本文是iOA-EDR技術(shù)系列主打文章的第二篇

作者：騰訊安全專(zhuān)家工程師 聶子瀟

一、星星之火可以燎原

2024年7月19日中午，一臺(tái)臺(tái)Windows終端悄然染成藍(lán)色。隨即，如“藍(lán)色焰�！币话愕腎T故障在各個(gè)國(guó)家蔓延開(kāi)來(lái)，迅速席卷全球。無(wú)數(shù)航班晚點(diǎn)，銀行、醫(yī)療、金融等行業(yè)的IT系統(tǒng)相繼出現(xiàn)異常，受到影響的用戶們紛紛在X、臉書(shū)、微博等社交媒體上報(bào)告求助。

（一位小紅書(shū)博主在旅途中遇到航司系統(tǒng)宕機(jī)，被迫領(lǐng)取了手寫(xiě)登機(jī)牌）

起初人們迅速向微軟發(fā)出問(wèn)詢，但很快就有了進(jìn)一步進(jìn)展：事件并非出自系統(tǒng)本身的故障，而是由部分企業(yè)安裝的一款安全軟件功能故障引發(fā)。為啥日常電腦上使用的一款軟件，竟然有如此的能量和威力去造成這場(chǎng)引起全球關(guān)注的IT故障呢？讓我們從安全軟件的底層工作原理出發(fā)，挖掘這次事件背后的“主角”，搞清楚它為什么會(huì)有如此廣泛的破壞力，以及背后的癥結(jié)到底是什么。

二、貓鼠游戲誕生記

1971 年，研究員鮑勃·托馬斯 (Bob Thomas) 開(kāi)發(fā)出了第一個(gè)病毒，稱為 Creeper。該病毒通過(guò) ARPANET（第一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)）傳播，感染設(shè)備后會(huì)顯示一條消息：“我是 Creeper，有本事來(lái)抓我呀”。隨后，電子郵件的發(fā)明者雷·湯姆林森 (Ray Tomlinson) 開(kāi)發(fā)了一個(gè)名為 Reaper 的程序，試圖追蹤并消滅 Creeper，這個(gè)程序則被視為殺毒軟件的起源。 

從這個(gè)殺軟誕生的故事中不難看出，殺毒軟件的工作模式本質(zhì)是一場(chǎng)貓鼠游戲，惡意程序就好比要偷吃的老鼠，而殺毒軟件就是看守的貓，雙方你追我趕，老鼠為了逃避貓的追捕，會(huì)不斷演變自身的偽裝和隱匿手段，而貓則需要不斷提升自己的火眼金睛，透過(guò)層層偽裝，抓住躲藏的老鼠。 

雙方從定位上來(lái)說(shuō)是敵人，從進(jìn)化角度來(lái)說(shuō)卻亦師亦友，從對(duì)抗中相互促進(jìn)學(xué)習(xí)成長(zhǎng)，仿佛宿命中的相互糾纏的螺旋不斷前進(jìn)。

三、安全軟件的難言之隱

1、來(lái)自系統(tǒng)內(nèi)核層的監(jiān)視之眼

伴隨著攻守雙方的不斷進(jìn)化，安全軟件發(fā)展到今天，早已與操作系統(tǒng)緊密結(jié)合。只有掌握操作系統(tǒng)最高權(quán)限的尚方寶劍，安全軟件才能與手段層出不窮的惡意程序斗爭(zhēng)。操作系統(tǒng)一般會(huì)對(duì)運(yùn)行權(quán)限做層次劃分：內(nèi)核代碼一般工作在內(nèi)核層（Ring0），而我們常說(shuō)的應(yīng)用程序工作在應(yīng)用層（Ring3）。內(nèi)核層享有最高的執(zhí)行權(quán)限，能夠訪問(wèn)操作系統(tǒng)上所有的設(shè)備和信息，同時(shí)一旦內(nèi)核層發(fā)生異常崩潰，整個(gè)系統(tǒng)就無(wú)法繼續(xù)運(yùn)轉(zhuǎn)，進(jìn)而會(huì)出現(xiàn)經(jīng)典的藍(lán)屏提示。而應(yīng)用層則只能訪問(wèn)應(yīng)用本身的一些常規(guī)權(quán)限資源，即使出現(xiàn)崩潰也只會(huì)影響自身軟件進(jìn)程，對(duì)操作系統(tǒng)不會(huì)產(chǎn)生影響。

現(xiàn)代的安全軟件往往都會(huì)在內(nèi)核層安裝自己的安全模塊（也有部分低級(jí)別的安全軟件沒(méi)有內(nèi)核模塊），從而基于內(nèi)核層的最高權(quán)限，實(shí)現(xiàn)“上帝之眼”的效果，監(jiān)視整個(gè)操作系統(tǒng)上每時(shí)每刻發(fā)生的不同類(lèi)型的事件。安全軟件24小時(shí)不間斷地分析和比對(duì)這些事件，進(jìn)而過(guò)濾出潛在威脅，將事件及時(shí)的阻斷和扼殺，通過(guò)審核模式的工作原理，來(lái)實(shí)現(xiàn)保衛(wèi)操作系統(tǒng)的安全。

（操作系統(tǒng)不同層次的運(yùn)行權(quán)限）

2、安全軟件的終端架構(gòu)

一個(gè)完整安全軟件的終端架構(gòu)，從核心功能角度來(lái)劃分，大部分都具備以下一些安全模塊：首先，工作在系統(tǒng)最高權(quán)限層的內(nèi)核模塊，一般負(fù)責(zé)與系統(tǒng)內(nèi)核接口打交道，獲取系統(tǒng)第一手的實(shí)時(shí)日志信息，類(lèi)似于情報(bào)收集部門(mén)的職能。

同時(shí)，由于該模塊在內(nèi)核層有最高權(quán)限，可以在系統(tǒng)執(zhí)行層面第一時(shí)間阻斷惡意攻擊，因而也會(huì)承擔(dān)一部分阻斷惡意攻擊的職能，實(shí)現(xiàn)惡意攻擊的事前阻斷能力。

其次，應(yīng)用層的策略審核模塊，類(lèi)似安全指揮部門(mén)，負(fù)責(zé)審核內(nèi)核模塊采集到的實(shí)時(shí)日志，將日志上報(bào)到云端后臺(tái)，同時(shí)對(duì)于一些審核有威脅的日志，按策略配置進(jìn)行響應(yīng)處置。

（內(nèi)核模塊與策略審核模塊的職能劃分）

3、如履薄冰的系統(tǒng)審核員

從上述安全軟件的終端架構(gòu)中，不難看出，安全軟件已經(jīng)演變?yōu)椴僮飨到y(tǒng)上的一切行為審核員，擁有行為的最終解釋權(quán)。

但所謂權(quán)力越大責(zé)任也就越大，安全軟件擁有操作系統(tǒng)的核心審核權(quán)，一旦權(quán)力使用不當(dāng)就會(huì)帶來(lái)難以預(yù)期的后果。例如審核錯(cuò)誤阻止了合法的行為，可能導(dǎo)致系統(tǒng)軟件異常失��；審核速度過(guò)慢，可能導(dǎo)致系統(tǒng)和軟件運(yùn)行卡頓；審核過(guò)程中錯(cuò)誤修改或影響了合法行為的屬性，也可能導(dǎo)致系統(tǒng)異�；蜍浖�錯(cuò)誤。在此之上，即使審核員的操作完全合規(guī)正確，但動(dòng)作本身如果出現(xiàn)編程錯(cuò)誤，還是會(huì)造成系統(tǒng)藍(lán)屏的嚴(yán)重風(fēng)險(xiǎn)。如果故障發(fā)生在內(nèi)核啟動(dòng)階段，還會(huì)造成重啟后繼續(xù)藍(lán)屏，也就是我們常說(shuō)的無(wú)限循環(huán)藍(lán)屏的更嚴(yán)重問(wèn)題。

可以說(shuō)，安全軟件借助系統(tǒng)的最高權(quán)限來(lái)防范攻擊，但也因?yàn)樽罡邫?quán)限的便利性帶來(lái)了重大的責(zé)任風(fēng)險(xiǎn)。安全軟件扮演的系統(tǒng)審核員，必須對(duì)每一步都要做到戰(zhàn)戰(zhàn)兢兢，如臨深淵，如履薄冰。

4、難以平衡的攻守矛盾

正因?yàn)檫@份如履薄冰的責(zé)任，安全軟件與惡意程序的對(duì)抗才會(huì)如此周而復(fù)始持續(xù)這么多年。安全軟件需要恪守不影響系統(tǒng)穩(wěn)定性的底線，導(dǎo)致在與惡意程序的對(duì)抗中畏首畏尾。這也是安全軟件無(wú)法創(chuàng)造出一個(gè)大殺器來(lái)徹底結(jié)束這場(chǎng)攻防對(duì)抗“貓鼠游戲”的核心原因。

其背后的本質(zhì)，是安全軟件既要保證系統(tǒng)上的合法行為不受到影響，又要避免不法威脅行為潛藏在合法行為中偷偷潛入，這是一場(chǎng)解不開(kāi)的天然矛盾。任何對(duì)偽裝者的檢查和判定，都必然導(dǎo)致對(duì)合法行為進(jìn)行相同的盤(pán)問(wèn)，從而產(chǎn)生產(chǎn)生額外的執(zhí)行開(kāi)銷(xiāo)。要求安全軟件既做到鐵面無(wú)私（對(duì)待惡意攻擊），又做到柔情似水（對(duì)待合法行為），恰恰是安全軟件當(dāng)前面臨最大的難點(diǎn)和矛盾，也是安全軟件安身立命的根本。

四、騰訊iOA-EDR實(shí)踐之路

1、防守之路上三岔口發(fā)展到今天，安全類(lèi)產(chǎn)品百家爭(zhēng)鳴，爭(zhēng)奇斗艷，但萬(wàn)變不離其宗，延續(xù)上面的攻守矛盾觀點(diǎn)，安全軟件整體的發(fā)展猶如一個(gè)三岔口。

第一條路是以攻為守，以極客精神的思路主導(dǎo)，崇尚以對(duì)抗惡意程序的本職為第一目標(biāo)，整體架構(gòu)優(yōu)先圍繞對(duì)抗惡意程序來(lái)設(shè)計(jì)。這種架構(gòu)在海外的安全產(chǎn)品中較為常見(jiàn)，將安全軟件的功能模塊更多集成到系統(tǒng)的內(nèi)核層，優(yōu)勢(shì)在于能夠在第一現(xiàn)場(chǎng)快速響應(yīng)和對(duì)抗惡意攻擊，并且整體對(duì)抗更加集中和高效、簡(jiǎn)潔。

第二條路是全面防守，穩(wěn)字當(dāng)頭的思路主導(dǎo)，整體架構(gòu)完全不進(jìn)入內(nèi)核層，只使用系統(tǒng)本身的安全接口來(lái)與惡意程序?qū)�抗。這類(lèi)架構(gòu)一般出現(xiàn)在輔助采集類(lèi)的安全產(chǎn)品上，架構(gòu)的優(yōu)勢(shì)很明顯，極大降低了對(duì)系統(tǒng)穩(wěn)定性和兼容性的影響，但隨之而來(lái)的問(wèn)題是在與惡意程序的對(duì)抗上捉襟見(jiàn)肘。

第三條路，是選擇一種攻守兼顧的架構(gòu)，既要保證擁有內(nèi)核層的核心能力，又盡可能降低對(duì)核心層的依賴，讓內(nèi)核層功能純凈簡(jiǎn)單，把大部分功能邏輯放在應(yīng)用層模塊上。這種架構(gòu)的優(yōu)勢(shì)則比較平衡，既保證安全能力能夠?qū)�抗惡意程序，又一定程度上兼顧了系統(tǒng)的穩(wěn)定性和兼容性。如何在三岔口進(jìn)行權(quán)衡，是這個(gè)架構(gòu)最為混沌和復(fù)雜的地方。

（三種不同的防御策略）

2、千里之行始于“踩坑”

騰訊EDR以騰訊二十多年的深研發(fā)展為基石，經(jīng)歷過(guò)C端海量用戶，也在B端市場(chǎng)摸爬滾打，踩坑和挨打的經(jīng)驗(yàn)難能可貴。一個(gè)成熟的產(chǎn)品背后往往是無(wú)數(shù)個(gè)填坑的日日夜夜，系統(tǒng)藍(lán)屏、兼容性故障、電腦卡頓、軟件異常、搶修大大小小的事故，這些都是安全軟件的必修課。我們意識(shí)到，安全軟件的第一道坎不是安全能力，而是保障用戶的使用體驗(yàn)和避免故障。我們不斷累積兼容性處理方案庫(kù)，是因?yàn)橥�殺型解決方案雖然可以極大降低故障的影響范圍，但依然需要大量長(zhǎng)尾的針對(duì)性解決方案，只能靠時(shí)間和量級(jí)的沉淀來(lái)收獲最終的穩(wěn)定。

3、最小化原則架構(gòu)

安全軟件的穩(wěn)定性保障一直是我們的重中之重。因此，騰訊安全EDR沒(méi)有采用海外產(chǎn)品偏好的強(qiáng)內(nèi)核功能架構(gòu)，而是采取攻守兼顧的架構(gòu)原則。整體架構(gòu)的設(shè)計(jì)原則，是在滿足惡意程序?qū)�抗的前提下，最小化使用系統(tǒng)底層權(quán)限，最大化保證系統(tǒng)的穩(wěn)定性和兼容性。

整體架構(gòu)依舊分內(nèi)核和應(yīng)用層兩層，在內(nèi)核層中的模塊以最小化原則來(lái)設(shè)計(jì)，只做系統(tǒng)底層接口能力的擴(kuò)展封裝，不做邏輯和策略的執(zhí)行。整個(gè)產(chǎn)品功能的策略邏輯的實(shí)現(xiàn)，則都放在應(yīng)用層來(lái)指揮，內(nèi)核層完全融合為系統(tǒng)底層的接口擴(kuò)展，不承擔(dān)業(yè)務(wù)的策略邏輯執(zhí)行。這樣的架構(gòu)在內(nèi)核層面極致簡(jiǎn)潔，不需要因?yàn)楣δ艿�代�?jīng)常變更，更容易打磨穩(wěn)定后持續(xù)提供能力，能夠最大限度保障穩(wěn)定性的要求。而與安全對(duì)抗的變更部分都在應(yīng)用層的策略模塊，這樣產(chǎn)生故障的時(shí)候，不容易出現(xiàn)藍(lán)屏或者系統(tǒng)層面的故障，以及和軟件產(chǎn)生兼容性問(wèn)題。

內(nèi)核模塊層面也盡可能極致降低權(quán)限依賴，采取純異步采集模式（旁路模式），接受到系統(tǒng)通知的第一時(shí)間就發(fā)送旁路日志消息到工作隊(duì)列中，后續(xù)功能流程即可避免對(duì)系統(tǒng)和軟件產(chǎn)生影響。該架構(gòu)準(zhǔn)則同樣也應(yīng)用到了應(yīng)用層的進(jìn)程注入采集功能上。

另外一種影響安全軟件兼容性的功能是進(jìn)程注入類(lèi)的采集功能。該功能往往應(yīng)對(duì)一些高級(jí)復(fù)雜威脅，需要采集系統(tǒng)的API調(diào)用序列來(lái)識(shí)別惡意風(fēng)險(xiǎn)。騰訊EDR在進(jìn)程注入采集上也是執(zhí)行的最小化原則，首先范圍層面最小化，只注入可疑的入侵進(jìn)程，不影響系統(tǒng)和常用軟件進(jìn)程。第二采集層面純異步化，采集數(shù)據(jù)后第一時(shí)間旁路，盡可能降低對(duì)原進(jìn)程的影響。

（騰訊安全EDR和在系統(tǒng)中的設(shè)計(jì)原則）

4、更進(jìn)一步智能采集

采用最小化安全架構(gòu)，騰訊安全EDR從根本上降低了對(duì)系統(tǒng)穩(wěn)定性和兼容性的影響。但架構(gòu)只是影響穩(wěn)定性和兼容性的一環(huán)，如何采集和執(zhí)行策略邏輯也會(huì)對(duì)結(jié)果產(chǎn)生關(guān)鍵影響。邏輯的錯(cuò)誤或者不適當(dāng)可能造成CPU持續(xù)高企、使用不流暢等系統(tǒng)層問(wèn)題。

因?yàn)榻K端采集會(huì)被動(dòng)采集系統(tǒng)上所有的行為，一旦系統(tǒng)上某些服務(wù)軟件在進(jìn)行極其頻繁的操作，就有可能導(dǎo)致安全軟件的采集模塊突然高頻工作，繼而誘發(fā)一些性能層面的卡頓。這時(shí)需要采集的策略模塊足夠智能和自適應(yīng)去規(guī)避這些場(chǎng)景的發(fā)生。

騰訊安全EDR在采集策略層面，使用的是基于行為可疑度過(guò)濾方案，即在終端架構(gòu)中內(nèi)置了騰訊自研的行為鏈關(guān)聯(lián)引擎，能夠?qū)⒔K端上發(fā)生的多個(gè)同源行為串成一個(gè)執(zhí)行鏈。通過(guò)對(duì)完整的同源執(zhí)行鏈進(jìn)行可疑度判定，依據(jù)執(zhí)行鏈的來(lái)源渠道、文件的云鑒定信息、文件的簽名信息，以及是否關(guān)聯(lián)腳本、壓縮包信息等等加強(qiáng)判斷的準(zhǔn)確度。

舉個(gè)例子，兩個(gè)行為鏈，一條是從瀏覽器下載壓縮包，解壓釋放文件，進(jìn)而啟動(dòng)腳本進(jìn)行網(wǎng)絡(luò)訪問(wèn)，那么該鏈上的所有文件都會(huì)被追蹤標(biāo)記來(lái)增強(qiáng)采集策略，而對(duì)于系統(tǒng)進(jìn)程或常用軟件進(jìn)程釋放和執(zhí)行的一些行為鏈，則減弱采集策略。這樣可以極大降低對(duì)合法系統(tǒng)和軟件的采集力度，降低CPU和性能開(kāi)銷(xiāo)。而當(dāng)有真正可疑威脅進(jìn)入的時(shí)候，安全軟件會(huì)開(kāi)足馬力重點(diǎn)監(jiān)控采集數(shù)據(jù)，猶如在終端擁有一個(gè)經(jīng)驗(yàn)老道的安全專(zhuān)家做指揮，做到指哪打哪，有的放矢的智能安全架構(gòu)。

（騰訊安全EDR的智能采集路徑與決策）

五、安全行業(yè)警鐘長(zhǎng)鳴

水能載舟亦能覆舟，這場(chǎng)影響全球的IT故障，也給安全行業(yè)敲響了警鐘：安全軟件的基石是與惡意程序?qū)�抗。�?dāng)安全廠商肩負(fù)著安全這一至高責(zé)任的時(shí)候，每一位用戶的使用體驗(yàn)才是基石下的土壤。如果盲目追求技術(shù)的極致而忽略了體驗(yàn)，那么下一次IT事故的倒計(jì)時(shí)就會(huì)再度開(kāi)始。