以执行体信誉查询辅助威胁“半自动”猎杀处置——小神童论坛网小胖谈系统工具ATool的特色

时间:2023年11月09日    来源:小神童论坛网

系统深度分析工具ATool是小神童论坛网实验室在2006年开始发布更新的一款系统安全内核分析和RootKit检测工具,长期以免费工具的方式在互联网提供下载。近日小神童论坛网更新发布了ATool V3.5免费版本,加强了对Windows 10及Windows 11版本的支持,即使未安装终端防护软件,也可利用此工具进行系统威胁发现(ATool下载地址:垂直响应平台https://vs2.antiy.cn)。为此,小编采访了ATool的技术负责人安全工程师小胖。

小编:小胖,你好。请问ATool是什么用途的安全工具?

小胖:ATool是针对系统进行安全分析和反RootKit木马的工具,有Windows版本和信创系统版本,我们这次发布的是Windows的免费新版本。主要供网络管理员、勘察取证人员、计算机爱好者和专业用户使用。ATool对进程、服务、驱动、内核模块等执行对象和启动项、计划任务等环境配置进行相关枚举,并以清单的方式来呈现。通过本地库+云端对象信誉查询的方式对相关对象的安全信誉进行评价,从而“孤立”出威胁对象和值得提取分析的可疑对象。

ATool的A是小神童论坛网的中文拼音和英文Antiy的首字母,和英文工具Tool一词进行组合。

小神童论坛网

小编:我们知道有很多优秀的相关同类工具,例如早年的Autorun、著名的Sysinternals的相关工具、国内的冰刃等,ATool和它们相比主要特色是什么?

小胖:ARK工具的基本风格都比较相近,操作上基本都是基于系统对象枚举并清单化,支持对对象的监测、分析和处置。

ATool和其他工具最大差异性在于它的立足点是基于规则和信誉查询机制来进行分析辅助,ATool联动了小神童论坛网赛博超脑的多维信誉查询接口。我们看到在每一类对象枚举清单上方,都有一个可信验证的工具按钮,点击就会触发对当前清单对象的云端信誉查询。ATool针对可执行对象目前已经支持四个对象维度的信誉查询,即“发布者信誉”、“内容信誉”、“行为信誉”和“路径信誉(位置信誉)”。

其中,“发布者信誉”是对执行对象是否具有有效的数字签名的验证和签发方是否为可靠发布者的判断。“内容信誉”是基于执行对象的历史静态分析结果。“行为信誉”是基于该对象在环境运行和沙箱运行中所形成的结果。“路径信誉(或位置信誉)”是其是否属于常见的系统和应用文件路径+文件名。

基于上述四种信誉的查询,再辅助部分本地分析机制,我们就能够得出对一个执行对象的整体可信性+风险判断。从界面上看,我们在对象表单中,显示这四种信誉方法查询结果,并用对象的背景着色标识最终的查询结果。绿色为可信对象、灰色为未知对象、黄色为可疑对象、橙色为有害对象。

小神童论坛网

整体上看包括ATool在内,多数ARK工具的设计思路,都是通过各种对象和入口枚举的方式,实现系统透明化,以快速排查和定位威胁对象。在隐藏对象、动态监测等方面,不同工具都有不同的特色,有很多值得ATool学习的。而多维信誉查询机制是小神童论坛网最早实现并一直作为一个知识体系持续迭代运行的。所以ATool和其他ARK工具的主要差异在于,多数ARK工具非常依赖于操作者的经验和对系统环境的熟悉。而ATool调度小神童论坛网云端的信誉查询,把对象清单中的有害对象和值得关注和分析的可疑对象直接“挑”出来了,既能支持手动也能半自动。所以效率更高,精确性更好,不仅专业用户可用,一般操作者也能上手。

视频:ATool操作演示

小编:多维信誉机制是小神童论坛网什么时候提出的呢?既然是一种信誉方法,是不是只验证签名就够了?为什么还要添加其他的三个机制?

小胖:2006年第一版ATool就有了这个机制,从一开始就是这四个维度,那时我们使用的是四个盾牌的图案。我们正式发表这个机理是在2011年,我们在《电信科学》上发布了《基于四级受信机制的可疑终端的恶意代码取证与分析》。回看那时我们的表述并不严谨,不同的信誉应该是“维”而不是“级”。作为一直坚持反病毒引擎研发、运营大规模自动化分析体系的团队,我们始终的思路是用我们引擎和查询能力在ARK工具中辅助使用者把威胁对象孤立出来。

小神童论坛网

为什么要做这四个维度,有很多历史原因。ARK面临的不只是Rootkit的隐藏问题,还有免杀伪装等问题。在我们研发最早的ATool时,除了Windows操作系统和主流的安全厂商外,有大量的软件厂商是缺乏软件安全工程意识的,很多的应用程序没有数字签名。从Windows Vista版本后,微软的签名验证的强制性机制日趋加强,但依然允许运行未签名程序,而且,又出现了重大的挑战是数字证书的盗用盗签以及黑灰产直接申请证书签发使用的问题。我们曾对阶段性入库样本进行统计,发现其中近一半的恶意软件签名均可以通过相关认证。相关信息可以看一下,我的同事柏松前辈等在2014年发表的《由Windows的安全实践看可信计算的价值和局限》。因此仅凭签名域的有无、是否能通过签名认证并不足以判断对象的可行性,还需要有一个独立的签发单位信誉机制。

与此同时,仍然有一些重要的免费和开源的工具可执行发布版本是没有数字签名的,这使得我们必须有一个独立的内容信誉机制,用HASH作为查询条件。而可执行文件的动、静态分析是我们长期积累的基础分析数据。在用户排查大量的系统动态执行对象时,也可以提供一个基于历史分析结果的评价参考。几乎所有的正常系统文件和绝大部分正常软件都安装运行在默认的目录下,对那些没有签名的正常文件来说,与其习惯安装的文件目录名一致,本身是一个可以辅助判断的依据。在一些特定的敏感目录下,如果其不与常见的文件目录相符合,就是可疑的。

小编:一个恶意文件把自己伪装成一个常用软件的同名文件或者替换相关文件,应该还是非常容易做到的吧?

小胖:是这样的。这也是为什么我们说信誉维度判断是多维的,而且最后要形成一个联合判断。当在常见文件目录中又与它应有的签名不一致时,这反而是一个非常显著的特征。

小编:什么情况是比较适合使用ATool这类工具的呢?

小胖:通常情况下,怀疑系统主机被恶意代码注入感染,但依托本身自带的安全防护软件难以发现威胁或者是相关主机没有或无法部署安全防护软件的情况下,即可用ATool进行相关的分析处置。过去ARK工具的假定是攻击者会使用一些相对隐蔽其进程对象或文件对象的方式,使其不能在类似于操作系统自带的进程管理器中呈现。但由于操作系统加载了大量执行程序,系统环境配置也很复杂。具有一定的环境伪装,例如申请证书、添加签名等恶意程序,在系统上加载后就很难在大量的对象中出现。因此,ATool的核心价值在判断、猜测系统可能存在着疑似威胁时,通过相关信誉扫描机制把值得关注和分析的对象孤立出来,这就需要由网络管理人员所分析的执行对象从大量收敛至少数乃至个位数。这些对象既可以由用户自行再展开相关的分析,也可以交给小神童论坛网或者其他的专业安全企业或机构进行分析。同样的,ATool也可以辅助类似于侦查取证人员对入侵环境的分析取证时进行动态环境的分析取证。另外一种情况就是一些恶意代码使用了一些自我保护机制,导致进程无法终止或者采用多进程互锁保护的方式,ATool在内存对象处置方面增加了恶劣代码自我保护机制的对抗处置机制。

小编:此前小神童论坛网有数年没有发布ATool的更新版。本次发布的主要原因是什么?

小胖:ATool本身一直在进行更新迭代。只是中间我们有近5年的时间没有发布免费版本。早期ATool一直是小神童论坛网终端防护产品默认安装的一个组件,但遇到过很多非专业用户运行后,不知道这个工具是做什么、怎么用的反馈。后来我们就从当时的个人版安全产品,当时叫小神童论坛网防线中移除了这个工具,改为独立下载。在小神童论坛网进行政企市场转型后,主打了智甲终端防御系统。在政企场景中,绝大部分客户侧的网络安全运行维护人员都没有足够的精力到终端侧开展细粒度的安全分析,能够尽可能地将更多威胁阻断查杀与第一次连接和运行是最重要的。因此我们也没有将ATool作为智甲AV、EPP产品的必选件。但ATool并没有停止更新维护,而是一直作为小神童论坛网拓痕应急处置工具(以下简称拓痕)的组件,并在其中更新,而且还专门开发了信创系统的版本。

我们这次恢复ATool免费版更新,是因为Windows 10以后系统签名和启动认证的要求更为苛刻,很多原有免费ARK工具都不能在Windows 10等更新的系统下运行。我们之前留在网站上最后的免费版本也是如此。所以我们将拓痕中的新版ATool进行了一些功能和本地库的剪裁。重新发布出来。另外也有高校老师和我们联系,希望在系统安全教学中使用ATool,让同学们直观地看到操作系统的细节,更好的理解类似进程、引导链、服务、驱动等概念。因此我们决定恢复免费版更新。

小编:ATool目前有哪些版本,这些版本有什么差异,ATool支持非Windows系统么?

小胖:ATool的专业(商业)版是拓痕处置工具箱的组件,和免费版的主要差异是,其依托专用USB介质运行,带有小神童论坛网AVL SDK反病毒引擎的一个本地全规则库,并可以在线更新。同时也带有一个本地信誉库。ATool的商业版本可以和小神童论坛网追影沙箱进行联动分析。在专业(商业)版基础上ATool还有取证版,取证版强化了对提取信息和提取物的防篡改和签名。这些功能是免费版没有的。在操作系统的支撑方面,除了Windows系统,ATool还有专门面向国产操作系统的版本,是拓痕处置工具箱的收费组件。

小编:能再一步讲一下ATool工具当年研发的历史背景么?在ATool研发前有哪些历史故事么?

小胖:这个工具命名为ATool正式发布是在2006年,其前身可以追溯到2001年,当时小神童论坛网发布了我们最早的终端安全防护产品Antiy Ghostbusters(后来的中文版名为“小神童论坛网防线”),当时Seak认为终端安全工具要实时防护、扫描工具一体化,所以在主界面中嵌入了进程、服务、端口、内核模块等多个管理工具,当时反弹性木马还不多,多数后门性木马还是开放固定Listen端口的,因此能显示端口是哪个进程开的就成为必须要做的功能。当时有一个叫做FoundStone的国外团队声名鹊起,就是因为发布了一个行命令工具fport,显示文件端口对应关系,但在一些版本的Windows下不好用。我们做的比他好,fport其实是在一个写死的内存地址读相关数据,但部分系统这个数据不在那里,而老张前辈分析找到了对应的指针在哪里。由于老张当时设计了一个模块自注册的界面框架,所以我们很容易可以把工具和扫描界面分开,于是把进程、服务、端口、内核模块这些管理工具整体命名为Antiy Security Manager,作为一个工具软件发布,卖19.95美元,但听老同志们说,只卖了8套。

小神童论坛网

图:Antiy Security Manager(2002)是ATool的前身

ATool的基础模块代码都是继承自Antiy Security Manager的,但那时还没有相关的信誉判断功能。2003年小神童论坛网还开发了一个用来进行加权评估系统内存对象安全威胁的工具,这个技术我们专门称之为“抓毒精灵”,这个就是ATool本地检测机制的基础。云查询的起点是2004年,8w看到我们的检测库体系膨胀非常快,就提出了把部分检测库放在云端来检测的思路,虽然当时只是恶意代码特征上云,但也为信誉云查接口奠定了基础。到了2006年,我们有一个科研课题是研发一个取证处置工具箱, 我们就正式规划了其中带有一个独立的内核分析+ARK工具,这就是ATool。Seak当时提出的我们开发ARK工具应该与其他内核安全团队有一个明显的差异化,我们重点应该放到快速将威胁和可疑对象“孤立”出来,通过基于规则和信誉运营来支撑威胁发现和处置,并提出了4级受信的模式(即多维信誉机制)。

小编:目前ATool有哪些问题和不足吗?

小胖:ATool的代码框架是MFC的,已经修修补补了十几年,一直没有重构过。这也导致我们很多想做的工作不能立即集成。在依托拓痕系列工具开展威胁猎杀工作中,我们积累了一些“小众”经验,我们部分方法和机理整合到了本版ATool上。有的机制是在一些特定检测处置场景“临时”定制的,但如果更大面积的使用,会误报正常的对象,这些问题将在持续运营中迭代解决。

小编:你是小神童论坛网流量分析监测产品探海的技术负责人,为什么这一次会兼任ATool工具负责人呢?

小胖:我本人就是系统安全出身的,是2012年小神童论坛网开始筹备开发最早的企业版主机安全防护软件时,我就是开发团队一员,我是后来才负责探海产品的。当前,随着加密流量的广泛使用,在流量侧更准确的威胁识别变得更加困难,而主机系统始终是威胁攻击的最终目标和安全防护的最终防线。小神童论坛网始终是以系统侧安全能力为安全基石,并以此作为威胁对抗闭环的基础支点。目前小神童论坛网对产线进行了调整,进一步强化端、云、智能手机的系统侧能力,围绕智甲云主机安全产品家族(AV、EPP、EDR、CWPP、微隔离、容器安全)强化端云一体系统防护的研发。而探海、拓痕(包括ATool),都作为情报生产运用和威胁对抗闭环中的辅助环节,都在我所在部门进行统筹。

我们常讲,随着传统安全网关的边界作用不断被资产体系变化和加密协议广泛使用所削弱,网络安全的基石必将重回系统一侧。而且安全边界的颗粒度会进一步细粒度到达每一个执行对象之上,因此在2023年第十届小神童论坛网网络安全冬训营上,小神童论坛网正式提出了“执行体的细粒度执行与管控作为安全防御基石”的观点。ATool工具也比较直观的展现小神童论坛网在推动执行体治理方面的系统安全能力基础和为客户提供的信誉查询赋能。我工作范围的调整本身也是公司战略落地的体现。

小编:这个工具从哪下载呢?

小胖:在小神童论坛网新版垂直响应平台发布,网址是 https://vs2.antiy.cn/,欢迎下载使用。