文章总结: 本文通过实验展示静态免杀CobaltStrike后门被卡巴斯基KES行为检测组件拦截,核心是行为流签名BSS技术,通过分析行为序列检测恶意活动,弥补静态检测不足,成为现代EPP关键能力,建议企业选型时重视行为检测。 综合评分: 84 文章分类: 恶意软件,红队,安全工具,安全意识
从静态免杀到动态行为检测:EPP必备能力
原创
Gaojin Gaojin
网络与信息安全参考
2025年9月24日 11:31 山东
在小说阅读器读本章
去阅读
摘要: 随着网络攻击技术的不断演进,基于静态特征的恶意软件检测技术已难以应对日益增长的高级持续性威胁(APT)和免杀技术。本文以一个小实验为切入点:一个成功绕过静态病毒扫描的Cobalt Strike后门,在执行特定高敏感性操作时,被卡巴斯基端点安全(KES)的行为检测组件(PDM)成功拦截。本文简单介绍该现象背后的技术原理——行为流签名(BSS),并介绍了行为检测技术如何作为现代端点防护平台(EPP)的核心能力,有效弥补静态检测的不足,构建主动防御体系。本文进一步探讨了行为检测的技术实现、其与EDR的协同关系,并论证了行为检测能力已成为衡量EPP产品防护效能差异的关键指标。
关键词: 端点防护平台(EPP);行为检测;行为流签名(BSS);Cobalt Strike;免杀;卡巴斯基;主动防御
一、 引言:静态检测的失效与行为检测的崛起
在网络安全领域,攻防双方的博弈始终是技术驱动的核心。攻击者利用代码混淆、加密、加壳等手段对恶意软件进行“免杀”处理,使其哈希值、字符串等静态特征发生变化,从而轻松绕过依赖特征码的传统杀毒软件。
一个小实验案例极具说服力:经过免杀处理的Cobalt Strike(4.9.1)后门在VirusTotal上仅被 7 / 72 款引擎检测,且在目标终端(Windows 10 / Windows server 2022)的卡巴斯基KES(病毒库未升级)静态扫描下也安然无恙。这充分证明了仅依靠静态检测的局限性。
(Kes阻止读取操作系统凭证)
然而,恶意软件无论其静态形态如何变化,其最终目的(恶意行为)是相对固定的。例如,窃取凭证、横向移动、数据渗出等。行为检测技术正是基于这一核心思想,将防护重心从“它是什么”转向“它做了什么”,从而实现了对未知威胁的有效遏制。案例中,后门在运行ipconfig时未触发告警,而在执行whoami命令时被立即查杀,这一差异精准地揭示了行为检测的智能性与上下文关联性。
二、 核心技术剖析:行为流签名(BSS)与主动防御机制
卡巴斯基KES的帮助文档明确指出,其“行为检测”组件依赖于行为流签名(Behavior Stream Signature, BSS)。BSS是理解整个防御机制的关键。
1. BSS的本质: BSS并非一个单一的、孤立的动作特征码(如“调用了某个API”),而是一系列具有逻辑关联和时序关系的操作序列或行为模式的描述。它描述的是一个“故事脚本”,这个脚本描绘了恶意软件的典型攻击链。
- 低级行为原子: 系统监控应用程序的一系列低级操作,如进程创建、文件读写、注册表修改、网络连接、内存操作、访问特定敏感凭证存储等。
- 高级行为序列: BSS引擎将这些离散的“原子”行为按照其发生顺序和上下文关联起来,形成一个行为流。例如:“进程A(未知来源)创建了进程B(
whoami.exe)-> 进程A读取了进程B的输出 -> 进程A试图将输出内容通过网络发送到远程IP”。这一系列操作构成了一个可疑的“信息收集与外传”行为流。
2. 基于BSS的检测逻辑: 卡巴斯基的PDM(Proactive Defense Module,主动防御模块)在后台持续监控系统中所有进程的行为,并实时将其与内置的BSS库进行模式匹配。
-
案例深度分析:
-
ipconfigvswhoami: 运行ipconfig获取网络信息是一个相对普通的行为,许多合法软件也会进行此类操作。因此,仅此单一行为可能不足以触发高置信度的恶意BSS匹配。 -
触发点分析: 当攻击者在Cobalt Strike控制端下发
whoami命令时,后门进程(如beacon.exe)会执行以下关键序列: -
判决与响应: PDM模块识别到该行为流与某个已知的“Trojan.Win32.Generic”BSS高度匹配,因此立即判定为恶意软件,并执行预设的响应操作(终止进程、删除文件)。
- 创建高敏感性子进程: 创建系统工具进程
whoami.exe(其功能是查询当前用户权限,是渗透测试中横移前的关键步骤)。 - 窃取输出: 捕获
whoami.exe的命令行输出结果。 - 上下文关联: 结合该进程此前已建立的网络连接(回连C2服务器)、可能的提权尝试等行为,整个行为流构成了一个高度可疑的“攻击者意图获取当前权限上下文以备横向移动”的剧本。
3. 行为检测的优势:
- 对抗免杀: 不关心文件本身,只关心其行为,因此能有效对抗基于静态特征的免杀技术。
- 未知威胁检测: 能够发现尚未被收录到病毒库的零日威胁或新型变种。
- 攻击链中断: 能在攻击链的早期或中期阶段(如凭证窃取阶段)进行拦截,而非等到最终 payload 执行。
三、 行为检测:现代EPP能力差异的分水岭
终端防护平台(EPP)早已从单纯的“杀毒软件”演进为集成了预防、检测、响应于一体的综合安全平台。在这一演进过程中,行为检测能力的高低直接决定了EPP的防护天花板。
1. 基础EPP与高级EPP的区分:
- 基础EPP: 严重依赖特征码、启发式扫描和云查杀。对于静态免杀效果好的恶意软件防御能力有限。
- 高级EPP: 必须具备成熟、高效的行为检测引擎。该引擎需要具备低误报、高检出率的特点,并能与EDR(端点检测与响应)能力无缝集成。
2. 防护能力的纵深体现: 您的案例完美展示了EPP的纵深防御:
- 第一层(静态扫描): 被绕过。
- 第二层(行为检测/PDM): 成功拦截。
一个优秀的EPP,其行为检测引擎应能覆盖MITRE ATT&CK框架中的大量战术和技术,如执行、持久化、权限提升、防御规避、凭证访问、发现、横向移动等。卡巴斯基的PDM检测到whoami正是对“发现(Discovery)”战术的精准打击。
3. 与EDR的协同: 现代高端EPP通常与EDR功能绑定。行为检测是EDR的“触发器”和数据源。当BSS检测到可疑行为时,EPP不仅可以拦截,EDR组件还会记录下完整的行为序列、进程树、网络连接等“取证数据”,为安全分析师进行事件调查和威胁狩猎提供更有价值的线索。
EPP应对免杀后的CS后门
浅谈对抗BRC4与卡巴斯基相关方案测试
四、 结论与展望
综上所述,您所经历的攻防对抗案例绝非偶然,它是现代安全技术发展的一个缩影。静态检测作为基础防线依然必要,但已绝非万能。行为检测技术,以其对恶意软件本质——恶意行为——的深刻洞察,成为了现代EPP应对高级威胁的“杀手锏”,是体现产品间防护能力差异的关键功能。
卡巴斯基KES凭借其强大的BSS库和PDM模块,能够在病毒库未更新的情况下,仅凭行为分析就精准查杀静态免杀的Cobalt Strike后门,这充分证明了其主动防御引擎的先进性和可靠性。
未来展望: 行为检测技术本身也在不断进化。未来的趋势将结合:
- 机器学习/人工智能: 用于生成和优化BSS,实现对更复杂、更隐蔽攻击行为的检测。
- 威胁情报集成: 将全球的攻击技战术情报快速转化为可执行的BSS规则。
- 低交互仿真沙箱: 在内存中轻量级地模拟执行可疑代码片段,以触发其恶意行为进而检测,进一步增加攻击者的绕过难度。
因此,对于企业安全建设而言,在选型EPP产品时,必须将其行为检测能力作为核心评估指标,深入了解其技术原理、检测覆盖面和实战效果,从而构建起真正有效的端点防护体系。
参考文献: [1] Kaspersky. Kaspersky Endpoint Security for Windows Help Library.
https://support.kaspersky.com/KESWin/12.10/zh-Hans/151031.htm
[2] MITRE. MITRE ATT&CK Framework.
https://attack.mitre.org/
[3] VirusTotal
https://www.virustotal.com/
[4] Cobalt Strike. Help Systems
home
更多 卡巴斯基 APT检测与响应,以及 SOC运营 解决方案详情,请联系:
路文杰 – 156 6269 0813
高 进 – 186 6376 1060****
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:网络与信息安全参考 Gaojin Gaojin《从静态免杀到动态行为检测:EPP必备能力》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。



![[ACTF2020新生赛]Upload](/images/random/titlepic/4.jpg)






评论