“All in One”部署还是异构部署？使用终端安全软件时，总是面临这样的选择。不过，投资界有一句名言：“不要将鸡蛋放在同一个篮子里。”

类似的，在能力“All in One”的同时，也意味着风险“All in One”。相比之下，将杀毒软件与EDR异构部署，不仅可以分摊失陷的风险，还可以覆盖更多的恶意样本和攻击行为。

杀毒软件“中毒”了

前不久，微步终端安全管理平台 OneSEC 捕获到了一起恶意文件投递事件。

告警信息显示，该恶意文件执行了一系列恶意行为：包括探测机器信息、创建其他恶意文件、搜集浏览器访问凭据并打包回传等。但有趣的是：

1. 恶意文件是由杀毒软件创建并执行的，就像是杀毒软件感染了病毒一样，甚至一度怀疑是误报；

2. 在检测到恶意文件活动前，杀毒软件管理员账户出现异常登录并上传了恶意文件，但排查发现此次登录用户并非管理员本人。

综合上述两点判断，有外部攻击者冒用了杀毒软件管理员账户，并利用软件分发功能投递恶意文件。

杀毒软件失陷有着更大的危害

事实上，杀毒软件失陷的案例并不多见。与之相比，钓鱼才是更为直接和普遍使用的投毒方式。

不过，一旦杀毒软件失陷，危害程度也会更大。

其一，与域控等其他集权系统类似，杀毒软件拥有较高的管控权限，攻击者可以同时向同一网段内所有终端分发恶意软件，而不用一台台横移；

其二，攻击者可以利用管理员权限设置白名单或者白路径进行投毒，从根本上无视杀毒软件的查杀能力，这就相当于釜底抽薪。

微步终端安全检测团队判断，随着用户安全意识增强，攻击者除了使用更加精细化的钓鱼攻击方式，借助杀毒软件投毒也不失为一个新的选择。

EDR是终端高级威胁对抗的核心

于是一个新问题就产生了：杀毒软件自身应该怎么防范被攻击者利用？

从此次杀毒软件投毒事件可以看出，加强提高安全意识、收敛攻击面的的重要性，包括保护登录凭据、设置多因素认证、限制管理员账户权限等，这是降低失陷概率的关键举措。

在此基础上，基于EDR的终端高级威胁对抗能力至关重要。当攻击者利用杀毒软件投毒时，大概率会使用具备免杀能力的恶意文件，EDR可以第一时间检出杀毒软件无法发现的恶意行为。

以本次事件中的恶意样本为例。

样本会通过API将内存属性从RW修改为RX属性，避免触发安全软件内存检查。

截至目前，VT平台多引擎检出率（6/75）也并不高。即便攻击者没有加白或者失陷的是其他集权系统，杀毒软件也大概率不会产生告警。

相比之下，OneSEC EDR检测到了多个恶意行为，并且通过关联分析定位到了事件的执行源头——杀毒软件，进而帮助安全运营人员发现了本次杀毒软件失陷事件。

从杀毒软件出现异常登录，到完成初步的事件调查，仅耗时不到两个小时。

异构EDR是更加安全的选择

需要注意的是，即便是集成了杀毒、桌管、EDR等多项能力的“All in One”终端安全软件，也并不能很好地解决杀毒软件失陷难题。投资界有一句规避风险的至理名言：不要将鸡蛋放在同一个篮子里。与之类似，能力“All in One”的同时，也意味着风险“All in One”。

第一，同构的安全软件往往具备相似的架构和基础组件，很有可能会受同一安全风险影响，例如默认弱口令、身份验证绕过、源代码漏洞等，容易被同样的方式全部击穿。

第二，“All in One”软件一旦失陷，就意味着终端安全能力全部被攻击者接管，不会对自己加白的文件产生告警，就像医者不能自医一样。相比之下，多个异构安全软件同时失陷的可能性要低得多，相互之间能起到一定的相互制衡的作用。

第三，除了在应对自身失陷风险之外，同构的杀毒软件和EDR还有着相同的检测能力局限，这主要是由恶意样本和行为的积累决定的。

众所周知，杀毒软件的查杀能力主要取决于病毒库积累的签名数量，尽管EDR检测并不依赖特定的文件签名，但样本的积累却能够帮助EDR覆盖更多的攻击行为，进而更新检测模型、检测规则。

对于同构的杀毒软件和EDR而言，当面对使用了特定未知恶意行为的恶意样本时，可能会同时出现漏报。

这就好比一个从未见过的人、做出了一系列从未见过的动作，无论是根据样貌特征还是行为特征，都很难判定这个人到底是好是坏。而异构的EDR和杀毒软件，可以覆盖更多的样本和恶意行为。

随着终端对抗强度不断升级，EDR与杀毒软件的异构部署，无疑是一个更为安全的选择。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课