行為分析:發現未知威脅/零日攻擊的利器
無論公司企業還是個人消費者,都對零日攻擊擔心不已,怕保護不好自己的數據。如果都不知道威脅長什么樣子,談何御威脅于家門之外?
一段時間以來,以防御未知威脅為目的的安全工具不斷涌現,但零日攻擊利用新漏洞或新技術的本質,讓此類攻擊難以被傳統安全軟件檢測。
以殺毒軟件和反惡意軟件工具為例,用戶不得不持續安裝更新的原因,就是新品系或新版本的惡意軟件特征碼要不斷加入到這些防護軟件的字典中。沒有特定惡意軟件的定義,這些軟件就對該特定惡意軟件視而不見,任其長驅直入。
檢測惡意軟件的傳統方法依賴發現入侵指標(IOC)。這一方法的問題在于,通過IOC檢測惡意軟件需要之前“看到”過這些IOC。
這基本上就是基于特征碼和基于規則的方法,要求軟件必須“知道”入侵的“定義”才可以識別入侵。可想而知,既然零日惡意軟件是全新品種的惡意軟件,其特定IOC自然就不為人所知,這種必須先見過才能檢測的方法又怎么能檢測得出零日攻擊呢?
這些傳統應用程序在防御已知威脅上表現良好。但我們又是否能訓練機器來發現之前從未觀測過的惡意軟件呢?換句話說,機器能檢測零日攻擊嗎?
當然可以。
行為分析,也就是我們所謂的“新”方法,就是特別適合檢測零日攻擊的,與以上傳統方法完全不同的另一條路。其中秘訣在于,幾乎所有惡意軟件,包括零日惡意軟件,都會展現出昭示攻擊進行時的一些行為。
行為分析的核心是用異常檢測來查找這些異于常規軟件的行為。所有惡意軟件在行為上或多或少都有些異常,因而也就能被分析檢測。
依賴行為而非特征碼的另一個巨大優勢在于,所謂的“無文件惡意軟件”也能被檢測出來。如其名稱所顯示的,無文件惡意軟件并不將自身保存成主機上的文件,而是寄生內存之中,基于文件特征碼的傳統掃描和白名單技術幾乎不可能檢測到。但即便是無文件惡意軟件,也要表現出一些能被檢測的行為。
我們不妨考慮一下最壞的場景:零日無文件攻擊。這種最壞情況下,行為分析檢測過程是怎樣的呢?
首先,網絡釣魚郵件將一份惡意Word文檔投放到你電腦上。然后,惡意軟件嘗試在被感染主機上獲取立足點;微軟Word啟動PowerShell,注冊表鍵被篡改。接下來,PowerShell與命令與控制(C&C)中心通聯,準備好攻擊載荷。最后,載荷被下載執行。攻擊任務完成。
零日惡意軟件的情況下,因為之前沒“見過”該惡意軟件,你的殺毒軟件不能在惡意軟件進入到主機時識別出來。加之這還是個無法被掃描的無文件攻擊,不會在主機上安裝任何新的可執行代碼,還只利用主機已有程序作惡。殺軟就更加無法發現了。但是,上述入侵過程中它所進行的很多活動都是可以被行為分析工具打上“不正常行為”標簽的。
Word啟動PowerShell就是個不正常的父-子進程。C&C域名查詢會觸發異常DNS頻率和時刻報警。協議隧道的建立則會表現出該協議的不正常網絡負載。諸如此類。這種情況下,即便零日威脅本身是完全未知的,但其導致的行為變化是無法隱藏的。
行為分析真正超酷的地方在于,完全無需事先備好威脅特征信息,即便是全新品種的惡意軟件,也能在造成不可挽回的傷害之前就看出其行為所昭示的警示信息。
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
