深盾終端實驗室：防得住未知勒索才稱得上EDR！

- 「深」懷絕技之深盾小劇場 -

上期深藍小劇場點此跳轉>>>

正文字數約3122字

預計閱讀時間15分鐘噢

“深盾主要是負責終端安全的研究和應用，跟產品的聯絡也非常密切。我們是屬於響應組，幫使用者處理棘手的終端問題。我們出差去過很多地方，去過監獄，去過方圓幾公里渺無人煙的郊外，去過要穿防護服的工廠，總之使用者有問題又不方便線上處理的時候我們就上。”與勒索病毒打了多年“交道”的深盾響應組leader歐哥介紹道。

第一次見到深盾終端實驗室（文中或簡稱為“深盾”）的人，大概都會產生這種感覺：他們好忙，但他們好鎮定。這種忙而不亂的節奏，讓人不禁聯想到——醫生。

是的，深盾終端實驗室就像處理各種網路安全“疑難雜症”的“醫生”，在對僵木蠕毒的響應處置和研究分析上，他們永遠跑在前列，“打破終端檢測技術天花板，幫助使用者應對未知威脅”，讓使用者的安全領先一步，是他們的使命。

即使是令人聞風喪膽的勒索病毒，在深盾終端實驗室的眼裡，就像一個“流行病菌”，透過“診斷-查殺-追蹤”三招，就能夠分分鐘拿捏住。

絕技1

診斷！

自研AI引擎打磨，打破「檢出率」天花板！

“根據行業報告，勒索軟體是目前所有組織面臨的最大終端安全風險，全球超過三分之一的組織在過去12個月內經歷了勒索軟體攻擊；勒索產業化、服務化的趨勢，給勒索病毒的防禦增添了困難。針對重要攻擊目標，‘量身定製’的攻擊方案甚至暗網內鬼招募屢見不鮮，因此，勒索病毒的防護需要立體化。”

深盾終端實驗室效果組負責人，畢業於清華大學計算機系的徐博如是說到。

勒索贖金逐年走高，資料來源於Coveware

徐博告訴我們，很多終端安全防護裝置都可以做到對已知勒索病毒的防護。但對未知病毒的防禦，才是勒索防護真正的難點。

未知病毒考驗的是泛化能力，2018年深信服創新研究院自研的SAVE引擎因其強大泛化能力收到眾多好評。“但近期我們也發現，隨著病毒數量和病毒種類的不斷增加，SAVE引擎的AI模型檢測能力進入了瓶頸期。”

對新型流行病毒的檢測能力出現衰減，意味著使用者可能面臨無法估量的損失風險。深盾效果組的小夥伴們立刻投入了對SAVE引擎的研究和最佳化工作。

經過3個多月對AI模型演算法的全面最佳化，以及對解包能力、規則能力、AI能力、雲查能力的系統提升，深盾小夥伴們獲得了以“創新演算法+訓練平臺+引擎結構”為核心創新的升級版SAVE引擎，能夠實現對未知病毒的超高檢出率！

目前SAVE引擎在VirusTotal全球71個知名引擎測試對比中的綜合能力達到國內前列。今年6月底新版本釋出以來，在支撐的PK中（對手覆蓋了所有國內主流廠商）保持技術上全勝的戰績；在封庫1個月的情況下，檢出率依然維持在90%以上，在國內所有引擎對比中表現尤為突出。

SAVE模型演算法的VT排名（數值越低越好）

如果說AI能夠完成流程化的90%的未知病毒檢測，那麼深盾終端實驗室就是透過每個技術專家的實力，將檢出率無限趨近100%，捍衛好每個終端的安全。在解析了某個新型病毒後，深盾終端實驗室也會透過三個方式快速賦能到EDR產品中實現防禦：

1、新增檔案指紋證書，同步加入雲查，針對性防禦該惡意檔案，可實現分鐘級更新；

2、視情況寫入規則，綜合考慮誤報率，防禦該類惡意檔案，可實現小時級更新；

3、加入AI訓練模型，實現該特徵惡意檔案的主動防禦，按季度寫入模型。

“每一個勒索病毒都難逃我們法眼，一旦出現，應檢盡檢，高效閉環。”深盾終端實驗室研究組的資深技術專家鋒哥、張工如是說。

絕技2

查殺！

秒級精準報送，打破「查殺率」天花板！

與惡意檔案，尤其是與能夠帶來暴利的勒索病毒進行對抗，是一個永不停歇的過程。

為了要到鉅額贖金，攻擊者就像”打不死的小強“，會透過連續嘗試在使用者終端發起攻擊，10次、20次……即使防守成功率達到98%，只要攻者“有心”，仍然存在失陷可能。

即便SAVE引擎對勒索檢出率已經接近100%，但深盾終端實驗室覺得這還不夠，更難的在於怎麼在勒索病毒剛開始進行攻擊的時候，就把它“扼殺在搖籃裡”？

就是更難才更要做，深盾終端實驗室聯合產品團隊，經過千萬量級的勒索特徵研究，不斷提取勒索共性行為，不斷細分歸類，最終成功研發出智慧勒索識別技術，哪怕封庫了一個半月，EDR的病毒檢出率維持在97.77%，勒索識別精準率依然高達84.62%，對比國內外多款終端安全產品後，勒索精準識別率表現突出！

圖為深盾終端實驗室對EDR進行一個半月封庫測試資料

勒索識別精準率的大大提升，也讓深盾效果組的勒索防禦技術專家楊工受到啟發，和團隊小夥伴們快速建立起了一套勒索病毒精準報送使用者的流程，一旦檢測使用者系統有勒索病毒在進行攻擊或連續攻擊的情況，立刻將資訊通報給使用者安全管理員，幫助使用者當場將勒索苗頭“扼殺”！

透過高效對駭客行為進行人工溯源，大大降低未來被該勒索病毒成功入侵的風險。

成功防禦並協助使用者取證真實案例-來自深盾終端實驗室效果組攔截記錄

絕技3

追蹤！

80+熱點家族首發，打破「研究深度」天花板！

對未知病毒的防禦能力不是一蹴而就的，即使有AI演算法引擎的加持，也離不開深盾研究組一眾技術專家對新型病毒和熱點病毒家族的持續追蹤研究、分析和積累。

研究組的蘇哥就給我們講了這麼個故事。

今年9月1日，國外知名的Uptycs威脅團隊釋出了一篇針對Linux系統的勒索病毒的分析文章，簡要描述了該勒索病毒的加密行為並提供了檢測思路。

她眉頭一皺，發現事情不對，趕緊叫上經驗豐富的俊哥一起看，這個勒索病毒，似曾相識！

“這和我們收錄的今年5月發現的專門針對Windows系統的DarkAngels勒索病毒極為相似，這個病毒已經成功攻擊過國外五六個企業，當時我們就更新了規則，也及時防止了我們的使用者被攻擊。但如果駭客開發了新的專門針對Linux系統的病毒，那風險又存在了。”

研究組的小夥伴們馬上兵分兩路，一隊透過收集自己平臺捕獲過的疑似樣本，另一隊透過國內外各大平臺、安全廠商部落格、威脅情報平臺等對這個勒索病毒進行樣本收集。

經過對樣本的詳細分析發現，該勒索病毒中需要給定的加密路徑、釋放的勒索信內容、被加密副檔名及加密邏輯等一系列行為，包括進一步比對樣本之間底層程式碼邏輯、部分功能模組等，這兩個病毒確實為同源家族，只是針對的系統不同。

幸運的是，針對Linux系統的這個勒索病毒，勒索信中的onion連結似乎處於關閉狀態，表明這種新型的專門針對Linux系統的勒索軟體可能仍處於開發中，尚不會造成危害。

研究組小夥伴第一時間在EDR上增加了對該勒索病毒的檢測和阻斷規則，深盾終端實驗室也成為了國內首發該勒索病毒（針對Linux系統）通告的團隊。

“追蹤研究病毒不僅僅只是為了最佳化我們自己的產品，我們也希望讓大家知道現在出現了什麼新的風險點。因為病毒擴散的速度是很快的，慢一步可能就會有更多使用者有遭受損失的風險。”

從成立至今，深盾終端實驗室已累計首發了80多個熱點病毒家族，深度跟蹤發現勒索病毒如Mallox、Hello、Chaos等，挖礦病毒家族如Audliodg、WorkMiner、AutoUpdate等發多個熱點病毒家族，挖礦病毒家族如Audliodg、WorkMiner、AutoUpdate等。

2020~2022年千里目釋出惡意軟體通告200餘篇

千里目#勒索病毒#專欄傳送門>>>

深盾終端實驗室的應急響應速度之快，報送病毒分析報告質量之高，也得到了監管單位的高度認可，在CNCERT、ANVA平臺貢獻單位排名前三，是CCTGA優秀技術支撐單位。

採訪的最後，響應組的歐哥翻出電腦裡的一封封來自使用者的感謝信，其他小夥伴相視一笑，好像已經習慣了歐哥經常以此為豪。

“你可別發出去啊，這些都是保密的。”歐哥介紹完不忘叮囑。

“展示這些，其實也想借機告訴大家，勒索病毒一直在我們身邊，而且很多企業都發生過，只是沒有被曝光出來，或者是沒有公開去講這個事情。對於沒有中招的人，他們收到的警示相對是比較少的，而且可能也沒有引起他們的重視。”

歐哥也感慨：“如果勒索病毒也像真正的醫學病毒一樣，有可公示的渠道和中招的資料統計，那樣才能引起企業單位對終端安全的重視和投入，最後才能真正去完善我們國家的安全體系建設。”

未來，深盾終端實驗室依然會從惡意檔案研究、熱點病毒追蹤響應和EDR效果保障三個維度出發，堅定捍衛使用者終端安全，致力於讓使用者的安全體驗領先一步，安全效果領跑一路！