精心伪装,潜伏窃密?安恒云沙箱不允许!
当今时代信息网络渗透各个领域,网络空间成为人类的“第二生存空间”和“第五维战场”。网络作战演进至今,已从“坏小子作恶”量级升级变种为“大玩家对决”层面。
国家安全部新闻办曾披露多起有关APT(Adavanced Persistent Threat,高级持续性威胁)窃密的案例并表示,近年来境外各类政府背景APT黑客组织不断加强对我国网络攻击,窃取大量重要敏感信息,极力攻击试图控制我国核心设备和关键设施,势头猛烈,威胁巨大,严重危害我国网络空间国家安全和利益。
与传统网络攻击方式相比,APT攻击意图明确、技术高超、行动隐蔽、潜伏期长,是数字经济时代最大的网络安全挑战之一。
对此,猎影实验室将百余个重点APT组织的动、静态特征、流量特征、妥协指标IOC、技战术指标TTPs与痛苦金字塔、ATT&CK等多类模型结合,在安恒云沙箱平台落地APT组织归因分析模块,实现了APT组织深度识别,研究员可高效进行威胁识别、分析、溯源、狩猎等工作。
01
痛苦金字塔模型
David Bianco在早些时候就定义了入侵检测的“痛苦金字塔模型”
时至今日,这个简单模型也能够提供一些参考,其用于对各类攻击指标进行分层,并描述了各类指标在攻防对抗中的应用难度和价值。
从上图可以发现,随着越接近金字塔顶端,双方投入的成本越高。Hash、IP、域名是较为普及和相对容易的指标,网络特征和攻击工具的特征相对下层成本要再高一些,最上层的TTPs,即战术、技术、步骤,最为复杂,从应用角度来看,需要通过技战术及实例相结合而形成检测条例。
在威胁对抗过程中,作为防御方,我们可以分析提取掌握攻击者的多维度攻击特征。安恒云沙箱借鉴痛苦金字塔模型,从多个维度和模块综合判别恶意样本的组织归属:
域名/IP/Hash
威胁情报碰撞模块:安恒云沙箱集成了威胁情报模块,其中覆盖了长期持续追踪的APT威胁情报指标,同时,多元化渠道和挖掘能力保障了APT情报的持续更新和云沙箱在威胁情报上的检测能力。
网络或主机特征
网络流量监测模块:网络监测是沙箱的必备模块,网络监测能够分析掌握样本的C&C通信、数据传输、可疑访问、下载等内容。APT组织在流量上可能存在特征,通过流量检测策略或异常流量行为捕捉策略在流量层面进行恶意发现。
攻击工具
恶意武器工具检测模块:APT组织在使用攻击武器时,因为成本原因,可能会在一段时间内会保持使用同武器工具或变动不大的变种,通过武器特征、基因代码、行为特征、文件属性等层面可对其进行检测识别。
安恒云沙箱具备动态深度分析能力,能够从容应对APT常用的文件混淆、代码加密、注入、多段分离等手段,能够转储并识别关键核心载荷。并可通过行为监测紧盯APT武器发生的敏感操作、持久化、隐蔽、窃密等重点行为。
安恒云沙箱具备静态深度解析提取能力,能够深度解析Office办公系列、PDF、CHM、LNK等多种格式,对关键特性代码、特定属性进行提取,并通过APT检测特性、特征进行识别。
TTPs
攻击行为和TTPs检测模块:APT组织会使用一些特定的攻击技术和战术(TTPs),通过分析样本的行为和使用的TTPs,并与ATT&CK攻击矩阵相结合,安恒云沙箱经过离散链、串联链、映射链等方式,能够将样本与已知的APT组织进行关联。
最后,经过多个模型分析检测结果,汇聚进行综合模块分析归因到APT组织。并且,安恒云沙箱将综合检测和识别汇聚入场景信息中的组织事件画像模块。
02
快速鉴别APT样本
以透明部落组织的一个样本为例,经过安恒云沙箱综合分析,快速获得样本的详细分析信息,从聚合标签中即可判断出样本为Crimson RAT,APT组织为Transparent Tribe(透明部落)。
https://sandbox.dbappsecurity.com.cn/report/7c0457d4-3ade-4ab3-8eef-67370b5f7255
通过多维归因进行判定。
通过画像了解APT组织详情。
使用多模块进行深入分析,如宏代码提取。
03
洞察先机 消弭隐患
近年来,境外APT组织不仅加大了对我国党政机关、国防军工、科研院所等核心要害单位的攻击活动,而且延伸到了关键信息基础设施、能源、金融、军民融合等各个领域。攻击来源众多、频次和力度日益增强。
沙箱作为一种强大的工具,为安全研究人员和网络防御团队提供了前所未有的洞察力。从收集样本到运行分析,安恒云沙箱可以模拟攻击过程,记录样本的完整行为,帮助我们发现隐藏的威胁并准备战略性防御措施。
借助沙箱的力量,我们能够保护用户隐私、企业数据和数字资产的安全。用户可通过点击https://sandbox.dbappsecurity.com.cn/跳转至安恒云沙箱,对可疑文件进行威胁研判并下载分析报告。或用沙箱打开不明来源的未知文件,在虚拟环境中进行内容预览,免于主机失陷、受到木马或病毒文件攻击。
安恒在线云沙盒反馈与合作请联系:[email protected]