,避免终端和服务器关键信息泄露,确保及时发现和止损。3.4.8 横向移动检测横向移动是攻击者从入口点传播到网络其余部分的过程。攻击者利用横向移动来以被攻陷的系统为跳板,感染多台设备和多个帐118、户,维持对整个网络的持续访问,并获得更多访问敏感数据的权限。HiSec Endpoint通过实时监控用户和网络行为来检测横向移动,通过关联分析精确识别攻击者入侵路径,定位网络脆弱点,实现快速快速响应和精准溯源。可覆盖远程服务的利用、内部鱼叉式钓鱼、横向工具转移、远程服务会话劫持、远程服务(RDP、DCOM、WinRs、SSH 等)、通过可移动介质进行复制、哈希传递攻击等 ATT&CK 矩阵典型常用战术。同时可支持对 frp、fscan、hydra 等多种常用横移工具的检测。横向移动检测可有效守护内网安全,避免大规模资产受损,通过绘制横向移动路径可实现精准溯源。2223版权所有 华为技术有限公司119、华为 HiSec Endpoint 智能终端安全系统技术白皮书版权所有 华为技术有限公司03核心功能不仅数量庞大,攻击手段极多。例如,有黑产组织通过搜索引擎推广假的 Telegram,Chrome,Firefox 安装包,随后释放白加黑木马,控制用户电脑。还有利用 CobaltStrike,Sliver,Brute Ratel C4 等商业远控家族生成加密 shellcode,再使用一些新兴语言如 Rust,Go 等包裹。这种方式制造的远控木马恶意代码比例低,而白函数成分高,具有极强的对抗杀毒软件静动态检测能力。据权威测试组织统计,知名杀毒软件的初始拦截率只有 30%,有 70%的木马都会绕过120、防护并远控用户主机。同时攻击组织常常利用迷惑性很强的钓鱼邮件携带这种特种木马,用户打开后执行,给组织的价值数据和资产带来损失。针对上述流行的高级威胁攻击方式,HiSec Endpoint 构筑了多层检测防护体系。首先,记录恶意程序的关键行为序列,结合异常识别算法,精准识别白加黑威胁。其次,在进入内存的关键路径上,HiSec Endpoint 能智能将无文件高级威胁扼杀于攻击起始点。最后,即使有万分之一的概率木马绕过了上述检测,HiSec Endpoint 的深度系统监测模块还可以对进程做全面分析,高效识别模块挖空、反射注入、远程线程、系统关键白进程利用等高级内存攻击场景。此外,HiSec En121、dpoint 还能从恶意样本中提取攻击组织关键基础设施信息,与云端威胁信息联动获取攻击组织信息,辅助用户取证和定位。图 3-7 shellcode 检测流程3.4.5.5 内存扫描现代恶意软件往往会为了绕过杀毒软件使用加壳,混淆,加密等方式在静态文件层面隐藏攻击意图,在执行时再动态解密或从网上下载真正的恶意载荷,进而在内存中解密执行。如在护网场景中常见的MeterPreter,CobaltStrike 家族,以及新兴的 Sliver 及 Brute Ratel 商业远控。使用纯静态检测方式会存在极大困难。HiSec Endpoint 提供深度内存扫描,可以对计算机内存中的数据进行实时分析和监控122、,以识别潜在的无文件威胁。与传统的基于文件的扫描不同,内存扫描不依赖于文件系统中的可执行文件或文档,而是直接检查内存中的进程、线程和数据结构。这种方法能够及时发现那些在内存中运行的恶意代码,即使它们没有在硬盘上留下任何痕迹。3.4.6 逃逸检测EDR Hooking 是 EDR 实现对各种恶意软件行为进行检测的重要手段,随着 EDR 在安全防护中越来越重要,越来越多的攻击者尝试通过绕过 EDR Hooking 的检测实现逃逸,以达到攻击目的。一旦被绕过,EDR 将无法检测恶意软件行为活动。针对 EDR Hooking 的逃逸技术主要有直接系统调用和间接系统调用技术,其攻击方式都是通过注入代码指123、令改变系统调用执行路径,从而绕过 EDR Hooking 的检测,实现攻击目的。HiSec Endpoint 通过内核级别的监控和检测技术,能够实时检测直接系统调用、间接系统调用等各种逃逸行为。HiSec Endpoint 通过逃逸检测技术实时分析和应对那些突破传统防病毒软件的高级威胁,有效识别并阻止逃逸攻击,保护组织免受未知和复杂威胁的侵害,包括 Magniber Ransomware、Lumma Stealer、FlokiBot 等恶意软件的逃逸行为。3.4.7 内部发现内部发现是指对内部终端或内网进行可疑或恶意的行为探测、关键信息收集等。通常包括域发现、终端关键文件/服务/进程/注册表侦124、测与篡改、内网扫描等。内部发现有时会被用以内网信息收集、漏洞识别、恶意软件传播等恶意目的。因此精确识别内部发现有助于在攻击链条的第一阶段提前控制风险,守护终端安全。HiSec Endpoint 通过实时监控用户和网络行为来检测内部发现行为。监控异常网络活动,如内网扫描中利用工具主动发起的端口扫描、IP 扫描,被动的端口扫描等。监控异常用户行为,如域信息的侦测,包括侦测系统账户列表、系统软硬件详细信息、关键应用版本信息、关键文件/服务/进程/注册表侦测与篡改、远程系统关键信息侦测等;尝试使用扫描工具对内部网络进行系统性扫描,以识别网络中的设备、服务、开放端口和操作系统等信息,或进行内网穿透/代理125、等。内部发现检测可有效守护终端安全,避免终端和服务器关键信息泄露,确保及时发现和止损。3.4.8 横向移动检测横向移动是攻击者从入口点传播到网络其余部分的过程。攻击者利用横向移动来以被攻陷的系统为跳板,感染多台设备和多个帐户,维持对整个网络的持续访问,并获得更多访问敏感数据的权限。HiSec Endpoint通过实时监控用户和网络行为来检测横向移动,通过关联分析精确识别攻击者入侵路径,定位网络脆弱点,实现快速快速响应和精准溯源。可覆盖远程服务的利用、内部鱼叉式钓鱼、横向工具转移、远程服务会话劫持、远程服务(RDP、DCOM、WinRs、SSH 等)、通过可移动介质进行复制、哈希传递攻击等 AT126、T&CK 矩阵典型常用战术。同时可支持对 frp、fscan、hydra 等多种常用横移工具的检测。横向移动检测可有效守护内网安全,避免大规模资产受损,通过绘制横向移动路径可实现精准溯源。2425版权所有 华为技术有限公司华为 HiSec Endpoint 智能终端安全系统技术白皮书版权所有 华为技术有限公司03核心功能3.4.9 信息收集检测信息收集是指的攻击者在进行攻击之前和攻击完成后所进行的活动,目的是收集目标系统、网络和用户的信息。通常是为了识别潜在的攻击路径和弱点及在成功驻留后,窃取用户的机密和隐私数据。HiSec Endpoint 可以感知攻击前的内网主机存活信息收集,系统信息收集127、,扫描工具启动收集,域信息收集,安装软件信息收集。以及成功控制主机后的增加系统用户,变更用户权限,键盘记录,凭证窃取,摄像头,麦克风监听等后渗透行为。信息搜集是攻击生命周期中的重要环节,成功的收集活动可以为后续的攻击提供有力支持。HiSec Endpoint 可以在攻击初始阶段感知攻击者的蛛丝马迹,并能在主机失陷后拦截机密信息收集,帮助用户尽早识别攻击并最终挽回损失。图 3-8 覆盖范围3.4.10 远控检测远程控制木马(Remote access trojan,RAT)旨在允许攻击者远程控制计算机,类似于用于远程访问或系统管理的远程桌面协议(RDP)和 TeamViewer。RAT 将与攻击128、者的服务器建立一个命令和控制(C2)通道,通过该通道可以向 RAT 发送命令,并将数据发回。近年来,多起针对我国的APT攻击活动中,总能看到远控木马的身影。攻击者为了达到监控、渗出、修改、拒绝、破坏、命令控制等目标,它会采取类似于弱口令访问控制、CDS 传输、加密破解、删除数据等一系列行动,这些行动的实现就是通过远程木马来完成。所以远控木马检测是高级威胁检测关键节点。从技术角度来看,一次成功的远控木马上线,可包括初始入侵、隐蔽&提权和恶意功能执行几个阶段。HiSec Endpoint 通过对各阶段典型技术的重点覆盖,实现单点检测,并通过威胁图引擎进行攻击上下文关联分析,实现远控木马的精准检测。129、在隐蔽&提权阶段广泛使用的 shellcode 和进程注入关键技术进行了重点突破。初始访问隐蔽&免杀恶意功能执行 进程注入检测进程注入是一种在另一个进程的地址空间中执行任意代码的方法。目前在野进程注入技术多变,但均可映射为获取/创建进程、注入代码写入和注入数据执行三个阶段。HiSec Endpoint 通过 Hook 各个阶段的关键 API,并在数据采集引擎内部嵌入部分检测过滤逻辑,避免正常事件大量上送带来的效率问题。白加黑远控检测白加黑利用技术已经由来已久,但是由于绕过终端安全软件的概率很高,所以仍然被广泛使用,最近有黑产组织替换正常软件安装包并释放白加黑远控木马控制用户电脑,比如”银狐”,130、“金眼狗”组织,是国内用户面临的主流威胁.白加黑实际上是民间对一种DLL劫持技术(DLL Hijacking)的通俗称呼,所谓的“白加黑”,其实来说是“可信 EXE”加“恶意 DLL”。病毒借助那些带数字签名的知名程序去加载自己带有恶意代码的 DLL 文件,便绕过杀毒软件主动防御的,从而达到正常加载运行的目的。如果第三方软件在编写时对调用的 DLL 文件没有进行校验,那就很容易被木马利用产生 DLL 劫持.HiSec Endpoint 通过对系统的重要指令打点,深度监控白加黑远控木马的关键行为,通过基于细粒度指令流分析获取恶意行为链上的关键组件,结合异常检测和智能行为分析,解决了白加黑木马利用131、信任程序绕过终端安全软件防护的问题,可以精准揪出幕后黑手恶意 DLL 文件,具有高检出低误报的特点.3.4.11 挖矿检测针对挖矿木马,HiSec Endpoint 支持挖矿行为全链路检测。对于落入端侧挖矿木马攻击,HiSec Endpoint 动态检测引擎基于内存威胁溯源图,在文件、进程、网络、注册表和 CPU 占有率等多个关键维度上实时监控系统资源,一旦发现威胁立即处置。同时,内存威胁溯源图集成了自适应基线模型、时序关联模型、因果关联模型等,在入侵、执行、持久化和横移等多个攻击阶段均能及时响应,达到链式防御的效果。2425版权所有 华为技术有限公司华为 HiSec Endpoint 智能终132、端安全系统技术白皮书版权所有 华为技术有限公司03核心功能3.4.9 信息收集检测信息收集是指的攻击者在进行攻击之前和攻击完成后所进行的活动,目的是收集目标系统、网络和用户的信息。通常是为了识别潜在的攻击路径和弱点及在成功驻留后,窃取用户的机密和隐私数据。HiSec Endpoint 可以感知攻击前的内网主机存活信息收集,系统信息收集,扫描工具启动收集,域信息收集,安装软件信息收集。以及成功控制主机后的增加系统用户,变更用户权限,键盘记录,凭证窃取,摄像头,麦克风监听等后渗透行为。信息搜集是攻击生命周期中的重要环节,成功的收集活动可以为后续的攻击提供有力支持。HiSec Endpoint 可以133、在攻击初始阶段感知攻击者的蛛丝马迹,并能在主机失陷后拦截机密信息收集,帮助用户尽早识别攻击并最终挽回损失。图 3-8 覆盖范围3.4.10 远控检测远程控制木马(Remote access trojan,RAT)旨在允许攻击者远程控制计算机,类似于用于远程访问或系统管理的远程桌面协议(RDP)和 TeamViewer。RAT 将与攻击者的服务器建立一个命令和控制(C2)通道,通过该通道可以向 RAT 发送命令,并将数据发回。近年来,多起针对我国的APT攻击活动中,总能看到远控木马的身影。攻击者为了达到监控、渗出、修改、拒绝、破坏、命令控制等目标,它会采取类似于弱口令访问控制、CDS 传输、加密134、破解、删除数据等一系列行动,这些行动的实现就是通过远程木马来完成。所以远控木马检测是高级威胁检测关键节点。从技术角度来看,一次成功的远控木马上线,可包括初始入侵、隐蔽&提权和恶意功能执行几个阶段。HiSec Endpoint 通过对各阶段典型技术的重点覆盖,实现单点检测,并通过威胁图引擎进行攻击上下文关联分析,实现远控木马的精准检测。在隐蔽&提权阶段广泛使用的 shellcode 和进程注入关键技术进行了重点突破。初始访问隐蔽&免杀恶意功能执行 进程注入检测进程注入是一种在另一个进程的地址空间中执行任意代码的方法。目前在野进程注入技术多变,但均可映射为获取/创建进程、注入代码写入和注入数据执行135、三个阶段。HiSec Endpoint 通过 Hook 各个阶段的关键 API,并在数据采集引擎内部嵌入部分检测过滤逻辑,避免正常事件大量上送带来的效率问题。白加黑远控检测白加黑利用技术已经由来已久,但是由于绕过终端安全软件的概率很高,所以仍然被广泛使用,最近有黑产组织替换正常软件安装包并释放白加黑远控木马控制用户电脑,比如”银狐”,“金眼狗”组织,是国内用户面临的主流威胁.白加黑实际上是民间对一种DLL劫持技术(DLL Hijacking)的通俗称呼,所谓的“白加黑”,其实来说是“可信 EXE”加“恶意 DLL”。病毒借助那些带数字签名的知名程序去加载自己带有恶意代码的 DLL 文件,便绕过136、杀毒软件主动防御的,从而达到正常加载运行的目的。如果第三方软件在编写时对调用的 DLL 文件没有进行校验,那就很容易被木马利用产生 DLL 劫持.HiSec Endpoint 通过对系统的重要指令打点,深度监控白加黑远控木马的关键行为,通过基于细粒度指令流分析获取恶意行为链上的关键组件,结合异常检测和智能行为分析,解决了白加黑木马利用信任程序绕过终端安全软件防护的问题,可以精准揪出幕后黑手恶意 DLL 文件,具有高检出低误报的特点.3.4.11 挖矿检测针对挖矿木马,HiSec Endpoint 支持挖矿行为全链路检测。对于落入端侧挖矿木马攻击,HiSec Endpoint 动态检测引擎基于内137、存威胁溯源图,在文件、进程、网络、注册表和 CPU 占有率等多个关键维度上实时监控系统资源,一旦发现威胁立即处置。同时,内存威胁溯源图集成了自适应基线模型、时序关联模型、因果关联模型等,在入侵、执行、持久化和横移等多个攻击阶段均能及时响应,达到链式防御的效果。2627版权所有 华为技术有限公司华为 HiSec Endpoint 智能终端安全系统技术白皮书版权所有 华为技术有限公司03核心功能挖矿攻击多阶段检测:在检测挖矿木马时,HiSec Endpoint 可结合攻击的上下文信息进行综合分析,结合内存威胁溯源图,将典型的挖矿木马攻击上下文进行关联。1.在挖矿启动前,HiSec Endpoint138、 支持检测挖矿准备工作,例如探测 CPU/GPU 信息、修改安全设置、竞争系统资源、配置网络策略并创建计划任务达到长期劫持计算资源的目的等,此外还支持挖矿工具落盘阻断。2.在挖矿启动时,HiSec Endpoint 支持检测挖矿参数,例如钱包地址、币种、HASH 算法等。3.在挖矿执行时,HiSec Endpoint 支持检测 CPU 占用异常,结合其他可疑事件综合研判为挖矿入侵。同时也支持矿池访问检测,支持实时的威胁信息联动检测,可在第一时间检测到矿池域名请求工作,并溯源到发起矿池连接的根进程。在 Linux 系统中,HiSec Endpoint 还支持进程隐藏行为,有效追踪躲避、隐藏等深度139、对抗行为。为了对抗挖矿检测和处置,攻击者会采用多种高级攻击技术来保持木马在系统中的存在。其中包括滥用系统敏感 API 来篡改文件属性或进程属性,以避免被删除或隔离。另外,攻击者还可能采用进程注入的方式来躲避检测。为了应对这些威胁,HiSec Endpoint 产品实现了在 API 级别监控系统的可疑行为,并直接阻断恶意行为的执行,以防患于未然。通过这种方式,可以有效地提高系统的安全性,防止挖矿等恶意行为的发生。图 3-9 HiSec Endpoint 捕获的挖矿攻击链路示意图 挖矿攻击全方位处置:在检测到挖矿威胁后,对于检测的到的可疑点,HiSec Endpoint 产品已支持 5 大类事件的140、精准处置,实现检测到处置的有效闭环。具体的处置对象及处置方法包括:终止挖矿进程、隔离挖矿木马文件、联动防火墙切断外部通信、清理挖矿创建的计划任务、系统服务等。3.4.12 勒索检测勒索软件攻击防御为何困难重重。勒索软件的本质是破坏数据完整性,它可以获取文件或系统的控制权限,并阻止用户控制这些文件或系统,导致企业核心业务停摆,直到受害者支付赎金以换取解密密钥,该密钥允许用户恢复被程序加密的文件或系统。勒索软件攻击链条分成如图所示的四个关键步骤:攻击入侵、病毒投放&执行、加密勒索、横向移动扩大战果。将整个攻击链条映射到 MITRE ATT&CK 框架中发现,70%以上的攻击行为发生在终端侧,故终端141、是勒索防御的主战场。图 3-10 勒索软件攻击链条针对高级勒索软件攻击有如下挑战:2627版权所有 华为技术有限公司华为 HiSec Endpoint 智能终端安全系统技术白皮书版权所有 华为技术有限公司03核心功能挖矿攻击多阶段检测:在检测挖矿木马时,HiSec Endpoint 可结合攻击的上下文信息进行综合分析,结合内存威胁溯源图,将典型的挖矿木马攻击上下文进行关联。1.在挖矿启动前,HiSec Endpoint 支持检测挖矿准备工作,例如探测 CPU/GPU 信息、修改安全设置、竞争系统资源、配置网络策略并创建计划任务达到长期劫持计算资源的目的等,此外还支持挖矿工具落盘阻断。2.在挖矿142、启动时,HiSec Endpoint 支持检测挖矿参数,例如钱包地址、币种、HASH 算法等。3.在挖矿执行时,HiSec Endpoint 支持检测 CPU 占用异常,结合其他可疑事件综合研判为挖矿入侵。同时也支持矿池访问检测,支持实时的威胁信息联动检测,可在第一时间检测到矿池域名请求工作,并溯源到发起矿池连接的根进程。在 Linux 系统中,HiSec Endpoint 还支持进程隐藏行为,有效追踪躲避、隐藏等深度对抗行为。为了对抗挖矿检测和处置,攻击者会采用多种高级攻击技术来保持木马在系统中的存在。其中包括滥用系统敏感 API 来篡改文件属性或进程属性,以避免被删除或隔离。另外,攻击者还143、可能采用进程注入的方式来躲避检测。为了应对这些威胁,HiSec Endpoint 产品实现了在 API 级别监控系统的可疑行为,并直接阻断恶意行为的执行,以防患于未然。通过这种方式,可以有效地提高系统的安全性,防止挖矿等恶意行为的发生。图 3-9 HiSec Endpoint 捕获的挖矿攻击链路示意图 挖矿攻击全方位处置:在检测到挖矿威胁后,对于检测的到的可疑点,HiSec Endpoint 产品已支持 5 大类事件的精准处置,实现检测到处置的有效闭环。具体的处置对象及处置方法包括:终止挖矿进程、隔离挖矿木马文件、联动防火墙切断外部通信、清理挖矿创建的计划任务、系统服务等。3.4.12 勒索检144、测勒索软件攻击防御为何困难重重。勒索软件的本质是破坏数据完整性,它可以获取文件或系统的控制权限,并阻止用户控制这些文件或系统,导致企业核心业务停摆,直到受害者支付赎金以换取解密密钥,该密钥允许用户恢复被程序加密的文件或系统。勒索软件攻击链条分成如图所示的四个关键步骤:攻击入侵、病毒投放&执行、加密勒索、横向移动扩大战果。将整个攻击链条映射到 MITRE ATT&CK 框架中发现,70%以上的攻击行为发生在终端侧,故终端是勒索防御的主战场。图 3-10 勒索软件攻击链条针对高级勒索软件攻击有如下挑战:2829版权所有 华为技术有限公司华为 HiSec Endpoint 智能终端安全系统技术白皮书145、版权所有 华为技术有限公司03核心功能 在攻击入侵阶段,伴随着数字化资产的繁荣,黑客可利用的漏洞量也呈现正相关趋势,不同于传统的已知漏洞防御手,日益增加的 0-Day 漏洞、定向钓鱼攻击应该如何有效应对?大多数防护方案主要针对投放阶段的文件建立防御,对于攻击执行期间使用的新型攻击,如进程注入、脚本执行、白加黑等无文件攻击手段无法有效拦截。攻击者为了控制目标系统往往采用更加隐蔽的加密通信技术,如何有效应对?攻击者需要考虑投入产出比,为了快速拿到赎金或形成威慑,攻击和加密速度极快。80%的TOP 勒索样本从运行到开始加密的时间窗在 5 分钟内,平均加密速度在 30MB/秒以上。面对勒索软件的极速攻146、击,防御如何能更早一步拦截?勒索软件攻击链条复杂,如何全面还原勒索攻击入侵链路,证明已经控制、根除勒索攻击带来的影响,并有效加固避免再次遭受勒索软件攻击?华为端边云协同多层次防御方案针对勒索攻击特点,主要的应对理念是防御前移,建立分层实时防御,尽早断开攻击者的入侵链路,降低攻击者 ROI(Return-on-investment,投资净利率)。通过边界高级入侵线索发现,基于 IOA 高级威胁检测,实现勒索加密前阻断(Indicator of Attack,攻击指标);在勒索载荷执行过程中,抓住勒索软件攻击的不变量“文件加密”,布局主动诱捕技术加快攻击意图显现,并在加密用户核心数据前处置威胁实体147、。层层防御,最大程度降低勒索软件攻击带来的影响。通过深度溯源技术直接还原攻击入口,助力定位根因,构建完整攻击故事线,发现真实攻击意图,复盘企业信息系统弱点。不断修复脆弱面,构建更完善的勒索防御体系。最后,为提升防御系统韧性,为用户提供加密文件恢复的最终兜底方案,稳定恢复到加密前的状态,确保用户数据零损失。图 3-11 为华为高级勒索防御方案的核心技术。图 3-11 高级勒索防御方案核心技术以下对勒索防御方案的核心技术展开阐述:NDR 高级入侵线索发现边界突破是未知勒索软件进入目标系统的首要环节,外联 C&C 通信是控制目标系统的重要手段。传统IPS/IDS 仅能解决已知攻击检测,例如:N-da148、y 漏洞、暴力破解、已知家族 C&C 信息等。面对 0-Day漏洞和日益增加的加密流量攻击却束手无策,华为 NDR 团队创新采用三层防御方案有效应对:基于无监督学习、细粒度动态特征基线和统计分析,发现 0-Day 漏洞、未知加密流量攻击线索。不依赖任何标签,由安全资深专家和 AI 科学家实现跨领域知识融合,基于场景化建模的思路,利用统计工具、机器学习、极值理论等方法,将已知攻击场景的数据泛化到未知行为发现,从而全面发现攻击线索。因果关联分析+监督树算法+统计分析进行事件建模,从海量的告警中识别隐蔽攻击,例如:代码执行漏洞、慢速暴破等,精度可达 99.9%。风险传播算法+行为相似度模型进行关系建149、模,持续发现类似的攻击模式和受害基础设施。IOA 高级威胁检测引擎对于绕过边界防御的勒索软件攻击,HiSec Endpoint IOA 行为检测引擎实现毫秒级实时分析,侦测终端上的异常行为模式,通过华为独创的内存威胁溯源图,与网络侧的攻击线索深度联动。包含泛化能力极强的图因果关联模型、时序关联模型、时间关联模型、统计关联模型等,精准研判 0-Day 漏洞利用成功、Powershell 攻击投递、钓鱼入侵成功等高级无文件攻击,精准识别威胁子图上下文,通过 XDR 与网关、终端联动,切断攻击执行链路。对于已经执行起来的勒索软件载体,基于内存溯源图,通过启发式的方式锁定威胁根节点,组合流行勒索软件家150、族深度分析,高维度泛化抽象、挖掘关键因果链条,叠加信任传播算法,可有效对变种和未知勒索软件加密前的行为精准研判。基于威胁根节点自动处置攻击链条,缓解勒索软件攻击带来的影响。内核主动诱捕技术文件攻击(加密、破坏等)是勒索攻击的不变量。为了从战术上扭转攻防对抗的不对等性,变被动为主动,HiSec Endpoint 产品基于内核级主动诱捕技术,在用户业务无感知状态下自动守护,保护客户关键数据资产。拦截攻击必经之路,捕获勒索加密第一跳:基于流行勒索软件家族攻击模式、用户行为模式学习,动态部署勒索诱饵,确保攻击一发动即感知。诱捕全面数据采集:感知诱饵多维度细微变化,勒索攻击透视无死角。内核级精准研判,锁151、定威胁实体:基于 AI 的海量勒索文件攻击模式挖掘算法,实时精准研判,有效区分勒索攻击和用户正常操作。内核级毫秒级处置,用户数据接近零损失:基于终端内存图锁定恶意进程链,第一时间发起勒索2829版权所有 华为技术有限公司华为 HiSec Endpoint 智能终端安全系统技术白皮书版权所有 华为技术有限公司03核心功能 在攻击入侵阶段,伴随着数字化资产的繁荣,黑客可利用的漏洞量也呈现正相关趋势,不同于传统的已知漏洞防御手,日益增加的 0-Day 漏洞、定向钓鱼攻击应该如何有效应对?大多数防护方案主要针对投放阶段的文件建立防御,对于攻击执行期间使用的新型攻击,如进程注入、脚本执行、白加黑等无文件152、攻击手段无法有效拦截。攻击者为了控制目标系统往往采用更加隐蔽的加密通信技术,如何有效应对?攻击者需要考虑投入产出比,为了快速拿到赎金或形成威慑,攻击和加密速度极快。80%的TOP 勒索样本从运行到开始加密的时间窗在 5 分钟内,平均加密速度在 30MB/秒以上。面对勒索软件的极速攻击,防御如何能更早一步拦截?勒索软件攻击链条复杂,如何全面还原勒索攻击入侵链路,证明已经控制、根除勒索攻击带来的影响,并有效加固避免再次遭受勒索软件攻击?华为端边云协同多层次防御方案针对勒索攻击特点,主要的应对理念是防御前移,建立分层实时防御,尽早断开攻击者的入侵链路,降低攻击者 ROI(Return-on-inve153、stment,投资净利率)。通过边界高级入侵线索发现,基于 IOA 高级威胁检测,实现勒索加密前阻断(Indicator of Attack,攻击指标);在勒索载荷执行过程中,抓住勒索软件攻击的不变量“文件加密”,布局主动诱捕技术加快攻击意图显现,并在加密用户核心数据前处置威胁实体。层层防御,最大程度降低勒索软件攻击带来的影响。通过深度溯源技术直接还原攻击入口,助力定位根因,构建完整攻击故事线,发现真实攻击意图,复盘企业信息系统弱点。不断修复脆弱面,构建更完善的勒索防御体系。最后,为提升防御系统韧性,为用户提供加密文件恢复的最终兜底方案,稳定恢复到加密前的状态,确保用户数据零损失。图 3-11154、 为华为高级勒索防御方案的核心技术。图 3-11 高级勒索防御方案核心技术以下对勒索防御方案的核心技术展开阐述:NDR 高级入侵线索发现边界突破是未知勒索软件进入目标系统的首要环节,外联 C&C 通信是控制目标系统的重要手段。传统IPS/IDS 仅能解决已知攻击检测,例如:N-day 漏洞、暴力破解、已知家族 C&C 信息等。面对 0-Day漏洞和日益增加的加密流量攻击却束手无策,华为 NDR 团队创新采用三层防御方案有效应对:基于无监督学习、细粒度动态特征基线和统计分析,发现 0-Day 漏洞、未知加密流量攻击线索。不依赖任何标签,由安全资深专家和 AI 科学家实现跨领域知识融合,基于场景化155、建模的思路,利用统计工具、机器学习、极值理论等方法,将已知攻击场景的数据泛化到未知行为发现,从而全面发现攻击线索。因果关联分析+监督树算法+统计分析进行事件建模,从海量的告警中识别隐蔽攻击,例如:代码执行漏洞、慢速暴破等,精度可达 99.9%。风险传播算法+行为相似度模型进行关系建模,持续发现类似的攻击模式和受害基础设施。IOA 高级威胁检测引擎对于绕过边界防御的勒索软件攻击,HiSec Endpoint IOA 行为检测引擎实现毫秒级实时分析,侦测终端上的异常行为模式,通过华为独创的内存威胁溯源图,与网络侧的攻击线索深度联动。包含泛化能力极强的图因果关联模型、时序关联模型、时间关联模型、统计156、关联模型等,精准研判 0-Day 漏洞利用成功、Powershell 攻击投递、钓鱼入侵成功等高级无文件攻击,精准识别威胁子图上下文,通过 XDR 与网关、终端联动,切断攻击执行链路。对于已经执行起来的勒索软件载体,基于内存溯源图,通过启发式的方式锁定威胁根节点,组合流行勒索软件家族深度分析,高维度泛化抽象、挖掘关键因果链条,叠加信任传播算法,可有效对变种和未知勒索软件加密前的行为精准研判。基于威胁根节点自动处置攻击链条,缓解勒索软件攻击带来的影响。内核主动诱捕技术文件攻击(加密、破坏等)是勒索攻击的不变量。为了从战术上扭转攻防对抗的不对等性,变被动为主动,HiSec Endpoint 产品基157、于内核级主动诱捕技术,在用户业务无感知状态下自动守护,保护客户关键数据资产。拦截攻击必经之路,捕获勒索加密第一跳:基于流行勒索软件家族攻击模式、用户行为模式学习,动态部署勒索诱饵,确保攻击一发动即感知。诱捕全面数据采集:感知诱饵多维度细微变化,勒索攻击透视无死角。内核级精准研判,锁定威胁实体:基于 AI 的海量勒索文件攻击模式挖掘算法,实时精准研判,有效区分勒索攻击和用户正常操作。内核级毫秒级处置,用户数据接近零损失:基于终端内存图锁定恶意进程链,第一时间发起勒索3031版权所有 华为技术有限公司华为 HiSec Endpoint 智能终端安全系统技术白皮书版权所有 华为技术有限公司03核心功158、能攻击阻断动作,将用户数据风险降至最低。独创端网存两层备份创新端侧内核实时勒索加密文件备份,和联动存储实现按需云端备份,支持文件黑名单拦截、快照提速、AIR GAP 熔断联动闭环动作。跨域攻击链还原还原整个攻击链路,是防御闭环的重要一步。攻击者的对抗和逃逸手段日趋多样化、隐秘化,攻击链路的关键要素往往散落在多个数据域(进程、文件、系统服务、计划任务、网络连接、数据包等),呈现出碎片化的分布,给完整攻击链路还原带来挑战。为应对上述挑战,华为 XDR 做出如下创新:跨终端、异构数据时空关联还原事件全貌:勒索软件攻击不是一次性完成的,它们会在各个路径上都留下痕迹,通常以网络、终端为主,通过全面遥测这159、些数据,基于乾坤统一分析平台进行攻击故事线关联,构建完整可视化进程链。构建攻击逃逸知识库,应对攻击路径碎片化:覆盖计划任务滥用、系统服务滥用、恶意代码注入、漏洞利用等多种复杂攻击场景,并通过攻击语义关联技术增强溯源,提供完整的可视化进程链。结合威胁信息、漏洞信息、沙箱等,通过 IOA+IOC+AI+UEBA(User and Entity Behavior Analytics,用户和实体行为分析)等全面研判攻击,实现 70%以上的威胁一键自动处置,提供基于图 DB 的可视化深度溯源,定位根因。包括:攻击者从哪里来,攻击者整个入侵链路是什么,干了哪些坏事,攻击者是否还有潜伏,是否持有更多权限,如160、何彻底根除、修复勒索软件攻击带来的影响等。通过自动揭示完整攻击链路,帮助客户一键完成深度清理,降低安全运营的人力投入。3.4.13 窃密检测受利益驱使和数字化转型带来的,窃密产业链日益成熟完整,黑客组织不断推出新型窃密木马,以及更精细的窃密服务来满足更高的窃密需求。窃密木马会收集目标系统的重要数据(包括但不限于密码凭据、隐私信息、重要文件、数字资产等),并将收集到的数据回传至攻击者服务器,给用户造成隐私泄露、经济损失等严重后果。商业窃密木马通常具备下发恶意代码的功能,攻击者可借此传播隐蔽通道程序、勒索软件、挖矿木马等,给受害者造成更大的损失。传统 EDR 行为检测缺少对窃密行为的监控,导致个人161、隐私保护基础能力缺失,HiSec Endpoint 基于异常隐私文件访问行为精准监控窃密意图,ms 级自动化处置响应,核心技术如下:1.依托大量样本积累生成隐私文件列表,覆盖窃密木马经常窃取的浏览器、加密货币钱包、邮件、客户端软件、FTP 等多种隐私数据;2.通过监控隐私文件访问行为检测窃密意图,若多次访问或访问极敏感数据时,可直接触发处置;3.基于威胁图关联窃密木马动态行为告警事件,识别攻击上下文,有效抵御未知窃密木马行为。HiSec Endpoint 窃密检测有如下优势:1.准确率高:从反向视角检测窃密行为根本特点,准确率高,且具备未知检测能力;2.召回率高:构建动静结合检测、攻击上下文关162、联、家族特征识别等多层级纵深检测,具有较高召回率,有效降低隐私泄露风险;3.自动化处置,用户更加友好:基于精准检测能力,HiSec Endpoint 产品能够在窃密行为造成切实威胁前提供及时阻断,避免隐私信息外泄,保护用户资产和信息安全。3.4.14 MBR/VBR/分区表篡改检测MBR(Master Boot Record)即主引导记录,存储在硬盘的第一个扇区的数据块,用于存储 Boot Loader 的一部分代码,其中包含一个重要组成部分:分区表(Partition Table)存储了硬盘的分区信息,包括每个分区的起始扇区、大小、类型和状态。MBR 的在 BIOS 完成硬件的检测和初始化后163、,从硬盘中读取 Boot Loader 的代码,将其加载到内存中,然后执行 Boot Loader 的代码,从而启动操作系统。破坏性较强的 Petya 勒索会将用户整个硬盘加密和锁死,改写 MBR,从而导致电脑不能正常启动。因此在覆盖这类攻击时,需要增加对引导区的采集和同步阻断,HiSec Endpoint 在这类检测中增加了以下防护:检测可疑的分区表修改;检测可疑的 MBR 修改;检测可疑的 VBR 修改;检测可疑程序打开物理磁盘结合数字签名、文件基线等文件相关属性,对可疑进程做研判同步阻断写分区表等行为,保障用户硬盘不被加密锁死3.4.15 应用安全(RASP)随着 Web 应用数量和复杂164、度不断提升,攻击手段更加隐蔽,传输协议更加多元,安全边界变得模糊,使得传统安全防护方式无法再提供有效的防护能力。主要体现在以下三点:非法攻击行为难以检测:传统基于流量的检测还是优先采用基于请求特征+规则策略的防御控制手段,将攻击拦截在外。但高级定向攻击总能轻而易举地绕过基于规则匹配的预防机制,例如对请求混淆,加密,导致传统基于流量的检测在面对新的攻击方式时显得捉襟见肘。传输协议愈发多元化:如今的应用程序使用的格式和协议越发复杂,比如JSON,XML,序列化对象等格式,请求也不仅使用 HTTP,还会使用各种包括 WebSocket 在内的其他协议,传统的 Web 应用防火墙难以对传输协议做到完全165、覆盖。3031版权所有 华为技术有限公司华为 HiSec Endpoint 智能终端安全系统技术白皮书版权所有 华为技术有限公司03核心功能攻击阻断动作,将用户数据风险降至最低。独创端网存两层备份创新端侧内核实时勒索加密文件备份,和联动存储实现按需云端备份,支持文件黑名单拦截、快照提速、AIR GAP 熔断联动闭环动作。跨域攻击链还原还原整个攻击链路,是防御闭环的重要一步。攻击者的对抗和逃逸手段日趋多样化、隐秘化,攻击链路的关键要素往往散落在多个数据域(进程、文件、系统服务、计划任务、网络连接、数据包等),呈现出碎片化的分布,给完整攻击链路还原带来挑战。为应对上述挑战,华为 XDR 做出如下创166、新:跨终端、异构数据时空关联还原事件全貌:勒索软件攻击不是一次性完成的,它们会在各个路径上都留下痕迹,通常以网络、终端为主,通过全面遥测这些数据,基于乾坤统一分析平台进行攻击故事线关联,构建完整可视化进程链。构建攻击逃逸知识库,应对攻击路径碎片化:覆盖计划任务滥用、系统服务滥用、恶意代码注入、漏洞利用等多种复杂攻击场景,并通过攻击语义关联技术增强溯源,提供完整的可视化进程链。结合威胁信息、漏洞信息、沙箱等,通过 IOA+IOC+AI+UEBA(User and Entity Behavior Analytics,用户和实体行为分析)等全面研判攻击,实现 70%以上的威胁一键自动处置,提供基于图167、 DB 的可视化深度溯源,定位根因。包括:攻击者从哪里来,攻击者整个入侵链路是什么,干了哪些坏事,攻击者是否还有潜伏,是否持有更多权限,如何彻底根除、修复勒索软件攻击带来的影响等。通过自动揭示完整攻击链路,帮助客户一键完成深度清理,降低安全运营的人力投入。3.4.13 窃密检测受利益驱使和数字化转型带来的,窃密产业链日益成熟完整,黑客组织不断推出新型窃密木马,以及更精细的窃密服务来满足更高的窃密需求。窃密木马会收集目标系统的重要数据(包括但不限于密码凭据、隐私信息、重要文件、数字资产等),并将收集到的数据回传至攻击者服务器,给用户造成隐私泄露、经济损失等严重后果。商业窃密木马通常具备下发恶意代168、码的功能,攻击者可借此传播隐蔽通道程序、勒索软件、挖矿木马等,给受害者造成更大的损失。传统 EDR 行为检测缺少对窃密行为的监控,导致个人隐私保护基础能力缺失,HiSec Endpoint 基于异常隐私文件访问行为精准监控窃密意图,ms 级自动化处置响应,核心技术如下:1.依托大量样本积累生成隐私文件列表,覆盖窃密木马经常窃取的浏览器、加密货币钱包、邮件、客户端软件、FTP 等多种隐私数据;2.通过监控隐私文件访问行为检测窃密意图,若多次访问或访问极敏感数据时,可直接触发处置;3.基于威胁图关联窃密木马动态行为告警事件,识别攻击上下文,有效抵御未知窃密木马行为。HiSec Endpoint 窃169、密检测有如下优势:1.准确率高:从反向视角检测窃密行为根本特点,准确率高,且具备未知检测能力;2.召回率高:构建动静结合检测、攻击上下文关联、家族特征识别等多层级纵深检测,具有较高召回率,有效降低隐私泄露风险;3.自动化处置,用户更加友好:基于精准检测能力,HiSec Endpoint 产品能够在窃密行为造成切实威胁前提供及时阻断,避免隐私信息外泄,保护用户资产和信息安全。3.4.14 MBR/VBR/分区表篡改检测MBR(Master Boot Record)即主引导记录,存储在硬盘的第一个扇区的数据块,用于存储 Boot Loader 的一部分代码,其中包含一个重要组成部分:分区表(Par170、tition Table)存储了硬盘的分区信息,包括每个分区的起始扇区、大小、类型和状态。MBR 的在 BIOS 完成硬件的检测和初始化后,从硬盘中读取 Boot Loader 的代码,将其加载到内存中,然后执行 Boot Loader 的代码,从而启动操作系统。破坏性较强的 Petya 勒索会将用户整个硬盘加密和锁死,改写 MBR,从而导致电脑不能正常启动。因此在覆盖这类攻击时,需要增加对引导区的采集和同步阻断,HiSec Endpoint 在这类检测中增加了以下防护:检测可疑的分区表修改;检测可疑的 MBR 修改;检测可疑的 VBR 修改;检测可疑程序打开物理磁盘结合数字签名、文件基线等文171、件相关属性,对可疑进程做研判同步阻断写分区表等行为,保障用户硬盘不被加密锁死3.4.15 应用安全(RASP)随着 Web 应用数量和复杂度不断提升,攻击手段更加隐蔽,传输协议更加多元,安全边界变得模糊,使得传统安全防护方式无法再提供有效的防护能力。主要体现在以下三点:非法攻击行为难以检测:传统基于流量的检测还是优先采用基于请求特征+规则策略的防御控制手段,将攻击拦截在外。但高级定向攻击总能轻而易举地绕过基于规则匹配的预防机制,例如对请求混淆,加密,导致传统基于流量的检测在面对新的攻击方式时显得捉襟见肘。传输协议愈发多元化:如今的应用程序使用的格式和协议越发复杂,比如JSON,XML,序列化对172、象等格式,请求也不仅使用 HTTP,还会使用各种包括 WebSocket 在内的其他协议,传统的 Web 应用防火墙难以对传输协议做到完全覆盖。3233版权所有 华为技术有限公司华为 HiSec Endpoint 智能终端安全系统技术白皮书版权所有 华为技术有限公司03核心功能安全边界的模糊:随着云原生时代的来临,业务变得越来越开放和复杂,固定的防御边界已经不复存在,基于网络边界进行的安全防护手段已经不再可靠。RASP(Runtime Application Self-Protection)使用插桩技术在应用程序内部通过 Hook 关键函数,将防护功能注入到应用程序中,与应用程序融为一体,并实173、时监测应用运行时的内部情况。当出现可疑行为时,RASP 会根据当前的上下文信息精准识别攻击行为,并实施阻断拦截,使应用程序自身具备自我防护能力。图 3-12 RASP 技术架构图HiSec Endpoint RASP 的优势主要包含以下四点:检测更精确:RASP 是在应用程序内部对关键函数操作的运行数据进行分析,无论攻击手段和攻击入口如何变化,都无法绕开最终的关键函数执行过程,基于应用行为来精准识别攻击;且在最终执行时函数入参都是明文的方式,即使请求流量被混淆或加密,也可以被 RASP 获取到。攻击更可见:RASP 深入应用程序的上下文,当检测到攻击行为时,可以提供详尽的攻击链路,包含攻击来源174、、攻击目标、攻击原始请求详情、危险行为特征、代码调用堆栈等信息,协助安全运维人员快速进行漏洞定位,复现以及制定修复方案。部署简单,业务影响小:提供动态安装能力,业务应用集成时无需重启;且和业务代码解耦,对业务影响小。提供 0-Day 攻击防护能力:通常攻击检测依赖已有规则,但 0-Day 漏洞无相应的规则容易绕过。RASP 基于底层调用进行检测,例如数据库访问、命令执行等均无法绕过底层调用,所以RASP 对已知攻击和未知 0-Day 攻击都能提供有效的防护。3.4.16 云鉴定云鉴定是在本地静态病毒检测和云查询的基础上,针对仍然未知的样本,提交沙箱高威胁分析平台进行恶意定性,采用静态检测、动态175、分析等多层次分析,检测躲避、漏洞利用、未知恶意软件和高级威胁。3.4.17 行为检测引擎3.4.17.1 HIPS 引擎HIPS(Host-based Intrusion Prevention System)主要在病毒运行阶段,对终端主机进行防护。HIPS 更针对于检测未知的勒索病毒,通过对关键系统行为的实时分析,尽早阻断病毒的恶意行为。HIPS 会在病毒的执行阶段进行防护,HIPS 会实时分析病毒的每一个关键系统行为,包括对文件、网络、注册表、API、系统等方面的关键操作,一旦发现有恶意动作,就会立即实时阻断病毒的后续执行过程,将危害降到最低。HIPS 同时也会联动华为云端安全智能中心,持续176、更新最新的专家勒索防护经验。3.4.17.2 溯源图HiSec Endpoint Agent 内置高性能内存图引擎(Graph Streaming Process,GSP),用于在受保护的内存中构建系统的影子世界,并实时跟踪系统上发生的所有行为,包括常规的进程创建、文件读写、注册表修改、网络连接、DNS 访问以及更隐蔽的内存访问、进程注入、线程创建等行为。GSP 引擎就像一台高速摄像机,记录主机上发生的所有事情,并对可疑行为进行实时意图分析。当检测到威胁时,触发实时处置和一键回滚系统破坏,保护客户资产。基于 EDR 溯源图的高级威胁检测是当前学术界和产业界的前沿技术。溯源图以详尽的可见性成为检177、测0-Day 和对抗 APT 威胁的有效手段之一。但是其背后依赖的海量数据分析带来了计算和存储成本高、检测时延大等问题,限制了其在现网中的实战部署(单终端典型工作负载下,单日产生 300M 行为日志,1w 终端量级的企业单日数据量便可轻易达到 TB 级别)。将图引擎嵌入到 Agent 侧,具有如下优势:检得快:检测时延毫秒级将图引擎下沉到端侧,避免了传统方案必须把数据全部上报才能检测威胁的弊端,克服了传统 EDR 方案的端云交互时延(平均 6s 以上)。另一方面,图引擎基于实时图计算理念设计,黑客只要暴露攻击意图,立马会被推理引擎识别,并触发告警。负载轻量,部署成本低图引擎内部采用自动缓存淘汰178、和实时图计算理念设计,同时图天然具有存储紧凑的特点,使得轻量化的3233版权所有 华为技术有限公司华为 HiSec Endpoint 智能终端安全系统技术白皮书版权所有 华为技术有限公司03核心功能安全边界的模糊:随着云原生时代的来临,业务变得越来越开放和复杂,固定的防御边界已经不复存在,基于网络边界进行的安全防护手段已经不再可靠。RASP(Runtime Application Self-Protection)使用插桩技术在应用程序内部通过 Hook 关键函数,将防护功能注入到应用程序中,与应用程序融为一体,并实时监测应用运行时的内部情况。当出现可疑行为时,RASP 会根据当前的上下文信息精179、准识别攻击行为,并实施阻断拦截,使应用程序自身具备自我防护能力。图 3-12 RASP 技术架构图HiSec Endpoint RASP 的优势主要包含以下四点:检测更精确:RASP 是在应用程序内部对关键函数操作的运行数据进行分析,无论攻击手段和攻击入口如何变化,都无法绕开最终的关键函数执行过程,基于应用行为来精准识别攻击;且在最终执行时函数入参都是明文的方式,即使请求流量被混淆或加密,也可以被 RASP 获取到。攻击更可见:RASP 深入应用程序的上下文,当检测到攻击行为时,可以提供详尽的攻击链路,包含攻击来源、攻击目标、攻击原始请求详情、危险行为特征、代码调用堆栈等信息,协助安全运维人员180、快速进行漏洞定位,复现以及制定修复方案。部署简单,业务影响小:提供动态安装能力,业务应用集成时无需重启;且和业务代码解耦,对业务影响小。提供 0-Day 攻击防护能力:通常攻击检测依赖已有规则,但 0-Day 漏洞无相应的规则容易绕过。RASP 基于底层调用进行检测,例如数据库访问、命令执行等均无法绕过底层调用,所以RASP 对已知攻击和未知 0-Day 攻击都能提供有效的防护。3.4.16 云鉴定云鉴定是在本地静态病毒检测和云查询的基础上,针对仍然未知的样本,提交沙箱高威胁分析平台进行恶意定性,采用静态检测、动态分析等多层次分析,检测躲避、漏洞利用、未知恶意软件和高级威胁。3.4.17 行为181、检测引擎3.4.17.1 HIPS 引擎HIPS(Host-based Intrusion Prevention System)主要在病毒运行阶段,对终端主机进行防护。HIPS 更针对于检测未知的勒索病毒,通过对关键系统行为的实时分析,尽早阻断病毒的恶意行为。HIPS 会在病毒的执行阶段进行防护,HIPS 会实时分析病毒的每一个关键系统行为,包括对文件、网络、注册表、API、系统等方面的关键操作,一旦发现有恶意动作,就会立即实时阻断病毒的后续执行过程,将危害降到最低。HIPS 同时也会联动华为云端安全智能中心,持续更新最新的专家勒索防护经验。3.4.17.2 溯源图HiSec Endpoint182、 Agent 内置高性能内存图引擎(Graph Streaming Process,GSP),用于在受保护的内存中构建系统的影子世界,并实时跟踪系统上发生的所有行为,包括常规的进程创建、文件读写、注册表修改、网络连接、DNS 访问以及更隐蔽的内存访问、进程注入、线程创建等行为。GSP 引擎就像一台高速摄像机,记录主机上发生的所有事情,并对可疑行为进行实时意图分析。当检测到威胁时,触发实时处置和一键回滚系统破坏,保护客户资产。基于 EDR 溯源图的高级威胁检测是当前学术界和产业界的前沿技术。溯源图以详尽的可见性成为检测0-Day 和对抗 APT 威胁的有效手段之一。但是其背后依赖的海量数据分析带183、来了计算和存储成本高、检测时延大等问题,限制了其在现网中的实战部署(单终端典型工作负载下,单日产生 300M 行为日志,1w 终端量级的企业单日数据量便可轻易达到 TB 级别)。将图引擎嵌入到 Agent 侧,具有如下优势:检得快:检测时延毫秒级将图引擎下沉到端侧,避免了传统方案必须把数据全部上报才能检测威胁的弊端,克服了传统 EDR 方案的端云交互时延(平均 6s 以上)。另一方面,图引擎基于实时图计算理念设计,黑客只要暴露攻击意图,立马会被推理引擎识别,并触发告警。负载轻量,部署成本低图引擎内部采用自动缓存淘汰和实时图计算理念设计,同时图天然具有存储紧凑的特点,使得轻量化的3435版权所有184、 华为技术有限公司华为 HiSec Endpoint 智能终端安全系统技术白皮书版权所有 华为技术有限公司03核心功能实时图检测成为可能。将图引擎下沉到端侧,每一个 Agent 边缘实时分析全量原始数据,只将收敛后的告警和可疑事件上报到云端,可以过滤 80%以上噪声数据,降低云端成本和分析消耗。检得准基于上下文的深度关联,行为细粒度打点,有效检测未知勒索、挖矿、隐蔽通道等攻击,只有真正识别并判断出攻击意图,才会触发告警,大大降低误报,避免客户遭遇“狼来了”和“告警疲劳”困局。响应快,处置全:毫秒级深度处置图引擎检测到威胁后,实时输出威胁子图,并沿图进行深度处置,除了简单的 kill 进程、隔离185、文件外,还支持注册表恢复、计划任务删除、驻留服务清理等深度处置。3.4.17.3 关联分析关联分析引擎是基于 apache flink 的低延时、低代码、高性能流式大数据分析引擎,通过低代码的方式支撑安全运营人员在现网直接配置安全规则,快速落地分析检测效果。便捷的数据接入:关联分析引擎采用元数据驱动的理念,与乾坤云数据治理平台打通。安全运营人员只需要在数据治理平台配置对应的逻辑实体与物理实体,即可在关联分析引擎中引用,包括终端日志、边界日志等。同时关联分析引擎还支持 flink sql 原生自定义数据源。高效的数据开发:安全运营人员只需要编写符合关联分析引擎规范的 sql 即可以快速构建实时关186、联分析应用,包括:暴力破解、存活主机探测、可疑计划任务、横移检测。相比定制代码开发,平均效率可以提升 400%开放的算子:关联分析引擎预置了数据计算、聚合等基础算子,同时支持威胁信息服务、IP 处理、多级缓存聚合等安全高阶算子,同时完整支持了 flink udf 方式的算子拓展能力,包括 udsf、udaf、udtf 等。灵活的部署:同时支持 k8s、yarn 等分布式集群部署方式,支持以增加并行度的方式从三节点到数百节点横向拓展。强劲的性能:采用华为定制内核,并进行大量关联分析场景,数百规则下可支撑超过数万 EPS 的计算性能要求3.4.17.4 威胁信息联动检测华为安全智能中心,通过每日对187、海量数据的分析和处理,形成了恶意 IP 地址、恶意域名、恶意文件HASH 等础网络威胁信息,并通过特征库更新发布到 Hisec Endpoint 产品中。通过威胁信息的持续反馈机和更新,实现了“一点发现、全局联动”的协同防御及由单点“已知威胁”到检测多点“未知威胁”。HiSec Endpoint 客户端在运行过程中,通过将主机和网络上观测到的文件、域名、IP 地址等使用基于威胁信息的云查杀引擎进行鉴定,可以快速、精准的对文件的属性及网络请求进行判定,进而发现恶意的攻击事件,尤其是对于企业内网的勒索、挖矿、恶意外联等威胁事件,云查杀引擎具备识别快、发现准的特点。此外,威胁信息还提供了丰富的上下文188、信息,在 HiSec Endpoint 服务端的运营界面,通过查询威胁信息数据,可以对恶意文件、恶意域名、恶意 IP 等的首次现网活跃时间、攻击行为等进行分析,从而辅助运营人员进行威胁的判定和响应处置。Hisec Endpoint 上使用的威胁信息能力包括恶意域名威胁信息:可识别矿池、勒索软件、C&C、恶意站点、APT 等的高精度威胁恶意域名威胁信息及千万级全量恶意域名威胁信息恶意 IP 威胁信息:可识别挖矿、C&C、扫描、漏洞利用等的恶意 IP 威胁信息文件 HASH 威胁信息:热点文件 HASH 威胁信息,可识别隐蔽通道、木马、病毒、蠕虫等各类恶意软件,OP 本地可识别热点勒索、挖矿等恶意189、软件的本地威胁信息库。3.5 XDR 联动HiSec Endpoint 提供了 syslog 数据外发和北向响应接口供第三方系统调用,可以与 HiSec Insight 等第三方态势感知、SIEM 系统对接。syslog 外发支持对外发送平台告警、安全事件、安全资产信息、病毒事件等。北向接口联动支持进程信息查询、文件 HASH 处置、网络隔离等,并记录了详细的操作日志。3.5.1 边界防护与 EDR 联动检测HiSec Endpoint 依托云边端一体化联动方案,提供失陷主机一键处置,主机网络威胁全网封堵,威胁事件云网端协同检测的能力。3435版权所有 华为技术有限公司华为 HiSec End190、point 智能终端安全系统技术白皮书版权所有 华为技术有限公司03核心功能实时图检测成为可能。将图引擎下沉到端侧,每一个 Agent 边缘实时分析全量原始数据,只将收敛后的告警和可疑事件上报到云端,可以过滤 80%以上噪声数据,降低云端成本和分析消耗。检得准基于上下文的深度关联,行为细粒度打点,有效检测未知勒索、挖矿、隐蔽通道等攻击,只有真正识别并判断出攻击意图,才会触发告警,大大降低误报,避免客户遭遇“狼来了”和“告警疲劳”困局。响应快,处置全:毫秒级深度处置图引擎检测到威胁后,实时输出威胁子图,并沿图进行深度处置,除了简单的 kill 进程、隔离文件外,还支持注册表恢复、计划任务删除、驻191、留服务清理等深度处置。3.4.17.3 关联分析关联分析引擎是基于 apache flink 的低延时、低代码、高性能流式大数据分析引擎,通过低代码的方式支撑安全运营人员在现网直接配置安全规则,快速落地分析检测效果。便捷的数据接入:关联分析引擎采用元数据驱动的理念,与乾坤云数据治理平台打通。安全运营人员只需要在数据治理平台配置对应的逻辑实体与物理实体,即可在关联分析引擎中引用,包括终端日志、边界日志等。同时关联分析引擎还支持 flink sql 原生自定义数据源。高效的数据开发:安全运营人员只需要编写符合关联分析引擎规范的 sql 即可以快速构建实时关联分析应用,包括:暴力破解、存活主机探测、192、可疑计划任务、横移检测。相比定制代码开发,平均效率可以提升 400%开放的算子:关联分析引擎预置了数据计算、聚合等基础算子,同时支持威胁信息服务、IP 处理、多级缓存聚合等安全高阶算子,同时完整支持了 flink udf 方式的算子拓展能力,包括 udsf、udaf、udtf 等。灵活的部署:同时支持 k8s、yarn 等分布式集群部署方式,支持以增加并行度的方式从三节点到数百节点横向拓展。强劲的性能:采用华为定制内核,并进行大量关联分析场景,数百规则下可支撑超过数万 EPS 的计算性能要求3.4.17.4 威胁信息联动检测华为安全智能中心,通过每日对海量数据的分析和处理,形成了恶意 IP 地193、址、恶意域名、恶意文件HASH 等础网络威胁信息,并通过特征库更新发布到 Hisec Endpoint 产品中。通过威胁信息的持续反馈机和更新,实现了“一点发现、全局联动”的协同防御及由单点“已知威胁”到检测多点“未知威胁”。HiSec Endpoint 客户端在运行过程中,通过将主机和网络上观测到的文件、域名、IP 地址等使用基于威胁信息的云查杀引擎进行鉴定,可以快速、精准的对文件的属性及网络请求进行判定,进而发现恶意的攻击事件,尤其是对于企业内网的勒索、挖矿、恶意外联等威胁事件,云查杀引擎具备识别快、发现准的特点。此外,威胁信息还提供了丰富的上下文信息,在 HiSec Endpoint 服194、务端的运营界面,通过查询威胁信息数据,可以对恶意文件、恶意域名、恶意 IP 等的首次现网活跃时间、攻击行为等进行分析,从而辅助运营人员进行威胁的判定和响应处置。Hisec Endpoint 上使用的威胁信息能力包括恶意域名威胁信息:可识别矿池、勒索软件、C&C、恶意站点、APT 等的高精度威胁恶意域名威胁信息及千万级全量恶意域名威胁信息恶意 IP 威胁信息:可识别挖矿、C&C、扫描、漏洞利用等的恶意 IP 威胁信息文件 HASH 威胁信息:热点文件 HASH 威胁信息,可识别隐蔽通道、木马、病毒、蠕虫等各类恶意软件,OP 本地可识别热点勒索、挖矿等恶意软件的本地威胁信息库。3.5 XDR 联动195、HiSec Endpoint 提供了 syslog 数据外发和北向响应接口供第三方系统调用,可以与 HiSec Insight 等第三方态势感知、SIEM 系统对接。syslog 外发支持对外发送平台告警、安全事件、安全资产信息、病毒事件等。北向接口联动支持进程信息查询、文件 HASH 处置、网络隔离等,并记录了详细的操作日志。3.5.1 边界防护与 EDR 联动检测HiSec Endpoint 依托云边端一体化联动方案,提供失陷主机一键处置,主机网络威胁全网封堵,威胁事件云网端协同检测的能力。3637版权所有 华为技术有限公司华为 HiSec Endpoint 智能终端安全系统技术白皮书版权196、所有 华为技术有限公司03核心功能图 3-13 边界防护与 EDR 联动检测 HiSec Endpoint Agent 与防火墙自动关联客户已开通边界防护及响应服务,在网络出口或者边界部署了防火墙/天关并被乾坤安全服务平台纳管后,在终端 PC 或者服务器安装 EDR,该主机会与防火墙/天关进行自动匹配,无需人工干预,免去客户的关联配置工作。协同检测相较于单独的流量检测或者主机病毒检测,通过边界防护与终端防护进行协同检测,将恶意流量检测与主机异常行为识别结合,检测更快、更准,全量覆盖热门挖矿家族和币种,勒索检测覆盖 Att&ck 攻击路径,检测更全面。主机威胁全网封堵当终端防护服务识别到主机存在197、暴力破解、异常登录、横向扩散等网络威胁时,通过与边界防护与响应服务联动,支持联动网络边界的防火墙/天关设备设置 IP 黑名单,对攻击地址进行一键封禁,实现全网攻击免疫 失陷主机一键处置当边界防护服务发现存在恶意流量的失陷主机时,通过联动 HiSec Endpoint 进行一键处置,分钟级闭环主机风险。终端细粒度响应:文件隔离 删除、进程终止、定时任务清除、注册表恢复、感染文件恢复、勒索备份回滚等。3.5.2 存储联动 背景与挑战企业无法基于全网态势识别黑客入侵、扩散、勒索病毒投放过程,全网监测能力有待提高。勒索病毒一旦爆发,现网无法实现统一联动响应,有效阻止病毒扩散。存储侧勒索病毒检测能力较弱198、且滞后,勒索病毒存在漫延至存储系统的风险,造成数据损失。没有永远百分百检出的防御系统,提升业务系统对抗攻击的韧性是关键,在漏检场景,需要提供业务和数据的兜底方案。联动方案实现说明构筑网络侧防火墙、沙箱、探针、EDR 等多层勒索防御体系,告警和遥测数据在 HiSec Insight 上进行统一关联分析,完成网络侧勒索事件自闭环,并提供创新存储联动备份能力。包括:1.HiSec insight 关联分析勒索事件后,联动防火墙(或通过 SecoManager)下发响应指令,阻止黑客进一步攻击。2.HiSec insight 联动 HiSec Endpoint 服务端,向对应 EDR 终端下发查询、取199、证、处置,在主机侧彻底清除病毒,防止勒索病毒再次爆发。3.同时 HiSec insight 将“勒索病毒”告警事件发送至存储侧 DME,DME 向控制器存储一体机下发处置策略,目前支持文件黑名单拦截、快照提速、AIR GAP 熔断联动闭环动作。安全快照:生产中心、安全隔离区的存储通过安全快照技术,保证数据只读且在设定时间范围内无法被修改和删除 黑名单拦截:文件拦截黑名单防止勒索病毒写入存储区 AIR GAP 熔断:AIR GAP 通过对复制链路自动关断控制,将数据复制到隔离区,形成更安全保护效果。3.5.3 HiSec Insight 联动HiSec Insight 接收防火墙、沙箱、探针的威200、胁事件后可通过 HiSec Endpoint 开放接口下发调查取证、处置策略。3637版权所有 华为技术有限公司华为 HiSec Endpoint 智能终端安全系统技术白皮书版权所有 华为技术有限公司03核心功能图 3-13 边界防护与 EDR 联动检测 HiSec Endpoint Agent 与防火墙自动关联客户已开通边界防护及响应服务,在网络出口或者边界部署了防火墙/天关并被乾坤安全服务平台纳管后,在终端 PC 或者服务器安装 EDR,该主机会与防火墙/天关进行自动匹配,无需人工干预,免去客户的关联配置工作。协同检测相较于单独的流量检测或者主机病毒检测,通过边界防护与终端防护进行协同检测201、,将恶意流量检测与主机异常行为识别结合,检测更快、更准,全量覆盖热门挖矿家族和币种,勒索检测覆盖 Att&ck 攻击路径,检测更全面。主机威胁全网封堵当终端防护服务识别到主机存在暴力破解、异常登录、横向扩散等网络威胁时,通过与边界防护与响应服务联动,支持联动网络边界的防火墙/天关设备设置 IP 黑名单,对攻击地址进行一键封禁,实现全网攻击免疫 失陷主机一键处置当边界防护服务发现存在恶意流量的失陷主机时,通过联动 HiSec Endpoint 进行一键处置,分钟级闭环主机风险。终端细粒度响应:文件隔离 删除、进程终止、定时任务清除、注册表恢复、感染文件恢复、勒索备份回滚等。3.5.2 存储联动 202、背景与挑战企业无法基于全网态势识别黑客入侵、扩散、勒索病毒投放过程,全网监测能力有待提高。勒索病毒一旦爆发,现网无法实现统一联动响应,有效阻止病毒扩散。存储侧勒索病毒检测能力较弱且滞后,勒索病毒存在漫延至存储系统的风险,造成数据损失。没有永远百分百检出的防御系统,提升业务系统对抗攻击的韧性是关键,在漏检场景,需要提供业务和数据的兜底方案。联动方案实现说明构筑网络侧防火墙、沙箱、探针、EDR 等多层勒索防御体系,告警和遥测数据在 HiSec Insight 上进行统一关联分析,完成网络侧勒索事件自闭环,并提供创新存储联动备份能力。包括:1.HiSec insight 关联分析勒索事件后,联动防火203、墙(或通过 SecoManager)下发响应指令,阻止黑客进一步攻击。2.HiSec insight 联动 HiSec Endpoint 服务端,向对应 EDR 终端下发查询、取证、处置,在主机侧彻底清除病毒,防止勒索病毒再次爆发。3.同时 HiSec insight 将“勒索病毒”告警事件发送至存储侧 DME,DME 向控制器存储一体机下发处置策略,目前支持文件黑名单拦截、快照提速、AIR GAP 熔断联动闭环动作。安全快照:生产中心、安全隔离区的存储通过安全快照技术,保证数据只读且在设定时间范围内无法被修改和删除 黑名单拦截:文件拦截黑名单防止勒索病毒写入存储区 AIR GAP 熔断:AI204、R GAP 通过对复制链路自动关断控制,将数据复制到隔离区,形成更安全保护效果。3.5.3 HiSec Insight 联动HiSec Insight 接收防火墙、沙箱、探针的威胁事件后可通过 HiSec Endpoint 开放接口下发调查取证、处置策略。3839版权所有 华为技术有限公司华为 HiSec Endpoint 智能终端安全系统技术白皮书版权所有 华为技术有限公司03核心功能图 3-14 HiSec Insight 联动3.6 溯源和响应3.6.1 溯源取证和主动狩猎网络安全博弈过程中,面对潜藏在暗处的攻击者,防御方取胜的关键在于全局的网络可见性和海量遥测、告警数据的快速处理。通过205、极简界面设置,Hisec Endpoint 提供一键直达海量遥测数据的溯源狩猎功能,为企业安全团队提供了一个事件调查和攻防对抗的利器。HiSec Endpoint 基于统一数据底座提供自动告警上下文补全和手动溯源狩猎功能。自动告警上下文补全如下图展示了一次挖矿病毒执行详情,点击相应进程节点,可以查看进程命中的告警详情图 3-15 一次挖矿病毒执行详情 溯源狩猎遥测数据实时存入经过高度优化和定制建模的图数据库,实现百亿以上原始事件的秒级 IOC 溯源能力。可基于可疑域名、网络地址、MD5、进程 UUID 的全局检索,精确返回受害者终端列表,并用威胁图呈现失陷终端事件的完整上下文。业界大多数厂商提206、供的威胁狩猎虽然可以进行丰富的条件组合,但是受限于后台 DB 的能力,仅能支持简单的线性搜索和一跳查询,且只支持以列表形式返回受害者终端列表和进程信息。下图展示了基于域名的溯源结果:3839版权所有 华为技术有限公司华为 HiSec Endpoint 智能终端安全系统技术白皮书版权所有 华为技术有限公司03核心功能图 3-14 HiSec Insight 联动3.6 溯源和响应3.6.1 溯源取证和主动狩猎网络安全博弈过程中,面对潜藏在暗处的攻击者,防御方取胜的关键在于全局的网络可见性和海量遥测、告警数据的快速处理。通过极简界面设置,Hisec Endpoint 提供一键直达海量遥测数据的溯源207、狩猎功能,为企业安全团队提供了一个事件调查和攻防对抗的利器。HiSec Endpoint 基于统一数据底座提供自动告警上下文补全和手动溯源狩猎功能。自动告警上下文补全如下图展示了一次挖矿病毒执行详情,点击相应进程节点,可以查看进程命中的告警详情图 3-15 一次挖矿病毒执行详情 溯源狩猎遥测数据实时存入经过高度优化和定制建模的图数据库,实现百亿以上原始事件的秒级 IOC 溯源能力。可基于可疑域名、网络地址、MD5、进程 UUID 的全局检索,精确返回受害者终端列表,并用威胁图呈现失陷终端事件的完整上下文。业界大多数厂商提供的威胁狩猎虽然可以进行丰富的条件组合,但是受限于后台 DB 的能力,仅能208、支持简单的线性搜索和一跳查询,且只支持以列表形式返回受害者终端列表和进程信息。下图展示了基于域名的溯源结果:4041版权所有 华为技术有限公司华为 HiSec Endpoint 智能终端安全系统技术白皮书版权所有 华为技术有限公司03核心功能图 3-16 基于域名的溯源HiSec Endpoint 提供场景化狩猎功能,支持用图查询语言表达复杂的狩猎逻辑,并以威胁图的形式展现完整狩猎结果。内置华为安全团队多年积累的实战狩猎脚本,实现自动搜索,捕获逃避前置防御的高级威胁。高级狩猎支持开放自定义脚本,企业安全团队可以根据自身业务特点定制狩猎脚本,并添加到例行任务中,发现针对性攻击,实现精准狩猎和安全209、守护。3.6.2 联动处置 SOARSOAR(安全编排与自动化响应)支持 EDR 联动,将 HiSec Endpoint 处置能力编排为剧本,在 SOC处置中心选择需要处置的威胁事件,关联创建的剧本执行自动处置。针对边界防护服务和 HiSec Endpoint 告警关联生成的威胁事件,SOAR 支持调用威胁信息服务接口查询 IP 威胁信息,调用边界防护服务下发黑名单接口阻断威胁 IP 流量,同时调用 EDR 接口执行终止进程和隔离文件等处置动作。针对只关联 HiSec Endpoint 告警的威胁事件,SOAR 支持人工决策功能,安全运营专家根据返回的推荐处置方式决策是否按推荐方式执行处置。选210、择按推荐处置方式处置后,调用 EDR 事件处置接口执行处置动作。针对边界防护失陷主机的威胁事件,SOAR 支持自动的威胁判定,对确认的威胁事件自动下发黑名单,并发送告警。3.6.3 Office 文件恢复终端安全场景下,用户对于 PC 上扫描出来的病毒,期望终端安全软件能够支持病毒恶意数据的消除,其中最受用户关注的文件类型是被感染过宏病毒的 office 文档,如果可以支持自动化清除恶意宏数据,可以极大地提升用户对于 EDR 终端安全软件的使用体验,提升产品竞争力。传统的反病毒杀软一般更侧重检测能力,对于病毒清除支持情况不太理想,业界对于 office 宏病毒清除有类似的实现,但是对于宏病毒清211、除实现的较为简单粗暴,仅支持消除宏,未考虑消除后文档的可用性,且对于复杂的文档嵌套场景无法支持。HiSec Endpoint 反病毒引擎(CDE)在原有的支持宏病毒检测的基础上,支持:1.针对多种 office 宏格式进行了深入解析,在不同文件格式下精准获取待清除的数据,确保消除后文档的可用性;2.进行了恶意数据消除的全局架构设计,支持复杂的文档嵌套宏病毒清除,且架构上具备良好的可扩展性;3.设计了引擎和特征库的联动机制,支持通过特征规则来灵活控制每一条规则是否支持宏病毒清除。整体方案如下:图 3-17 Office 文件恢复整体方案实现效果:1.精准识别 office 宏病毒,可对宏病毒威胁212、 100%消除和成功修复,支持 office03/office07 word/4041版权所有 华为技术有限公司华为 HiSec Endpoint 智能终端安全系统技术白皮书版权所有 华为技术有限公司03核心功能图 3-16 基于域名的溯源HiSec Endpoint 提供场景化狩猎功能,支持用图查询语言表达复杂的狩猎逻辑,并以威胁图的形式展现完整狩猎结果。内置华为安全团队多年积累的实战狩猎脚本,实现自动搜索,捕获逃避前置防御的高级威胁。高级狩猎支持开放自定义脚本,企业安全团队可以根据自身业务特点定制狩猎脚本,并添加到例行任务中,发现针对性攻击,实现精准狩猎和安全守护。3.6.2 联动处置 S213、OARSOAR(安全编排与自动化响应)支持 EDR 联动,将 HiSec Endpoint 处置能力编排为剧本,在 SOC处置中心选择需要处置的威胁事件,关联创建的剧本执行自动处置。针对边界防护服务和 HiSec Endpoint 告警关联生成的威胁事件,SOAR 支持调用威胁信息服务接口查询 IP 威胁信息,调用边界防护服务下发黑名单接口阻断威胁 IP 流量,同时调用 EDR 接口执行终止进程和隔离文件等处置动作。针对只关联 HiSec Endpoint 告警的威胁事件,SOAR 支持人工决策功能,安全运营专家根据返回的推荐处置方式决策是否按推荐方式执行处置。选择按推荐处置方式处置后,调用 214、EDR 事件处置接口执行处置动作。针对边界防护失陷主机的威胁事件,SOAR 支持自动的威胁判定,对确认的威胁事件自动下发黑名单,并发送告警。3.6.3 Office 文件恢复终端安全场景下,用户对于 PC 上扫描出来的病毒,期望终端安全软件能够支持病毒恶意数据的消除,其中最受用户关注的文件类型是被感染过宏病毒的 office 文档,如果可以支持自动化清除恶意宏数据,可以极大地提升用户对于 EDR 终端安全软件的使用体验,提升产品竞争力。传统的反病毒杀软一般更侧重检测能力,对于病毒清除支持情况不太理想,业界对于 office 宏病毒清除有类似的实现,但是对于宏病毒清除实现的较为简单粗暴,仅支持消215、除宏,未考虑消除后文档的可用性,且对于复杂的文档嵌套场景无法支持。HiSec Endpoint 反病毒引擎(CDE)在原有的支持宏病毒检测的基础上,支持:1.针对多种 office 宏格式进行了深入解析,在不同文件格式下精准获取待清除的数据,确保消除后文档的可用性;2.进行了恶意数据消除的全局架构设计,支持复杂的文档嵌套宏病毒清除,且架构上具备良好的可扩展性;3.设计了引擎和特征库的联动机制,支持通过特征规则来灵活控制每一条规则是否支持宏病毒清除。整体方案如下:图 3-17 Office 文件恢复整体方案实现效果:1.精准识别 office 宏病毒,可对宏病毒威胁 100%消除和成功修复,支持216、 office03/office07 word/4243版权所有 华为技术有限公司华为 HiSec Endpoint 智能终端安全系统技术白皮书版权所有 华为技术有限公司03核心功能xls 宏病毒清除,清除后不影响文档正常查看;2.具备业界厂商产品均不支持的多层嵌套办公文档修复功能,支持嵌套宏病毒清除(office03 嵌套,office07 嵌套),;3.支持通过特征规则来灵活控制每一条规则是否支持宏病毒清除;3.6.4 勒索加密文件恢复没有百分百绝对安全的防御系统,在新型攻击技术不断进化下,除了提升防御和检测的有效性,更需要构建系统对抗攻击的韧性。为了确保数据零损失,HiSec Endpo217、int 产品内置终端轻量级备份恢复机制作为兜底方案,可在检测到勒索攻击后,将被加密文件恰好恢复至加密前的状态,并清理勒索信等垃圾文件,实现无损回滚。HiSec Endpoint 产品内置终端轻量级备份恢复机制优势:存储资源占用小:按事件触发备份,只有当关键文件修改事件发生时内核层才会将该文件备份到保护区内。实时备份:当检测到勒索程序后,将文件正好恢复到被加密时间之前的点,不会有文件版本差异。自动化:当检测到勒索程序后,自动恢复用户被加密的文件,无需用户手工选择备份版本恢复。HiSec Endpoint 产品最终可达成以下效果:1.文件破坏全场景覆盖:克服高难度的内核态开发挑战,在内核层监控勒索218、病毒对文件的所有细粒度动作,并抽象到备份逻辑,融入驱动程序。2.勒索病毒全进程链回滚:全面覆盖勒索病毒的多进程加密行为,支持全进程链回滚,内置复杂的精细化文件回滚顺序机制,支持勒索病毒全进程链自动化逆修改。3.轻量灵活:备份单文件毫秒级,不仅内置对 doc、xls、ppt、pdf 等上百种重要文件的保护,用户还可以自行添加需要备份的文件类型,设定备份区位置,备份区占用比等,易用性高。通过联动存储可进一步实现按需触发的云端备份,支持文件黑名单拦截、快照提速、AIR GAP 熔断联动闭环动作。端云双层备份,提升业务系统对抗勒索攻击的韧性,为关键数据资产兜底。3.6.5 注册表恢复注册表恢复是指恢复219、 Windows 注册表的过程,Windows 注册表是存储配置设置和已安装应用程序的重要系统数据库。当注册表由于恶意软件感染而被篡改时,就需要进行注册表恢复。恶意软件通常以注册表为目标,通过修改注册表禁用安全功能,或更改系统行为以实现持久性攻击。这种篡改可能导致系统不稳定,危及安全性,并降低性能。因此,将注册表恢复到其正确的,未感染的状态对于正常的系统操作,完整性和安全性至关重要,确保删除任何恶意修改。华为 HiSec Endpoint 基于业界注册表恢复的两种主流技术,进行创新结合,通过 snapshot 记录注册表的信息,同时通过监控注册表变更事件并将变更事件记录到数据库中,使用更少的磁220、盘空间和 CPU 资源进行注册表备份,更准确的恢复注册表。修改注册表是恶意软件常见行为,超过 60%的恶意软件在终端执行时都会更改注册表值,HiSec Endpoint 通过实时监控注册表变化,及时恢复被恶意修改的内容,有效防御恶意攻击,保障系统稳定与安全,降低维护成本,提升整体防御能力。4243版权所有 华为技术有限公司华为 HiSec Endpoint 智能终端安全系统技术白皮书版权所有 华为技术有限公司03核心功能xls 宏病毒清除,清除后不影响文档正常查看;2.具备业界厂商产品均不支持的多层嵌套办公文档修复功能,支持嵌套宏病毒清除(office03 嵌套,office07 嵌套),;3221、.支持通过特征规则来灵活控制每一条规则是否支持宏病毒清除;3.6.4 勒索加密文件恢复没有百分百绝对安全的防御系统,在新型攻击技术不断进化下,除了提升防御和检测的有效性,更需要构建系统对抗攻击的韧性。为了确保数据零损失,HiSec Endpoint 产品内置终端轻量级备份恢复机制作为兜底方案,可在检测到勒索攻击后,将被加密文件恰好恢复至加密前的状态,并清理勒索信等垃圾文件,实现无损回滚。HiSec Endpoint 产品内置终端轻量级备份恢复机制优势:存储资源占用小:按事件触发备份,只有当关键文件修改事件发生时内核层才会将该文件备份到保护区内。实时备份:当检测到勒索程序后,将文件正好恢复到被加222、密时间之前的点,不会有文件版本差异。自动化:当检测到勒索程序后,自动恢复用户被加密的文件,无需用户手工选择备份版本恢复。HiSec Endpoint 产品最终可达成以下效果:1.文件破坏全场景覆盖:克服高难度的内核态开发挑战,在内核层监控勒索病毒对文件的所有细粒度动作,并抽象到备份逻辑,融入驱动程序。2.勒索病毒全进程链回滚:全面覆盖勒索病毒的多进程加密行为,支持全进程链回滚,内置复杂的精细化文件回滚顺序机制,支持勒索病毒全进程链自动化逆修改。3.轻量灵活:备份单文件毫秒级,不仅内置对 doc、xls、ppt、pdf 等上百种重要文件的保护,用户还可以自行添加需要备份的文件类型,设定备份区位置223、,备份区占用比等,易用性高。通过联动存储可进一步实现按需触发的云端备份,支持文件黑名单拦截、快照提速、AIR GAP 熔断联动闭环动作。端云双层备份,提升业务系统对抗勒索攻击的韧性,为关键数据资产兜底。3.6.5 注册表恢复注册表恢复是指恢复 Windows 注册表的过程,Windows 注册表是存储配置设置和已安装应用程序的重要系统数据库。当注册表由于恶意软件感染而被篡改时,就需要进行注册表恢复。恶意软件通常以注册表为目标,通过修改注册表禁用安全功能,或更改系统行为以实现持久性攻击。这种篡改可能导致系统不稳定,危及安全性,并降低性能。因此,将注册表恢复到其正确的,未感染的状态对于正常的系统操224、作,完整性和安全性至关重要,确保删除任何恶意修改。华为 HiSec Endpoint 基于业界注册表恢复的两种主流技术,进行创新结合,通过 snapshot 记录注册表的信息,同时通过监控注册表变更事件并将变更事件记录到数据库中,使用更少的磁盘空间和 CPU 资源进行注册表备份,更准确的恢复注册表。修改注册表是恶意软件常见行为,超过 60%的恶意软件在终端执行时都会更改注册表值,HiSec Endpoint 通过实时监控注册表变化,及时恢复被恶意修改的内容,有效防御恶意攻击,保障系统稳定与安全,降低维护成本,提升整体防御能力。45版权所有 华为技术有限公司04部署场景44版权所有 华为技术有限225、公司4 部 署 场景 乾坤公有云部署场景该方案为乾坤云服务部署方案,适用于数据可出局、愿意托管给乾坤云进行运维管理的用户。该方案中HiSec Endpoint 管理端部署在公有云上,客户只需购买乾坤云终端防护与响应服务,无需购买服务器安装管理端。该场景要求客户的终端能通过互联网连接到 HiSec Endpoint 管理端上。管理员可在自己的终端,通过浏览器访问HiSec Endpoint管理端,管理自己的终端Agent,进行事件处置,安全策略配置,杀毒等。HiSec Endpoint 管理端会自动从升级中心更新 Agent/病毒库/HIPS,小时级更新安全能力。图 4-1 乾坤云服务部署示意图226、 乾坤 OP 部署场景该方案为 On-Premises 线下部署方案,适用于数据不出局、有自主运维管理能力的用户。该方案中HiSec Endpoint 管理端部署在企业内部服务器上,其中服务器可以是物理机,也可以是华为私有云HCS 上的虚拟机服务器。该场景只需终端通关内网能与 HiSec Endpoint 管理端连通即可。管理员可在自己的终端,通过浏览器访问HiSec Endpoint管理端,管理自己的终端Agent,进行事件处置,安全策略配置,杀毒等。在 HiSec Endpoint 管理端能连网时,可自动从升级中心更新 Agent/病毒库/HIPS,小时级更新安全能力。在 HiSec En227、dpoint 管理端无法连网时,可由运维人员手动从升级中心下载最新的 Agent/病毒库/HIPS,然后通过移动介质带到内网,通过浏览器导入到 HiSec Endpoint 管理端,然后再使能各个终端进行更新升级。45版权所有 华为技术有限公司04部署场景44版权所有 华为技术有限公司4 部 署场 景 乾坤公有云部署场景该方案为乾坤云服务部署方案,适用于数据可出局、愿意托管给乾坤云进行运维管理的用户。该方案中HiSec Endpoint 管理端部署在公有云上,客户只需购买乾坤云终端防护与响应服务,无需购买服务器安装管理端。该场景要求客户的终端能通过互联网连接到 HiSec Endpoint 管228、理端上。管理员可在自己的终端,通过浏览器访问HiSec Endpoint管理端,管理自己的终端Agent,进行事件处置,安全策略配置,杀毒等。HiSec Endpoint 管理端会自动从升级中心更新 Agent/病毒库/HIPS,小时级更新安全能力。图 4-1 乾坤云服务部署示意图 乾坤 OP 部署场景该方案为 On-Premises 线下部署方案,适用于数据不出局、有自主运维管理能力的用户。该方案中HiSec Endpoint 管理端部署在企业内部服务器上,其中服务器可以是物理机,也可以是华为私有云HCS 上的虚拟机服务器。该场景只需终端通关内网能与 HiSec Endpoint 管理端连通229、即可。管理员可在自己的终端,通过浏览器访问HiSec Endpoint管理端,管理自己的终端Agent,进行事件处置,安全策略配置,杀毒等。在 HiSec Endpoint 管理端能连网时,可自动从升级中心更新 Agent/病毒库/HIPS,小时级更新安全能力。在 HiSec Endpoint 管理端无法连网时,可由运维人员手动从升级中心下载最新的 Agent/病毒库/HIPS,然后通过移动介质带到内网,通过浏览器导入到 HiSec Endpoint 管理端,然后再使能各个终端进行更新升级。46华为 HiSec Endpoint 智能终端安全系统技术白皮书版权所有 华为技术有限公司图 4-2 乾坤 OP 部署示意图华为技术有限公司地址:深圳市龙岗区坂田华为总部办公楼邮编:518129网址:https:/客户服务邮箱:客户服务电话:4008302118主编谈晶林智刚徐志超易蜀峰熊永鑫编 委 会马烨梁跃旗蔡骏曹同强刘丙双高金锁徐永强参编人员(排名不分先后)张伟双杨骏飞陈甲康鹏林翟育鹏朱乾徽孙开们魏仁政王君楠贲永明焦丽娟贾蕴豪王天宇刘柱张日华孟繁库徐颖夏婷婷刘向文杜兴刘吉鹏程志辉汤海燕葛马骏夏亦凡金芙奇黄诗月彭阳陈姝编写单位华为技术有限公司

    下载