FireHunter6000沙箱技术白皮书文档格式.docx

1、下面我们以 2015 年 12 月乌克兰电网遭受的 APT 攻击为例，介绍一下一个典型的 APT攻击过程：图1-1 乌克兰电网受到的 APT 攻击过程在乌克兰电网遭受的这次 APT 攻击中，攻击者首先伪造来自国会的邮件进行渗透，邮件附件有一个恶意 office 文档，办公区的员工打开文档运行恶意宏，会将恶意软件植入到办公区的主机中。恶意软件与外部的 C&C 服务器建立 C&C 通信，并且通过员工的VPN 权限访问到机房的 SCADA 控制主机。攻击者利用 SSH 的漏洞，在机房 SCADA 控制主机的 SSH Server 添加了一个固定密码，为攻击留下后门。攻击者通过 C&C 通道， 登陆办

2、公区员工主机，通过员工的 VPN 连接到机房的控制主机，通过 SSH 对机房的控制主机进行操作，发出打开电闸的命令，造成乌克兰多个地区的断电，之后擦除证据、破坏系统。同时对乌克兰电网的呼叫中心发起 DDoS 电话攻击，最终达成停电长达数小时，整个乌克兰社会混乱的局面。这次攻击点完全是通过恶意代码针对 PC 主机环节的渗透和植入达成的，造成了及其恶劣的社会和政治影响。对于 APT 攻击我们需要高度重视，正如看似固若金汤的马奇诺防线，德军只是改变的作战策略，法国人的整条防线便沦落成摆设，至于 APT 攻击，任何疏忽大意都可能为信息系统带来灾难性的破坏。相信您迫切想了解传统的网络犯罪集团与 APT

3、攻击行为到底有哪些异同，下面的表格或许能让您找到答案。图1-2 传统威胁和 APT 威胁的区别不难看出 APT 攻击更像一支配备了精良武器的特种部队，这些尖端武器会让用户网络环境中传统的 IPS/IDS、防火墙、防病毒软件等安全防御体系失去应有的防御能力。无论是 0day 或者精心构造的恶意程序，传统的基于特征库的被动防御体系都无法抵御定向攻击的入侵。1.2APT 下一代威胁发展趋势典型的 APT 攻击，通常会通过如下途径入侵到您的网络当中：通过 SQL 注入等攻击手段突破面向外网的 Web Server、邮件服务器等服务器，然后以被入侵的服务器做跳板，对内网的其他服务器或桌面终端进行扫描，并

4、为进一步入侵做准备;通过给高层主管邮件，发送带有恶意程序的附件，诱骗员工点击并入侵内网终端。通过熟人给企业内部的员工发送具有针对性的恶意链接，诱骗用户访问这个链接之后并入侵内网终端。通过连接到 Internet 主机将恶意软件通过 U 盘摆渡到隔离网络，从而入侵到隔离网络实现攻击。一旦用户被植入恶意软件，如木马、后门、Downloader 等，恶意软件会在内网建立与外网的 CC 通信，并持续回收集敏感文件（WORD、PPT、PDF、CAD 文件等），通过隐蔽通道回传到攻击者手中。图1-3 典型 APT 威胁攻击流程以 APT 为代表的下一代威胁，综合利用 AET、0-DAY 漏洞、社交工程等多

5、种高级技术手段，主要的攻击目标为高价值行业及涉及国家国计民生的基础设施（能源、金融、电信、交通等），存在攻击手段复杂、潜伏时间较长、检测难度较高等特点，一旦爆发，轻则造成公司商业机密泄漏威胁公司生存、重则造成公司或者整个行业瘫痪，甚至可以说以 APT 为代表的下一代威胁已经初具网络战雏形，兵者，国之大事，死生之地，存亡之道，不可不察。1.3用户现网现状分析用户已经通过部署专业的防火墙、IPS、防病毒软件、终端安全软件等安全防护手段， 能够针对主流威胁实现防护。然而基于特征检测的传统安全防御手段只能识别已知威胁， 且存在应对快速演进的威胁滞后之间较长的弱点，另外以 APT（Advanced Pe

6、rsistent Threat）为代表的下一代威胁使得传统的“依靠特征检测的方法”失效，如何应对以 APT 为代表的下一代威胁成为所有企业的必修课之一。 2 安全防护解决方案如 1 图 2-1 给出了 APT 的攻击链，以及对于攻击链上各个阶段的防护措施。如图所示： APT 攻击链包括前期引诱、渗透、安装后门、建立 CC 通道、横向移动、窃取机密几个阶段。其中渗透、安装后门以及建立 cc 通道是攻击者最费心费力，通过技术手段突破安全防线，进入目标网络的内部，并构筑窃控制及窃取机密的通道，为最终发起攻击做好准备。华为自研的 FireHunter（简称 FireHunter）凭借先进的技术能力，能

7、够分别在 APT 攻击的渗透阶段、安装后门阶段以及建立 cc 通道阶段识别攻击，让 APT 攻击“现形”，帮助客户识别 APT 攻击，进一步清除、阻断 APT 攻击。在渗透阶段，攻击者诱使目标对象的员工访问恶意网站、或者将恶意文件发布到网站上， 或者是目标对象的员工发送带有恶意链接或者是恶意文件的邮件，通过内部员工的访问网站、收邮件或者下载文件时，将恶意文件渗透进内网。FireHunter 提供的文件检测功能，采用创新的静态分析、启发式检测及虚拟执行三层检测技术，组合创新性的恶意行为分析技术，有效的弥补了传统的基于特征检测技术的弱点，从而可以高效的检测恶意软件，在 APT 的渗透及安装后门阶段

8、对攻击进行识别。成功渗透后，攻击者会进一步建立 CC 通道，以对内网设备进行控制，发布命令，控制内网设备提供想要的服务。FireHunter 提供了 CC 检测技术，不仅仅有传统的基于特征的识别已知的 CC 攻击，并且还有基于机器学习以及华为自研算法的 DGA 恶意域名的识别能力，有效识别通过请求及访问DGA 恶意域名发起的 CC 攻击进行识别。图2-1 APT 攻击链及防护链2.2文件检测技术原理如图 2-1 所示：APT 攻击链包括前期引诱、渗透、安装后门、建立 CC 通道、窃取机密几个阶段。渗透阶段是 APT 攻击链中最关键的一环，只有成功渗透了，才有可能进一步实施后面的攻击。而文件检测

9、技术能有效地在渗透阶段、安装后门阶段对恶意软件进行检测，能有效地检出未知威胁，这是传统的安全产品无法做到的。图2-2 文件检测技术原理文件检测经过信誉查询、第三方 AV 检测、静态检测引擎检测、机器学习引擎检测、CC 检测引擎检测、沙箱检测引擎检测，最终在威胁分析引擎进行对各个检测结果进行关联、联合分析和威胁判定，最终给出威胁检测结果。其中，沙箱检测引擎，又包括了 web 启发式引擎、PDF 启发式引擎、PE 启发式引擎和虚拟执行环境引擎。下面重点对各部分进行介绍：1.静态检测引擎支持 Office 文件，图片文件，SWF 文件的深度解码。文件数据格式异常分析。解析宏脚本、VB 脚本并分析恶意

10、行为。逃避检测的混淆数据分析。Shellcode 代码检测。病毒家族特征匹配。2.机器学习引擎静态机器学习引擎，就是利用随机森林，支持向量机等算法，将大量从恶意样本和白样本中提取的静态数据进行训练学习，从而建立学习模型，并使用学习模型对未知的样本进行判断分类。动态机器学习引擎，就是利用随机森林，神经网络等算法，将大量从恶意样本和白样本运行过程中监控到的主机和网络行为进行训练学习，从而建立学习模型，并使用学习模型对未知的样本进行判断分类。3.CC 检测引擎对样本产生的上网行为进行 CC 检测，CC 检测包括基于特征的远程访问工具检测和 DGA 域名检测。详述见 2.3 节。4.PE 启发式引擎软

11、件模拟操作系统环境，模拟 CPU 指令和 API 调用。监控软件运行的指令流和 API 调用流。通过反汇编指令、API 调用及参数，与病毒家族特有的静态指令、API 调用特征进行匹配，进行静态分析。模拟执行文件，监控威胁行为，与病毒家族特有的行为及行为序列进行匹配。文件格式、文件属性异常分析。5.WEB 启发式引擎沙箱内部模拟了 IE 浏览器环境，对页面彻底去除混淆。通过机器学习，对 web 文件进行分类。对浏览过程中产生的二进制内容进行 Shellcode 检测。实时检测页面执行过程中的各种危险行为。实时分析页面执行过程中是否有出现了 POC 溢出代码。6.PDF 启发式引擎沙箱内部模拟了

12、PDF 文档解析器环境。充分执行文档内部的脚本代码。实时分析脚本执行过程中是否出现 POC 溢出代码。7.静态沙箱8.使用虚拟化技术的重量级深度检测引擎利用虚拟化技术构建操作系统环境以及各种软件环境。让待检测文档、可执行程序在该环境中充分运行。实时分析可执行程序以及文档在运行过程中的行为和参数信息。支持多种抗逃逸躲避检测技术，如虚拟机环境监察、延时对抗等。9.使用虚拟层监控技术在 hypervisor 层对虚拟机内的行为进行透明监控。更丰富更直观的恶意行为展示。2.3CC 检测技术原理在 APT 攻击链中，如果将引诱用户、渗透系统比喻成撒大网，那么建立 CC 通道就是准备收网阶段。虽然 APT

13、 攻击所使用的恶意软件变种多且升级频繁，但恶意软件所构建的命令控制通道通信模式并不经常变化，因此，可以采用传统入侵检测方法来检测 APT 的命令控制通道。该类方案成功的关键是如何及时获取到各 APT 攻击手法的命令控制通道的检测特征。另外，使用随机域名生成算法DGA 生成域名并注册，诱使用户访问恶意网站，从而植入木马，达到建立 CC 通道的目的，这种攻击手段也是近年来常见的攻击方式。FireHunter 提供了两类 CC 检测技术，一种是基于远控工具特征的 CC 检测；一种是 DGA恶意域名检测。1.基于远控工具特征的 CC 检测基于特征的传统的检测方法。从流信息中提取特征，与远程工具特征进行

14、比对。2.DGA 恶意域名检测DGA 恶意域名检测利用机器学习技术及特定的算法进行检测，具体流程见图 2.4。主要包括如下几步：根据流量信息提取域名特征，利用样本训练生成分类器。当有新的流量时，提取域名相关特征送入分类器，分类器字段判定此域名是否正常。根据分类器的检测结果，套装训练参数、特征格式，使得分类器更加准确。图2-3 DGA 检测原理2.4典型应用场景2.4.1旁路独立部署图2-4 FireHunter 独立部署独立部署时，FireHunter 的镜像口与交换机或者其他网关的镜像口直连，由交换机或者其他网关设备将待检测的网络流量通过镜像口镜像给FireHunter。FireHunter

15、 接收镜像的网络流量，自行进行流量还原，对流量进行 CC 检测，同时提取流量中的文件进行检测， CC 检测结果以及文件检测结果都能够在 FireHunter 自身的 WebUI 上进行展示。用户还可以通过 webUI 查询恶意文件的检测结果报告以及恶意文件及其威胁分析相关文件及证据。2.4.2与华为防火墙（简称 FW）联合部署图2-5 FireHunter 与 FW 联合部署在 FireHunter 与 FW 联合部署的场景，首先要保证 FireHunter 的业务口，即联动接口路由可达。网络流量经过 FW，FW 从网络流量中提取文件，将待检测文件通过联动协议发送给 FireHunter。Fi

16、reHunter 收到文件后进行检测，FW 通过联动接口查找所提交文件的检测结果。在这种场景下，FW 可以提供文件检测日志，而 FireHunter 自身的 WebUI 除了展示检测日志外，还可以提供恶意文件的检测结果报告的查看，并且能够进一步查看到恶意文件以及其威胁分析相关文件及证据。FireHunter 的联动接口是 restful 接口，作为该场景的扩充该接口可以对外开放，其它设备可以针对该接口开发联动客户端向 FireHunter 提交文件进行检测。2.4.3与华为大数据安全产品 CIS 联动部署图2-6 FireHunter 与CIS 联动部署FireHuner 与 CIS 联动部署

17、时，同样要保证沙箱联动口能路由可达。在这种场景下，CIS 的流探针接收网络镜像流量，对流量进行还原，提取网络中的文件，通过 FireHunter 联动协议发送给 FireHunter，FireHunter 收到文件后进行文件检测，将检测日志发送给 CIS 的采集器进行处理。在这种场景下，FireHuner 自身的 webUI 除检测日志外，同样也提供恶意文件的检测报告，以及恶意文件及其威胁行为分析相关文件及证据。2.4.4与 FW、CIS 基础版联动部署图2-7 FireHunter 与 FW、CIS 基础版联动部署在这种场景下，首先，保证 FireHunter 业务口路由可达。网络流量经过

18、FW，FW 对网络流量进行还原并提取文件，将文件发送给 FireHunter 进行检测。FW 从 FireHunter 查询检测结果，依据检测结果生成安全策略，对带有已检测文件的网络流量进行阻断或者放行，同时生成检测日志，发送给 CIS 基础版进行展示，并呈现全网安全态势。同样，在这种场景下，FireHunter 的 webUI 能够提供恶意文件的检测结果报告以及能够查询到恶意文件以及其威胁行为分析相关文件及证据。 3 产品特性3.1全面的流量检测同时提供独立的流量还原能力，可以识别主流的网络协议 HTTP、SMTP、POP3、IMAP、FTP、NFS、SMB，从而确保识别所有通过网络传输的文

19、件。3.2支持主流应用和文档FireHunter 可以针对主流的应用软件及文档实现检测、分析，支持 Word、Excel、PPT、PDF、HTML、JS、EXE、JPG、GIF、PNG、chm、swf、可执行脚本文件、媒体文件、LNK 文件、压缩文件等软件及文档。3.3模拟主流的操作系统和应用软件FireHunter 可以模拟Windows XP/7/10 操作系统，可以模拟Internet Explorer 6/7/8/9/10/11、Chrome 等浏览器，可以模拟 Office 2003/2007/2010/2013 办公软件，可以模拟 Adobe Reader 8/9/X/XI 等 P

20、DF 阅读器。3.4分层的检测体系FireHunter 的检测手段丰富全面，从层次上可以分为：信誉查找，AV 检测，静态分析， 机器学习，CC 检测，启发式检测和虚拟环境动态检测，从而提高针对以 APT 为代表的下一代威胁的检测能力，并提供下一代威胁的所有危险点分析清单，让客户对威胁的攻击过程、攻击目标一目了然。3.5提供准实时的处理能力FireHunter 提供接近实时的处理能力，有效的将对下一代威胁的检测的响应时间从几周降到秒级，并与下一代防火墙配合实现在线防御能力。3.6提供一流的针对 APT 威胁的反躲避能力FireHunter 针对 APT 威胁的各种躲避手段，提供了相应的能力来反逃

21、逸，包括：反虚拟机探测技术逃逸的能力、反用户交互的逃逸手段的能力以及反延迟执行逃逸的能力。3.7强大的 CC 检测能力FireHunter 既支持传统的基于特征的 CC 攻击检测，又支持基于机器学习以及特定算法的 DGA 恶意域名检测，有效地检测 CC 攻击。 4 产品规格功能项指标要求检测文件类型支持 Windows 可执行文件 APT 未知威胁检测支持 Office 文档 APT 未知威胁检测支持 PDF 文档 APT 未知威胁检测支持 Web 页面 APT 未知威胁检测支持 Images 图片 APT 未知威胁检测支持 Flash/SWF 文件 APT 未知威胁检测支持Java Appl

22、et 文件 APT 未知威胁检测支持 WPS 文档 APT 未知威胁检测支持压缩文件检测支持可执行脚本类文件检测支持媒体文件检测支持 LNK 文件检测支持 CHM 文件检测信誉和黑白名单支持黑白名单支持信誉URL 检测支持 URL 检测联网检测支持模拟联网检测支持实际联网检测CC 检测支持基于远控工具特征的 CC 检测支持恶意域名访问的 CC 检测防躲避支持时间判定防躲避支持交互执行防躲避支持虚拟机探测防躲避流量还原支持的协议（独立部署，流量直送 FireHunter 时）二层协议：VLAN，PPPoE三、四层协议：IPv4、TCP、UDP、ICMP、GRE应用层协议：HTTP、SMTP、PO

23、P3、IMAP、FTP、NFS、SMB沙箱环境支持支持 Windows XP/Windows 7/Windows 10 等操作系统支持 IE6/7/8/9/10/11 浏览器支持 Adobe Reader 8/9/X/XI支持 Office 2003/2007/2010/2013性能FireHunter6300 10 万个文件每天FireHunter6200 5 万个文件每天FireHunter6100 1 万个文件每天管理支持通过WebUI 实现管理支持告警及综合分析报告的邮件发送部署方式支持与华为防火墙、CIS 产品联动部署支持直接接收镜像流量的旁路部署方式 5 硬件配置型号FireHunter 6300网口8 个千兆电口2 个 10GE 光纤接口（可选）硬盘SATA 2TB*4（RAID10） SATA 2TB*2（RAID1）SSD200GB*2（RAID1）处理性能10 万文件/天电源冗余电源，交流尺寸规格86.1 mm（2U）447 mm748 mmFireHunter 6200SATA 2TB*2（RAID1） SATA 2TB*2（RAID1）200GB5 万文件/天FireHunter 6100SATA 2TB*2（RAID0） SATA 2TB1 万文件/天