揭秘勒索第6期丨华为3大利器助你防护勒索病毒文件

专家个人简介

在上一期文章《华为勒索攻击防御的四层防护网之边界入侵防线》中，我们对勒索攻击常见的入侵方式进行了介绍，入侵是网络攻击的前奏，入侵成功后，攻击者会执行真正的恶意勒索行为。在这个时候，勒索病毒文件就成了主要的攻击载体，这一步也是攻击环节中最重要的一步，攻击者运用开发的勒索病毒文件执行真正的恶意勒索行为，对客户资产造成直接的勒索、破坏。我们可以看到，从2013年起，勒索病毒发展迅速，新的勒索家族不断出现，加密、攻击的手段也在逐步对抗升级。对于防护方来说，如何有效的跟踪、对抗和防护勒索病毒文件，一方面不仅能够防护住已知的勒索病毒，同时还能够有效防护最新的勒索病毒，是要解决的关键问题，本期我们就重点看一下华为对于勒索病毒文件是如何进行防御的。

我们以一个典型的中小型企业网场景为例，如下图所示，勒索病毒文件的防护技术主要由3部分组成，分别是CDE（Content-based Detection Engine）病毒检测引擎、HIPS（Host Intrusion Prevent System）与云端沙箱。其中，CDE病毒检测引擎主要部署在企业网络边界的防火墙产品中，同时也部署在办公网络或数据中心的终端EDR产品中，提供亿级海量病毒的防护能力；HIPS则主要部署在终端EDR产品中，提供基于动态行为的实时防护能力；云沙箱则主要作为云服务，在云端提供对可疑或未知文件的高级威胁分析、检测能力。

华为通过云、网、端各类安全产品做协同、联动，构建针对勒索病毒文件的立体防护体系，准确性达99%以上，如下图所示：

1.通过网关的网络防病毒在文件传输阶段防护勒索病毒文件

2.通过EDR的主机防病毒在文件的落盘阶段防护勒索病毒文件

3.通过EDR的主机HIPS在文件的执行阶段防护勒索病毒文件

4.通过云沙箱在文件的深度隐藏、对抗阶段防护勒索病毒文件

接下来我们具体介绍下这3类技术是如何工作的。

1

CDE病毒检测引擎主要在病毒传输和病毒落盘阶段进行防护，主要是针对性检测已知勒索病毒，并具备一定的未知勒索病毒检测能力，支持防护包括勒索、挖矿、木马、僵尸、后门、漏洞利用、蠕虫、病毒、黑客工具、灰色软件、恶意广告等各类恶意家族病毒。当客户终端被攻击下载勒索病毒文件时，边界防火墙的CDE病毒检测引擎就会分析流量中传输的病毒文件，进行实时防护；当勒索病毒通过加密协议传输等手段逃过了边界的检测，那么勒索病毒在终端落盘时，终端EDR中的CDE病毒检测引擎也会对勒索病毒进行实时的防护。

CDE病毒检测引擎主要由文件类型识别、内容深度分析以及病毒扫描引擎组成，主要原理如下图所示。

各模块的主要功能是：

• 文件类型识别：负责对海量病毒进行文件类型分类，精准识别Windows/Linux等各类主流平台的文件类型，包括PE、ELF、APK、OFFICE、PDF、HTML、JS、WEBSHELL、LNK、BASH等文件。

• 内容深度分析：负责对二进制、复合文档、各类Web及脚本文件进行深度解析，深挖恶意文件的“内涵”，为检测模块提供深度的内容信息。

• 病毒扫描引擎：通过使用华为安全团队多年研究定义的MDL可编程病毒检测语言，实现使用少量资源精准覆盖海量变种；同时病毒扫描引擎也集成了多种专用启发式及神经网络智能检测算法，精确防护亿级海量病毒；病毒扫描引擎也会实时更新来自华为云端安全智能中心的最新防毒能力，及时防护全网最新流行病毒。

HIPS主要在病毒运行阶段，对终端主机进行防护。相较于CDE病毒检测引擎的已知勒索病毒检测能力，HIPS更针对于检测未知的勒索病毒，通过对关键系统行为的实时分析，尽早阻断勒索病毒的恶意行为。当勒索病毒文件在传输和落盘阶段绕过防火墙和主机CDE病毒检测引擎的防护时，HIPS就会在病毒的执行阶段进行防护，HIPS会实时分析勒索病毒的每一个关键系统行为，包括对文件、网络、注册表、API、系统等方面的关键操作，一旦发现有勒索相关恶意动作，就会立即实时阻断勒索病毒的后续执行过程，将勒索的危害降到最低。

HIPS由引擎和威胁行为库两部分组成，其基本原理如下图所示，即，引擎负责在微秒级别内极速、实时的分析每条系统关键行为，并配合集成了丰富华为安全专家知识的勒索威胁行为库，即时的发现勒索相关的各类恶意行为。

HIPS同时也会联动华为云端安全智能中心，持续更新最新的专家勒索防护经验。

3

当勒索病毒文件运用了对抗、潜伏或隐藏手段逃过各类防护手段，云沙箱就会发挥重要的分析、检测作用。作为对抗高级威胁APT（Advanced Persistent Threat）的专属产品，云沙箱对可疑、未知的文件进行深度分析，判定是否恶意、提供具体恶意行为，并联动全网安全产品有效防护高级未知威胁。云沙箱的检测原理如下图所示。

云沙箱集成了多级、全量的华为恶意文件分析、检测能力，包括海量威胁信息、静态检测、动态检测以及综合威胁分析能力，支持50+文件类型检测。云沙箱通过云端的Windows XP、Windows 7、Windows10等执行环境，动态运行分析可疑文件，细颗粒度地监控恶意文件API、内存、进程、文件、通信等操作，使用丰富的防逃逸技术充分触发深度隐藏的恶意行为，并最终给出恶意文件具体的病毒类型、恶意行为、上下文关联威胁信息。

勒索病毒在不断演进，但万变不离其宗，华为通过在恶意文件传输、落盘、执行、对抗隐藏的各个关键环节部署全面的专有防护手段，并通过全网联动，7*24小时协同防护已知、未知的勒索病毒。