本文是iOA-EDR技術系列主打文章的第二篇

作者：騰訊安全專家工程師 聶子瀟

一、星星之火可以燎原

2024年7月19日中午，一臺臺Windows終端悄然染成藍色。隨即，如“藍色焰�！币话愕腎T故障在各個國家蔓延開來，迅速席卷全球。無數(shù)航班晚點，銀行、醫(yī)療、金融等行業(yè)的IT系統(tǒng)相繼出現(xiàn)異常，受到影響的用戶們紛紛在X、臉書、微博等社交媒體上報告求助。

（一位小紅書博主在旅途中遇到航司系統(tǒng)宕機，被迫領取了手寫登機牌）

起初人們迅速向微軟發(fā)出問詢，但很快就有了進一步進展：事件并非出自系統(tǒng)本身的故障，而是由部分企業(yè)安裝的一款安全軟件功能故障引發(fā)。為啥日常電腦上使用的一款軟件，竟然有如此的能量和威力去造成這場引起全球關注的IT故障呢？讓我們從安全軟件的底層工作原理出發(fā)，挖掘這次事件背后的“主角”，搞清楚它為什么會有如此廣泛的破壞力，以及背后的癥結到底是什么。

二、貓鼠游戲誕生記

1971 年，研究員鮑勃·托馬斯 (Bob Thomas) 開發(fā)出了第一個病毒，稱為 Creeper。該病毒通過 ARPANET（第一個計算機網(wǎng)絡）傳播，感染設備后會顯示一條消息：“我是 Creeper，有本事來抓我呀”。隨后，電子郵件的發(fā)明者雷·湯姆林森 (Ray Tomlinson) 開發(fā)了一個名為 Reaper 的程序，試圖追蹤并消滅 Creeper，這個程序則被視為殺毒軟件的起源。 

從這個殺軟誕生的故事中不難看出，殺毒軟件的工作模式本質是一場貓鼠游戲，惡意程序就好比要偷吃的老鼠，而殺毒軟件就是看守的貓，雙方你追我趕，老鼠為了逃避貓的追捕，會不斷演變自身的偽裝和隱匿手段，而貓則需要不斷提升自己的火眼金睛，透過層層偽裝，抓住躲藏的老鼠。 

雙方從定位上來說是敵人，從進化角度來說卻亦師亦友，從對抗中相互促進學習成長，仿佛宿命中的相互糾纏的螺旋不斷前進。

三、安全軟件的難言之隱

1、來自系統(tǒng)內核層的監(jiān)視之眼

伴隨著攻守雙方的不斷進化，安全軟件發(fā)展到今天，早已與操作系統(tǒng)緊密結合。只有掌握操作系統(tǒng)最高權限的尚方寶劍，安全軟件才能與手段層出不窮的惡意程序斗爭。操作系統(tǒng)一般會對運行權限做層次劃分：內核代碼一般工作在內核層（Ring0），而我們常說的應用程序工作在應用層（Ring3）。內核層享有最高的執(zhí)行權限，能夠訪問操作系統(tǒng)上所有的設備和信息，同時一旦內核層發(fā)生異常崩潰，整個系統(tǒng)就無法繼續(xù)運轉，進而會出現(xiàn)經(jīng)典的藍屏提示。而應用層則只能訪問應用本身的一些常規(guī)權限資源，即使出現(xiàn)崩潰也只會影響自身軟件進程，對操作系統(tǒng)不會產(chǎn)生影響。

現(xiàn)代的安全軟件往往都會在內核層安裝自己的安全模塊（也有部分低級別的安全軟件沒有內核模塊），從而基于內核層的最高權限，實現(xiàn)“上帝之眼”的效果，監(jiān)視整個操作系統(tǒng)上每時每刻發(fā)生的不同類型的事件。安全軟件24小時不間斷地分析和比對這些事件，進而過濾出潛在威脅，將事件及時的阻斷和扼殺，通過審核模式的工作原理，來實現(xiàn)保衛(wèi)操作系統(tǒng)的安全。

（操作系統(tǒng)不同層次的運行權限）

2、安全軟件的終端架構

一個完整安全軟件的終端架構，從核心功能角度來劃分，大部分都具備以下一些安全模塊：首先，工作在系統(tǒng)最高權限層的內核模塊，一般負責與系統(tǒng)內核接口打交道，獲取系統(tǒng)第一手的實時日志信息，類似于情報收集部門的職能。

同時，由于該模塊在內核層有最高權限，可以在系統(tǒng)執(zhí)行層面第一時間阻斷惡意攻擊，因而也會承擔一部分阻斷惡意攻擊的職能，實現(xiàn)惡意攻擊的事前阻斷能力。

其次，應用層的策略審核模塊，類似安全指揮部門，負責審核內核模塊采集到的實時日志，將日志上報到云端后臺，同時對于一些審核有威脅的日志，按策略配置進行響應處置。

（內核模塊與策略審核模塊的職能劃分）

3、如履薄冰的系統(tǒng)審核員

從上述安全軟件的終端架構中，不難看出，安全軟件已經(jīng)演變?yōu)椴僮飨到y(tǒng)上的一切行為審核員，擁有行為的最終解釋權。

但所謂權力越大責任也就越大，安全軟件擁有操作系統(tǒng)的核心審核權，一旦權力使用不當就會帶來難以預期的后果。例如審核錯誤阻止了合法的行為，可能導致系統(tǒng)軟件異常失��；審核速度過慢，可能導致系統(tǒng)和軟件運行卡頓；審核過程中錯誤修改或影響了合法行為的屬性，也可能導致系統(tǒng)異�；蜍浖�錯誤。在此之上，即使審核員的操作完全合規(guī)正確，但動作本身如果出現(xiàn)編程錯誤，還是會造成系統(tǒng)藍屏的嚴重風險。如果故障發(fā)生在內核啟動階段，還會造成重啟后繼續(xù)藍屏，也就是我們常說的無限循環(huán)藍屏的更嚴重問題。

可以說，安全軟件借助系統(tǒng)的最高權限來防范攻擊，但也因為最高權限的便利性帶來了重大的責任風險。安全軟件扮演的系統(tǒng)審核員，必須對每一步都要做到戰(zhàn)戰(zhàn)兢兢，如臨深淵，如履薄冰。

4、難以平衡的攻守矛盾

正因為這份如履薄冰的責任，安全軟件與惡意程序的對抗才會如此周而復始持續(xù)這么多年。安全軟件需要恪守不影響系統(tǒng)穩(wěn)定性的底線，導致在與惡意程序的對抗中畏首畏尾。這也是安全軟件無法創(chuàng)造出一個大殺器來徹底結束這場攻防對抗“貓鼠游戲”的核心原因。

其背后的本質，是安全軟件既要保證系統(tǒng)上的合法行為不受到影響，又要避免不法威脅行為潛藏在合法行為中偷偷潛入，這是一場解不開的天然矛盾。任何對偽裝者的檢查和判定，都必然導致對合法行為進行相同的盤問，從而產(chǎn)生產(chǎn)生額外的執(zhí)行開銷。要求安全軟件既做到鐵面無私（對待惡意攻擊），又做到柔情似水（對待合法行為），恰恰是安全軟件當前面臨最大的難點和矛盾，也是安全軟件安身立命的根本。

四、騰訊iOA-EDR實踐之路

1、防守之路上三岔口發(fā)展到今天，安全類產(chǎn)品百家爭鳴，爭奇斗艷，但萬變不離其宗，延續(xù)上面的攻守矛盾觀點，安全軟件整體的發(fā)展猶如一個三岔口。

第一條路是以攻為守，以極客精神的思路主導，崇尚以對抗惡意程序的本職為第一目標，整體架構優(yōu)先圍繞對抗惡意程序來設計。這種架構在海外的安全產(chǎn)品中較為常見，將安全軟件的功能模塊更多集成到系統(tǒng)的內核層，優(yōu)勢在于能夠在第一現(xiàn)場快速響應和對抗惡意攻擊，并且整體對抗更加集中和高效、簡潔。

第二條路是全面防守，穩(wěn)字當頭的思路主導，整體架構完全不進入內核層，只使用系統(tǒng)本身的安全接口來與惡意程序對抗。這類架構一般出現(xiàn)在輔助采集類的安全產(chǎn)品上，架構的優(yōu)勢很明顯，極大降低了對系統(tǒng)穩(wěn)定性和兼容性的影響，但隨之而來的問題是在與惡意程序的對抗上捉襟見肘。

第三條路，是選擇一種攻守兼顧的架構，既要保證擁有內核層的核心能力，又盡可能降低對核心層的依賴，讓內核層功能純凈簡單，把大部分功能邏輯放在應用層模塊上。這種架構的優(yōu)勢則比較平衡，既保證安全能力能夠對抗惡意程序，又一定程度上兼顧了系統(tǒng)的穩(wěn)定性和兼容性。如何在三岔口進行權衡，是這個架構最為混沌和復雜的地方。

（三種不同的防御策略）

2、千里之行始于“踩坑”

騰訊EDR以騰訊二十多年的深研發(fā)展為基石，經(jīng)歷過C端海量用戶，也在B端市場摸爬滾打，踩坑和挨打的經(jīng)驗難能可貴。一個成熟的產(chǎn)品背后往往是無數(shù)個填坑的日日夜夜，系統(tǒng)藍屏、兼容性故障、電腦卡頓、軟件異常、搶修大大小小的事故，這些都是安全軟件的必修課。我們意識到，安全軟件的第一道坎不是安全能力，而是保障用戶的使用體驗和避免故障。我們不斷累積兼容性處理方案庫，是因為通殺型解決方案雖然可以極大降低故障的影響范圍，但依然需要大量長尾的針對性解決方案，只能靠時間和量級的沉淀來收獲最終的穩(wěn)定。

3、最小化原則架構

安全軟件的穩(wěn)定性保障一直是我們的重中之重。因此，騰訊安全EDR沒有采用海外產(chǎn)品偏好的強內核功能架構，而是采取攻守兼顧的架構原則。整體架構的設計原則，是在滿足惡意程序對抗的前提下，最小化使用系統(tǒng)底層權限，最大化保證系統(tǒng)的穩(wěn)定性和兼容性。

整體架構依舊分內核和應用層兩層，在內核層中的模塊以最小化原則來設計，只做系統(tǒng)底層接口能力的擴展封裝，不做邏輯和策略的執(zhí)行。整個產(chǎn)品功能的策略邏輯的實現(xiàn)，則都放在應用層來指揮，內核層完全融合為系統(tǒng)底層的接口擴展，不承擔業(yè)務的策略邏輯執(zhí)行。這樣的架構在內核層面極致簡潔，不需要因為功能迭代經(jīng)常變更，更容易打磨穩(wěn)定后持續(xù)提供能力，能夠最大限度保障穩(wěn)定性的要求。而與安全對抗的變更部分都在應用層的策略模塊，這樣產(chǎn)生故障的時候，不容易出現(xiàn)藍屏或者系統(tǒng)層面的故障，以及和軟件產(chǎn)生兼容性問題。

內核模塊層面也盡可能極致降低權限依賴，采取純異步采集模式（旁路模式），接受到系統(tǒng)通知的第一時間就發(fā)送旁路日志消息到工作隊列中，后續(xù)功能流程即可避免對系統(tǒng)和軟件產(chǎn)生影響。該架構準則同樣也應用到了應用層的進程注入采集功能上。

另外一種影響安全軟件兼容性的功能是進程注入類的采集功能。該功能往往應對一些高級復雜威脅，需要采集系統(tǒng)的API調用序列來識別惡意風險。騰訊EDR在進程注入采集上也是執(zhí)行的最小化原則，首先范圍層面最小化，只注入可疑的入侵進程，不影響系統(tǒng)和常用軟件進程。第二采集層面純異步化，采集數(shù)據(jù)后第一時間旁路，盡可能降低對原進程的影響。

（騰訊安全EDR和在系統(tǒng)中的設計原則）

4、更進一步智能采集

采用最小化安全架構，騰訊安全EDR從根本上降低了對系統(tǒng)穩(wěn)定性和兼容性的影響。但架構只是影響穩(wěn)定性和兼容性的一環(huán)，如何采集和執(zhí)行策略邏輯也會對結果產(chǎn)生關鍵影響。邏輯的錯誤或者不適當可能造成CPU持續(xù)高企、使用不流暢等系統(tǒng)層問題。

因為終端采集會被動采集系統(tǒng)上所有的行為，一旦系統(tǒng)上某些服務軟件在進行極其頻繁的操作，就有可能導致安全軟件的采集模塊突然高頻工作，繼而誘發(fā)一些性能層面的卡頓。這時需要采集的策略模塊足夠智能和自適應去規(guī)避這些場景的發(fā)生。

騰訊安全EDR在采集策略層面，使用的是基于行為可疑度過濾方案，即在終端架構中內置了騰訊自研的行為鏈關聯(lián)引擎，能夠將終端上發(fā)生的多個同源行為串成一個執(zhí)行鏈。通過對完整的同源執(zhí)行鏈進行可疑度判定，依據(jù)執(zhí)行鏈的來源渠道、文件的云鑒定信息、文件的簽名信息，以及是否關聯(lián)腳本、壓縮包信息等等加強判斷的準確度。

舉個例子，兩個行為鏈，一條是從瀏覽器下載壓縮包，解壓釋放文件，進而啟動腳本進行網(wǎng)絡訪問，那么該鏈上的所有文件都會被追蹤標記來增強采集策略，而對于系統(tǒng)進程或常用軟件進程釋放和執(zhí)行的一些行為鏈，則減弱采集策略。這樣可以極大降低對合法系統(tǒng)和軟件的采集力度，降低CPU和性能開銷。而當有真正可疑威脅進入的時候，安全軟件會開足馬力重點監(jiān)控采集數(shù)據(jù)，猶如在終端擁有一個經(jīng)驗老道的安全專家做指揮，做到指哪打哪，有的放矢的智能安全架構。

（騰訊安全EDR的智能采集路徑與決策）

五、安全行業(yè)警鐘長鳴

水能載舟亦能覆舟，這場影響全球的IT故障，也給安全行業(yè)敲響了警鐘：安全軟件的基石是與惡意程序對抗。當安全廠商肩負著安全這一至高責任的時候，每一位用戶的使用體驗才是基石下的土壤。如果盲目追求技術的極致而忽略了體驗，那么下一次IT事故的倒計時就會再度開始。