Windows Defender Exploit Guard:缩小攻击面以对抗新一代恶意软件

本文详细介绍了Windows Defender Exploit Guard的四个组件:攻击面缩减、网络保护、受控文件夹访问和漏洞利用保护,这些功能通过智能安全图技术有效防御文件无恶意软件和零日攻击,提升企业端点安全。

Windows Defender Exploit Guard:缩小攻击面以对抗新一代恶意软件

本文章是Windows Security博客“Windows Defender Exploit Guard: Reduce the attack surface against next-generation malware”(2017年10月23日美国时间发布)的翻译版本。

Windows Defender Exploit Guard是Windows 10 Fall Creators Update中搭载的新入侵防护功能。其四个组件设计用于锁定设备以对抗各种攻击向量,并阻止恶意软件攻击中的常见行为,同时允许企业在安全风险和生产需求之间保持平衡。

传统防病毒技术使用基于云的机器学习和启发式组合来识别和删除恶意可执行文件,是终端安全堆栈的必备要素。尽管防病毒检测功能不断进化,攻击者仍在适应并扩展其技术和工具,以在不写入磁盘的情况下执行终端入侵、信息窃取和勒索软件攻击。构成所有威胁50%以上的文件无攻击的最新趋势危险且不断变化,旨在规避传统防病毒。文件无攻击有两种类型:使用非传统可执行文件(如包含活动内容的文档)和利用漏洞的攻击。

Windows Defender Exploit Guard利用Microsoft Intelligent Security Graph(ISG)的功能和微软全球安全研究团队,识别主动漏洞利用和常见行为,在杀伤链的不同阶段阻止此类攻击。尽管被利用的漏洞根源多样、传递机制不同且载荷变化,但许多攻击遵循核心行为和向量。通过使用ISG将不断的事件与各种恶意行为关联,Windows Defender Exploit Guard提供了应对新威胁所需的功能和控制。

Windows Defender Exploit Guard的四个组件如下:

  • 攻击面缩减(ASR):通过阻止基于Office、脚本和电子邮件的威胁,企业可利用一系列控制防止恶意软件侵入机器。
  • 网络保护:使用Windows Defender SmartScreen阻止设备到不受信任主机/IP的出站进程,保护终端免受基于Web的威胁。
  • 受控文件夹访问:通过阻止不受信任进程访问受保护文件夹,保护敏感数据免受勒索软件侵害。
  • 漏洞利用保护(Exploit Protection):易于配置的漏洞缓解措施,用于保护系统和应用程序(取代EMET)。

攻击面缩减(ASR):控制设备攻击面的智能

电子邮件和Office应用程序通常被视为企业生产力的核心,但也是最常见的攻击向量,可能引发安全管理员噩梦般的事件。Office和电子邮件都扮演了简单易用的传递机制角色,恶意行为者利用它们部署恶意软件和文件无攻击。Office宏和脚本有许多高效用法,但恶意行为者可用它们完全在内存中操作,并直接执行通常传统防病毒技术无法检测的漏洞利用。仅一名用户启用看似合法的Office文件中的宏或打开包含恶意PowerShell脚本的电子邮件附件,就可能入侵机器。

攻击面缩减(ASR)为企业提供内置智能,在不阻碍生产场景的情况下,阻止恶意文档执行时使用的基本行为。通过不分威胁或漏洞类型地阻止恶意行为,ASR可保护企业免受未知零日攻击,如最近发现的CVE-2017-8759、CVE-2017-11292和CVE-2017-11826。

Fall Creators Update中ASR覆盖的行为范围因Office、脚本和电子邮件而异。

ASR为Office应用程序提供的功能包括:

  • 阻止Office应用程序创建可执行文件内容
  • 阻止Office应用程序启动子进程
  • 阻止Office应用程序插入其他进程
  • 阻止从Office宏代码导入Win32
  • 阻止混淆的宏代码

恶意Office宏通常利用插入或启动可执行文件等技术,但ASR还可保护终端用户免受新兴漏洞如DDEDownloader的侵害,该漏洞使用Office文档的动态数据交换(DDE)弹窗执行PowerShell下载器,但其启动的子进程会被子进程规则阻止。

ASR为脚本提供的功能包括:

  • 阻止混淆的恶意JavaScript、VBScript和PowerShell代码
  • 阻止JavaScript和VBScript执行从互联网下载的载荷

作为支持ASR智能的示例,考虑处理混淆代码的方式:混淆检测功能配备机器学习模型,在云保护服务中每周多次再训练。模型在客户端更新,并与反恶意软件扫描接口(AMSI)协作判断脚本是否被恶意混淆。如果匹配确定性高,脚本访问尝试将被阻止。

ASR为电子邮件提供的功能包括:

  • 阻止执行电子邮件(Web邮件/邮件客户端)附件中的可执行文件内容

企业管理员可对企业电子邮件(如Office 365)设置策略,限制传递到终端用户收件箱的文件,但无法控制通过个人电子邮件传递到公司设备的文件。随着鱼叉式网络钓鱼的增加,员工个人电子邮件也成为目标需要保护。企业管理员可使用ASR对公司设备接收的个人电子邮件,在Web邮件和邮件客户端上应用文件策略。

如果企业内运行的关键业务应用程序存在可能受ASR检测影响的独特行为,提供基于文件和文件夹的例外自定义功能。

ASR工作要求Windows Defender防病毒为主要防病毒软件,且实时保护启用。Windows 10安全基线建议将大部分规则设置为阻止模式,以保护设备免受这些威胁向量。

网络保护:阻止出站连接

互联网是集中恶意网站的地方,这些网站设计用于诱导和欺骗用户,利用网络钓鱼、虚假广告、支持欺诈和社会工程等作为活动的一部分。有些攻击旨在获取信息或直接要求金钱支付,有些则尝试在机器上安装恶意软件。恶意软件通常尝试连接到命令和控制(C&C)服务器,以接收攻击者感染网络上其他机器的指令或传递额外恶意载荷。

Windows Defender SmartScreen使用Intelligent Security Graph(ISG)保护Microsoft Edge免受基于Web的威胁,如社会工程恶意软件和网络钓鱼,使Microsoft Edge成为最安全的浏览器之一,其性能在NSS Labs进行的网络钓鱼保护测试(2017年8月23日至9月12日)中超过Chrome和Firefox。

Windows Defender Exploit Guard的网络保护功能同样利用ISG智能,在出站连接建立前检查并必要时阻止,从而在整个系统和网络堆栈中实现与先前为Microsoft Edge提供的相同级别保护。

网络保护功能通过内核中集成的新网络过滤驱动程序,可基于ISG的主机名和IP地址相关评估智能评估和阻止出站网络流量。结合云参考和高效缓存的评估检查,可使依赖通信通道的基于Web的恶意软件无法操作。

无论出站目标是网络钓鱼、社会工程恶意软件或C&C网站,还是源来自浏览器或后台进程,网络保护可拦截并终止连接。此过滤功能可增强并协同其他安全解决方案或浏览器的类似保护功能。

受控文件夹访问

勒索软件和其他恶意应用程序的文件加密意味着失去对文档、重要照片和视频及其他关键文件等数据的控制。对企业和中小型企业而言,失去文件访问可能导致业务中断。受控文件夹访问通过锁定关键文件夹并仅允许批准应用程序访问来保护文件。未批准的应用程序,包括恶意或可疑可执行文件、DLL、脚本等,即使用户或管理员权限运行,也会被拒绝访问(这是许多恶意软件采用的手法)。

受控文件夹访问默认保护文档和其他重要数据存储的公共文件夹,但可自定义。可添加保护文件夹,包括其他驱动器上的文件夹。可允许信任应用程序访问受保护文件夹,因此即使使用独特或自定义应用程序,日常生产力也不受影响。

启用受控文件夹访问后,会阻止未授权访问,并通知用户恶意应用程序尝试访问或修改受保护文件夹内的文件。此保护实时提供。

漏洞利用保护

Windows Defender Exploit Guard的漏洞利用保护代表Windows 10中直接内置的漏洞缓解和安全增强技术套件。安装Fall Creators Update后,机器将配置并应用适当的缓解设置。

EMET终止服务

使用Enhanced Mitigation Experience Toolkit(EMET)的用户可能注意到升级过程中EMET自动卸载,这是因为EMET的优点已包含在WDEG中并直接内置到Windows 10,成为平台的一部分。Windows Defender安全中心允许以类似用户体验配置EMET提供的漏洞缓解功能。详细信息请参阅博客“Beyond EMET II – Windows Defender Exploit Guard”。

Windows Defender Exploit Guard的漏洞利用保护在缓解配置上比EMET接受更多不同格式。为简化迁移过程,提供PowerShell模块将EMET XML设置文件转换为Exploit Guard的Windows 10缓解策略。此PowerShell模块还为Windows Defender安全中心提供设置缓解的额外接口。

有关此PowerShell模块的信息和Windows 10安全相关EMET功能详情,请参阅主题“Understanding Windows 10 in relation to the Enhanced Mitigation Experience Toolkit”。Windows 10威胁缓解详情请参阅“Mitigating threats using Windows 10 security features”。最后,Windows 10安全基线提供推荐的Exploit Protection XML。

Windows Defender Exploit Guard的可管理性

Windows Defender Exploit Guard的所有组件可通过组策略(GP)、System Center Configuration Manager(SCCM)和移动设备管理(MDM)如Microsoft Intune进行管理。

所有组件支持审核模式和阻止模式运行。如果阻止模式启用且观察到目标恶意行为,Windows Defender Exploit Guard实时阻止事件发生。攻击面缩减、受控文件夹访问和网络保护的事件阻止会作为实时Toast通知显示在终端上,并记录事件日志,安全操作人员可在Windows Defender Advanced Threat Protection(WD ATP)控制台中集中查看此信息。审核模式检测可能发生的事件而非阻止行为,并将信息显示在事件日志和WD ATP控制台中,使企业能够评估Windows Defender Exploit Guard规则或功能在企业中的执行方式,并判断是否需要设置例外。此外,审核模式提供企业内行为的大量信息,为安全管理员判断应更改哪些规则到阻止模式提供宝贵信息。

Windows Defender Advanced Threat Protection

Windows Defender ATP提供单一界面管理并显示企业范围内管理终端上所有安全相关输入和事件。使用Windows Defender ATP可查看Exploit Guard事件的完整进程树,非常容易判断发生了什么并正确响应。下图示例显示Word中恶意文档被利用尝试在系统上保存可执行文件,但在访问C:\Demo文件夹时被阻止。

Exploit Guard还可在Windows Defender ATP控制台的安全分析仪表板中查看,使企业能够检查设备功能配置方式,并遵循基于安全配置最佳实践的建议。

最后,Windows Defender Exploit Guard是Windows 10 Fall Creators Update中添加的最重要新防御功能之一。在许多方面,它完成了预防性保护堆栈。同时部署Windows Defender防病毒和Windows Defender Exploit Guard的组织将发现其有效应对现代文件无攻击和主机入侵,并具备差异化解决方案。建议您尽快评估此功能,并期待您的反馈。

Misha Kutsovsky (@mkutsovsky) Program Manager, Windows Active Defense

相关术语:

  • 攻击面缩减(ASR)
  • Enhanced Mitigation Experience Toolkit (EMET)
  • 漏洞利用保护(Exploit Protection)
  • Windows 10 Fall Creators Update
  • Windows Defender ATP
  • Windows Defender Exploit Guard
  • 受控文件夹访问
  • 网络保护
  • 文件无恶意软件
  • 主机入侵防护
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次