端点检测和响应EDR与OSSEC

1. EDR的由来

任何具有网络 IP 地址的设备，只要被允许与组织的网络进行交互，都是一个端点。

下面是一些关键端点威胁:

• 可执行文件包（恶意软件）
• 潜在不受欢迎程序 (PUA)，比如广告软件
• 勒索软件，比如文件加密器和磁盘加密器（擦除器）
• 基于漏洞的攻击和文件攻击，比如伪装后的文档（通常是经过精心制作或修改以造成损害的办公程序）和恶意脚本（通常是隐藏在合法程序和网站中的恶意代码）
• 主动攻击技术，包括权限提升（攻击者在系统中获取额外访问权限的方法）、身份盗窃（窃取用户名和密码）和代码洞（将恶意代码隐藏在合法应用程序中）等等。

在过去十多年里，端点安全仅仅指的是杀毒软件一种产品。随着安全威胁形态的演化，传统端点安全产品存在的问题越来越突出：应对机制是被动的，组织只有受到攻击后才能感知和捕获，并将其特征放到病毒库中，然后通过升级杀毒软件并应用到用户才能应对。

Gartner 的 AntonChuvakin 于 2013 年 7 月首次创造了端点威胁检测和响应 (Endpoint Threat Detection and Response，ETDR) 这一术语，用来定义一种 “检测和调查主机 / 端点上可疑活动（及其痕迹）” 的工具。后来通常称为端点检测和响应 (EDR)。EDR 的出现有助于解决这些问题：要 “看到” 未知威胁是非常有难度的，其关键就在于检测异常行为。EDR 通过对端点进行持续检测，发现异常行为并进行实时干预，同时通过应用程序对操作系统调用等异常行为分析，检测和防护未知威胁，结合机器学习和人工智能辅助判断，最终达到杀毒软件无法解决未知威胁的目的。

2. OSSEC

OSSEC是一个将HIDS（基于主机的入侵检测），日志监视以及安全事件管理（SIM）/安全信息和事件管理（SIEM）结合在一起的系统。

2.1 主要功能

2.1.1 文件完整性检查

无论攻击手段有多么高明，最终的目的是以某种方式改变系统，从修改文件的病毒到改变内核的后门程序，系统的完整性总会有一些变化。

比如：

• Windows注册表中密钥文件的MD5/SHA1校验和的更改来检测系统完整性的变化
• Linux 一切皆文件，md5变化

2.1.2 日志监控

OSSEC收集，分析并关联操作系统中的日志（应用程序、配置更改等），以让您知道是否正在发生可疑事件（攻击，滥用，错误等）。

日志的监控可分为两种

• 一种是被动的采集，通过采集需要的日志，读取日志信息，标准化输出适应安全规则使用的内容，当匹配到内置或者自定义的规则，随后输出实时告警，从而发现异常；
• 另一种是主动的查询，通过周期下发命令查询系统状态信息，然后进行新旧信息比对，从而发现异常。

常用的日志类型：Web日志、用户登录、账号密码变更，启动项变更，服务监听变更、文件系统状态、应用安装卸载等

2.1.3 Rootkit检测

Rootkit是一种特殊的恶意软件，与病毒或者木马不同的是，Rootkit试图通过隐藏自己来防止被发现，以达到长期利用受害主机的目的。

Rootkit的基本功能：

• 隐藏文件
• 隐藏进程
• 隐藏网络端口
• 隐藏内核模块等
• 后门功能
• 键盘记录器

Rootkit分为两种：

• 用户态Rootkit（User-mode Rootkit）。一般通过覆盖系统二进制和库文件来实现
• 内核态Rootkit（Kernel-mode Rootkit）。通常通过可加载内核模块（Loadable KernelModule，LKM）将恶意代码直接加载进内核中

rootkit检测方法：

• 扫描/ dev目录以查找异常。/ dev应该只具有设备文件和Makedev脚本。许多rootkit使用/ dev隐藏文件。该技术甚至可以检测到非公开的rootkit。
• 扫描整个文件系统以查找异常文件和权限问题。由root拥有的文件具有对他人的写许可，这是非常危险的，rootkit检测将寻找它们。Suid文件，隐藏目录和文件也将被检查。
• 寻找隐藏进程的存在。我们使用getsid（）和kill（）来检查是否正在使用任何pid。如果使用了pid，但“ ps”看不到，则表示内核级rootkit或“ ps”的木马版本。我们还验证了kill和getsid的输出是否相同。
• 寻找隐藏端口的存在。我们使用bind（）检查系统上的每个tcp和udp端口。如果我们无法绑定到端口（正在使用该端口），但是netstat没有显示该端口，则可能是安装了rootkit
• 扫描系统上的所有接口，并查找启用了“混杂”模式的接口。如果接口处于混杂模式，则“ ifconfig”的输出应显示该信息。如果没有，我们可能安装了rootkit。

2.1.4 实时告警

ossec支持实时邮件告警、syslog告警、写数据库、输出json等方式

2.1.5 积极响应

OSSEC是一款准EDR产品，其中体现的‘R’技术，就是指的的这个主动响应。

我们可以根据特定的服务器或服务器组(agent)、特定的规则ID等多个条件关联触发响应动作，响应的动作可以通过脚本程序去实现个性化的需求。

• 邮件提醒
• 指令下发边界安全设备或者安全组件

2.2 部署方式

OSSEC支持以下操作系统和日志格式。

2.2.1 操作系统代理

OSSEC代理支持以下操作系统：

GNU / Linux（所有发行版，包括RHEL，Ubuntu，Slackware，Debian等）
Windows XP，2003，Vista，2008、2012
VMWare ESX 3.0、3.5（包括CIS检查）
FreeBSD（所有当前版本）
OpenBSD（所有当前版本）
NetBSD（所有当前版本）
Solaris 2.7、2.8、2.9、10和11.4
AIX 5.2和5.3
Mac OS X 10.x
HP-UX 11

2.2.2 通过Syslog支持的设备

这些系统/设备也通过远程系统日志支持：

Cisco PIX，ASA和FWSM（所有版本）
Cisco IOS路由器（所有版本）
Juniper Netscreen（所有版本）
SonicWall防火墙（所有版本）
Checkpoint防火墙（所有版本）
Cisco IOS IDS / IPS模块（所有版本）
Sourcefire（Snort）IDS / IPS（所有版本）
Dragon NIDS（所有版本）
Checkpoint Smart Defense（所有版本）
McAfee VirusScan Enterprise（v8和v8.5）
Bluecoat代理（所有版本）
Cisco VPN集中器（所有版本）
VMWare ESXi 4.x版

2.2.3 无代理扫描

使用OSSEC无代理选项，还支持以下系统（用于日志分析和文件完整性检查）：

Cisco PIX，ASA和FWSM（所有版本）
Cisco IOS路由器（所有版本）
Juniper Netscreen（所有版本）
SonicWall防火墙（所有版本）
Checkpoint防火墙（所有版本）

3. 参考

矛与盾安全小组
https://www.ossec.net/docs/