本期為【安天攻防演練專題】系列的第五期，將分享在攻防演練活動期間，如何利用文件分析產品，提升威脅發現能力。

當前的網絡攻擊手段呈現出組織化、規模化、復雜化的特點，但無論是普通威脅亦或是高級持續威脅，在“載荷投遞”與“命令與控制”階段（出自cyber-kill-chain）均大概率會將攻擊手段以落地文件的方式投遞到目標系統當中，因此在面對網絡攻擊時，對攻擊過程相關文件分析一般都能夠發現攻擊者的意圖，協助防守者對癥下藥進行更有效的防御。

在攻防演練活動中，攻方可能會采用一些 0Day 漏洞利用的方式進行攻擊，或利用投遞未知載荷躲過傳統惡意代碼檢測技術，此時能夠跳過規則檢測直接發現文件本身惡意行為的技術將是破局的重要手段。

1.演習場景需要“快準深”兼具的文件分析產品支撐

目前市場上傳統的文件分析方式主要有兩種：殺毒軟件與沙箱分析（防火墻中的防病毒模塊、防病毒網關等設備一般也是將流量中還原文件進行殺毒軟件掃描判斷是否惡意）。殺毒軟件主要依賴庫文件進行掃描匹配，優勢在于檢測速度快、誤報率低，適合文件量大，需要快速出結果的場景。沙箱分析的優勢則在于不依賴于庫文件，能夠對文件的真實行為進行識別判定，但分析效率不高。所以，以上任一的文件分析方式，都不能全面滿足在攻防演練場景中，需要快速、精準、深度的完成文件分析現實需求。

安天追影威脅分析系統（以下簡稱：追影）作為高級威脅發現的手段之一，融合了上述兩種分析方式的特點，依托全球領先的安天下一代威脅檢測引擎，核心技術自主可控，可以確保為用戶提供及時的威脅分析響應速度，并降低外部技術依賴風險。

同時，追影也汲取了安天十余年積累的自動化分析經驗，在內置安天下一代威脅檢測引擎與動態分析引擎的基礎上，還集成了十余種分析模塊，包括黑白名單模塊、文件來源檢測模塊、元數據提取模塊、數字證書提取模塊、webshell檢測引擎模塊、潛在能力分析引擎模塊、情報交換引擎模塊等，可有效實現對文件進行多維度分析鑒定。

對于高對抗性的惡意文件，追影動態分析環境支持Windows和Linux等主流操作系統及Office、Adobe、Firefox等常見的應用軟件，全面構建符合用戶實際使用場景的分析環境，即使面對定向攻擊時也能識別未知文件的惡意行為。與此同時，還可進行用戶操作模擬、網絡模擬、移動介質高仿真模擬等，以應對樣本的各種觸發條件；并可有效發現與對抗反分析行為，降低分析漏報率。

此外，針對某些需要在特定的環境下才能夠觸發相應行為的惡意文件，追影支持人工干預動態分析過程，調整樣本在虛擬機中的運行條件、運行環境，最大程度地觸發樣本行為；并提供樣本在不同虛擬環境中的行為對比，揭示樣本的環境偏好。

追影不但能夠將在動靜態分析過程中，提取的靜態特征和動態行為相結合，依據文件的特征相似、行為相似、內容相似及文件間的衍生關系，鑒定并分析各類已知與未知威脅，有效檢測未知漏洞利用、免殺木馬、商業軍火、APT組織的專用木馬等高級威脅，提升用戶的高級威脅對抗能力；還能通過情報交換組件的情報發布與消費能力與追影內部情報生產能力相結合，為用戶生產私有化情報，在演練活動中能夠將追影的能力有效傳遞至各個產品，提升整體威脅發現的能力。

2.四項能力有效提升演習場景整體威脅發現能力

1. 海量樣本及時判定

追影具有高性能的動靜態分析能力，靜態分析每天可以分析超過25萬的文件，動態分析每天可以分析超過3萬的文件，并能夠通過多臺追影組建集群的方式對性能進行快速擴展，能夠幫助用戶對演練活動中捕獲的海量樣本文件進行及時有效的分析和判定，出具詳細的報告，及時發現可疑文件，供安全分析工程師進行追蹤研判。

2. 為其他安全設備提供執行依據

追影威脅分析系統能夠與安天其他安全產品深度結合，形成發現、響應、處置的防御閉環；此外，追影也提供完整的上傳、下載API接口，對其他產品進行安全賦能，為處置類產品提供根本的執行依據，提升整體方案的防御深度和準確性。

3. 手動干預分析過程，提升演習場景的貼合度

追影提供的手動干預樣本分析過程的能力，可對特定類型的文件進行手動指定運行參數的能力，保證樣本在沙箱環境中能夠真實觸發。此外，追影也能通過添加AUTOIT腳本的方式模擬用戶對系統的直接操作，提高環境的仿真程度，最大限定提升環境與演練場景的貼合程度，從而及時發現針對演練場景的威脅樣本，提升整體威脅檢出能力。

4. 支撐私有化情報生產能力

追影能將樣本文件進行細粒度的向量拆解，并將拆解出的向量進行情報化處理，通過內置的情報交換組件進行情報生產與消費。可在演練活動中迅速將單點情報同步給整體情報網，提升整體安全防御的敏捷性，能夠實現將出現過的威脅迅速同步給其他安全設備，保證整體情報的時效性與可靠性。

下期預告

下期為【安天攻防演習專題】系列的第六期，將分享通過逐一拆解攻擊者的攻擊思路與攻擊鏈條，構建欺騙式防御體系。