“Windows Defender Exploit Guard”是Windows 10的“Fall Creators”更新提供的一組新的入侵防護功能。“Windows Defender Exploit Guard”的四個元件旨在鎖定裝置以阻擋惡意軟體中的各種常見攻擊向量和阻止各種常見的惡意行為,可以使得企業能夠平衡安全風險和生產需求。通過使用雲機器學習和啟發式來識別、刪除惡意軟體的傳統反病毒技術是終端安全棧的一個不可或缺的組成部分。但是儘管反病毒能力方面不斷取得進展,攻擊者卻仍然在不斷地調整他們的攻擊技巧和發展攻擊技術,來竊取憑據並利用勒索軟體進行攻擊,並且無需向磁碟寫入任何內容。
Windows Defender Exploit Guard依託微軟智慧安全雲圖(ISG)和微軟世界級的安全研究團隊,來識別活躍的漏洞利用程式和常見的惡意行為以在查殺鏈的各個階段來阻止這些攻擊。儘管存在潛在的漏洞會被利用,並且漏洞利用機制和攻擊payload都有所不同,但是仍存在一組核心的行為和攻擊向量是許多不同種類的攻擊所共有的。通過使用ISG把事件流關聯到各種惡意行為上,Windows Defender Exploit Guard提供了處理這些威脅所需的功能。Windows Defender Exploit Guard的四個組成部分是:
攻擊面縮小(ASR):企業可以使用這些設定來減少基於Office、指令碼和郵件的惡意軟體威脅網路保護:通過 Windows Defender SmartScreen把你的裝置上的所有出站程式設定到不受信任的主機/IP來保護終端免受基於Web的威脅。受控資料夾訪問:通過阻止不受信程式訪問受保護的資料夾來保護資料被勒索軟體攻擊。Exploit防護:一系列的漏洞緩解措施,可以很容易的進行配置來保護你的系統和應用程式。
攻擊面縮小(ASR):智慧控制裝置的攻擊面
email和office應用一般是企業生產的基石,但它們是最常見的攻擊媒介,可能會給安全人員帶來惡夢。Office和email郵件都是簡單並且易行的散佈攻擊的途徑。雖然Office巨集和指令碼可以提高生產力,但是攻擊者也可以利用它們直接執行完全在記憶體執行的漏洞exploit,而且這些通常無法被傳統的反病毒技術檢測到。所有的這一切可以使得攻擊者在一個看起來完全正常的office文件上執行巨集程式碼或者執行一個郵件附件的惡意PowerShell指令碼。攻擊面縮小為企業提供了一組內建的策略,可以攔截這些惡意文件使用的底層行為。通過鎖定exploit的惡意行為,ASR可以保護企業免受0day漏洞的攻擊,比如以下剛剛紕漏的漏洞就可以被阻止:CVE-2017-8759、 CVE-2017-11292 、 CVE-2017-11826。ASR提供的行為可以分為:Office、指令碼和email。
對於Office應用,ASR可以:
鎖定Office應用建立可執行檔案鎖定Office建立子程式鎖定Office應用注入程式鎖定Win32匯入巨集程式碼到Office中鎖定混淆過的巨集程式碼
雖然Office的惡意巨集通常負責注入、啟動可執行檔案,但是ASR也可以保護終端使用者免受DDE下載者這種新曝光的漏洞的攻擊。DDE下載者漏洞利用Office文件中的動態資料交換(DDE)彈出視窗來執行PowerShell下載程式。然而當它這樣做的時候,它會啟動子程式觸發相應的阻塞子程式的規則。對於指令碼來說,ASR可以:
鎖定經過混淆的JavaScript, VBScript,和PowerShell指令碼阻止執行從網際網路下載payload的JavaScript和VBScript指令碼
為了展示ASR的能力,我們可以看看它是如何解決混淆程式碼的。我們有一個機器學習的模型來支撐我們的混淆程式碼識別功能,這個模型會更新到客戶端然後與惡意軟體掃描介面進行互動(AMSI),來判斷指令碼是否經過了惡意混淆,當匹配程度很高的時候指令碼會被阻止執行。對於Email來說,ASR可以:
阻止從郵件中下載的可執行檔案執行
企業管理員可以在其公司電子郵件上設定策略來限制能被分發到終端使用者的檔案。但是他們沒有辦法控制通過個人郵箱分發的檔案。鑑於魚叉攻擊的增加,員工的個人email需要加以保護。ASR使企業管理員能夠在公司裝置上的網路郵件和郵件客戶端的個人電子郵件上應用檔案策略。對於企業中使用的任何辦公軟體都可以自定義基於檔案和資料夾的例外,如果你的軟體存在一些會觸發ASR偵測的異常行為。
ASR依賴Windows Defender Antivirus作為裝置上的主要反病毒程式,並且必須要啟用實時保護功能。 Windows 10安全baseline建議使用Block模式下的大部分規則來保護裝置免受這些威脅。
https://blogs.technet.microsoft.com/mmpc/2017/10/23/windows-defender-exploit-guard-reduce-the-attack-surface-against-next-generation-malware/
網路保護:鎖定出站連線
網際網路是惡意網站的來源地,這些惡意網站會有計劃的引誘和欺騙使用者。他們使用網路釣魚,欺騙廣告,詐騙技術,社會工程學和其他作為其手段的一部分。對於一些攻擊,攻擊者可能會試圖獲取敏感資訊甚至是截獲線上的金融支付,或者攻擊者可能會試圖在你的機器上安裝惡意軟體。惡意軟體通常會嘗試連線控制伺服器(C&C)來獲取指令和釋放進一步的惡意payload,因而攻擊者可以在網路上進一步擴散惡意軟體。Windows Defender SmartScreen可以保護Edge瀏覽器免受來自社交的惡意軟體、網路釣魚和其他基於Web的威脅。這使得Microsoft Edge成為最安全的瀏覽器之一,在NSS Lab於2017年8月23日至9月12日期間針對網路釣魚防護的測試結果中,Edge的表現優於Chrome和Firefox。Windows Defender Exploit Guard的網路保護功能利用ISG提供的情報,在必要的情況下對所有出站連線進行審查,並在必要時阻止所有出站連線。通過將新的網路過濾驅動整合到核心中,網路保護功能可以基於ISG的主機名和IP地址相關的信譽來智慧評估和阻止出站網路流量。可以使得基於Web的惡意軟體無法執行。
路徑訪問控制
勒索軟體和其他未授權應用對檔案進行加密意味著使用者失去對資料的控制:比如你的文件、珍貴的照片和視訊以及其他的一些重要檔案。對於企業來說,丟失對檔案的訪問可能意味著業務的中斷。Controlled folder access通過鎖定關鍵資料夾來保護檔案,只允許授權的應用程式訪問檔案。 而未經授權的應用程式(包括惡意的可執行檔案,DLL,指令碼等)將會被阻止訪問,即使它們以使用者或管理員的許可權執行,通常也是安全的。
預設情況下,路徑訪問控制會保護文件和重要資料儲存的常用路徑,但是這個設定是很靈活的。你也可以進行新增來保護其他資料夾,甚至包括其他驅動器上的資料夾。還也可以允許信任的應用訪問受保護的資料夾,因此日常生產活動不會受到保護的影響。
啟用後,路徑訪問控制會阻止未經授權的訪問,並且會提示使用者非法的應用嘗試訪問或修改受保護的檔案,這種保護是實時提供的。
Exploit防護
Windows Defender Exploit Guard的exploit防護利用目前已經內建到Windows 10系統中的一系列漏洞緩解措施和系統強化特性。當安裝Case Creators更新時,相應的緩解已經配置在你的機器上了。
EMET
增強型防災減災工具包(EMET)的使用者在升級過程中會被提醒EMET會自動被從機器上解除安裝。這是因為WDEG包含了內建到Windows 10中的EMET的功能,所以它成為了平臺的一部分。
需要注意的一點,Exploit Guard的漏洞防護與EMET相比擁有不同的配置方式。為了使得遷移配置的過程變得更加容易,有一個PowerShell模組可以用來進行轉換。此PowerShell模組還為Windows Defender安全中心提供了一個額外的介面來配置其緩解設定。
Windows Defender Exploit Guard管理器
所有Windows Defender漏洞防護元件都可以通過組策略(GP),系統中心配置管理器(SCCM)和移動裝置管理(MDM)以及Microsoft Intune進行管理。
所有元件都支援在Audit和Block模式下執行,當Block模式啟用時Windows Defender Exploit Guard實時阻止事件。
Windows Defender高階威脅防護
Windows Defender ATP為檢視和管理整個企業中的託管端點上的所有安全訂閱源和事件提供了單一窗體體驗。通過Windows Defender ATP,在防護事件中可以看到整個程式樹的執行,從而可以輕易的確定發生的事情。 在下圖中可以看到Word惡意文件試圖刪除可執行檔案,該檔案在嘗試訪問C:\Demo資料夾時被阻止。
Exploit Guard也出現在Windows Defender ATP控制檯的安全分析儀表板之中。
最後要說明的是,Windows Defender Exploit Guard是Windows 10 Fall Creators更新中加入的最重要的特性之一。就許多方面而言,它完善了我們的預保護的體系棧。