五月婷婷激情四射综合-国产日韩蜜臀在线观看-欧美孕妇孕交猛烈进入-农民工的粗大让我高潮不断-青青草视频网址入口-国产黄色av手机版在线观看-亚洲精品免费一区二区三区-美腿丝袜av+中文字幕-国产精品视频午夜福利

數(shù)字經(jīng)濟(jì)的安全基石

申請?jiān)囉?/a>

首頁 > 關(guān)于我們 > 安恒動態(tài) > 2023 > 正文

精心偽裝,潛伏竊密?安恒云沙箱不允許!

閱讀量:文章來源:安恒信息

當(dāng)今時(shí)代信息網(wǎng)絡(luò)滲透各個(gè)領(lǐng)域,網(wǎng)絡(luò)空間成為人類的“第二生存空間”和“第五維戰(zhàn)場”。網(wǎng)絡(luò)作戰(zhàn)演進(jìn)至今,已從“壞小子作惡”量級升級變種為“大玩家對決”層面。


國家安全部新聞辦曾披露多起有關(guān)APT(Adavanced Persistent Threat,高級持續(xù)性威脅)竊密的案例并表示,近年來境外各類政府背景APT黑客組織不斷加強(qiáng)對我國網(wǎng)絡(luò)攻擊,竊取大量重要敏感信息,極力攻擊試圖控制我國核心設(shè)備和關(guān)鍵設(shè)施,勢頭猛烈,威脅巨大,嚴(yán)重危害我國網(wǎng)絡(luò)空間國家安全和利益。


與傳統(tǒng)網(wǎng)絡(luò)攻擊方式相比,APT攻擊意圖明確、技術(shù)高超、行動隱蔽、潛伏期長,是數(shù)字經(jīng)濟(jì)時(shí)代最大的網(wǎng)絡(luò)安全挑戰(zhàn)之一。


對此,獵影實(shí)驗(yàn)室將百余個(gè)重點(diǎn)APT組織的動、靜態(tài)特征、流量特征、妥協(xié)指標(biāo)IOC、技戰(zhàn)術(shù)指標(biāo)TTPs與痛苦金字塔、ATT&CK等多類模型結(jié)合,在安恒云沙箱平臺落地APT組織歸因分析模塊,實(shí)現(xiàn)了APT組織深度識別,研究員可高效進(jìn)行威脅識別、分析、溯源、狩獵等工作。


01

痛苦金字塔模型

David Bianco在早些時(shí)候就定義了入侵檢測的“痛苦金字塔模型”

時(shí)至今日,這個(gè)簡單模型也能夠提供一些參考,其用于對各類攻擊指標(biāo)進(jìn)行分層,并描述了各類指標(biāo)在攻防對抗中的應(yīng)用難度和價(jià)值。


從上圖可以發(fā)現(xiàn),隨著越接近金字塔頂端,雙方投入的成本越高。Hash、IP、域名是較為普及和相對容易的指標(biāo),網(wǎng)絡(luò)特征和攻擊工具的特征相對下層成本要再高一些,最上層的TTPs,即戰(zhàn)術(shù)、技術(shù)、步驟,最為復(fù)雜,從應(yīng)用角度來看,需要通過技戰(zhàn)術(shù)及實(shí)例相結(jié)合而形成檢測條例。


在威脅對抗過程中,作為防御方,我們可以分析提取掌握攻擊者的多維度攻擊特征。安恒云沙箱借鑒痛苦金字塔模型,從多個(gè)維度和模塊綜合判別惡意樣本的組織歸屬:

域名/IP/Hash

威脅情報(bào)碰撞模塊:安恒云沙箱集成了威脅情報(bào)模塊,其中覆蓋了長期持續(xù)追蹤的APT威脅情報(bào)指標(biāo),同時(shí),多元化渠道和挖掘能力保障了APT情報(bào)的持續(xù)更新和云沙箱在威脅情報(bào)上的檢測能力。

網(wǎng)絡(luò)或主機(jī)特征

網(wǎng)絡(luò)流量監(jiān)測模塊:網(wǎng)絡(luò)監(jiān)測是沙箱的必備模塊,網(wǎng)絡(luò)監(jiān)測能夠分析掌握樣本的C&C通信、數(shù)據(jù)傳輸、可疑訪問、下載等內(nèi)容。APT組織在流量上可能存在特征,通過流量檢測策略或異常流量行為捕捉策略在流量層面進(jìn)行惡意發(fā)現(xiàn)。

攻擊工具

惡意武器工具檢測模塊:APT組織在使用攻擊武器時(shí),因?yàn)槌杀驹?,可能會在一段時(shí)間內(nèi)會保持使用同武器工具或變動不大的變種,通過武器特征、基因代碼、行為特征、文件屬性等層面可對其進(jìn)行檢測識別。


安恒云沙箱具備動態(tài)深度分析能力,能夠從容應(yīng)對APT常用的文件混淆、代碼加密、注入、多段分離等手段,能夠轉(zhuǎn)儲并識別關(guān)鍵核心載荷。并可通過行為監(jiān)測緊盯APT武器發(fā)生的敏感操作、持久化、隱蔽、竊密等重點(diǎn)行為。


安恒云沙箱具備靜態(tài)深度解析提取能力,能夠深度解析Office辦公系列、PDF、CHM、LNK等多種格式,對關(guān)鍵特性代碼、特定屬性進(jìn)行提取,并通過APT檢測特性、特征進(jìn)行識別。

TTPs

攻擊行為和TTPs檢測模塊:APT組織會使用一些特定的攻擊技術(shù)和戰(zhàn)術(shù)(TTPs),通過分析樣本的行為和使用的TTPs,并與ATT&CK攻擊矩陣相結(jié)合,安恒云沙箱經(jīng)過離散鏈、串聯(lián)鏈、映射鏈等方式,能夠?qū)颖九c已知的APT組織進(jìn)行關(guān)聯(lián)。

最后,經(jīng)過多個(gè)模型分析檢測結(jié)果,匯聚進(jìn)行綜合模塊分析歸因到APT組織。并且,安恒云沙箱將綜合檢測和識別匯聚入場景信息中的組織事件畫像模塊。

02

快速鑒別APT樣本

以透明部落組織的一個(gè)樣本為例,經(jīng)過安恒云沙箱綜合分析,快速獲得樣本的詳細(xì)分析信息,從聚合標(biāo)簽中即可判斷出樣本為Crimson RAT,APT組織為Transparent Tribe(透明部落)。

https://sandbox.dbappsecurity.com.cn/report/7c0457d4-3ade-4ab3-8eef-67370b5f7255

通過多維歸因進(jìn)行判定。

通過畫像了解APT組織詳情。

使用多模塊進(jìn)行深入分析,如宏代碼提取。


03

洞察先機(jī) 消弭隱患

近年來,境外APT組織不僅加大了對我國黨政機(jī)關(guān)、國防軍工、科研院所等核心要害單位的攻擊活動,而且延伸到了關(guān)鍵信息基礎(chǔ)設(shè)施、能源、金融、軍民融合等各個(gè)領(lǐng)域。攻擊來源眾多、頻次和力度日益增強(qiáng)。


沙箱作為一種強(qiáng)大的工具,為安全研究人員和網(wǎng)絡(luò)防御團(tuán)隊(duì)提供了前所未有的洞察力。從收集樣本到運(yùn)行分析,安恒云沙箱可以模擬攻擊過程,記錄樣本的完整行為,幫助我們發(fā)現(xiàn)隱藏的威脅并準(zhǔn)備戰(zhàn)略性防御措施。


借助沙箱的力量,我們能夠保護(hù)用戶隱私、企業(yè)數(shù)據(jù)和數(shù)字資產(chǎn)的安全。用戶可通過點(diǎn)擊https://sandbox.dbappsecurity.com.cn/跳轉(zhuǎn)至安恒云沙箱,對可疑文件進(jìn)行威脅研判并下載分析報(bào)告?;蛴蒙诚浯蜷_不明來源的未知文件,在虛擬環(huán)境中進(jìn)行內(nèi)容預(yù)覽,免于主機(jī)失陷、受到木馬或病毒文件攻擊。

安恒在線云沙盒反饋與合作請聯(lián)系:sandbox@dbappsecurity.com.cn


關(guān)閉

客服在線咨詢?nèi)肟?,期待與您交流

線上咨詢
聯(lián)系我們

咨詢電話:400-6059-110

產(chǎn)品試用

即刻預(yù)約免費(fèi)試用,我們將在24小時(shí)內(nèi)聯(lián)系您

微信咨詢
安恒信息聯(lián)系方式