作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與新應用遞送方案的介紹與推廣。

無論是防火牆、入侵偵測防禦、以及我們在本系列尚未討論的網路流分析 (Network Traffic Analysis) ,主要都是針對網路連線的檢查與特徵比對,但對於藉由網路傳輸內夾帶的檔案本身,可能是可執行檔 (Executable File)、文件 (Document)、執行腳本 (Scripts)、甚至如媒體檔、壓縮檔、資料檔等等,通常不是網路連線檢查的重點。但確認檔案本身是否惡意,能否容許用戶正常下載其實是很重要的,舉最常見的例子,如果企業內用戶誤點了惡意連結,連到Internet下載勒索病毒 (Ransomware) 像是 darkside 這類,在相關的資安控管機制內能否進行偵測或是阻擋呢?

可以的,這是VMware網路安全新方案的強項,功能上叫做惡意軟體防禦 (Malware Prevention)。幾個功能與架構上的重點在本篇網誌內與大家進行介紹。

Malware Prevention利用Hash比對、本地端分析、與雲端沙箱進行檔案檢查

當NSX透過閘道或於虛機端抓取到要下載的檔案,首先會透過Hash值比對將檔案與由Internet取得的檔案資料庫進行比對,確認是否是已經認得的合法 / 非法檔案。這邊是第一個步驟。

若沒有結果,接著NSX會進行本地的檔案靜態分析,包含了不同的技術如檢查程式碼或檔案架構、分析API-Call與呼叫URL、Script與巨集分析等不同方式來判斷檔案是正常或惡意。

如果在前述步驟都無法確認,此時NSX Application Platform會將檔案送往Internet上之雲端沙箱 (Sandbox) 執行。VMware之雲端沙箱是由Lastline時代即領先安全業界的技術,透過基於全系統模擬的方式,包含惡意程式執行時使用的完整 CPU 指令集,是否有採用迴避技術、加密機制等都一覽無遺。而除了沙箱模擬器之外還有包含一些Lastline發展的統計演算法以及深度內容比對技術。透過相關技術,多面向比對下進行打分,即使是陌生的檔案也能確認是否有惡意行為。

透過上述Hash比對、本地檔案分析以及雲端沙箱的機制,無論伺服器下載的是已知或是未知檔案,都能在此流程內比對出是否為惡意軟體,提供需求的告警以及必要之阻擋。

Malware Prevention可同時於閘道以及vSphere端進行運作

Malware Prevention可以在兩個地方進行:閘道端(南北向)以及vSphere上(東西向),如下圖所示。

於閘道端,NSX Gateway會透過IDPS引擎抓取出南北向網路連線中之檔案來進行必要的比對。其中

  • 各式檔案支持類型完整,可支持的檔案格式列表可參考 https://docs.vmware.com/en/VMware-NSX-T-Data-Center/3.2/administration/GUID-0EDE5C08-F59D-45F3-8E48-0D7D038207ED.html 。目前於閘道端僅進行惡意檔案偵測,不進行阻擋。
  • 於閘道端進行檔案分析的主要問題在於若網路連線為加密,無法看到內容。因此要完整支持此功能,閘道端必須運作TLS Decryption機制,於NSX-T 3.2.1版已正式GA提供支持。

於vSphere端是透過Service VM,也就是Guest Introspection的機制,搭配VMTools來抓取虛機系統IO來取得檔案。因此

  • 如同Guest Introspection機制的限制,僅運作於Windows型態虛機
  • 因為是在虛機系統IO層面攔截檔案,不需要考慮加解密問題
  • 目前時間點,支持檔案類型僅有Windows Portable Executable (PE) 型態執行檔。除了偵測外亦可進行阻擋。

啟用Malware Prevention的相關資源準備

如同前面討論,Malware Prevention需要NSX Application Platform來做Hash比對以及將檔案送往雲端沙箱分析。因此部署前,必須先將NAPP安裝完成後,再進行啟用:

此外,當Malware Prevention於Gateway上面運作時,由於IDPS / TLS Decryption等效能要求,底層的Edge虛機必須安裝為最大的Extra Large型態。而Malware Prevention於vSphere上啟用時,每台vSphere上都需要配置一台對應的Service VM (SVM)來負責此台host上面所有虛機的檢查,各台虛機VMTools內也需要啟用Guest Introspection功能。

下圖是Malware Prevention的作業介面。當有偵測到惡意程式時,管理者可以在介面內看到事件資訊:

同時我們也可以點擊檔案,確認相關細節,下圖即為上述事件,偵測到darkside.exe檔案(知名的勒索軟體)的分析資訊:

關於Malware Prevention方案相關介紹就先到這邊。下一篇我們進行網路流分析 (Network Traffic Analysis, Suspicious Traffic) 的討論。