【攻防演习专题】运用文件分析提升威胁发现

本期为【攻防演练专题】系列的第五期，将分享在攻防演练活动期间，如何利用文件分析产品，提升威胁发现能力。

当前的网络攻击手段呈现出组织化、规模化、复杂化的特点，但无论是普通威胁亦或是高级持续威胁，在“载荷投递”与“命令与控制”阶段（出自cyber-kill-chain）均大概率会将攻击手段以落地文件的方式投递到目标系统当中，因此在面对网络攻击时，对攻击过程相关文件分析一般都能够发现攻击者的意图，协助防守者对症下药进行更有效的防御。

在攻防演练活动中，攻方可能会采用一些 0Day 漏洞利用的方式进行攻击，或利用投递未知载荷躲过传统恶意代码检测技术，此时能够跳过规则检测直接发现文件本身恶意行为的技术将是破局的重要手段。

01、演习场景需要“快准深”兼具的文件分析产品支撑

目前市场上传统的文件分析方式主要有两种：杀毒软件与沙箱分析（防火墙中的防病毒模块、防病毒网关等设备一般也是将流量中还原文件进行杀毒软件扫描判断是否恶意）。杀毒软件主要依赖库文件进行扫描匹配，优势在于检测速度快、误报率低，适合文件量大，需要快速出结果的场景。沙箱分析的优势则在于不依赖于库文件，能够对文件的真实行为进行识别判定，但分析效率不高。所以，以上任一的文件分析方式，都不能全面满足在攻防演练场景中，需要快速、精准、深度的完成文件分析现实需求。

追影威胁分析系统（以下简称：追影）作为高级威胁发现的手段之一，融合了上述两种分析方式的特点，依托全球领先的安天下一代威胁检测引擎，核心技术自主可控，可以确保为用户提供及时的威胁分析响应速度，并降低外部技术依赖风险。

同时，追影也汲取了安天十余年积累的自动化分析经验，在内置安天下一代威胁检测引擎与动态分析引擎的基础上，还集成了十余种分析模块，包括黑白名单模块、文件来源检测模块、元数据提取模块、数字证书提取模块、webshell检测引擎模块、潜在能力分析引擎模块、情报交换引擎模块等，可有效实现对文件进行多维度分析鉴定。

对于高对抗性的恶意文件，追影动态分析环境支持Windows和Linux等主流操作系统及Office、Adobe、Firefox等常见的应用软件，全面构建符合用户实际使用场景的分析环境，即使面对定向攻击时也能识别未知文件的恶意行为。与此同时，还可进行用户操作模拟、网络模拟、移动介质高仿真模拟等，以应对样本的各种触发条件；并可有效发现与对抗反分析行为，降低分析漏报率。

此外，针对某些需要在特定的环境下才能够触发相应行为的恶意文件，追影支持人工干预动态分析过程，调整样本在虚拟机中的运行条件、运行环境，最大程度地触发样本行为；并提供样本在不同虚拟环境中的行为对比，揭示样本的环境偏好。

追影不但能够将在动静态分析过程中，提取的静态特征和动态行为相结合，依据文件的特征相似、行为相似、内容相似及文件间的衍生关系，鉴定并分析各类已知与未知威胁，有效检测未知漏洞利用、免杀木马、商业军火、APT组织的专用木马等高级威胁，提升用户的高级威胁对抗能力；还能通过情报交换组件的情报发布与消费能力与追影内部情报生产能力相结合，为用户生产私有化情报，在演练活动中能够将追影的能力有效传递至各个产品，提升整体威胁发现的能力。

02、四项能力有效提升演习场景整体威胁发现能力

1. 海量样本及时判定

追影具有高性能的动静态分析能力，静态分析每天可以分析超过25万的文件，动态分析每天可以分析超过3万的文件，并能够通过多台追影组建集群的方式对性能进行快速扩展，能够帮助用户对演练活动中捕获的海量样本文件进行及时有效的分析和判定，出具详细的报告，及时发现可疑文件，供安全分析工程师进行追踪研判。

2. 为其他安全设备提供执行依据

追影威胁分析系统能够与安天其他安全产品深度结合，形成发现、响应、处置的防御闭环；此外，追影也提供完整的上传、下载API接口，对其他产品进行安全赋能，为处置类产品提供根本的执行依据，提升整体方案的防御深度和准确性。

3. 手动干预分析过程，提升演习场景的贴合度

追影提供的手动干预样本分析过程的能力，可对特定类型的文件进行手动指定运行参数的能力，保证样本在沙箱环境中能够真实触发。此外，追影也能通过添加AUTOIT脚本的方式模拟用户对系统的直接操作，提高环境的仿真程度，最大限定提升环境与演练场景的贴合程度，从而及时发现针对演练场景的威胁样本，提升整体威胁检出能力。

4. 支撑私有化情报生产能力

追影能将样本文件进行细粒度的向量拆解，并将拆解出的向量进行情报化处理，通过内置的情报交换组件进行情报生产与消费。可在演练活动中迅速将单点情报同步给整体情报网，提升整体安全防御的敏捷性，能够实现将出现过的威胁迅速同步给其他安全设备，保证整体情报的时效性与可靠性。

原文来源：安天集团