检测风险软件(RiskWare)的安全价值(下)——有效对抗混合执行体攻击之系统主防篇

研究报告

检测风险软件(RiskWare)的安全价值(下)——有效对抗混合执行体攻击之系统主防篇

时间 :2025年09月10日


9月4日,安天引擎团队发布了《检测风险软件(Riskware)的安全价值(上)——有效对抗混合执行体攻击(反病毒引擎篇)》一文,在防御体系中,反病毒引擎提供的是运行对象检测识别的基础能力,其本身能够对带有黑白双重属性的风险软件以类似RiskWare/Win32.AnyDesk这样的准确识别,就已经完成了自身的使命。如何既能更有效的识别风险,又避免误报导致错误拦截查杀影响业务,是需要可靠的主机防护产品,通过系统环境分析结合引擎告警提示完成的。为此安天智甲EDR团队编写了本系列的下篇。

1.灰色地带的挑战:RiskWare的辩证观与安全新边界

执行体是系统防御场景中,最重要的基本安全治理对象,也是网络攻击的核心武器。执行体的检测识别,此前被当作一个非黑即白,非善即恶的二元问题。恶意代码(Malware)必须拦截查杀,可信软件(Trusted Application)则被允许运行。然而,这种清晰的界限正在被一类特殊的执行体对象所模糊,它就是风险软件(RiskWare)。

根据安天《恶意代码SCMP分类方法框架》的定义,RiskWare主要是指为了实现特定、合法的业务功能而编写的程序,但又能被作为攻击的组件和工具。如远程管理(向日葵、VNC、ToDesk)、系统诊断(PsTools)、网络监控(Orion)等。在网络管理员手中,它们是提升运维效率的神兵利器,但一旦被攻击者掌控,它们便会立刻化身为实施破坏的致命武器。

RiskWare的另一种场景,是指针对合法软件的供应链攻击,以著名的SolarWinds供应链攻击事件为例,攻击者侵入网络监控软件Orion的开发环境,将后门型木马插入其开发工程,将其软件发布和升级通道作为投递恶意代码的有效路径,导致全球上万家使用该软件的企业和政府机构遭到安全威胁。对于嵌入木马的执行体,可以直接作为木马告警,但对于发生了严重的供应链穿透的软件,其未发现威胁的版本,同样也需要是被关注和怀疑的对象。

RiskWare的挑战在于其运用方式超越了研发发布者的预期,在不同场景中,完全一致的执行体,成为了“彼之蜜糖,我之砒霜”,而同时,对于存在历史失控、失陷的厂商或工具,也存在需要提高安全关注度的需求。

这种复杂双重属性给安全防护带来了难题和困境:

1.安全与业务的冲突:如果安全产品采取“宁错勿漏”的策略,将所有RiskWare一概封禁,注定在正常应用场景中,引发海量误报误杀,严重干扰企业正常业务,安全产品的研发企业也会面临法律风险。

2.证书签名传统对可信的穿透:RiskWare往往拥有正规厂商甚至大厂的有效数字签名,能够轻松绕过基于可信验证的机制,使得白防体系失效。

高级持续性威胁(APT)以及定向勒索的攻击者均在不遗余力地利用这一防御盲区,将其发展为一种体系化的攻击方法论——混合执行体攻击(Hybrid Executable Entity Attack),从而对传统防御体系的识别机制进行了“穿透打击”。

2.混合执行体攻击对传统防御体系的穿透打击

混合执行体攻击是网络攻击演进的一个重要趋势。它不再是攻击者的“冷兵器刺杀”,而是进行武器组合 “特种行动”。攻击者精心组合利用来自不同来源的商用软件、常用工具、开源软件,带有有效签名的商业产品以及少量定制的恶意载荷,构建出一条难以追踪和归因的攻击链。

安天对多起高级威胁事件(如LockBit针对波音等实施定向勒索事件)的分析表明,这种攻击模式具有几个典型特征:

1. 攻击武器“合法化”:攻击装备清单中包括着如AnyDesk(桌面管理)、Mimikatz(凭证提取)、SysinternalsSuite(系统管理)等业内知名的软件工具。这些工具功能强大、广泛被用户传播,多数带有数字签名,对多数反病毒引擎来说,会走入无毒跳过流程,导致检测机制完全失效,其数字签名本身也构成穿透Windows操作系统自带的可信引导链、UAC等机制的通行证。

2. 战术运用的“模块组合”:攻击链被拆解为基于多个模块化工具承载。攻击者可能只编写一个轻量级的初始投递载荷(如下载器),后续的所有高阶攻击动作,如权限提升、横向移动、数据渗出,都通过投递并指令这些合法的RiskWare来执行。而最终在内存中执行恶意行为的,是系统信任的“白文件”,从而实现了完美的“白利用(Living Off the Land)”。

极具代表性的“白利用”案例是“游蛇”病毒的攻击活动。在针对特定目标的攻击中,除使用自定义恶意软件外,还大量采用系统内置工具如PowerShell、WMIC等执行无文件攻击指令,并投递经过篡改和免杀处理的Gh0st远控变种。这款著名的开源远控工具本身功能强大,被其恶意利用后,作为攻击链中的核心持久化控制工具,其网络通信特征可被伪装成正常流量,极具隐蔽性。

3. 对黑白双控机制的“精准突防”:传统的“反病毒检测(查黑)+可信验证(信白)”二元防御模型,其颗粒度在面对此类攻击时显得过于粗糙。两者简单的机械叠加,无法识别“合法软件、工具被非法使用”这一核心威胁。

混合执行体攻击代表攻击技术的一次范式演进。它说明,攻击者执行体绕过检测机制,可以避免重新编写恶意代码或进行免杀操作,而可以在海量的正常软件工具中选取攻击装备。因此防御方必须跳出“非黑即白”的思维定式,进入一个更注重行为、上下文和意图的深度防御阶段。

3.主动破局:构建基于行为与上下文的微纵深防御体系

面对混合执行体攻击,扩大黑名单或收紧白名单策略都是杯水车薪。我们必须依靠更智能、更动态的主动防御能力来破局。其核心哲学是:不仅仅执行体“是谁”(身份),由谁发布(开发者),而关心它“要做什么”(行为)、“谁让它做”(关系)以及“在什么环境下做”(上下文)。

主动防御能力需要构建一套微纵深防御体系,实现了对混合执行体攻击的有效遏制:

1. 全链条行为监控与序列关联分析

◆ 传统防御:孤立地检查单个文件的静态属性。

◆ 主动防御:持续监控进程树创建、网络连接、注册表修改、文件操作、权限变更等系列行为事件。一个从Users\Public目录下启动的、带有数字签名的ToDesk进程,其风险值远高于从Program Files目录启动的相同进程。在多个针对中国企业的APT攻击中,攻击者都喜欢使用ToDesk、向日葵等合法远控工具作为备用通道(Backdoor),因其行为与正常远程运维高度相似,极难通过静态方式区分。同时,深度分析其父进程(是否由可疑脚本或未知进程派生)、命令行参数(是否包含隐藏窗口、连接非受信IP的指令)以及后续行为序列(是否紧随其后尝试添加计划任务、禁用安全服务),从而精准识别恶意意图。

2. 多维度上下文感知风险评估

◆ 投放路径与属性:投放在ProgramData、Users\Public、AppData\Local\Temp等非标准、易隐藏路径的可执行程序,风险系数急剧升高。文件名的随机化、模仿系统进程名等伪装行为也会触发告警。

◆ 执行上下文:一个系统管理工具是由用户交互式启动,还是由一个无图形界面的脚本、计划任务或服务启动,后者极具可疑性。例如,多个APT组织投放Everything工具,并命令行创建服务来获取UAC运行提权并开启HTTP服务器,从而实现后续恶意活动。

◆ 网络行为与关联:内网中突然出现来自非管理终端的SMB、RDP或WMI远程执行命令,尤其是尝试连接多台主机时,应立即触发横向移动告警。

3. 细粒度的策略管控

主动防御不应粗暴地阻止RiskWare,而应提供企业级细粒度的管控策略,将决策权交予管理员,实现安全与业务的平衡。例如:

◆ 允许从IT管理后台发起的、对指定设备的VNC连接。

◆ 禁止任何IP发起的向内RDP连接尝试。

◆ 监控并需审批任何PsTools工具在非IT部门终端上的执行。

这种“基于身份的访问控制”与“基于行为的学习”相结合,是实现RiskWare价值与风险平衡的关键。

通过将防御焦点从“文件”转移到“行为”和“关系”上,主动防御能力有效地撕破了混合执行体攻击的“合法外衣”。无论攻击者拼凑起怎样一支“混合舰队”,其最终的攻击意图和行为模式都将在行为监控的探照灯下原形毕露。

4.拦截于运行之前:安天智甲的运行拒止机制

安天智甲主动防御能力将理念转化为实战,其在攻击链的“投放-执行-持久化-致效”上设置多个拦截点,而整体核心是将最大可能将恶意代码止步于运行前。

1. 初始投放拦截

◆ 针对如浏览器、即时通讯、邮件等终端边界入口下载或传输文件,结合检测引擎、威胁情报、自闭环威胁事件分享等方法形成检测规则,达成落地即拦截。

◆ 强化了对高安全等级路径的文件落地监控。任何可执行程序(无论其扩展名如何伪装、是否签名)在Users\Public、AppData、ProgramData等目录,以及伪装和随机命名的目录和文件名被创建,都会触发高级启发式分析。结合云查杀和云端信誉评估及分享,可在其被尝试运行前就进行隔离或删除,从源头上斩断攻击链。

2.拦截“白加黑”与持久化拦截

◆ 攻击者利用签名的白文件加载恶意DLL或数据文件(黑)是常见手段。以利用Google Update(谷歌更新程序)机制进行“白加黑”攻击的案例中,攻击者将恶意DLL与合法的GoogleUpdate.exe放在同一目录下,利用其数字签名和正常功能加载恶意代码。需严格监控程序的动态库加载行为,特别关注从低信誉路径加载模块的操作,一旦发现异常立即阻断。

◆ 对于尝试添加计划任务、系统服务、注册表自启动项等持久化行为,引擎会深度分析其创建者进程的路径、数字签名状态及历史行为,一旦判定为可疑程序所为,即刻拦截。

3.基于上下文分析避免误拦截

通常合法的安装程序或更新程序也会在AppData等目录释放文件并执行,若一概拦截,将导致严重误报。

◆ 父进程分析:若释放文件的父进程是用户主动双击运行的知名安装程序(如installer, msiexec、inno),同时具备有效数字签名,则风险等级会显著降低直接放行。

◆ 数字签名链验证:检查释放文件是否与父进程同属一个有效的数字签名链,即是否由同一家可信厂商发布。如是,则放行;否,则风险等级会提升。

通过多维度上下文关联,实现了在扼杀恶意投放的同时,对合法软件安装行为的有效放行,达到了安全与易用性的平衡。

4.基于RiskWare的单独特殊分类和处置准确指引管理操作

借助安天反病毒引擎AVL SDK对恶意代码SCMP分类识别,以及主动防御能力通过特殊分类、策略化管理和清晰的操作指引,实现安全与业务的平衡。

◆ 独立的分类识别:在主动防御威胁判定流程中,默认对感染式病毒(Virus)、蠕虫(Worm)、木马(Trojan)和黑客工具(HackTool)4种分类采用默认拦截的处置方式,而对风险软件(Riskware)和灰色软件(Grayware)2种分类采取管理员灵活选择的处置方式。同时,安天智甲下个版本中告警界面上,会明确标注为“Riskware和Grayware”并使用黄色告警窗体,与拦截的红色告警窗体进行清晰区分,直观地告知用户当前威胁的性质。

◆ 企业级策略化管理:为管理员提供企业级细粒度的管控策略模板,可以基于全局、群组和终端等范围,制定不同的默认告警策略。例如,

对IT运维组:允许运行PsExec, WinSCP等风险软件。

对财务部终端:禁止运行任何风险软件(如ToDesk, AnyDesk)。

全局策略:禁止落地和运行任何风险软件。

◆ 精准的处置指引:当检测到风险软件时,告警窗体不会只提供“阻止”和“允许”两个选项。而是会提供更智能的选项:“阻止”、“本次放行”、“不再显示/始终允许(添加排除项)”,并为每个选项提供清晰的后果说明,引导用户做出安全决策。同时,所有风险软件的告警事件都会被汇总到管理平台,方便管理员审计哪些软件被频繁使用,从而优化全局策略。

5.管控于运行之后:安天智甲的行为分析与过程阻断机制

尽管安天智甲的理念是将99%的攻击执行体拦截在运行之前,但我们并不怕进入内存对决。即便攻击执行体已开始运行,主动防御体系也能通过对其后续行为的深度监控与分析,在其达成最终攻击目标前,进行精准的拦截与止损,构筑面对运行对象全生命周期的防线。

1. 内存行为监控:撕毁“无文件攻击”的伪装

攻击者常利用合法进程(如powershell.exe, wscript.exe)或注入技术实施“无文件攻击”,其恶意载荷仅存在于内存中,绕过传统文件扫描。

◆ 内存指令流分析:通过检测进程已加载模块内存和监测动态内存分配和读写操作。当一个正常的svchost.exe进程突然申请一块可写可执行(RWX)的内存并写入大量非常规代码时,会立即触发高级威胁告警。例如,利用合法数字签名的应用程序C3Exporer.exe加载恶意文件,内存解密后检测系统中已安装的多种反病毒软件是否存在,并尝试规避创建相应计划任务完成持久化。

◆ PowerShell 深度审计:监控PowerShell进程的启动,以及对其执行的命令参数和脚本进行实时反混淆和解码分析。当发现其尝试下载远程Payload或隐蔽执行Invoke-Mimikatz等恶意模块时,都能在内存中还原其意图并予以阻断。

2.勒索攻击与破坏性行为遏制:守护数据的最后堡垒

对于加密文件、删除备份和回传数据等具有直接破坏、数据窃取等行为,防御必须快如闪电。

◆ 文件行为模型:建立多事件勒索特性的行为规则关联分析,监控进程对文件的批量读取、删除、修改、新建等行为。当一个未知进程开始以极高频率加密不同目录下的文件(如先修改扩展名,然后内容加密),安天智甲勒索防护的大规模文件篡改和多事件行为规则会立即生效,终止恶意进程并回滚已加密的文件。

◆ 数据替身防护:安天与中关村实验室合作,将数据替身理念运用于终端防护产品中,将非授信进程的文件读写API行为重定向至替身文件,可有效保护文档内容不被勒索病毒读取并回传。

3. 持久化清理与痕迹追溯:根除驻留威胁

攻击成功后,攻击者必然会建立持久化以维持访问。

注册表与服务监控:对注册表Run键、服务创建、计划任务添加等持久化常见位置进行实时监控。一个突然创建的、指向Users\Public、AppData等高安全等级目录下可疑文件的服务,会被立刻标记和清除。

6.总结

面对混合执行体攻击滥用合法软件绕过传统防御的挑战,安天智甲终端防御系统通过微纵深主动防御体系,实现全攻击链防护。系统基于安天反病毒引擎、执行体信誉评估、行为序列追踪和上下文分析,精准识别安全风险并实施智能管控。

系统具备几个核心能力:基于安天AVL SDK反病毒引擎的精准检测能力,实现精细化策略,既防范Riskware恶意使用,又保障业务运行;内存行为监测、多事件关联分析和持久化驻留监测等防护能力确保攻击链后期有效处置;智能决策引擎动态平衡安全与业务需求。

在混合执行体攻击成为高级威胁新常态的今天,安天智甲团队就会不断基于执行体治理安全理念,发挥自主反病毒引擎的检测能力和环境上下文分析机制,强化驱动主防能力,为用户构建防御微纵深,为客户提供能有效前置阻断威胁执行体、精准识别攻击意图、实现自适应防护的终端安全解决方案。

参考资料:

[1]安天.恶意代码SCMP分类方法框架与风险行为多标签机制[R/OL].(2025-08-26)

https://www.antiy.cn/research/Lecture/SCMP_0826.html

[2]安天.波音遭遇勒索攻击事件分析复盘——定向勒索的威胁趋势分析与防御思考[R/OL].(2023-12-30)

https://www.antiy.cn/research/notice&report/research_report/BoeingReport.html