隨著端點電腦的防護問題受到重視,在電腦中收集各式資料,並彙整出重要事件後,供管理者執行反制措施的EDR(Endpoint Detection and Response)產品,也如雨後春筍般出現。其中,CounterTack針對這類型的解決方案,對於可能會躲藏在記憶體內執行的惡意行為,額外推出專用的檢測系統Active Defense。
為了規避端點電腦的防護機制,不少惡意程式選擇採用躲藏在記憶體內執行的方式,因此一般的防毒軟體便難以察覺異狀。此外,雖然也有其他EDR產品內建記憶體內執行處理程序的偵測機制,但基本上只能針對特定類型進行識別,並列舉出可能有問題的部分,不像Active Defense會對記憶體內部所有的處理程序全數進行分析。
以圓餅圖呈現重要資訊的儀表板
在Active Defense的儀表板中,主要呈現端點電腦代理程式的運作情形,以我們測試的環境為例,這裡顯示已有71%的端點電腦完成代理程式部署,並且處在待機狀態,而底部右側則是指出處於高風險的電腦比例為43%。
針對大量端點電腦,提供遠端檢查記憶體內處理程序的能力
有別於其他推出EDR系統的廠商,CounterTack旗下一共有3套相關防護產品,包含透過即時收集端點電腦行為,並透過大數據進行分析的Sentinel,以及Active Defense和Responder Pro。Active Defense和Responder Pro這兩款產品,它們主要的功能,都是針對記憶體內的處理程序,提供鑑識資訊,Active Defense可大量分析端點電腦的記憶體,而Responder Pro則提供更進階的分析功能,甚至具有反組譯惡意軟體的能力。
Active Defense和Responder Pro這兩款產品,最初是由HBGary公司開發,CounterTack在2015年時收購後,正式納入產品線中。它們都採用了Digital DNA(DDNA)的記憶體分析技術,可自動解析記憶體內部的映像,進而找出惡意軟體與可疑行為。
在定位上,雖然這兩款軟體歸類在EDR防護應用,但有別於一般EDR產品的運作模式,它們並不會即時收集端點電腦的行為記錄,只有在管理者下達掃描指令時,才會需要運用電腦的資源。
代理商中芯數據表示,在Active Defense的記憶體分析過程中,部署在端點的代理程式會優先運用閒置的處理器核心,因此通常使用者並不會感覺到Active Defense的運作。
從功能來看,Active Defense偏重為大量端點電腦的自動化記憶體內部掃描,並提供遠端阻斷機制;而Responder Pro主打的,則是供鑑識人員針對惡意軟體執行反向工程之用,呈現的分析資料較Active Defense豐富。另外,對於需要分析記憶體內容的端點電腦來說,Active Defense只有支援Windows作業系統,Responder Pro則額外可分析執行RHEL與CentOS平臺的Linux端點電腦。
就EDR產品的單價而言,雖然Active Defense沒有伺服器軟體授權費用,但每臺端點電腦每年為1萬元(未稅),價格還是偏高;不過,根據官方線上商店的報價來看,Responder Pro授權價格每年高達7,500美元,Active Defense購買的門檻還是低了許多。
能夠完整掃描所有記憶體內處理程序,並以分數呈現危險程度
Active Defense系統採用的是伺服器與端點電腦連線架構,伺服器的部分,軟體需要建置於Windows Server作業系統中,並且採用SQL Server資料庫軟體;而端點電腦則要部署代理程式,若想要透過Active Defense伺服器大量派送,必須事先開放指定的連接埠才行。
針對端點電腦作業系統的支援程度而言,Active Defense可適用於最新的Windows 10與Windows Server 2016,但對於微軟已經終止支援的Windows XP與Windows Server 2003,這套系統還是能夠提供防護。
在代理程式完成部署之後,我們可採用手動或是自動排程的方式,針對指定端點電腦,下達掃描記憶體的命令。一般而言,代理商建議用戶每天安排在不同的時段掃描,避免有心人士知悉排程後刻意迴避,例如,星期一設定為早上9點,星期二則安排在下午3點執行。
在掃描之後,對於疑似為高風險的電腦,管理者可以檢視所有記憶體內執行的處理程序清單,並得知Active Defense對於這些處理程序的評分。
在Active Defense的DDNA評分系統中,超過30分以上的處理程序或是端點電腦,系統便會以紅色標示為高風險者,提醒管理者要特別注意。
我們實際以一臺執行Windows 10的端點電腦,藉由感染加密勒索軟體前後的狀態,來印證Active Defense的成效。這臺正常的電腦原本DDNA分數是25分,在感染了CryptoWall、Cryptxxx和TeslaCrypt等惡意程式後,分數即上升到約100分,並被標示為高危險等級。
Active Defense不只是提供記憶體掃描的結果,管理者也能取得完整的記憶體映像內容,或是其中正在執行的特定惡意軟體。在掃描時,預設並不會將端點電腦記憶體的內容,全數複製到Active Defense伺服器,而是在鑑識人員需要時,才從端點電腦取得。
列出端點電腦的高風險處理程序
針對端點電腦中,在記憶體內執行的所有處理程序,Active Defense依據DDNA風險分數的高低排列,供管理者快速判讀。以圖中的SVCHOST.EXE為例,它的DDNA分數為44.6分,而且只有在記憶體中執行,並非Windows系統內建正常的處理程序。
針對每一臺端點電腦,可取得完整記憶體內容鑑識資訊
雖然,Active Defense主要的功能,在於分析記憶體內的處理程序,並列出高風險者,協助管理者找出問題,但想要取得更為詳細的內容,則要在記憶體內的詳細資料(Physmem Detail)中,檢視與處理程序有關的其他檔案資訊。
Active Defense依據處理器與作業系統寫入記憶體的內容進行分類,在作業系統的部分來說,在處理程序之外,又細分為系統核心模組、開啟的檔案、網路連接埠、驅動程式等資訊。
在詳細資料裡,針對單一處理程序,我們可以得知與它相關的模組、會開啟那些檔案,以及會使用的網路連線等。
此外,這裡不只能取得記憶體的內容,針對儲存裝置中的檔案,鑑識人員也可透過Active Defense遠端檢視,並取得所需檔案。
Active Defense也同時提供軟硬體配置與系統使用者帳號的資訊,這樣的用意,主要是提供管理者檢查電腦是否已有其他異常的設定。
提供遠端清除威脅與阻斷遭駭電腦的反制措施
針對疑似遭受感染的端點電腦,Active Defense提供了阻斷與隔離措施,在電腦的處理程序列表中,管理者可直接刪除磁碟中的檔案,或是終止處理程序,也可將整臺電腦暫時隔離。
如果想要在所有的電腦裡,清查特定的威脅,管理者可依據一至多種資訊,建立反制計畫,像是指定檔案名稱、處理程序ID、檔案路徑、SHA1雜湊值等,執行大量隔離或是直接刪除的措施。
可呈現與處理程序相關的函式庫資訊
在危險程度高低評分排行之外,若想要得知處理程序進一步資訊,就要切換到記憶體詳細資料分頁檢視。以圖中的RUNTIMEBROKER.處理程序來說,系統指出它與右列的函式庫相關,管理者還能從左側的選單,展開並顯示這些函式庫的個別檔案特徵。
產品資訊
Active Defense 2.3
● 代理商:中芯數據(02)6636-8889
● 建議售價:每臺端點電腦每年為1萬元(未稅)
● 伺服器硬體需求:2GB記憶體、20GB磁碟空間
● 伺服器軟體需求:Windows Server 2008 R2與SQL Server 2008 R2以上
● 支援端點平臺:Windows XP~10、Windows Server 2003~2016
● 可整合的資安平臺:McAfee ePO、HP ArcSight、IBM QRadar
【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】