apt技術手段防禦
http://www.freebuf.com/articles/others-articles/16505.html
5.2技術手段分析
從具體的技術層面來說,為了應對APT攻擊,新的技術也是層出不窮。
從監測和檢測的角度,為了識別APT,可以從APT攻擊的各個環節進行突破,任一環節能夠識別即可斷開整個鏈條。
根據APT攻擊過程,我們可以從防範釣魚攻擊、識別郵件中的惡意程式碼、識別主機上的惡意程式碼、識別殭屍網路(C&C)通訊、監測網路資料滲出等多個環節入手。
而不論從哪個環節入手,都主要涉及以下幾類新型技術手段:
5.2.1基於沙箱的惡意程式碼檢測技術
要檢測惡意程式碼,最具挑戰性的就是利用0day漏洞的惡意程式碼。因為是0day,就意味著沒有特徵,傳統的惡意程式碼檢測技術就此失效。沙箱技術通俗的講就是構造一個模擬的執行環境,讓可疑檔案在這個模擬環境中執行起來,通過可疑檔案觸發的外在行為來判定是否是惡意程式碼。
沙箱技術的模擬環境可以是真實的模擬環境,也可以是一個虛擬的模擬環境。而虛擬的模擬環境可以通過虛擬機器技術來構建,或者通過一個特製程式來虛擬。
5.2.2基於異常的流量檢測技術
傳統的IDS都是基於特徵(簽名)的技術去進行DPI分析,有的也用到了一些簡單DFI分析技術。面對新型威脅,DFI技術的應用需要進一步深化。基於Flow,出現了一種基於異常的流量檢測技術,通過建立流量行為輪廓和學習模型來識別流量異常,進而識別0day攻擊、C&C通訊,以及資訊滲出。本質上,這是一種基於統計學和機器學習的技術。
5.2.3全包捕獲與分析技術
應對APT攻擊,需要做好最壞的打算。萬一沒有識別出攻擊並遭受了損失怎麼辦?對於某些情況,我們需要全包捕獲及分析技術(FPI)。藉助天量的儲存空間和大資料分析(BDA)方法,FPI能夠抓取網路中的特定場合下的全量資料包文並儲存起來,進行歷史分析或者準實時分析。通過內建的高效索引機制及相關演算法,協助分析師剖絲抽繭,定位問題。
5.2.4信譽技術
信譽技術早已存在,在面對新型威脅的時候,可以助其他檢測技術一臂之力。無論是WEB URL信譽庫、檔案MD5碼庫、殭屍網路地址庫,還是威脅情報庫,都是檢測新型威脅的有力武器。而信譽技術的關鍵在於信譽庫的構建,這需要一個強有力的技術團隊來維護。
5.2.5綜合分析技術
所謂綜合分析,就是在前述所有技術之上的,並且涵蓋傳統檢測技術之上的,一個橫向貫穿的分析。我們已經知道APT攻擊是一個過程,是一個組合,如果能夠將APT攻擊各個環節的資訊綜合到一起,有助於確認一個APT攻擊行為。
綜合分析技術要能夠從零散的攻擊事件背後透視出真正的持續攻擊行為,包括組合攻擊檢測技術、大時間跨度的攻擊行為分析技術、態勢分析技術、情境分析技術,等等。
5.2.6人的技能
最後,要實現對新型攻擊的防範,除了上述新的監測/檢測技術之外,還需要依靠強有力的專業分析服務做支撐,通過專家團隊和他們的最佳實踐,不斷充實安全知識庫,進行即時的可疑程式碼分析、滲透測試、漏洞驗證,等等。安全專家的技能永遠是任何技術都無法完全替代的。
6新型威脅的最新技術發展動向
新型威脅自身也在不斷髮展進化,以適應新的安全監測、檢測與防禦技術帶來的挑戰。以下簡要分析新型威脅採取的一些新技術。
6.1精準釣魚
精準釣魚是一種精確制導的釣魚式攻擊,比普通的定向釣魚(spear phishing)更聚焦,只有在被攻擊者名單中的人才會看到這個釣魚網頁,其他人看到的則是404 error。也就是說,如果你不在名單之列,看不到釣魚網頁。如此一來,一方面攻擊的精準度更高,另一方面也更加保密,安全專家更難進行追蹤(因為你不知道名單,且不在名單之列)。
6.2高階隱遁技術
高階隱遁技術這個術語最初源自2010年芬蘭的Stonesoft公司(2013年5月被McAfee收購)的一個研究成果。高階隱遁技術(AET,Advanced Evasion Technology)是一種通過偽裝和/或修飾網路攻擊以躲避資訊保安系統的檢測和阻止的手段。
高階隱遁技術是一系列規避安全檢測的技術的統稱,可以分為網路隱遁和主機隱遁,而網路隱遁又包括協議組合、字元變換、通訊加密、0day漏洞利用等技術。
6.3沙箱逃避
新型的惡意程式碼設計越來越精巧,想方設法逃避沙箱技術的檢測。例如有的惡意程式碼只有在使用者滑鼠移動的時候才會被執行,從而使得很多自動化執行的沙箱沒法檢測到可疑行為。還有的沙箱用到了虛擬機器方式來執行,那麼惡意程式碼的製作者就會想辦法去欺騙虛擬機器。
6.4水坑式攻擊
所謂“水坑攻擊”,是指黑客通過分析被攻擊者的網路活動規律,尋找被攻擊者經常訪問的網站的弱點,先攻下該網站並植入攻擊程式碼,等待被攻擊者來訪時實施攻擊。這種攻擊行為類似《動物世界》紀錄片中的一種情節:捕食者埋伏在水裡或者水坑周圍,等其他動物前來喝水時發起攻擊獵取食物。
相關文章
- 分享DDOS防禦過程中需要了解的技術手段
- WMI 的攻擊,防禦與取證分析技術之防禦篇
- 【技術向】OPC安全風險與防禦
- 【知識分享】高Fang伺服器的防禦手段伺服器
- WEB攻擊手段及防禦第1篇-XSSWeb
- ARP病毒攻擊技術分析與防禦
- 10大網路安全攻擊手段及防禦方法(二)!
- 防禦網路威脅UTM技術解密(圖示)解密
- 運維和IT技術需知的DDOS攻擊防禦整理運維
- 如何防禦DDOS攻擊?網路安全技術學多久?
- 5個常見的網路安全攻擊手段及防禦方法
- 常見網路攻擊手段有哪些?防禦方法是什麼?
- 帶你瞭解DDOS防禦中流量清洗的技術方法
- WMI 的攻擊,防禦與取證分析技術之攻擊篇
- 英特爾釋出新的技術規範去防禦 ROP 攻擊
- 防禦DDoS原理搞明白,防禦效果才能事半功倍
- 攻擊欺騙防禦技術在網路攻防實戰中的演化
- 【技術向】CVE-2019-1040漏洞分析&防禦報告
- AccessibilityService防禦
- android 開發之 APT 技術AndroidAPT
- 技術管理進階——悟了,還是防禦機制的應激反應?
- 欺騙防禦技術新功能:用郵件資料欺騙攻擊者
- 網路攻擊盯上民生領域,應對DDoS和APT攻擊,如何有效防禦?APT
- 幹掉APT的是人不是技術APT
- 前端防禦XSS前端
- CSS 樣式防禦CSS
- CDN防禦與高防伺服器伺服器
- 防禦式CSS是什麼?這幾點屬性重點防禦!CSS
- DDOS伺服器防禦的方法有哪些,如何防禦DDOS攻擊伺服器
- 沉浸式夜遊中常見技術手段介紹
- AccessibilityService分析與防禦
- WEB攻擊與防禦Web
- CSRF攻擊原理及預防手段
- 【虹科分享】一種動態防禦策略——移動目標防禦(MTD)
- RAKsmart高防伺服器防禦形式解析伺服器
- 高防伺服器如何實現防禦伺服器
- 防治運營商HTTP劫持的終極技術手段HTTP
- 病毒防護技術基礎