8、产品技术白皮书_东巽明镜木马深度检测系统v2.0

文档编号：CNNS-LOGNBRIGHT-WHITEPAPER

密级：【公开】

明镜木马深度检测系统

技术白皮书

东巽科技（北京）有限公司

目录

一. 问题和背景 (3)

二. 传统木马检测手段的不足 (4)

三. 新一代木马检测的需求 (5)

四.产品概述 (6)

五. 系统功能架构 (7)

六. 产品主要功能 (8)

6.1终端数据采集 (8)

6.2高级恶意软件分析 (9)

6.3威胁告警 (9)

6.4恶意软件处置 (9)

6.5任务管理 (9)

6.6资产管理 (10)

6.7系统管理 (10)

七. 产品特点 (11)

7.1全方位终端威胁主动监测 (11)

7.2先进的攻击分析技术 (11)

7.3集中化的威胁处置能力 (11)

7.4关联网络APT预警，定向分析终端威胁 (11)

7.5自适应终端安全架构，提升安全运营能力和效率 (12)

八. 典型部署方式 (13)

8.1分布式监测、集中分析部署 (13)

九. 典型应用场景 (13)

9.1安全运营场景 (13)

9.2业务部署场景 (14)

9.2.1 工业网络控制区 (14)

9.2.2 云计算/数据中心 (14)

9.2.3 机构办公网 (14)

9.2.4 机构DMZ区服务器 (15)

9.2.5 IOT终端 (15)

十. 结束语 (15)

一. 问题和背景

互联网、智能设备、IOT、云计算、大数据、人工智能等各类新信息技术飞速发展的今天，我们在享受新技术带来的社会和经济发展、运营和商业效率的提升的同时，也面临着前所未有的安全挑战，安全甚至在一定程度上、在特定领域成为阻碍新技术和新业务发展的力量。智慧城市、工业互联、智慧物流、智能车联网等等采用新技术的新业务形态大大拓展了网络空间的边界，同时也扩展了安全防护的边界。

根据CNCERT发布的2016年我国互联网网络安全态势报告，2016年，CNCERT通过自主捕获和厂商交换获得移动互联网恶意程序数量205万余个，较2015年增长39.0%，近 7 年来持续保持高速增长趋势。大量联网智能设备遭恶意程序攻击形成僵尸网络，被用于发起大流量DDoS攻击；利用物联网智能设备的网络攻击事件将继续增多；敲诈勒索软件肆虐，严重威胁本地数据和智能设备安全。

与新信息领域的安全形势相对应的，近年，国际范围内发生了一系列针对企业、机构信息系统和国家信息关键基础设施系统的APT攻击事件，这些事件中，黑客普遍采用精心设计的高级恶意代码成功入侵目标网络，通过特种木马或未知恶意软件对终端实施远程控制，有效躲避终端和网络侧安全设备的检测，完成攻击过程。

l2015年平安夜，乌克兰电力系统遭受攻击导致供电终止。黑客通过钓鱼邮件，欺骗电网员工下载恶意程序“BlackEnergy”(黑暗力量)，通过该员工终端主机，向

电网内部系统入侵，导致乌克兰电网瘫痪。

l2013年3月韩国KBS电台及多家银行遭受攻击导致网络全面瘫痪。攻击者通过攻击多家企业内部补丁更新服务器向所有终端植入特种病毒，使韩国KBS电台、文

化广播公司、新韩银行、农协等部分金融公司的计算机网络出现全面瘫痪。

l2010年伊朗核电站遭受攻击导致核设施遭受严重打击。黑客利用windows和西门子工控系统的数个漏洞漏洞，并使用了定向制作的攻击武器震网病毒（Stuxnet病

毒），导致伊朗核设施遭受严重破坏。

l2009年谷歌遭受极光攻击导致核心数据遭窃。黑客诱骗工作人员在终端主机上点击恶意链接，利用IE浏览器的0day漏洞，导致恶意软件植入该员工终端，谷歌

内网被渗入数月，造成各类系统核心数据被窃取。

APT攻击给企业和机构带来重大损失，而终端特种木马是APT攻击中的重要元素。APT 攻击中，黑客利用高级攻击代码（0Day漏洞利用或NDay利用代码的免杀处理）突破传统网络安全防线，躲避终端安全检查后成功在终端上植入特种木马。之后，黑客利用植入的特种木马进行长期的远程控制，实施机密信息的窃取、网络和信息基础设施的破坏、长期的目标监控等一系列恶意行为。从职能上看，高级攻击代码承担了实施入侵和建立攻击立足点的任务，而特种木马则承担了攻陷后在目标网络内部实施驻留、控制和后续一系列恶意行为的重要战术目标，并且由于其已经成功的打入目标内部，具备隐匿、长期驻留及高度威胁的行为能力，因此带来的风险程度更高，往往成为机构应对APT问题和安全风险的首要任务。随着APT攻击的发展，终端特种木马、高级间谍软件、后门等高级的终端恶意软件问题成为机构安全防范在深度方面的主要挑战。

总结来看，信息新技术的采用使得机构防范恶意软件的范围、边界和复杂性大大提升。而愈演愈烈的APT攻击广泛使用高级终端恶意软件（特种木马、高级间谍软件、后门等），给终端恶意软件的防御深度带来重大挑战，企业和机构在终端恶意软件防御方面面临来自深度和广度的双重挑战。

二. 传统木马检测手段的不足

特种木马、高级间谍软件和后门等终端高级恶意软件难以应对的主要原因是其采用高级技术手段来躲避查杀。特种木马通常具备免杀、隐蔽、穿透等几大核心能力。免杀是指特种木马在投递到目标网络系统前，在武器的制作阶段，黑客就采用代码混淆、加密、加壳等技术进行代码变种，并使用多款流行杀毒软件来测试其免杀能力，即所谓的“胜兵先胜”，表现出很强的目标性。隐蔽性是指特种木马在植入终端后，为保持长期驻留，确保其活动行为能不被杀毒软件或主防工具监测到，通常会深潜到操作系统的底层，采用Rootkit等技术隐藏自己。穿透性是指特种木马为确保和远程控制端的持久通信，和其进行控制命令交互、将内网敏感信息外发、获取其他攻击武器等过程中，确保不被网络安全产品发现，所具备的网络穿透能力，如采用各种隐蔽信道通信技术来穿透网络边界。

企业和机构近年部署了各种各样的安全设备和产品来检查失陷主机上的终端恶意软件问题。如在网络侧部署防火墙/防毒墙、IDS/IPS等安全设备来发现失陷主机上恶意代码和远程控制端的交互流量，在终端主机上部署杀毒软件等终端杀毒软件来实时检测安装植入和