安芯网盾：基于内存保护技术的主动防御体系建设 – 作者:安芯网盾

#编者按

2020年11月13-14日，由公安部网络安全保卫局、中国科学院办公厅、国家网络与信息安全信息通报中心指导，公安部第三研究所、公安部第一研究所、中国电子科技集团公司第十五研究所联合主办的“第15届政府/行业信息化安全年会”在京顺利召开。安芯网盾产品总监朱燕涛先生受邀在大会主论坛分享了《基于内存保护技术的主动防御体系建设》的主题演讲，小编为大家整理了演讲精彩内容。

近期，我们处理了几起应急响应事件，客户服务器在具备一定防护能力的情况下依旧遭受到攻击。客户找到我们处理，虽然完成了对问题的修复，但是已经发生的攻击依旧对客户造成了一定影响。
我们已经进入到一个新时代，面临的新型威胁层出不穷，基于内存的攻击是各类系统和应用所面临的最大威胁。

背景分析

无文件攻击是一种典型的基于内存的新型攻击方式，相较于其他攻击手段更容易成功，主要原因是无文件攻击利用了系统可信工具，从而绕过了传统防护手段。尽管企业和机构都部署了大量的安全防护产品，攻击者仍然能够轻而易举的突破层层防线，复杂的网络攻击在不断增加，现有的检测防御方案失效，成为企业在安全能力建设中的痛点。

我们分析了基于内存的攻击难以防御的四大原因：

​

原因一：通过签名技术无法识别基于内存的攻击。基于签名技术的大多数方法基于特征匹配模式，无法识别基于内存的攻击。

无文件攻击是典型的在内存中进行远程加载和执行或在内存中构建恶意代码片段从而达到执行效果的攻击，可以轻松绕过基于签名的技术。无文件攻击的危害主要表现在其可以进行挖矿、勒索、数据窃取，比如近期美国大选，就有攻击者通过无文件攻击进行数据窃取，其主要利用APT邮件钓鱼，在文档中植入VBS脚本，从而达到执行效果。我们将此文件上传至国际知名的安全检测引擎VirusTotal上，其扫描全部通过，未检测出任何异常。故通过签名技术无法识别基于内存的攻击。

原因二：基于日志或流量同样无法检测基于内存的攻击行为。基于日志或流量方式具有明显滞后性，基于内存的攻击运行在正常的信道上，并且会逃避检测。

原因三：基于内存的攻击通常发生在应用程序内部，而传统防护手段无法应对。应用程序安全可以通过很多手段进行加强，包括安全管理手段与技术手段，但是应用程序引入第三方库以及复杂的业务架构使其变得复杂化，不可避免地会引入一些新漏洞或新风险。

传统防护手段存在明显弊端：

杀毒软件基于特征仅能应对已知威胁，同时依赖云查杀能力，通过伪造或篡改信息可以轻松绕过；

沙箱技术存在环境可被感知和无法检测应用内部程序的问题；

补丁管理存在兼容性问题，同样仅能应对已知威胁；

主机IDS分为基于特征和基于行为，基于特征仅能应对已知威胁，基于行为存在误报率高的问题；

非黑即白主要是白名单机制，对应用程序防护有一定效果，但存在白利用和管理维护复杂问题；

基于日志和流量存在滞后性以及误报率高等问题。

综上所述，传统防护手段难以应对基于应用程序内部的攻击行为。

原因四：现有安全防护体系缺乏运行时保护能力。20世纪90年代我们以边界防御为主，其核心思想是防止非法进入，以建墙为主。21世纪初，以深度防御为主、核心是建立层次化防御，针对不同维度引入相对应的安全防护手段 。2010年以后，以连续监测为主，主要是用于分析被突破后继续通过蛛丝马迹发现恶意行为。而现在我们以主动防御为主。提高“实时响应”能力是主动防御的一个重要环节，能够实现对业务连续性的保障。

主动防御体系建设

针对上述问题，我们推出了安芯网盾内存保护系统，专注于解决内存安全防护问题，包括无文件攻击、基于内存的攻击、0day漏洞攻击等。

内存保护技术不是为了取代某项既有的检测技术，而是要解决现有安全防护体系的不足，解决防御滞后性问题。

随着检测和响应能力的兴起，内存保护系统以实时性和准确性为核心能力，以保护用户业务机密性、完整性及可用性为目的，防止内存中数据泄露、篡改、破坏行为。

现有安全体系大都采用了纵深防御体系，而内存保护的定位是主机安全防护的最后一道防线。当攻击者利用新型攻击方式，或利用系统、应用漏洞绕过传统防护手段，将恶意代码悄无声息的植入到内存时，内存保护系统会对其进行实时监测与拦截，从而保护客户的数据安全及业务连续性。

同样内存保护系统可以有效保护云主机安全，CWPP（云工作负载安全防护平台）是云安全中首先要考虑的类别之一。

CWPP体系结合恶意软件扫描、主机入侵、行为监控、应用检测等8大能力建设，来保护平台免受攻击，但在内存保护层面存在明显薄弱环节，内存保护系统将在云安全上发挥重要作用，内存保护系统将为云安全构建一道新的防线。

内存保护系统采用硬件虚拟化技术架构，其中主要有两个环节：防御与管理。

内存保护系统为软件形态，运行在系统层，向下与主流架构进行适配，上层则是OS层。内存保护系统运行环境具有一个较高的权限，当其运行时可以理解为运行在Host模式，而整个系统运行在Guest模式。结合VMM技术可实现对系统及内存行为的全面监控，这样可以确保内存保护系统具有较高的检出率，当发现威胁时会上报至管理端，通过管理端进行安全运维管理，管理端提供风险管理、资产盘点、策略管理、日志审计等功能。

内存保护系统解决内存防护空白，内存安全是系统安全的一个前提。

内存保护系统通过硬件虚拟化技术对内存关键节点进行打点，从而解决内存访问行为不可见问题。

内存保护系统充分利用了CPU本身隔离机制，保障自身运行安全。

内存保护系统可以有效监控内存恶意访问行为，当发现内存中出现恶意执行时，内存保护系统将实时进行检测与阻断，解决内存保护空白。

主动防御体系建设目标

内存保护提供三大防御能力：漏洞防御、数据保护、威胁防御。

通过监控内存恶意读、写、执行行为，监控内存中的堆喷射、堆栈溢出、内存数据覆盖等行为，结合拦截模块可以对漏洞进行有效防御。

通过监控内存中“多读”“挂钩”“篡改”等行为可以有效保护内存数据。比如Heartbleed就是典型的内存多读恶意行为，挂钩主要用于内存缓存数据窃取，篡改可以对内存数据进行破坏。

基于CPU、内存指令集可以有效监控内存数据执行流状态，从而可以实现威胁防御能力。

同样内存保护系统可以实现真正的“运行时安全保障能力”。

内存保护系统可以监控程序合法执行流状态，当其在执行过程中出现任何偏差，内存保护系统将会对其进行实时监测与拦截，适合应用于特定场景，需要对业务进行提前学习。

内存保护系统安全管理基于P2DR模型，以策略为核心，建立三大防御能力，对应“保护”、“检测”、“响应”能力。

保护主要针对防护内存攻击及防御漏洞攻击。检测需要具备实时监测能力，能够实时发现风险及攻击事件。响应同样需要具备实时响应能力，具备实时拦截及告警能力。

内存保护系统核心参数：CPU使用率小于5%、内存使用率小于40M、稳定运行达到99.99%、基于内存攻击检测率大于95%，并可实现毫秒级响应。

具有运行稳定、系统资源消耗低、高检出、低误报、毫秒级响应等特点。

今年我们也参加了某部委HW行动，主要对域控场景进行有效防御。

域控是一个典型的集权系统。攻击方和防守方都以争夺DC（域控制器）控制权为目标，而传统防护手段难以对内存缓存数据、票据进行有效防御，常见的攻击手段如漏洞利用攻击、PTH攻击、Lsass进程攻击、黄金票据、白银票据等攻击。

内存保护系统可以有效防止Dump内存等行为，同样内存保护系统可以有效拦截通过CS、Mimikatz等工具对黄金票据或白银票据的获取，从而达到防护作用。

建立真正的程序运行时安全是我们建立主动防御体系的目的，我们总结需要具备如下三点能力：

1、需要具备在执行期间阻止攻击能力。

2、能够及时阻止内存滥用问题。

3、能够实现业务上下文关联分析，发现应用程序内部威胁。

攻击发生前阻止是猜测，攻击发生之后阻止为时已晚，内存保护系统为用户提供真正的运行时防护能力。

关于我们

​

安芯网盾（北京）科技有限公司（简称安芯网盾）是专注于内存安全的高新技术企业，致力于为政府、金融、运营商、军工、教育、医疗、互联网及大型企业等行业客户提供面向未来的网络安全解决方案。安芯网盾拥有赶超国际的智能内存保护技术，核心团队成员自2005年就专注于信息安全攻防对抗产品的研发并斩获多项国际大奖，被评为具有发展潜力和行业价值的网络安全新创企业。

安芯网盾帮助企业构建基于硬件虚拟化技术的内存安全环境，防御并终止在业务关键应用程序中的无文件攻击、0day漏洞攻击等高级威胁，切实有效保障用户的核心业务不被阻断，保障用户的核心数据不被窃取，已为华为、百度、工商银行、瑞斯康达、Google、G42等众多国际知名企事业单位持续提供服务。​​​​

来源：freebuf.com 2020-11-18 17:40:37 by: 安芯网盾