AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
精心偽裝,潛伏竊密?安恒云沙箱不允許!
當今時代信息網絡滲透各個領域,網絡空間成為人類的“第二生存空間”和“第五維戰場”。網絡作戰演進至今,已從“壞小子作惡”量級升級變種為“大玩家對決”層面。
國家安全部新聞辦曾披露多起有關APT(Adavanced Persistent Threat,高級持續性威脅)竊密的案例并表示,近年來境外各類政府背景APT黑客組織不斷加強對我國網絡攻擊,竊取大量重要敏感信息,極力攻擊試圖控制我國核心設備和關鍵設施,勢頭猛烈,威脅巨大,嚴重危害我國網絡空間國家安全和利益。
與傳統網絡攻擊方式相比,APT攻擊意圖明確、技術高超、行動隱蔽、潛伏期長,是數字經濟時代最大的網絡安全挑戰之一。
對此,獵影實驗室將百余個重點APT組織的動、靜態特征、流量特征、妥協指標IOC、技戰術指標TTPs與痛苦金字塔、ATT&CK等多類模型結合,在安恒云沙箱平臺落地APT組織歸因分析模塊,實現了APT組織深度識別,研究員可高效進行威脅識別、分析、溯源、狩獵等工作。
01
痛苦金字塔模型
David Bianco在早些時候就定義了入侵檢測的“痛苦金字塔模型”
時至今日,這個簡單模型也能夠提供一些參考,其用于對各類攻擊指標進行分層,并描述了各類指標在攻防對抗中的應用難度和價值。
從上圖可以發現,隨著越接近金字塔頂端,雙方投入的成本越高。Hash、IP、域名是較為普及和相對容易的指標,網絡特征和攻擊工具的特征相對下層成本要再高一些,最上層的TTPs,即戰術、技術、步驟,最為復雜,從應用角度來看,需要通過技戰術及實例相結合而形成檢測條例。
在威脅對抗過程中,作為防御方,我們可以分析提取掌握攻擊者的多維度攻擊特征。安恒云沙箱借鑒痛苦金字塔模型,從多個維度和模塊綜合判別惡意樣本的組織歸屬:
域名/IP/Hash
威脅情報碰撞模塊:安恒云沙箱集成了威脅情報模塊,其中覆蓋了長期持續追蹤的APT威脅情報指標,同時,多元化渠道和挖掘能力保障了APT情報的持續更新和云沙箱在威脅情報上的檢測能力。
網絡或主機特征
網絡流量監測模塊:網絡監測是沙箱的必備模塊,網絡監測能夠分析掌握樣本的C&C通信、數據傳輸、可疑訪問、下載等內容。APT組織在流量上可能存在特征,通過流量檢測策略或異常流量行為捕捉策略在流量層面進行惡意發現。
攻擊工具
惡意武器工具檢測模塊:APT組織在使用攻擊武器時,因為成本原因,可能會在一段時間內會保持使用同武器工具或變動不大的變種,通過武器特征、基因代碼、行為特征、文件屬性等層面可對其進行檢測識別。
安恒云沙箱具備動態深度分析能力,能夠從容應對APT常用的文件混淆、代碼加密、注入、多段分離等手段,能夠轉儲并識別關鍵核心載荷。并可通過行為監測緊盯APT武器發生的敏感操作、持久化、隱蔽、竊密等重點行為。
安恒云沙箱具備靜態深度解析提取能力,能夠深度解析Office辦公系列、PDF、CHM、LNK等多種格式,對關鍵特性代碼、特定屬性進行提取,并通過APT檢測特性、特征進行識別。
TTPs
攻擊行為和TTPs檢測模塊:APT組織會使用一些特定的攻擊技術和戰術(TTPs),通過分析樣本的行為和使用的TTPs,并與ATT&CK攻擊矩陣相結合,安恒云沙箱經過離散鏈、串聯鏈、映射鏈等方式,能夠將樣本與已知的APT組織進行關聯。
最后,經過多個模型分析檢測結果,匯聚進行綜合模塊分析歸因到APT組織。并且,安恒云沙箱將綜合檢測和識別匯聚入場景信息中的組織事件畫像模塊。
02
快速鑒別APT樣本
以透明部落組織的一個樣本為例,經過安恒云沙箱綜合分析,快速獲得樣本的詳細分析信息,從聚合標簽中即可判斷出樣本為Crimson RAT,APT組織為Transparent Tribe(透明部落)。
https://sandbox.dbappsecurity.com.cn/report/7c0457d4-3ade-4ab3-8eef-67370b5f7255
通過多維歸因進行判定。
通過畫像了解APT組織詳情。
使用多模塊進行深入分析,如宏代碼提取。
03
洞察先機 消弭隱患
近年來,境外APT組織不僅加大了對我國黨政機關、國防軍工、科研院所等核心要害單位的攻擊活動,而且延伸到了關鍵信息基礎設施、能源、金融、軍民融合等各個領域。攻擊來源眾多、頻次和力度日益增強。
沙箱作為一種強大的工具,為安全研究人員和網絡防御團隊提供了前所未有的洞察力。從收集樣本到運行分析,安恒云沙箱可以模擬攻擊過程,記錄樣本的完整行為,幫助我們發現隱藏的威脅并準備戰略性防御措施。
借助沙箱的力量,我們能夠保護用戶隱私、企業數據和數字資產的安全。用戶可通過點擊https://sandbox.dbappsecurity.com.cn/跳轉至安恒云沙箱,對可疑文件進行威脅研判并下載分析報告。或用沙箱打開不明來源的未知文件,在虛擬環境中進行內容預覽,免于主機失陷、受到木馬或病毒文件攻擊。
安恒在線云沙盒反饋與合作請聯系:sandbox@dbappsecurity.com.cn
