追影简介
追影是安天最新开发的一款用以应对APT(高级持续性威胁)攻击的设备级鉴定产品,它以虚拟加载执行判定为核心,并内置对海量已知黑白文件的过滤能力,可以对文件对象和URL对象进行安全分析。
追影支持exe、dll等可执行文件格式,同时支持doc、pdf、xls、rtf、mht等文档格式,通过全面地动态监控可疑系统行为及网络行为,检测溢出漏洞,可以针对各种注入、COM跨进程、输入法注入等进行全面监控。
追影可以作为NGFW、企业级杀毒软件等安全产品的深度文件鉴定伴侣使用,也可以作为辅助安全分析和取证工具使用。
核心功能
1.有效检测0day格式溢出等深度安全威胁
追影采用独有的体外监测式虚拟执行沙箱,并内嵌Shellcode静态特征检测与反虚拟机、反跟踪等技术,对于格式溢出漏洞利用行为具有良好的检测能力,尤其对于APT攻击经常会用到的doc、pdf、xls等文档格式溢出漏洞有超高的识别能力。
2.动态识别恶意网站、脚本
对于恶意网站和脚本,追影采用自己开发的专用脚本解析引擎与浏览器虚拟执行相结合的方式,使恶意网站和脚本的行为得到充分的释放,利用动态监测的方式实现了有效的恶意网站识别。
3.深度提取可执行样本行为
不同于其他鉴定器只采用虚拟执行做监控的鉴定方式,追影高级威胁鉴定器采用了动静态结合的鉴定方式,静态检测可以实现格式识别解析 、Shellcode发现 、堆喷射检测、字符串信息提取 、漏洞检测等功能;动态监控主要采用Ring3与Ring0驱动相结合的方式,能够对包括进程操作、文件操作、注册表操作、网络通信访问、网络数据URL 等行为进行有效跟踪和翔实记录。
追影通过静动态检测相结合的方式而形成立体监控体系,一方面能够提取和展示未知样本的更多信息,有利于进一步的定性判断;另一方面,通过动静态结合的方式可以对检测到的威胁点进行更有效的加权计算,从而使得最终的鉴定结果更加准确,误报更少。
4.海量已知文件过滤能力
由于APT攻击相关文件和信息要求细粒度的精细分析,对设备的分析能力要求很高,并且需要有管理人员的高度参与,所以如果将未经辨识和过滤的所有文件和事件都依赖分析系统进行检测,则势必造成极大的检测噪音和对分析设备及人员资源的极大浪费,很容易使关键的APT攻击淹没在海量高危事件中而无法识别。
而作为追影高级威胁鉴定器的前置过滤环节,防毒墙、IPS、安全网关等,由于其直路属性,很难加载海量的病毒库,以对已知的恶意事件进行完全的过滤。基于此,安天在鉴定器设备中配备了拥有海量病毒库的AVL SDK反病毒引擎,对接收到的分析任务首先进行细粒度静态检测,对已知的威胁进行有效识别并从病毒百科中有效获取其详细信息。
基于以上原因,安天在鉴定器设备中配备了拥有海量病毒库的AVL SDK反病毒引擎,对接收到的分析任务首先进行细粒度静态检测,对已知的威胁进行有效识别,并从病毒百科中有效获取其详细信息。这样一方面可以减少动态分析的压力,另一方面,通过提供更多信息和关联分析可以有效提高动态检测对未知病毒的辨识能力。
