在網(wǎng)絡威脅無處不在，且對于數(shù)據(jù)中心的攻擊日益猖獗的時代，安全保障已成為每臺機器保護用戶數(shù)據(jù)的必要條件。但是，許多安全產(chǎn)品無法有效地防御惡意軟件。此外，基于軟件的安全保障會消耗本應分配給用戶業(yè)務的計算和內存資源。

NVIDIA BlueField 智能網(wǎng)卡是一個先進的、可編程的以太網(wǎng)智能網(wǎng)卡，配備一系列 Arm 處理器核并集成了 NVIDIA ConnectX-5 網(wǎng)絡控制器。它解決了數(shù)據(jù)中心的安全保障，同時讓用戶獲得了應得的計算資源。

BlueField SoC 是智能網(wǎng)卡的核心，它在與潛在惡意軟件不同且隔離的可信域中運行帶外安全軟件。由于安全軟件運行在智能網(wǎng)卡的 Arm 核上，因此所有主機的計算資源均可留給用戶。在這個隔離環(huán)境中，智能網(wǎng)卡可以安全地訪問應用程序的數(shù)據(jù)來進行自檢，同時避免惡意軟件篡改數(shù)據(jù)，不會保留關于訪問時間和訪問數(shù)據(jù)的足跡。這項創(chuàng)新設計助力 BlueField 成為惡意軟件檢測和取證調查的出色解決方案。

惡意軟件是惡性、隱蔽的。它可以使用隱藏技術，避免被傳統(tǒng)軟件安全解決方案檢測到。這是因為通常用于檢測惡意軟件的數(shù)據(jù)本身就有問題。通常情況下，安全解決方案有數(shù)據(jù)采集階段，在此階段數(shù)據(jù)用于了解惡意軟件的活動。在傳統(tǒng)方法中，用于數(shù)據(jù)采集的軟件運行在同一臺被檢查的機器上。如果惡意軟件篡改了將要用于檢測的數(shù)據(jù)，則可能無法確定是否入侵。躲避觀察工具（例如，用于發(fā)現(xiàn)異常現(xiàn)象 ［IOC – Indications Of Compromise］ 的檢測軟件）的技術稱為反取證技術。惡意軟件可以使用相同的技術避開入侵檢測系統(tǒng) （IDS） 和入侵防御系統(tǒng) （IPS） 的檢測。

對于惡意行為的檢測失敗，可能發(fā)生在整個流程的任意一步。獲取數(shù)據(jù)是非常關鍵的一步。如果用于檢查的數(shù)據(jù)不可靠，則檢測系統(tǒng)可能找不到任何 IOC，因為所有的 IOC 標志都被惡意軟件隱藏了。從數(shù)據(jù)的獲取方法到定義信任的級別，都有許多待解答的問題：如安全 IDS/IPS 應用程序如何獲取數(shù)據(jù)？惡意軟件能否篡改 IDS 獲取的數(shù)據(jù)？

用于獲取數(shù)據(jù)的技術有很多，而且用于分析的數(shù)據(jù)也有多種類型。在本文中，我將簡單介紹一些常見的數(shù)據(jù)獲取方法和數(shù)據(jù)類型，以及它們之間的關系及其缺點。

反惡意軟件掃描工具

反惡意軟件用于我們要長久存儲的文件，也稱為靜態(tài)數(shù)據(jù)。我們可以在同一臺計算機上運行反惡意軟件來對磁盤進行分析，或從外部在另一臺不相關的機器上進行分析。當從外部對未加密的磁盤進行分析時，有可能來構建文件系統(tǒng)樹并掃描磁盤以尋找已知的 IOC。例如，通過掃描磁盤中的某個文件，可以對這個文件進行重構，并計算出一個哈希值。接著，利用不同的在線資源幫助我們來根據(jù)哈希值判斷其相關的文件是否惡意。但是，如果惡意軟件沒有存在硬盤上，則它在文件系統(tǒng)上可能沒有任何痕跡，導致反惡意軟件掃描技術無法檢測到受攻擊系統(tǒng)。

網(wǎng)絡入侵檢測系統(tǒng)

大多數(shù)攻擊都會在網(wǎng)絡上留下一些痕跡。例如，從主機中竊取機密并將其發(fā)送給遠程攻擊者的場景。檢測此類事件可以判斷出哪個 IP 地址可能執(zhí)行了攻擊及其攻擊目標。如今，大多數(shù) IDS 和 IPS 解決方案通過觀察網(wǎng)絡來發(fā)現(xiàn)惡意行為。網(wǎng)絡數(shù)據(jù)可以通過本機在本地收集，也可以從外部（例如，使用智能網(wǎng)卡或交換機）收集。

內存分析

運行時數(shù)據(jù)為您提供了更好的關于系統(tǒng)的可見性。通常通過兩種方法來獲取數(shù)據(jù)：侵入操作系統(tǒng)和不侵入操作系統(tǒng)。侵入方式是指一個授權的軟件可以關聯(lián)的操作系統(tǒng)中相關功能的事件和開關。例如，打開或關閉文件/ Socket 的事件將觸發(fā)收集關于哪個文件或Socket被打開或關閉，以及何時被打開和關閉的數(shù)據(jù)。

另一個例子是派生一個新進程。偵測軟件使用派生進程開關和執(zhí)行新進程的方法來檢測惡意行為。例如，它可以幫助解答新進程是否為惡意軟件。正在運行的進程應該會派生新進程嗎？高級的惡意軟件有可能操控這些關聯(lián)機制。

惡意軟件檢測

理想情況下，您想要從磁盤、網(wǎng)絡和內存三個地方來收集能反映系統(tǒng)狀態(tài)和行為狀態(tài)的數(shù)據(jù)。

大多數(shù)檢測技術都從網(wǎng)絡或磁盤來檢測 IOC。遺憾的是，此方法不足以應對現(xiàn)代惡意軟件的挑戰(zhàn)。研究人員指出，現(xiàn)代惡意軟件“詭計多端”，并且攻擊手段變得越來越高明。

例如，一些惡意軟件可以在攻擊系統(tǒng)而不再磁盤上留下任何痕跡，從而防止那些基于磁盤的檢測技術發(fā)現(xiàn)其蹤跡和惡意行為。通過網(wǎng)絡進行攻擊的惡意軟件就無法完全隱藏。但是，雖然網(wǎng)絡流量中可能包含許多受攻擊標志，但在很多時候，這些網(wǎng)絡流量是無狀態(tài)的、而且數(shù)量龐大、隨機性強且復雜難分析。即使發(fā)現(xiàn)了 IOC，也很難分析出惡意軟件影響到了哪些行為。要了解惡意軟件的行為和網(wǎng)絡流量包含的正確信息，您需要更深入地分析運行時環(huán)境。

要獲得惡意軟件活動的 “X 光”視圖，您需要在執(zhí)行過程中采集數(shù)據(jù)。通過運行時數(shù)據(jù)，可以更好地洞察事件和操作，例如正在運行的進程、網(wǎng)絡連接以及操作系統(tǒng)提供的各種初始值。透過運行時數(shù)據(jù)，可以更好地了解惡意軟件的行為；因此，檢測軟件可以更準確地識別惡意活動。

采集此類數(shù)據(jù)具有挑戰(zhàn)性?；谲浖慕鉀Q方案會產(chǎn)生觀察者效應，因為惡意軟件和 IDS 均在同一域運行并共享相同的資源。惡意軟件就可能操控 IDS 用于獲取數(shù)據(jù)的Hook和函數(shù)，從而導致數(shù)據(jù)的不可靠和受損。與其使用可能會被惡意軟件更改的Hook和函數(shù)，不如使用安全的方法從主機的物理內存（即系統(tǒng)的運行時執(zhí)行的地方）中獲取裸數(shù)據(jù)（Raw Data）。假設存在一種防篡改方法，可從主機的物理內存采集裸數(shù)據(jù)（Raw Data），則可以重建系統(tǒng)狀態(tài)。這包括內核內存、代碼和用戶態(tài)環(huán)境。

從原始內存（Raw Memory ）的Dump中構建的數(shù)據(jù)可以提供一個抽象來檢查和檢測攻擊。如果發(fā)生攻擊，無論是注入代碼、操控進程內存、派生新進程，還是為遠程攻擊者打開一個新網(wǎng)絡連接，都會表現(xiàn)為物理內存的變更。影響越大，內存中的失真現(xiàn)象越嚴重。

大部分的取證調查信息既包括網(wǎng)絡數(shù)據(jù)，也包括主機物理內存中的數(shù)據(jù)。這種組合可以構建準確的系統(tǒng)狀態(tài)副本。本文討論一種新穎提案，就是對于主機物理內存的可靠數(shù)據(jù)獲取。

帶外惡意軟件檢測

為檢測和分析惡意軟件，帶外設備會不定時地訪問和采集數(shù)據(jù)。得益于現(xiàn)代計算機架構以及 PCI Express （PCIe） 設備訪問主機物理內存的方式，基于硬件的數(shù)據(jù)采集方法被視為更加可靠且值得信賴的惡意軟件檢測方法。在大多數(shù)情況下，通過 PCIe 協(xié)議時，外圍設備可以直接訪問內存 （DMA） ，并對主機物理內存進行讀寫操作，而不會對主機上運行的軟件（包括惡意軟件）產(chǎn)生副作用。在一張PCIe卡上通過 PCIe 接口，能以每通道 8 Gbps （Gen3） 或 16 Gbps （Gen4） 的速度向主機物理內存進行讀寫操作。

圖 1.入侵檢測系統(tǒng)使用 PCIe 接口從主機物理內存讀取數(shù)據(jù)。

主機物理內存被分割為多個區(qū)域，在啟動時被映射到系統(tǒng) RAM、IO 空間和 ROM等。大多數(shù)情況下，惡意軟件攻擊的數(shù)據(jù)和位置在系統(tǒng)的 RAM區(qū)域，這正是內核和惡意軟件的活動的地方。在數(shù)據(jù)采集時，采集設備會通過讀內存指令來獲得 RAM 區(qū)域的物理頁面。圖 2 顯示的是運行在 Linux Ubuntu 16.04 上的計算機的內存映射

圖 2.IDS 所用的基于Ubuntu的主機內存映射。

該操作從 PCIe 卡上通過 PCIe 鏈路到達內存控制器，進而訪問物理內存的權限。如圖 1 所示，該操作不涉及主機上運行的軟件，而是通過了一條惡意軟件中不知道的路徑。與基于軟件的解決方案不同，這個方案不會在受檢查的主機上運行任何新軟件，因此不會違反取證要求。

下一步就是要確保可以分析常數(shù)。例如，訪問主機物理內存中的兩個頁面，其中一個頁面指向另一個頁面。如果被指向的頁面改變了它的物理地址，那么數(shù)據(jù)采集工具會讀到內存中的錯誤頁面。這是對于任何采集物理內存的工具（無論是基于硬件的還是基于軟件的采集工具）都存在的風險。采集內存的時間越長，存在不一致性的可能性就越高。采集時間越短，可能發(fā)生的變化就越少，獲得可靠數(shù)據(jù)的可能性就越高。

再次，基于硬件的方法以其超快的速度和更高的效率超越了相應的軟件實現(xiàn)。例如，使用軟件工具從RAM采集 64GB的數(shù)據(jù)可能需要數(shù)分鐘的時間。當使用 Gen4 速率的PCIe 卡時，數(shù)據(jù)采集速度可達每通道 16 Gbps。如果設備通過 16 個 PCIe 通道連接到主機，在 Gen4速度下，數(shù)據(jù)采集速度就達到了 32 GB/s。

用于惡意軟件檢測的 BlueField 智能網(wǎng)卡

我的團隊調研了 BlueField 智能網(wǎng)卡是否適用于實時內存取證。在研究中，我們使用了一種八個PCIe通道的 BlueField 智能網(wǎng)卡。采用了 Volatility 內存（Volatility Memory）取證框架，并將其擴展為支持通過 BlueField 智能網(wǎng)卡進行實時內存取證。Volatility 內存取證框架是一個惡意軟件研究人員、取證調查人員和事件響應人員常用的知名開源框架，可以操作內存鏡像文件。

Volatility 使用 Python 應用程序 （vol.py），提取進程列表、網(wǎng)絡連接和內核模塊等信息，以幫助取證人員了解惡意軟件的痕跡及其行為。該框架允許開發(fā)人員和調查人員通過查看內存的Dump文件對主機進行分析。我的團隊將其擴展到了使用 BlueField 智能網(wǎng)卡的 Arm 處理器來運行該 Volatility 框架，對主機物理內存中的惡意軟件進行分析。這樣一來，可以按需采集物理內存分段，進行實時內存分析。Volatility 在正常情況下處理內存文件時，有時可達 64 GB 和 128 GB。擴展程序允許采集特定用途（例如構建進程列表）所需的精選數(shù)據(jù)。

新 Volatility 插件連接到內存訪問 SDK，允許使用 BlueField的 DMA 功能。該 SDK 提供不同的內存訪問方式，允許快速訪問內存并降低數(shù)據(jù)采集時的延遲。BlueField 智能網(wǎng)卡板載內存允許從主機物理內存復制數(shù)據(jù)，然后使用 Arm 核進行本地分析，而無需擔心主機是否會修改這些數(shù)據(jù)。以下視頻展示了 BlueField Arm 處理器運行的 Volatility 框架。

總結

攻擊變得越來越隱蔽、復雜，而當前的檢測和預防技術難以與之抗衡。硬件輔助的數(shù)據(jù)采集被視為采集數(shù)據(jù)以進行分析的最可靠、最值得信賴的方法。BlueField 支持硬件輔助的內存采集，可以您的服務器更安全。它支持帶外入侵檢測和取證調查。獲得授權后，它可以快速訪問主機物理內存，并將安全應用程序（例如 IDS）保護在一個隔離的環(huán)境中。BlueField 對取證調查、事件響應、惡意軟件檢測和入侵檢測系統(tǒng)頗有助益。

審核編輯：郭婷