WebShell&二進制病毒大殺器 |阿里云惡意文件檢測社區版免費開放
責編:gltian |2022-03-14 17:27:33近日,阿里云上線了社區版WebShell&二進制病毒檢測平臺,首次將阿里云·云安全中心商業化產品中核心的反病毒與惡意文件檢測引擎面向社區用戶開放。
無論是企業用戶、網絡攻防驗證常態化下的安全運營人員、白帽子,亦或是網絡安全愛好者,都可以很方便地通過網頁共享阿里云在主機與容器安全檢測方面打磨出的核心能力;同時,通過API接入的方式,用戶也可以輕松將WebShell&二進制病毒引擎檢測平臺集成到自己的生產環境中,最小成本地提升各自的安全運營效果。
掃描下方二維碼或直接復制訪問鏈接?https://ti.aliyun.com?即刻體驗
云上和云下攻防態勢的不斷演進,服務器安全威脅日益嚴峻。社區版的發布,旨在借助更多安全行業從業者,匯聚來自不同地方、不同部門、不同院校的同行和研究員,通過行業生態的力量,大幅提高黑灰產的利用門檻,從而改變當前攻防博弈不對稱的局面。
1、2000+白帽實戰驗證
反病毒和惡意代碼檢測是企業安全體系建設中一個非常核心也非常基礎的環節,尤其Webshell和二進制病毒,不僅是危害企業工作負載的大殺器,其檢測難度也令諸多企業感到棘手。
目前,整個惡意文件與代碼檢測領域,缺乏權威的測評認證,導致各家廠商在POC測試中,用的樣本集都是自己精心準備的,此類樣本在類型和對抗度方面都具有明顯的傾向性,導致測試結果缺乏客觀性,難以得到行業的一致認可。
在此現狀下,實戰不失為一種提升檢測引擎對抗強度,同時保證檢測結果公正的最有效手段。從2020年3月開始至今,阿里云已累計舉辦了5屆惡意文本檢測挑戰賽,吸引了2000+各領域對抗專家和白帽子,貢獻對抗樣本超十萬例。
在2022年1月24日結束的賞金挑戰賽中,排名Top3同學被授予“惡意文本檢測大師”,并加入“阿里云云安全中心名人堂 ”。
WebShell對抗樣本檢出率超99%
阿里云WebShell檢測為多引擎架構,支持對PHP、JSP、ASP等多種web腳本類后門的檢測。多引擎集成了靜態匹配檢測能力、動態模擬執行能力、動態沙箱檢測能力以及異常啟發式檢測能力。
核心能力1. 動態沙箱還原真實 平衡漏誤報
- 靜態匹配檢測能力難以覆蓋混淆、編碼、加殼等樣本,需要動態提取出樣本特性從而進行檢測。引擎集成了PHP、JSP、ASP動態沙箱,對混淆類樣本進行解碼、脫殼,還原其真實的惡意載荷進行檢測。
- 動態沙箱還有一個優勢,靜態檢測無法對腳本進行約束,不符合詞法、語法的樣本也會被檢測出來,動態沙箱需要樣本真實運行,極大的平衡了漏報和誤報。
核心能力2. 模擬污點執行 不懼高強度對抗
攻擊者會構造樣本對抗動態沙箱,讓樣本無法在沙箱中正常運行。面對這種高級對抗情況,我們打磨出模擬污點執行引擎,采用推理式的手段讓污點繼續傳遞至危險函數內,從而檢出。
從公開眾測表現來看,WebShell多引擎檢測在面向實戰對抗樣本的測評中,對頂尖白帽子構造的高級對抗樣本檢出率高達99%+,對Github等公開可搜集的WebShell樣本集,檢出率亦超過99%。
二進制檢測:AI+多引擎決策
在二進制惡意代碼檢測后端,引擎采用的是多引擎綜合決策的技術方案。
集成了多款商業殺毒引擎的能力優勢,并通過自建的高級威脅專殺引擎、樣本變種追蹤引擎、靜態特征匹配引擎、云沙箱補齊商業引擎之間的能力缺失,最后使用AI模型對檢出結果進行智能判別。
商業化引擎與實戰對抗引擎能力互補,在保證了檢出率的同時有效控制誤報,還具備精細化的樣本分類和家族的命名標簽。
2、首創「跑分測評」能力矩陣
歷時2年多的對抗打磨,阿里云首次提出「跑分測評」理念的技術能力矩陣。檢測引擎收取并針對上千種高級對抗技巧展開研究,不斷從方法論層面解決繞過樣本,從響應時效性、結果呈現豐富度、檢測對抗強度、誤報控制能力、文件類型支持范圍和API便利度6個維度全面考量并優化引擎的檢測能力和易用性。
在眾多指標中,“檢測對抗強度”和“誤報控制能力”是使用者最能直觀感知到的一個指標,同時也是市面上各類檢測引擎普遍存在的短板。我們對業內知名惡意文件檢測能力進行測試,發現大多數引擎因沒有接受過外部白帽生態的對抗,對高級繞過樣本的檢出有限。還有一些引擎過度追求高檢出,犧牲了誤報率,可用性極低。
上述兩個維度,恰恰是阿里云主機安全檢測引擎作為業內領先惡意文件/病毒檢測技術所具備的獨特的核心能力,也希望此次社區版平臺開放,可以成為企業高效檢測強對抗性Webshell惡意腳本與二進制病毒的利器。
為提升檢測效率和效果,阿里云在每一個維度上都對跑分結果設置了嚴格的測算公式。
以“引擎對抗強度”這一指標為例,檢測引擎的跑分結果與總測試樣本數和有效繞過樣本數的比值呈正相關關系,同時也對樣本對抗算法、參與對抗挑戰的人數、賞金額度設置嚴格的“最優效果范圍”指標。嚴格的測算標準為檢測引擎能夠在多維度上得出一個跑分較高且符合市場安全檢測需求的結果負責。
安全產品能力的提升,關鍵還得靠實戰,經得起攻守博弈,才能夯實網絡安全基礎。未來,隨著主機與容器攻防態勢的發展和用戶需求的變化,社區版檢測引擎還將進一步提升API開放程度和檢測結果的豐富性,并將陸續免費開放更多安全原子化能力。希望通過不斷積累,舉一反三,與業界攜手共同提升整體安全水位。