載荷的ATT&CK戰術能力威脅框架：細粒度對抗威脅框架：細粒度對抗?生態合伙伙伴突破100家?內置安天網絡檢測引擎的網絡設備和網絡安全設備累計超過90萬臺??生態合伙伙伴突破100家?內置安天網絡檢測引擎的網絡設備和網絡安全設備累計超過90萬臺?安天移動安全引擎覆蓋手機和其他類型智能終端累計超過22億部，已經成為國民級安全內核。生態穩步發展CETC30inspurZTE中興能力始終如一????2018年，AV-????2019年度，AV-TEST移動安全檢測年度檢測能力全雙滿分廠商2018年國家應急中心安全引擎技術對抗賽雙賽第一名2019年國家應急中心安全引擎技術對抗賽（兩賽合一）第一名安天引擎的2020從學術化的研究轉化為可工程化實現的能力Page3威脅框架：細粒度對抗威脅框架：細粒度對抗應用案例應用案例CONTENTS01威脅情報與知識庫的當前問題02可結合知識庫的威脅檢測引擎威脅框架：細粒度對抗威脅框架：細粒度對抗01威脅情報與知識庫的當前問題Page6變化中的攻擊方與防御方對手在變化防御方的需求在變化?用戶的單點需求?用戶的面的需求?用戶的立體需求Page7滿足防御方需求的解決辦法以捕獲到一些攻擊載荷為例業界實現的方式輸出攻擊手段和危害信息步驟1分析攻擊的危害利用輸出攻擊手段和危害信息步驟1分析攻擊的危害段、可能造成的危害等信息是步驟2判斷是否從屬已知攻擊組織或事件確認攻擊者身份利用已知IOC是步驟2判斷是否從屬已知攻擊組織或事件確認攻擊者身份抗的時效性和精準指向性否是作為重點可疑觀察對象跟蹤分析，進一步否是作為重點可疑觀察對象跟蹤分析，進一步確認身份信息通過關聯和聚類，發現可能存在的相關APT組織間的關聯關系，是否具有同源性否暫不重點追蹤現有威脅知識輸出方式的真實效果結合期望達成結合傳統反病毒引擎測和辨識能力）發現、阻斷和獵殺高級威脅行動傳統反病毒引擎傳統反病毒引擎這種檢測能力組合雖然對類似海蓮花、白象、綠斑一類的APT攻擊具有一定的價值，但在過去十年內對于對抗來自更高水平的威脅行為體的活動，其實收效甚微。針對類似毒曲II、方程式等高級威脅行動或組織的發現、阻斷和獵殺活動中，這些信息幾乎無法發揮任何作用。Page8威脅框架：細粒度對抗威脅框架：細粒度對抗Page9分類數量說明效果不佳的主要原因—效用性分類數量說明主要功能：攻擊用于數據采集與監控的工業控制系統。漏洞，通過一套完整的入侵和傳播流程，突破工業專用局域網的物理限制，攻擊用于數據采集與監控的工業控制系統。DROPPER1200+~WTR4132.tmp,其STUB節的內容變換、樣本自身代碼的升級與發布、人工二進制更改，組合操作生成多個樣本DROPPERLOADER460+~WTR4141.tmp，通過少量原始樣本，經過二進制修改、簽名、追加損壞簽名、簽名后繼續追加文件等操作，造成樣本量增加LNK20+漏洞利用載荷，用于加載惡意DLL文件其他文件100+CAB文件、驅動文件、Step7使用的DLL等編譯器版本10+多版本編譯器表明工程代碼經過多人編譯，生成母體樣本基數變大震網樣本集差異分析——《對Stuxnet蠕蟲攻擊工業控制系統事件的綜合分析報告》效果不佳的主要原因—知識性?傳統引擎的輸出不具備豐富的知識性1.原有的知識工程體系，不能滿足直接定位到高級網空威脅行為體的精準要求2.單一病毒名輸出的方式缺乏知識性，無法滿足用戶對于威脅想要深入了解的需求。在現有防御體系中，沒有把傳統引擎當作一個關鍵環節來看待，原因主要是普遍把引擎作為一個基礎支撐能力看待，作為黑箱使用，沒有把引擎的輸出作為知識供給。VirusTotal網站對某高級威脅樣本的檢測結果Page10威脅框架：細粒度對抗威脅框架：細粒度對抗效用性攻擊工具網絡或主機特征效果不佳的主要原因—效用性效用性攻擊工具網絡或主機特征人們試圖通過IOC信息來為高級威脅威脅情報的痛苦金字塔微不足道Page11威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗可結合知識庫的威脅檢測引擎輸出安天引擎結合知識庫輸出下一代威脅檢測引擎高價值威脅知識結合知識庫?達成客戶防御場景下的可消費信息?對高級威脅攻擊方身份的揭示Page13威脅框架：細粒度對抗威脅框架：細粒度對抗動靜態檢測相結合?解決不可執行文件?解決組件分批下發的問題?提升檢測效率Page14威脅框架：細粒度對抗威脅框架：細粒度對抗當前主流以動態為主的ATT&CK提取的缺陷Page15威脅框架：細粒度對抗威脅框架：細粒度對抗Page16安天引擎利用靜態配置解密信息進行檢測?att&ck技術點：解密/去混淆#KCMDDC51#Page17安天引擎能力的維度--深入的識別與解析識別能力解析能力力支持識別：可執行文件、包裹、文檔、媒體文件、圖片文件、軟件關聯格式、腳本、文本格式、其它格式等九大類格式編譯器種類40編譯器種類（含版本)108可識別殼種類數434可識別包裹數目58可深度拆解的可執行程序的種類：下載器、釋放器134種可深度預處理的復合文檔的格式數目24可脫殼種類數31可拆解包裹數58Page18單一輸入Object單一輸出安天引擎能力的維度--多種輸入輸出對象單一輸入Object單一輸出100101010111010101010110011001Virus/Win32.Virut.n傳統引擎一結果為輸出。而隨著威脅的進一步演進和泛化，威脅檢測已不能僅僅停留在對單一對象進行鑒定上。AVLSDK威脅檢測引擎多種輸入對象，多種輸出結果。威脅檢測多樣化。網絡層次檢測二進制數據對象系統環境對象會話包檢測…會話包檢測…載荷流檢測網絡信標本地層次檢測多種輸入?識別信息?基礎信息?附加信息?行為信息?遠控廣告?DDoS下載?竊取?傳播偽裝?隱蔽對抗?信息獲取攻擊輸出2?組織名稱?組織簡介?攻擊領域?攻擊方式?活躍時間?利用漏洞輸出3ATT&CK框架信息發現、橫向移動、收集、命令控制、滲透安天引擎后臺分析運營系統Page19威脅框架：細粒度對抗威脅框架：細粒度對抗安天引擎后臺分析運營系統Page20威脅框架：細粒度對抗威脅框架：細粒度對抗②應用效果—更好的知識性②①①各反病毒引擎廠商檢測結果某白象分析報告各反病毒引擎廠商檢測結果③③安天下一代威脅檢測引擎輸出結果Page21威脅框架：細粒度對抗威脅框架：細粒度對抗應用效果--更好的效用性文件HASH：7c498b7ad4c12c38b1f4eb12044a9def?卡巴斯基輸出Backdoor.Win32.Agent.mytihl?ESET輸出Win32/Poison.NOL?安天下一代威脅檢測引擎配合情報平臺的輸出結果組織名稱：綠斑別名：APT-C-01，毒云藤攻擊目標：中國攻擊領域：政府,軍事,科研攻擊方式：釣魚郵件，水坑攻擊活躍時間：2011年,2012年,2013年,2014年,2017年利用漏洞CVE-2012-0158,CVE-2014-4114,CVE-2017-8759,CVE-2017-0199組織簡介2018年9月安天實驗室曝光了綠斑組織，該組織至少從2007年開始活躍，擅長對目標實施魚叉攻擊和水坑攻擊、植入修改后的ZXShell、PoisonIvy、XRAT商業木馬，并使用動態域名作為其控制基礎設施。普通引擎僅能將其認定為商馬，安天的引擎可以依靠情報判斷出該樣本從屬綠斑組織文件屬性信息文件版本信息文件結構信息F93AFE4A0FB30B1293FCAA32DDAF59F1身份信息上線ID：motices解密信息解密偏移=0x628B解密方式=異或密鑰=0x22Page22威脅框架：細粒度對抗威脅框架：細粒度對抗安天引擎輸出向量映射ATT&CK案例??獲取屏幕截圖?獲取機器名稱?發現宏Page23威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗安天引擎輸出向量映射ATT&CK案例威脅框架：細粒度對抗Page24安天引擎輸出向量映射ATT&CK案例?發現cmd.exe?查詢注冊表?修改注冊表Page25威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗安天引擎輸出向量映射ATT&CK案例威脅框架：細粒度對抗Page26威脅框架：細粒度對抗Page27威脅框架：細粒度對抗安天引擎映射ATT&CK框架的意義威脅框架：細粒度對抗威脅框架：細粒度對抗應用案例適用場景?可以在所有可嵌入安天AVLSDK威脅檢測引擎的場景下工作，主要面向對高級威脅檢測在流量檢測監測設備上提升威形成有效判定能力，其知識化的輸出可以讓分析人人員聚焦于高等級威脅攻擊載荷深入分析層面。知識化的輸出能力可以讓其理解威脅并Page29威脅框架：細粒度對抗威脅框架：細粒度對抗安天下一代威脅檢測引擎對安天全線產品的支撐Page30威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗Page31威脅框架：細粒度對抗震網樣本實例—引擎輸出結果安天下一代引擎對震網樣本輸出信息震網樣本實例—安天追影分析系統產品界面④威脅分析①組織信息②意圖及目標③攻擊活動⑤戰術技術過程Page32威脅框架：細粒度對抗威脅框架：細粒度對抗Page33安天智甲處置防御技術攻擊動作輸出標簽戰術環節初始訪問接收惡意郵件誘導用戶執行附件寫入磁盤利用誘餌文件名，誘導用戶運行后，枚舉操作系統和軟件枚舉賬戶和權限獲得用戶名密碼憑證模擬單位郵箱，發送釣魚郵件附件利用rar軟件CVE-2018-20252漏洞，執行惡意代碼利用rar軟件CVE-2018-20252漏洞，執行惡意代碼利用誘餌文件名，誘導用戶主動執行，繞過UAC驗證查詢系統操作系統和已經安裝的軟件查詢系統當前用戶信息執行powershell安天智甲處置防御技術攻擊動作輸出標簽戰術環節初始訪問接收惡意郵件誘導用戶執行附件寫入磁盤利用誘餌文件名，誘導用戶運行后，枚舉操作系統和軟件枚舉賬戶和權限獲得用戶名密碼憑證模擬單位郵箱，發送釣魚郵件附件利用rar軟件CVE-2018-20252漏洞，執行惡意代碼利用rar軟件CVE-2018-20252漏洞，執行惡意代碼利用誘餌文件名，誘導用戶主動執行，繞過UAC驗證查詢系統操作系統和已經安裝的軟件查詢系統當前用戶信息執行powershell腳本獲取lsass.exe進程中當前系統的用戶名和密碼執行防御規避發現憑證訪問橫向移動通過SMB漏洞橫向移動寫入注冊表啟動項記錄鍵盤與服務端回連執行遠程指令采用CVE-2017-0143永恒之藍SMB遠程服務漏洞進行橫向擴散達到持久化目的通過鍵盤鉤子實現鍵盤記錄客戶端和服務端每45s會進行一次tcp連接，并持續交互指令信息，其中流量數據均加密與服務端交互指令，并執行指令持久化憑證訪問命令控制攻擊者操作T1060注冊表運行鍵值/啟動文件夾創建啟動項檢測T1021遠程服務網絡鏈接監控，敏感端口向內網高頻橫向擴散行為檢測，敏感端口向本機惡意入侵檢測T1003憑證轉儲件檢測T1071標準應用層協議T1022數據加密T1094自定義命令和控制協議進程聯網情況檢測CMD執行命令及參數T1179Hooking內存存在異常鉤子T1193魚叉式釣魚附件用戶接收附件時檢測附件T1204用戶