OneEDR检测能力再升级:这种高隐藏型木马,可检出!
作为一种高隐藏型木马,Rootkit在所有攻击者工具中被检测到的比例不到1%,但破坏力却超过90%的恶意软件:2010年震惊世界的震网计算机病毒(Stuxnet)就是利用Rootkit秘密收集数据及投递可执行文件,隐藏所有恶意文件与进程逃避恶意检测,导致伊朗上千台铀浓缩设施离心机损毁。非常重要的是,由于Rootkit存在较大的开发难度与复杂性,一旦发现Rootkit就意味着企业很可能遭遇到高级持续攻击(APT)。根据报告指出,超过一半(56%)的Rootkit被用于APT攻击,且随着该恶意软件在网络上开发与销售体系逐渐成熟,Rootkit将成为企业当前面临的重要威胁之一。
OneEDR精准检测高隐藏型攻击
通常而言,Rootkit主要安装方法是通过运行在用户态(user mode)的应用程序或是运行在内核态(kernel mode)操作系统的漏洞进行安装。其中,用户态Rootkit编写相对简单,涉及精度与知识较少,检测因此更简单,而内核态的Rootkit则因为处于系统底层,隐藏攻击痕迹技巧更为复杂,很难被安全设备检测到:
图:OneEDR检测到内核态Rootkit
微步在线旗下主机威胁检测与响应平台OneEDR在轻量级Agent与服务器平台均内置多款文件检测引擎,且服务端资源充足,检测能力强,成为文件检测核心力量,其拥有自研文件引擎、BitDefender、ClamAV等多款文件检测引擎,可对Rootkit、病毒、木马、黑客工具、挖*、勒索等多种威胁进行检测。
针对Rootkit,OneEDR可有效识别内核模块加载行为,检测对应内核模块文件,并对加载完成内核模块进行异常识别,且会由服务端杀毒引擎再次检查。
OneEDR全面检测:单点检测+事件聚合+内置多种检测引擎
OneEDR不仅能纵深对各种高隐藏型恶意软件进行检测,同时还能通过单点检测+事件聚合+多种引擎的检测架构,实现对主机威胁的全面检测。
单点检测
OneEDR采用的轻量级主机Agent可采集主机日志与文件信息,可为威胁检测提供丰富的数据基础。同时,OneEDR采用“终端+服务端+云端”全方位、全场景、多角度覆盖的全面检测架构,每种检测引擎在不同的检测场景与部署位置均能发挥最大价值,将多引擎单点检测的优势发挥到最大,并基于文件、网络、进程等信息进行判断,实现全面检测。
事件聚合
针对各类威胁告警,OneEDR采取的是事件聚合与威胁图聚合。即,将关联告警和风险聚合,对关联相关告警上下文进行分析,确定告警在进程树所处位置,并将每一条告警日志根据进程链回溯到初始进程,针对是否存在有效信息与最新告警进行研判,提升检测准确性,事件聚合准确率达99%。同时,主机还会通过威胁图算法进行打分,量化展示事件的严重性,让使用者真正聚焦严重攻击事件,帮助企业安全团队提升安全事件应急响应效率,为安全运营提供科学决策依据。
图:OneEDR入侵事件可视化展示
内置多种检测引擎
OneEDR内置包括微步在线威胁情报检测引擎、终端木马检测引擎、WebShell检测引擎、异常行为检测引擎、行为规则检测引擎、自研文件检测引擎等12种引擎,且对MITRE ATT&CK攻击行为知识库与模型覆盖达80%,可覆盖失陷外连、恶意行为、WebShell、病毒检测、挖*、勒索等流行威胁,同时覆盖内存马、Rootkit、容器安全等多种新型威胁场景,保证威胁检测的全面性。
总结
从合规到实战,从病毒到WebShell到无文件,真实的网络攻击技术在不断升级,企业主机安全问题也越来越严峻。当前的形势下,仅仅依靠防御是不够的,仅仅依靠传统的检测机制也行不通了,企业的主机安全需要更加全面、主动、以新技术驱动的威胁发现与安全防御,这也是OneEDR正在做的事情。