追影威胁分析系统是安天自主研发的文件深度分析设备,其以文档文件、可执行文件、URL为分析对象,采用深度静态分析与沙箱动态加载执行的组合机理,借助包括安天下一代检测引擎在内的多组鉴定机制组合对输入对象进行判定分析,实现漏洞利用触发、细粒度揭示载荷行为、形成私有化的威胁情报生产能力。追影可有效检出分析鉴定各类已知与未知威胁,尤其对基于格式文档的0day漏洞攻击具备优秀的检出能力,通过动静态结合的手段对各种格式的文件进行细粒度的向量提取和解析,深度揭示威胁行为细节,输出详实报告,追影在进行判定后,结合白名单过滤机制,可以输出多种样式的威胁情报,实现客户私有化的情报生产能力,辅助威胁处置和威胁猎杀工作。追影与安天威胁情报服务结合,可以实现对载荷关联APT攻击组织的精准指向,并基于威胁框架评估载荷的能力模型。
追影内置安天AVL SDK下一代威胁检测引擎,结合持续从安天获得海量病毒库和白名单库,可对已知威胁实现高精度检测,快速过滤海量已知恶意程序,有效孤立未知威胁;自主可控的威胁检测引擎,降低了外部技术依赖风险,提升了客户威胁响应的针对性和及时性。安天将分析专家团队近二十年专业的恶意代码对抗经验和近十年来对APT事件的长期持续分析与跟进能力,不断转化为追影的分析模型改善,可从多个维度对文件进行深度分析。AVL SDK下一代引擎可以对监测对象进行深度向量拆解和轻量级虚拟执行与解密还原,从而实现静态分析与动态触发相互结合验证,能更好的揭示威胁载荷的功能、能力及规避检测的手段。在检测精度、检测能力和检测速度等方面均显著优于仅依赖动态监测或开源系统的普通沙箱产品。追影可将输出的情报线索反馈给安天探海威胁检测系统、安天智甲终端防御系统以及第三方安全产品,为威胁的处置响应提供有效的数据支撑,提升用户对未知威胁的发现、监测、阻断能力;还可有效支撑态势感知系统,为关键威胁揭示以及态势跟踪提供数据基础。此外,与各种云端鉴定产品和服务相比,追影是完全本地化的安全设备,产品的动静态引擎、知识和决策机制能够确保文件的整个分析过程都在本地设备中完成,而不需要用户传递检测对象或者关联数据给安天,确保用户在保密隔离场景下获得威胁分析和情报生产能力。
追影威胁分析系统可以为政府、军队、能源、金融、交通等行业客户提供威胁深度分析能力,支撑客户的重大活动安全保障、高级威胁分析和安全事件响应。
功能简介
追影产品通过安天下一代威胁检测引擎和海量白名单等机制可直接对已知威胁进行精准识别;追影采用动静结合的鉴定方式,配合独有的智能学习功能,可对文档文件、可执行文件、URL等对象,进行格式识别解析、Shellcode发现、堆喷射检测、字符串信息提取、漏洞检测以及对文件数字证书、来源、元数据等进行拆解分析;针对可动态执行的文件,监控并记录其远程线程插入、文件操作、注册表操作、驱动加载、网络通信访问、系统文件的修改以及网络访问等行为,可有效检出各类已知威胁与未知威胁,尤其对基于格式文档的0day漏洞攻击具备优秀的检出能力;同时,结合强大的自学习能力以及关联分析能力,追影又可不断更新鉴定结果,在提高文件检测率的同时保证文件鉴定的准确率,从而帮助客户掌握网络安全状况,提高网络安全防护能力。
追影经过安天十余年的自主研发积累,形成了在漏洞触发、细粒度行为揭示以及向量级情报输出等方面的领先优势。近年来,以超级大国为背景的超高能力网空威胁行为体十分活跃,安天将产品服务体系和分析应急工作的重心逐步转入到应对高级网空威胁行为体所发动的APT(高级持续性威胁)中,在高级威胁发现、分析、溯源方面取得了一系列进展;在威胁情报方面,安天基于大规模主动捕获感知环节的部署、海量样本与事件自动化分析体系和样本与威胁情报交换体系,形成了对多源异构样本和数据源的分析、处理能力,形成了从信标规则到TTP情报的生产体系。这些均为追影的产品能力提供了有效支撑。
场景适配和部署方式
⊙分析联动部署:
● 与安天探海威胁检测系统联动
安天探海威胁检测系统可将网络流量还原为文件,并对文件的安全性进行判定,结合追影的深度鉴定能力,安天探海威胁检测系统可准确展现网络安全态势,为管理员掌握全网安全情况、做出安全预警、采取安全防护措施提供有力支撑。
● 与安天智甲终端防御系统联动
安天智甲可对网内所有终端(主机、PC等)进行安全防护,结合追影的深度鉴定能力,安天智甲可更快、更准确发现威胁并根据配置进行处置。
● 与第三方产品联动,增强第三方产品的安全鉴定能力
追影可提供开放接口,与第三方网络设备联动,为第三方设备提供深度分析能力,从而实现准确、实时的在线阻断防御。
● 与防火墙联动:为第三方防火墙提供文件安全属性,帮助防火墙有效阻断内部、外部威胁。
● 与FTP服务器联动:可对上传至FTP服务器的文件安全性进行鉴定用户可根据鉴定结果对文件进行相应的处理。
● 与IPS联动:增强IPS产品的威胁识别能力。
● 与OA系统联动:对文档进行鉴定分析,根据鉴定结果标识文件,方便对文件进行管理。
● 与文件存储服务器联动:对服务器上的文件进行鉴定分析,根据鉴定结果对文件进行管理。
⊙集群化部署:
追影具有高效的大批量文件分析能力,可以硬件服务器形式集群部署,为能源、交通、金融等需要对大量文件进行集中处理的行业提供深度分析能力,对海量待分析样本进行快速深度分析,在可接受的时间内完成高级威胁发现;并支持基于威胁框架的威胁解读,以及向量级威胁情报输出,从而帮助客户进行威胁理解并指导客户进行威胁猎杀。
工具化部署:
追影设备作为一种输出分析鉴定能力的工具使用,可为专业分析工程师、司法分析鉴定人员、科研人员等提供深度分析能力。用户可以通过Web页面手动提交或者使用批量上传工具等方式将待分析文件投放到设备中,对文件进行深度鉴定,并输出鉴定结果。鉴定结果可用于样本分析与研究,支撑APT事件的追溯等,为安全分析团队提供良好的能力支撑,为专家研判提供可靠的基础鉴定能力和详实的参考数据。
针对客户需求,安天可以开放基于AVML的原始分析数据获得接口,便于客户二次关联分析。
便携式诊断:
追影有便携笔记本形式,可以由安全分析人员随身携带,进行现场取证分析,满足保密、军队、公安取证等场景的深度分析需求,辅助提高手工作业速度,并可基于向量级威胁情报进行线索扩线。
产品组合应用:
针对中小规模客户,基于探海、追影、智甲的组合部署,可以形成轻量级防御方案,借助安全管理中心,组成“发现、分析、处置、确认”的防护基本闭环。
有效支撑安天态势感知平台与动态综合解决方案:
在安天动态综合解决方案中,追影作为威胁深度分析的重要组成部分,为态势感知系统提供深度的分析能力支撑,为安全分析人员研判提供可靠的基础鉴定能力和详实的参考数据。
特点优势
⊙动静态综合分析,有效检出高级威胁
高级威胁攻击普遍采用漏洞利用、恶意代码和其他攻击者装备的组合利用。漏洞利用代码、高级恶意代码,多数进行了有针对性的免杀处理,甚至为0day漏洞和全新的恶意代码工具。防火墙、IDS、IPS检测设备,和端点防护产品,多数依靠嵌入的静态检测引擎实现威胁检测,分析鉴定深度不足,需要建立分析纵深,提升高级威胁对抗能力。防御处于被动的状态,而追影采用静态、动态结合分析手段,内置多种分析鉴定器,配合独有的智能学习功能,能够主动发现未知威胁,即能够对海量已知威胁实现精准检测,另一方面能够通过多种方式对未知威胁进行有效识别和深度分析,可有效检测未知漏洞利用、免杀木马、商业军火、A2PT组织的专用木马等。
静态检测通过文件格式识别、Shellcode静态特征检测、静态启发规则检测、文件数字证书检测、文件元数据提取、文件来源信息分析、邮件附件分析以及对黑文件进行关联分析判定等手段,可对载荷输出多种判定标签和拆解结果;动态检测利用虚拟执行沙箱、多种运行环境模拟、反虚拟识别、反跟踪等技术,搭载超过300种动态检测组合规则,可监控样本的远程线程插入、文件操作、注册表操作、驱动加载、网络通信访问、系统文件的修改以及网络访问等行为,分析文件行为与潜在行为,揭示威胁载荷的功能、能力及规避检测的手段,从而快速有效感知高级威胁。
追影具有强大的自学习能力以及关联分析能力,可不断更新鉴定结果,在提高文件检测率的同时保证文件鉴定的准确率。
多种分析鉴定器,多维度分析鉴定
⊙国产自主本地化检测,提升威胁发现能力
追影依托全球领先的安天国产自主反病毒引擎(下一代威胁检测引擎)及多年积累的恶意代码检测经验,可对超过6万个恶意代码家族、1400万类恶意代码进行精准判定,覆盖了百亿级全文件HASH的样本空间,输出包括恶意代码分类、家族命名、核心行为等知识标签,通过海量精准的基础监测能力,可以直接告警指向可识别的高级威胁载荷,有效暴露未知威胁。可识别包括但不限于二进制可执行格式、脚本格式、复合文档格式、包裹格式、媒体文件格式等超过300种格式的文件,支持分析压缩包、自解压包、安装包等多类解包,可以快速过滤大量的已知恶意程序。引擎可检测蠕虫、感染式病毒、木马、黑客工具、风险软件、灰色软件、垃圾文件、测试文件类型的威胁,并准确提供病毒类别、病毒名称、病毒变种版本、病毒风险级别和病毒能力等相关信息,帮助用户获得最准确的判定结果,不仅可以降低外部技术依赖风险,同时可确保向用户提供最新的安全能力和最及时的威胁响应速度。
追影支持丰富真实的动态分析环境,是国内最早支持自主可控国产操作系统环境沙箱和国产办公软件的动静态文件深度分析的产品,与其他开源沙箱产品相比,追影可以支持更为丰富的国内客户使用场景;依托安天近二十年专业反病毒经验,追影对一线威胁场景匹配度更高,支持的行为识别种类更多,粒度更细;同时,安天具备专业的高级威胁研究及对抗团队,可以持续跟进威胁的分析与研判,提升产品对高级威胁行为的识别能力。
追影具备本地化检测能力,保证整个文件分析的过程在本地进行,不依赖云端数据,将深度分析能力传递至用户侧,降低用户的信息泄露风险,解决了用户资产保密性与安全之间的矛盾。
国产自主、国际领先AVL威胁检测引擎,有效应对已知威胁
⊙高仿真虚拟环境,有效触发样本行为
恶意代码为实现有效攻击,通常需要特定的运行环境和特定的资源,在资源环境无法满足时处于潜伏状态,此时传统检测系统无法获取完整的恶意代码执行行为;尤其对于高对抗性的恶意代码来说,会通过一些手段检测沙箱,从而对沙箱检测进行逃逸。追影具备丰富且真实的虚拟环境组合,可以最大程度地诱导样本发出攻击行为,提取出所需的特征向量。
追影的动态分析环境除了支持Windows和Linux等主流操作系统及Office、Adobe、Firefox等常见的应用软件外,还可基于用户需求对指定操作系统和软件进行组合,以构建更符合用户实际使用场景的分析环境,提高对定向威胁的行为触发能力,促使威胁的定向恶意行为充分暴露出来,赋予用户独有的威胁检测能力,使其面向定向攻击时具备更加有效的安全保障;还可以进行用户操作模拟、网络模拟、移动介质高仿真模拟等,以触发更多样本行为,还可以有效检测与对抗反虚拟机行为,弥补了传统沙箱检测容易被样本针对性绕过的缺点。此外,针对某些需要在特定的环境下才能够发出相应行为的恶意文件,追影支持人工干预动态分析过程,调整样本在虚拟机中的运行条件、运行环境,最大程度的揭示样本行为;并提供样本在不同虚拟环境中的行为对比,揭示样本的环境偏好。
丰富的动态分析环境
样本行为对比,揭示样本环境偏好
⊙细粒度向量拆解,支撑威胁情报生产
追影可以提取多种动静态向量,在文件尚未投入到沙箱的初始分析阶段,通过静态分析可对PE、ELF、复合文档等重点格式进行深度向量化拆解,提取出多维向量信息,如代码中对抗,传播,控制等行为信息,模块相关、网络相关、文件相关等API序列信息,可提取的静态特征总计大于1250项,这些分析数据可用于揭示恶意代码的威胁行为和线索,为威胁检测产品持续提供弹药,并为后续分析提供数据支撑。
结合后续的沙箱动态分析所输出的信息,包括文件鉴定结果、文件基本信息、文件数字证书信息、文件衍生关系、文件行为详细信息、文件操作详细信息等,追影可为安全分析团队提供良好的能力支撑,为专家研判提供可靠的基础鉴定能力和详实的参考数据,还可通过联动为文件存储系统提供鉴定信息、为安全类产品提供威胁处置响应的数据支撑、为态势感知系统提供深度的分析能力支撑。
追影的样本分析报告
此外,追影支持对所分析出的文件行为实现基于ATT&CK、NSA/CSS威胁框架进行阶段映射,可以帮助分析人员更快速判断载荷的能力,完善网络威胁安全事件的全貌,可作为掌握攻击流程与防范的参考,以采取必要的预防或控制战略。
支持网空威胁框架展示
⊙人工定制化分析,提升定向分析能力
原厂分析规则和默认分析流程往往不能支持专业用户个性化分析需求。因此,人工的定制化分析能力成为了优化分析效果和分析效率的一个重要手段。追影支持人工定制化分析能力,用于赋能自动化威胁检测与分析。
追影支持改变默认样本分析顺序,对指定样本优先分析;默认情况下,设备会根据样本属性智能选择动态运行环境,用户可以通过强制动态功能,调整动态分析策略,从而满足对重点研究对象的分析需求;此外,追影还支持基于脚本的干预分析,用户可通过编写指定脚本语言,实现人工干预动态分析过程,以触发样本的潜在恶意行为,并提供不同脚本分析结果对比,例如:使用自定义脚本创建特定进程,以满足样本运行对特定进程的依赖;使用自定义脚本创建特定窗口,以满足样本运行对特定窗口存在的依赖等。
追影还可以基于用户私有规则和外部情报,通过Yara自定义扩展规则、自定义信标规则,增强判定与检出能力。
此外,追影还支持对全局分析环境进行调整,包括对动态运行的沙箱类型、沙箱个数以及样本在沙箱中动态运行的超时时长进行调整等。
客户案例
安天追影威胁分析系统已在政府、军队、交通、能源等行业广泛投入使用,典型案例包括:
·骨干网级海量别恶意代码监控预警解决方案
安天为战略客户提供了一整套综合威胁监测分析管理解决方案,其中追影的集群化部署作为后端威胁分析体系的核心,对前端探海威胁检测系统以及客户侧其他子系统捕获的样本、可疑URL以及其他途径获得的样本文件进行深度分析,实现威胁分析和情报生产,并与方案内其他环节相互配合,支撑大规模恶意代码疫情事件的应急处置。
·某部委高级威胁检测项目
某部委是作为既涉及国计民生又处理海量重要信息的关键机构,是境外APT攻击的重点目标之一,在已有安全产品和防护环节基础上,需进一步增强APT检测防御能力。安天针对客户的具体防护需求,提供探海威胁检测系统与追影威胁分析系统联动使用的解决方案。其中追影作为鉴定分析设备对探海捕获的可疑对象深度动态分析,及时识别APT攻击,并提供威胁详细分析报告,用以增强未知漏洞触发和未知威胁检测能力和生产威胁情报。项目部署后,有效的发现攻击载荷投放,并成功预警了基于远程模板的格式文档构造攻击。有效提高了海关相关部门对威胁的检测、分析、发现能力,缩短了威胁响应时间。
·某大学网络安全防护项目
在该项目中安天提供了综合网络安全解决方案。该方案集成安天探海、追影及智甲;分布式部署安天探海威胁检测系统,范围覆盖该校全部网络场景,对网络威胁进行实时检测;安天智甲终端防护系统一期覆盖某科技楼,现已采用多级部署的方式扩容至全校,对全校终端进行防护;追影与探海、智甲以及第三方IDS系统全联动,深度分析网络文件,有效地提高了该大学的网络安全防护能力。
·某部委安全监测及全网安全服务项目
该项目中安天为某部委提供专业的全网安全服务方案,在已有安全设备基础上,部署安天探海和追影,进行威胁检测与分析,从而为威胁感知及追溯提供数据支撑;监测全网,发现攻击行为、重大安全事件及安全隐患,对发现的安全事件进行深度分析并提供高质量的分析报告以及处置建议;对重大网络安全事件提供应急响应服务。完善应急响应体系,提高威胁分析与处理能力,降低安全运维成本以及安全培训成本。
附1:追影产品部分资质及荣誉
● 计算机软件著作权登记证书;
● 公安部安全专用产品销售许可证(APT安全监测产品增强级);
● 军用信息安全产品认证证书(军B级);
● 涉密信息系统产品检测证书;
● 信息技术产品安全测评证书(ELA3+);
● 北京市新技术新产品(服务)证书;
● 2018年中国网络安全技术对抗赛恶意代码分析引擎比赛第一名。
● 2019年中国网络安全技术对抗赛第一名。
▲2018恶意代码分析引擎比赛一等奖证书
附2:追影产品历史沿革
■ 2001年,安天研发了带有系统分析和动态监测功能的工具Eudemon,用于部署在暴露在互联网上的端点中,来监控记录各类威胁行为。这是安天捕风威胁捕获系统和追影威胁分析的最早雏形。
■ 2004年,安天将决策树模型用于后端自动化威胁分析,这是追影分析模型的基础。
■ 2005年,安天开始使用动态分析技术分析小批量样本,实现文件动态执行、实时监控并输出文件行为。
■ 2006年,安天在集成化样本分析环境中实现了与沙箱实施通讯的交互式动态分析工具,该工具即为便携版追影的前身。
■ 2010年,安天开始大规模使用动态分析覆盖全量样本,提高了对未知威胁的识别能力,全面丰富了样本数据。
■ 2012年,安天将动静态分析技术实现了产品化定型,命名为追影;同年科研成果《安天追影威胁分析系统技术研究与应用》通过专家鉴定。
■ 2013年,科研成果《追影安全平台反APT技术研发与应用》通过专家鉴定。
■ 2013~2014年,追影集群化部署有效恶意代码分析系统建设。
■ 2014~2019年,追影支撑了一系列态势感知项目,并在多起APT事件发现分析和响应魔窟等重大疫情当中起到了支撑作用。
■ 2019年,追影初步实现了对ATT&CK和NSA/CSS两种威胁框架的支持。