Fortinet FortiGuard安全实验室解密APT攻击的那些事儿

“当网络罪犯了解了更多普通的安全检测方法时,他们往往会将更多的投入放在安全规避方法的研发上。”

——FortiGuard安全研究实验室

恶意威胁可以使用多种方式来避开安全屏障。以下是黑客面对沙盒最常使用的规避技术。

逻辑炸弹

最常见的逻辑炸弹是定时炸弹,它们曾出现在许多引人注目的攻击中。在一个定时炸弹中,恶意代码部分会一直隐藏到指定的时间。攻击者可以将恶意软件植入到多个系统中,在所有炸弹被定时引爆前都不会被注意到。其他的逻辑炸弹则会在出现有人机互动(点击鼠标、系统重启等等)时被触发,由于在一般沙盒的环境内难以满足逻辑条件,所以代码并未在检测期间遵循恶意执行路径。为此,Fortinet精心设计了相关防御环境,使用CPRL和代码仿真分析,在实际运行代码之前发现逻辑炸弹。CPRL进行实际操作指令的实时分析,因此能够发现那些将会触发炸弹的逻辑条件。

恶意代码:Rootkit与Bootkit

高级恶意软件常常包含一个核心代码,可以控制和破坏操作系统的Rootkit。沙盒可能会受到这种规避技术的攻击,因为行为监控的功能也可能会遭到控制。此外,Bootkit在系统启动时会以沙盒难以检测到的恶意软件来感染系统。Fortinet的CPRL检测技术,同样可以在高级Rootkit和Bootkit程序运行之前发现它们并解决该问题。

沙盒环境检测

另一个高级规避技术是环境觉察。APT代码可能包含有一些程序,以尝试判断其自身是否运行于一个虚拟环境中从而表明它是否可能处于沙盒内,APT代码有可能检查特定供应商的沙盒环境特征值。如果该代码检测到其处于一个沙盒中,它就不会运行其恶意执行路径。CPRL能够深入检查、检测并捕获那些探测沙盒的代码。

僵尸网络命令与控制窗口

僵尸网络命令与控制活动通常始于一个释放器。释放器是十分干净的代码,而非一个连接到某个URL/IP地址以便根据命令下载文件的程序。命令可以来自于初始运行时间之后几个小时、几天或几周而出现的一个攻击者。如果散播程序所连接的服务器在沙盒运行代码的检测期间内暂停活动,则无法观察到恶意活动。CPRL可在病毒没有运作的期间,主动捕获异常代码并检测恶意软件,FortiGuard的全球情报网络可监测僵尸网络,在僵尸网络活动时对其当场进行揭露。

网络快速通量

高级恶意软件可能采用快速通量或域生成算法技术来改变某个病毒所要连接的一个URL/IP地址。在沙盒观测期间,该病毒先指向某个地址,但是随着时间的推移,在终端用户的主机内,该代码将通过一个不同的路径指向某个第二地址来发送恶意信息流。FortiGuard跟踪快速通量网络并在预扫描期间将收集到的威胁情报反馈给沙盒使用。Fortinet监测的是域名服务器,而不是像其他供应商通常所做的那样仅仅盯住IP黑名单。

加密文档

一个古老的把戏,攻击者可以在文档中加密恶意软件。然后,通过社交心理欺骗终端用户通过输入密码来打开该病毒。沙盒无法自动输入密码,所以恶意软件在观察期间不会运行。Fortinet的专利压缩文件头检查技术可以检测已经通过加密伪装了的恶意软件特征值。

二进制封包

二进制封包通过将其篡改部分进行加密来掩盖恶意软件,因而不容易被传统的杀毒安全软件分析。该代码在其被执行的时候打开,继而感染宿主。类似的技术也被用于在JavaScript和等语言中嵌入恶意代码。历史来看,这种技术曾在内存昂贵的年代用来压缩可执行代码。今天的内存不是一个问题了,但二进制封包则经常被用来规避杀毒检查。对于JavaScript和ActionScript的情况,这个方法可以被合理地用于副本保护。Fortinet的旗舰安全平台FortiGate杀毒引擎支持脚本去模糊处理以及检测许多二进制包,并将恶意软件解压成为原生形态以便进行基于CPRL的分析,允许在沙盒中进行实时检测与缓解或进一步加以执行。

多态恶意软件

多态恶意软件在每次运行时都会发生变化,添加少量的垃圾代码以期对付模式检查和基于“校验和”的检查。当一个操作系统将其打开时,恶意代码便会执行。多态代码对传统的反应性检测构成了挑战,而Fortinet则可以通过其主动防病毒检测引擎技术、CPRL和沙盒的结合来加以解决。该引擎可以将恶意软件解压为一个原生形态,以便在运行驻留在沙盒中的代码进行更深入的检查之前,使用最低的处理资源过滤尽可能多的信息流。

Fortinet的FortiSandbox提供强大的主动检测和防御功能,以及可操作的威胁洞察,和简单整合部署等等。而这一切的基础则是Fortinet屡获如荣的反恶意软件和FortiGuard威胁响应中心提供的独特的,双层沙箱。经验丰富的Fortinet威胁研究专家现在则被“打包”到了FortiSandbox中为用户提供更体贴的服务。

对抗如今的攻击,企业更需要智能型的整合方案,不只是反恶意软件,也不只是沙盒,更不只是分散的监控系统,防御目标性高隐蔽性强的攻击所造成的数据窃取和网络中断。唯有这样的架构能让企业有效地保护自己,免于如今不断演化的威胁。

原文发布时间为:2015-11-11

时间: 2024-11-05 12:26:34

Fortinet FortiGuard安全实验室解密APT攻击的那些事儿的相关文章

Fortinet为企业提出应对APT攻击的一些建议

如同一个APT攻击需要突破多个网络层才可以成功一样,如果企业不希望沦为APT的猎物必须实施能够进行多层网络防御的安全策略.也就是说单一的网络安全功能是不能够防御APT攻击的. 安全协助: 攻击者不会止步于获取更多的目标来彰显其"荣誉",所以公司机构的安全策略与防御体系也不是一日之功.公司机构需要可靠的IT雇员了解最新的威胁与潜在的攻击路径,与网络安全组织保持近距离的接触,在必要的时候可获得帮助. 最终用户的引导: 网络攻击者选定的最终用户攻击目标,一定是攻击目标存在可以发动首次攻击的最

Linux下的APT攻击工具HDD Rootkit分析

一.概况 前段时间,卡巴斯基捕获到Winnti网络犯罪组织在Windows下进行APT攻击的通用工具--HDD Rootkit.近期,腾讯反病毒实验室在Linux系统下也捕获到同类工具.Winnti组织利用HDD Rootkit在Windows和Linux系统下进行持续而隐蔽的APT攻击.经分析发现,HDD Rootkit先是篡改系统的引导区,然后在进入Linux系统前利用自带的Ext文件系统解析模块,将隐藏在硬盘深处的后门文件解密出来后加入到开机启动脚本或系统服务里.目前受攻击的系统有Cent

APT攻击中会使用合法程序吗?

本文讲的是APT攻击中会使用合法程序吗?,这几天,在我研究过程中我发现了下面这样一个文件: MD5   5e81bd134168d7d8c91b96d88b5e0fd0 SHA1  a632371b2aa54709d4bf6b0f28cb1904cb8864bc 在这一软件信息中可以看到它是由SlavaSoft公司制作的HashCalc程序,不过也可能不会这一公司制作的. 在SlavaSoft公司网站主页上可以看到这一软件,对其说明如下: 一个快速简易的计算器,可以计算文件,文本文档,以及哈希字

第一个 SyScan 360 女讲师揭密:如何揪出潜伏多年的可怕网络间谍——APT 攻击

   世界上最可怕的网络"间谍"恐怕要属"APT 攻击",潜伏数年.甚至数十年,默默偷取关键数据,它可能不为钱.不为利,但就是为了搞垮你. 听上去实在是又贱.又狠的一种黑客攻击. 赵雨婷,是第一个登上SyScan 360 安全会议演讲台的女讲师.她是360追日团队中的一员,面对 APT 攻击,这个团队希望像夸父追日一样,一直坚持不懈地进行追击. 关于 APT 攻击,赵雨婷揭示了一些关于它的秘密. 最近一起重要的 APT 攻击当属11月曝光的蔓灵花 APT 行动. 美

2015中国APT研究报告:中国是APT攻击的主要受害国

一.针对中国发动攻击的APT组织 360天眼实验室于近期发布了<2015年中国高级持续性威胁(APT)研究报告>,揭示了针对我国的APT攻击技术演变趋势.根据报告显示,中国是APT(Advanced Persistent Threats,高级持续性威胁)攻击的主要受害国,国内多个省.市受到不同程度的影响,其中北京.广东是重灾区,行业上教育科研.政府机构是APT攻击的重点关注领域. 截至2015年11月底,360威胁情报中心监测到的针对中国境内科研教育.政府机构等组织单位发动APT攻击的境内外黑

鳄鱼还是木头?亚信安全提醒:APT攻击防范要当心“水坑”

就像是"鳄鱼还是木头"的寓言一样,大多数APT攻击并不会直接暴露真实面目,而是会很好的在用户经常访问的可信网站上或是分支机构中伪装起来,等待粗心的企业用户,这类的攻击也被叫做 "水坑攻击"(Water hole attack).为了防范此类攻击,亚信安全建议用户改变"单点作战"的传统做法,更加重视威胁情报共享和定制化解决方案. 瞄准企业网络弱点 "水坑攻击"让人防不胜防 水坑攻击是APT攻击的一种常用手段,黑客通过分析被攻击者

肖新光:熊猫的伤痕——几例中国遭遇APT攻击的案例分析

一年一度的阿里安全峰会创立于 2014 年,今年已是第三届,于7月13-14日在北京国家会议中心举办.峰会旨在促进亚太区信息安全行业发展,为本地区信息安全组织.信息安全专业人士和决策者搭建一个信息交流展示平台,探讨当前安全行业的最佳实践.热点议题.信息安全人才培养.新 兴技术与发展趋势等.2016 阿里安全峰会设立12个分论坛,数十家领军企业参与.国内外顶级安全专家演讲,在电商金融安全,移动安全,威胁情报,人才培养,电子取证等热门安全行业问题进行深入探讨与交流,除此之外大会前一天还进行了顶级电商

追踪调查来自印度的针对中国和南亚国家的大规模APT攻击

016年8月,Forcepoint 发布了一个APT攻击的追踪报告.该报告由Forcepoint安全实验室特别调查小组长期独立追踪完成.该调查小组隶属于Forcepoint安全实验室,由优秀的恶意软件逆向工程师和分析师组成,其职责是专门深入研究僵尸网络和APT攻击.他们与全球众多值得信赖的机构协作,以提供切实可见的决策为宗旨,向大众.客户以及合作伙伴等利益相关者传递相关信息,针对网络安全问题,警醒全球用户. Forcepoint特别调查报告: 追踪调查来自印度的针对中国和南亚国家的大规模APT攻

企业如何面对APT攻击的“常态化”?

信息安全行业虽然在黑暗中摸索前行,但这并不意味无法寻找正确的方向.当前,不管是出于政治.商业目的的攻击,还是个人隐私的窃取行为,APT攻击以其持续.多样以及难以侦测的特性都让业界谈之色变.而随着APT威胁进阶成为"常态化"的攻击,安全防御的发展也到了需要转变的时候,近日,国际数据公司(IDC)与Fortinet共同举办了一场网络安全论坛,对APT攻击的防御,指出了新的方向. APT攻击为何出现"常态化"? 在网络社交如此发达的当下,用户毫无保留地将个人信息交给互联网