其他
以执行体信誉查询辅助威胁“半自动”猎杀处置——安天小胖谈系统工具ATool的特色
小编:小胖,你好。请问ATool是什么用途的安全工具?
小胖:ATool是针对系统进行安全分析和反RootKit木马的工具,有Windows版本和信创系统版本,我们这次发布的是Windows的免费新版本。主要供网络管理员、勘察取证人员、计算机爱好者和专业用户使用。ATool对进程、服务、驱动、内核模块等执行对象和启动项、计划任务等环境配置进行相关枚举,并以清单的方式来呈现。通过本地库+云端对象信誉查询的方式对相关对象的安全信誉进行评价,从而“孤立”出威胁对象和值得提取分析的可疑对象。
ATool的A是安天的中文拼音和英文Antiy的首字母,和英文工具Tool一词进行组合。
小编:我们知道有很多优秀的相关同类工具,例如早年的Autorun、著名的Sysinternals的相关工具、国内的冰刃等,ATool和它们相比主要特色是什么?
小胖:ARK工具的基本风格都比较相近,操作上基本都是基于系统对象枚举并清单化,支持对对象的监测、分析和处置。
ATool和其他工具最大差异性在于它的立足点是基于规则和信誉查询机制来进行分析辅助,ATool联动了安天赛博超脑的多维信誉查询接口。我们看到在每一类对象枚举清单上方,都有一个可信验证的工具按钮,点击就会触发对当前清单对象的云端信誉查询。ATool针对可执行对象目前已经支持四个对象维度的信誉查询,即“发布者信誉”、“内容信誉”、“行为信誉”和“路径信誉(位置信誉)”。
其中,“发布者信誉”是对执行对象是否具有有效的数字签名的验证和签发方是否为可靠发布者的判断。“内容信誉”是基于执行对象的历史静态分析结果。“行为信誉”是基于该对象在环境运行和沙箱运行中所形成的结果。“路径信誉(或位置信誉)”是其是否属于常见的系统和应用文件路径+文件名。
基于上述四种信誉的查询,再辅助部分本地分析机制,我们就能够得出对一个执行对象的整体可信性+风险判断。从界面上看,我们在对象表单中,显示这四种信誉方法查询结果,并用对象的背景着色标识最终的查询结果。绿色为可信对象、灰色为未知对象、黄色为可疑对象、橙色为有害对象。
整体上看包括ATool在内,多数ARK工具的设计思路,都是通过各种对象和入口枚举的方式,实现系统透明化,以快速排查和定位威胁对象。在隐藏对象、动态监测等方面,不同工具都有不同的特色,有很多值得ATool学习的。而多维信誉查询机制是安天最早实现并一直作为一个知识体系持续迭代运行的。所以ATool和其他ARK工具的主要差异在于,多数ARK工具非常依赖于操作者的经验和对系统环境的熟悉。而ATool调度安天云端的信誉查询,把对象清单中的有害对象和值得关注和分析的可疑对象直接“挑”出来了,既能支持手动也能半自动。所以效率更高,精确性更好,不仅专业用户可用,一般操作者也能上手。
小编:多维信誉机制是安天什么时候提出的呢?既然是一种信誉方法,是不是只验证签名就够了?为什么还要添加其他的三个机制?
小胖:2006年第一版ATool就有了这个机制,从一开始就是这四个维度,那时我们使用的是四个盾牌的图案。我们正式发表这个机理是在2011年,我们在《电信科学》上发布了《基于四级受信机制的可疑终端的恶意代码取证与分析》。回看那时我们的表述并不严谨,不同的信誉应该是“维”而不是“级”。作为一直坚持反病毒引擎研发、运营大规模自动化分析体系的团队,我们始终的思路是用我们引擎和查询能力在ARK工具中辅助使用者把威胁对象孤立出来。
为什么要做这四个维度,有很多历史原因。ARK面临的不只是Rootkit的隐藏问题,还有免杀伪装等问题。在我们研发最早的ATool时,除了Windows操作系统和主流的安全厂商外,有大量的软件厂商是缺乏软件安全工程意识的,很多的应用程序没有数字签名。从Windows Vista版本后,微软的签名验证的强制性机制日趋加强,但依然允许运行未签名程序,而且,又出现了重大的挑战是数字证书的盗用盗签以及黑灰产直接申请证书签发使用的问题。我们曾对阶段性入库样本进行统计,发现其中近一半的恶意软件签名均可以通过相关认证。相关信息可以看一下,我的同事柏松前辈等在2014年发表的《由Windows的安全实践看可信计算的价值和局限》。因此仅凭签名域的有无、是否能通过签名认证并不足以判断对象的可行性,还需要有一个独立的签发单位信誉机制。
与此同时,仍然有一些重要的免费和开源的工具可执行发布版本是没有数字签名的,这使得我们必须有一个独立的内容信誉机制,用HASH作为查询条件。而可执行文件的动、静态分析是我们长期积累的基础分析数据。在用户排查大量的系统动态执行对象时,也可以提供一个基于历史分析结果的评价参考。几乎所有的正常系统文件和绝大部分正常软件都安装运行在默认的目录下,对那些没有签名的正常文件来说,与其习惯安装的文件目录名一致,本身是一个可以辅助判断的依据。在一些特定的敏感目录下,如果其不与常见的文件目录相符合,就是可疑的。
小编:一个恶意文件把自己伪装成一个常用软件的同名文件或者替换相关文件,应该还是非常容易做到的吧?
小胖:是这样的。这也是为什么我们说信誉维度判断是多维的,而且最后要形成一个联合判断。当在常见文件目录中又与它应有的签名不一致时,这反而是一个非常显著的特征。
小编:什么情况是比较适合使用ATool这类工具的呢?
小胖:通常情况下,怀疑系统主机被恶意代码注入感染,但依托本身自带的安全防护软件难以发现威胁或者是相关主机没有或无法部署安全防护软件的情况下,即可用ATool进行相关的分析处置。过去ARK工具的假定是攻击者会使用一些相对隐蔽其进程对象或文件对象的方式,使其不能在类似于操作系统自带的进程管理器中呈现。但由于操作系统加载了大量执行程序,系统环境配置也很复杂。具有一定的环境伪装,例如申请证书、添加签名等恶意程序,在系统上加载后就很难在大量的对象中出现。因此,ATool的核心价值在判断、猜测系统可能存在着疑似威胁时,通过相关信誉扫描机制把值得关注和分析的对象孤立出来,这就需要由网络管理人员所分析的执行对象从大量收敛至少数乃至个位数。这些对象既可以由用户自行再展开相关的分析,也可以交给安天或者其他的专业安全企业或机构进行分析。同样的,ATool也可以辅助类似于侦查取证人员对入侵环境的分析取证时进行动态环境的分析取证。另外一种情况就是一些恶意代码使用了一些自我保护机制,导致进程无法终止或者采用多进程互锁保护的方式,ATool在内存对象处置方面增加了恶劣代码自我保护机制的对抗处置机制。
小编:此前安天有数年没有发布ATool的更新版。本次发布的主要原因是什么?
我们这次恢复ATool免费版更新,是因为Windows 10以后系统签名和启动认证的要求更为苛刻,很多原有免费ARK工具都不能在Windows 10等更新的系统下运行。我们之前留在网站上最后的免费版本也是如此。所以我们将拓痕中的新版ATool进行了一些功能和本地库的剪裁。重新发布出来。另外也有高校老师和我们联系,希望在系统安全教学中使用ATool,让同学们直观地看到操作系统的细节,更好的理解类似进程、引导链、服务、驱动等概念。因此我们决定恢复免费版更新。
小编:ATool目前有哪些版本,这些版本有什么差异,ATool支持非Windows系统么?
小编:能再一步讲一下ATool工具当年研发的历史背景么?在ATool研发前有哪些历史故事么?
ATool的基础模块代码都是继承自Antiy Security Manager的,但那时还没有相关的信誉判断功能。2003年安天还开发了一个用来进行加权评估系统内存对象安全威胁的工具,这个技术我们专门称之为“抓毒精灵”,这个就是ATool本地检测机制的基础。云查询的起点是2004年,8w看到我们的检测库体系膨胀非常快,就提出了把部分检测库放在云端来检测的思路,虽然当时只是恶意代码特征上云,但也为信誉云查接口奠定了基础。到了2006年,我们有一个科研课题是研发一个取证处置工具箱, 我们就正式规划了其中带有一个独立的内核分析+ARK工具,这就是ATool。Seak当时提出的我们开发ARK工具应该与其他内核安全团队有一个明显的差异化,我们重点应该放到快速将威胁和可疑对象“孤立”出来,通过基于规则和信誉运营来支撑威胁发现和处置,并提出了4级受信的模式(即多维信誉机制)。
小编:目前ATool有哪些问题和不足吗?
小编:你是安天流量分析监测产品探海的技术负责人,为什么这一次会兼任ATool工具负责人呢?
我们常讲,随着传统安全网关的边界作用不断被资产体系变化和加密协议广泛使用所削弱,网络安全的基石必将重回系统一侧。而且安全边界的颗粒度会进一步细粒度到达每一个执行对象之上,因此在2023年第十届安天网络安全冬训营上,安天正式提出了“执行体的细粒度执行与管控作为安全防御基石”的观点。ATool工具也比较直观的展现安天在推动执行体治理方面的系统安全能力基础和为客户提供的信誉查询赋能。我工作范围的调整本身也是公司战略落地的体现。
小编:这个工具从哪下载呢?
小胖:在安天新版垂直响应平台发布,网址是 https://vs2.antiy.cn/,欢迎下载使用。