终端安全检测与防御技术

Posted 2023-01-06 坏坏-5

终端安全风险

• 利用僵尸网络，来实现渗透、监视、窃取敏感数据等目的
• 僵尸网络的主要危害：
  • 看不见的风险
    • 各种病毒变种和恶意代码隐藏在应用流量中，传统的边界防御基于静态特征检测技术，会存在特征库不全、更新不及时、对于应用层内容缺乏有效识别技术等问题
  • 高级持续威胁
    • APT（高级持续性威胁）攻击的攻击目标明确、攻击时间周期长，攻击方法多，隐藏性很好，以便达到继续渗透、监视、敏感数据窃取的目的
  • 本地渗透扩散
    • 攻击者向被控主机传送新病毒、木马程序或其他恶意软件，从而实现在感染网络的内部渗透，以此达到控制更多主机或服务器的目的
  • 敏感信息窃取
    • 相当于黑客在僵尸主机上安装了间谍程序，能监视和记录被害主机的各种活动行为，也能窃取用户的敏感信息
  • 脆弱信息收集
    • 通过植入的僵尸程序或扫描程序进行内部业务系统的漏洞等信息的收集，把收集到的信息传递个攻击者，以便利用这些弱点，实现更多的入侵和信息窃取的目的
      

终端安全检测和防御技术

• 传统的安全防御技术只能根据IP、端口、特征进行检查数据是否安全，而这些方法已经无法区分数据是否安全
• 深信服基于7层应用的深度数据包检测，可以实现终端安全可控

• 应用控制策略可以针对应用/服务的访问做双向控制，NGAF存在一条默认策略，会拒绝所有服务/应用的控制策略
  • 基于应用的控制策略
    • 通过匹配数据包的特征来进行过滤动作
    • 需要一定数量的数据包通行后，才能进行判断应用类型，再进行拦截动作的判断
  • 基于服务的控制策略
    • 通过匹配数据包的五元组来进行过滤动作，对于任何数据包可以立即进行拦截动作判断

• AF防护策略的方向
  • 防护策略的对象是终端，则源区域是内网，目的区域是互联网
  • 防护策略的对象是服务器，则源区域是互联网，目的区域是内网

• Web过滤可以针对符合设定条件的访问网页数据进行过滤
  • URL过滤、文件过滤
  • 根据HTTP不同的动作进行过滤
  • 针对HTTPS URL进行过滤
    

僵尸网络检测和防御技术

僵尸网络

• 指黑客利用自己编写的分布式拒绝服务攻击程序，将很大数量的PC（即僵尸电脑或肉鸡）组织成一个个控制节点，用来发送伪造包或者是垃圾数据包，导致预定攻击目标瘫痪并拒绝服务
• 蠕虫病毒也可以被利用组成僵尸网络
• 僵尸网络的组成
  • 黑客控制端：黑客发起攻击指令的计算机
  • C&C服务器：肉鸡反弹连接的跳板机
  • 肉鸡：被黑客远程控制的计算机

僵尸网络形成过程

• 攻击者通过邮件、恶意链接等将木马病毒传播到网络中，感染终端
• 主机收到感染后，会请求连接C&C服务器，来获取指令
  • C&C服务器是攻击者为了隐藏自己，会将指令发送给C&C服务器，由C&C服务器再向受感染的终端发出指令
• C&C服务器向受感染的主机，扫描更多的网络，并且感染更多的主机
• 更多的主机被感染后，组成僵尸网络，连接C&C服务器，并获取指令
• 攻击者可以下发新的代码程序给C&C服务器，来更新僵尸网络

检测和防御技术

• 需要一种事后检测技机制，来发现和定位客户端受感染的机器，来降低客户端的安全风险，同时记录日志，以便有较高的可追溯性
• 当感染了病毒、木马后，其尝试与外界通信时，AF识别出来该流量，会根据用户的策略进行阻断和记录日志
• 僵尸网络检测原理
  • 行为特征检测
  • bot行为检测
  • 监控和流量数据特征匹配
    

木马远控

• 木马远控即用户感染木马后，攻击者可以在用户毫不知情的情况下，控制用户的PC
• 防护措施是对防护区域发出的数据以及收到的请求数据都进行木马远控的安全检查
  

恶意链接

• 即攻击者将木马程序上传至网页，诱导用户点击
• 防护措施是针对可能导致威胁的URL、病毒下载链接等进行检测拦截
• 恶意链接检测出
  • 首先匹配白名单（自行配置），匹配上直接放行
  • 未匹配上白名单的，匹配黑名单（AF内置规则库），匹配上，则根据策略配置执行动作
  • 如果黑白名单都匹配不成功，则会将该链接上传至云端，由云端进行分析。如果检测出恶意行为，则由云端下发给AF按策略执行动作
  • 云端扩充黑名单到新版本的恶意链接库中
• 云端的沙盒检测流程
  • 由AF将可以流量上传至云端
  • 云端在沙盒（相当于虚拟机）中访问该链接，进行测试，判断是否存在安全威胁
    • 沙盒检测环境包括：危险行为、进程操作、文件操作、网络行为、注册表操作
  • 云端根据测试结果，生成相应的安全规则，这些安全规则再下发回AF，同时会云同步更新给其他的AF

异常流量

• 即一些标准端口，运行了非该端口的协议，即可判断很大可能是由于木马程序使用该端口与外界进行通信
  • 例如Windows的445端口是文件传输，3389是远程桌面（RDP协议）
• 防护措施是针对包含非标准端口运行对应协议的检测、反弹检测、启发式的DOS攻击检测等手段
• 异常流量检测
  • 通过对当前的网络层及应用层行为与安全模型进行偏移度分析，发现隐藏的网络异常行为，根据这些行为特征，确定攻击的类型
  • 外发流量异常检测时一种启发式的DOS攻击检测手段，能够检测源IP不变的Flood（洪水攻击）
• 外发流量异常功能的原理
  • 当特定协议的外发包pps超过配置的阈值时，会基于5分钟左右的抓包样本检测数据包是否未单向流量、是否有正常相应内容 ，然后得出分析结论，将发现的攻击提交日志显示

• 异常流量检测只进行检测，不会进行拦截

移动安全

• 即针对手机移动端的攻击
• 防火措施是启用包含APK包杀毒功能和移动僵尸网络检测功能
  

对于误判的排除

• 添加全局放行名单
  • 当一个终端的流量被AF僵尸网络规则误判，可以再AF上排除此IP地址，之后这个IP将不会收到僵尸网络策略的拦截
  • 如果真的会有攻击者，攻击此主机，AF也不能发现并拦截
• 禁用导致误判的规则
  • 发现是某个规则引起的误判，导致拦截了所有的内网终端流量，可以找到该规则后，禁用该规则。之后所有的僵尸网络策略都不会再对此规则做拦截
  • 如果攻击者使用此方式进行攻击，AF也不能发现并拦截
• 在日志中心中的日志中添加例外
  • 当终端的流量被AF误判后，可以在内置日志中心中，查询到该日志，将其“添加例外”进行排除
    

网关杀毒技术

计算机病毒

• 是编制或者在计算机程序中能插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码
• 计算机病毒具有隐蔽性、破坏性、潜伏性、不可预见性、繁殖性、传染性等特征
• 计算机病毒工作过程

网关杀毒功能优势

• 基于应用层过滤病毒
• 过滤出入网关的数据
• 网关阻断病毒传输，主动防御病毒于网络之外
• 部署简单，方便管理，维护成本低
• 与杀毒软件联动，建立多层防护
  

网关杀毒的实现方式

• 代理扫描
  • AF把数据包缓存并发送至杀毒引擎进行病毒检测
• 流扫描
  • 依赖于状态检测技术和协议解析技术
  • AF简单的提取数据包的特征，将其与本地规则库进行对于

配置思路

• 新建策略
• 选择适用的对象
• 选择杀毒的协议
• 选择文件类型

• 因为防护的是终端，所以防护策略的源是内网，目的是互联网
• 在配置时，需要取消附件过滤和文件过滤，选择附件杀毒和文件杀毒

【AF 终端安全防护实验】

---

以上内容均属原创，如有不详或错误，敬请指出。

本文作者： 坏坏 本文链接： http://t.csdn.cn/AYY4N 版权声明： 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请联系作者注明出处并附带本文链接！