首頁(yè) > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2023 > 正文

精心偽裝，潛伏竊密？安恒云沙箱不允許！

閱讀量：次 文章來(lái)源：安恒信息

當(dāng)今時(shí)代信息網(wǎng)絡(luò)滲透各個(gè)領(lǐng)域，網(wǎng)絡(luò)空間成為人類(lèi)的“第二生存空間”和“第五維戰(zhàn)場(chǎng)”。網(wǎng)絡(luò)作戰(zhàn)演進(jìn)至今，已從“壞小子作惡”量級(jí)升級(jí)變種為“大玩家對(duì)決”層面。

國(guó)家安全部新聞辦曾披露多起有關(guān)APT（Adavanced Persistent Threat，高級(jí)持續(xù)性威脅）竊密的案例并表示，近年來(lái)境外各類(lèi)政府背景APT黑客組織不斷加強(qiáng)對(duì)我國(guó)網(wǎng)絡(luò)攻擊，竊取大量重要敏感信息，極力攻擊試圖控制我國(guó)核心設(shè)備和關(guān)鍵設(shè)施，勢(shì)頭猛烈，威脅巨大，嚴(yán)重危害我國(guó)網(wǎng)絡(luò)空間國(guó)家安全和利益。

與傳統(tǒng)網(wǎng)絡(luò)攻擊方式相比，APT攻擊意圖明確、技術(shù)高超、行動(dòng)隱蔽、潛伏期長(zhǎng)，是數(shù)字經(jīng)濟(jì)時(shí)代最大的網(wǎng)絡(luò)安全挑戰(zhàn)之一。

對(duì)此，獵影實(shí)驗(yàn)室將百余個(gè)重點(diǎn)APT組織的動(dòng)、靜態(tài)特征、流量特征、妥協(xié)指標(biāo)IOC、技戰(zhàn)術(shù)指標(biāo)TTPs與痛苦金字塔、ATT&CK等多類(lèi)模型結(jié)合，在安恒云沙箱平臺(tái)落地APT組織歸因分析模塊，實(shí)現(xiàn)了APT組織深度識(shí)別，研究員可高效進(jìn)行威脅識(shí)別、分析、溯源、狩獵等工作。

痛苦金字塔模型

David Bianco在早些時(shí)候就定義了入侵檢測(cè)的“痛苦金字塔模型”

時(shí)至今日，這個(gè)簡(jiǎn)單模型也能夠提供一些參考，其用于對(duì)各類(lèi)攻擊指標(biāo)進(jìn)行分層，并描述了各類(lèi)指標(biāo)在攻防對(duì)抗中的應(yīng)用難度和價(jià)值。

從上圖可以發(fā)現(xiàn)，隨著越接近金字塔頂端，雙方投入的成本越高。Hash、IP、域名是較為普及和相對(duì)容易的指標(biāo)，網(wǎng)絡(luò)特征和攻擊工具的特征相對(duì)下層成本要再高一些，最上層的TTPs，即戰(zhàn)術(shù)、技術(shù)、步驟，最為復(fù)雜，從應(yīng)用角度來(lái)看，需要通過(guò)技戰(zhàn)術(shù)及實(shí)例相結(jié)合而形成檢測(cè)條例。

在威脅對(duì)抗過(guò)程中，作為防御方，我們可以分析提取掌握攻擊者的多維度攻擊特征。安恒云沙箱借鑒痛苦金字塔模型，從多個(gè)維度和模塊綜合判別惡意樣本的組織歸屬：

域名/IP/Hash

威脅情報(bào)碰撞模塊：安恒云沙箱集成了威脅情報(bào)模塊，其中覆蓋了長(zhǎng)期持續(xù)追蹤的APT威脅情報(bào)指標(biāo)，同時(shí)，多元化渠道和挖掘能力保障了APT情報(bào)的持續(xù)更新和云沙箱在威脅情報(bào)上的檢測(cè)能力。

網(wǎng)絡(luò)或主機(jī)特征

網(wǎng)絡(luò)流量監(jiān)測(cè)模塊：網(wǎng)絡(luò)監(jiān)測(cè)是沙箱的必備模塊，網(wǎng)絡(luò)監(jiān)測(cè)能夠分析掌握樣本的C&C通信、數(shù)據(jù)傳輸、可疑訪(fǎng)問(wèn)、下載等內(nèi)容。APT組織在流量上可能存在特征，通過(guò)流量檢測(cè)策略或異常流量行為捕捉策略在流量層面進(jìn)行惡意發(fā)現(xiàn)。

攻擊工具

惡意武器工具檢測(cè)模塊：APT組織在使用攻擊武器時(shí)，因?yàn)槌杀驹?，可能?huì)在一段時(shí)間內(nèi)會(huì)保持使用同武器工具或變動(dòng)不大的變種，通過(guò)武器特征、基因代碼、行為特征、文件屬性等層面可對(duì)其進(jìn)行檢測(cè)識(shí)別。

安恒云沙箱具備動(dòng)態(tài)深度分析能力，能夠從容應(yīng)對(duì)APT常用的文件混淆、代碼加密、注入、多段分離等手段，能夠轉(zhuǎn)儲(chǔ)并識(shí)別關(guān)鍵核心載荷。并可通過(guò)行為監(jiān)測(cè)緊盯APT武器發(fā)生的敏感操作、持久化、隱蔽、竊密等重點(diǎn)行為。

安恒云沙箱具備靜態(tài)深度解析提取能力，能夠深度解析Office辦公系列、PDF、CHM、LNK等多種格式，對(duì)關(guān)鍵特性代碼、特定屬性進(jìn)行提取，并通過(guò)APT檢測(cè)特性、特征進(jìn)行識(shí)別。

TTPs

攻擊行為和TTPs檢測(cè)模塊：APT組織會(huì)使用一些特定的攻擊技術(shù)和戰(zhàn)術(shù)（TTPs），通過(guò)分析樣本的行為和使用的TTPs，并與ATT&CK攻擊矩陣相結(jié)合，安恒云沙箱經(jīng)過(guò)離散鏈、串聯(lián)鏈、映射鏈等方式，能夠?qū)颖九c已知的APT組織進(jìn)行關(guān)聯(lián)。

最后，經(jīng)過(guò)多個(gè)模型分析檢測(cè)結(jié)果，匯聚進(jìn)行綜合模塊分析歸因到APT組織。并且，安恒云沙箱將綜合檢測(cè)和識(shí)別匯聚入場(chǎng)景信息中的組織事件畫(huà)像模塊。

快速鑒別APT樣本

以透明部落組織的一個(gè)樣本為例，經(jīng)過(guò)安恒云沙箱綜合分析，快速獲得樣本的詳細(xì)分析信息，從聚合標(biāo)簽中即可判斷出樣本為Crimson RAT，APT組織為T(mén)ransparent Tribe（透明部落）。

https://sandbox.dbappsecurity.com.cn/report/7c0457d4-3ade-4ab3-8eef-67370b5f7255

通過(guò)多維歸因進(jìn)行判定。

通過(guò)畫(huà)像了解APT組織詳情。

使用多模塊進(jìn)行深入分析，如宏代碼提取。

洞察先機(jī) 消弭隱患

近年來(lái)，境外APT組織不僅加大了對(duì)我國(guó)黨政機(jī)關(guān)、國(guó)防軍工、科研院所等核心要害單位的攻擊活動(dòng)，而且延伸到了關(guān)鍵信息基礎(chǔ)設(shè)施、能源、金融、軍民融合等各個(gè)領(lǐng)域。攻擊來(lái)源眾多、頻次和力度日益增強(qiáng)。

沙箱作為一種強(qiáng)大的工具，為安全研究人員和網(wǎng)絡(luò)防御團(tuán)隊(duì)提供了前所未有的洞察力。從收集樣本到運(yùn)行分析，安恒云沙箱可以模擬攻擊過(guò)程，記錄樣本的完整行為，幫助我們發(fā)現(xiàn)隱藏的威脅并準(zhǔn)備戰(zhàn)略性防御措施。

借助沙箱的力量，我們能夠保護(hù)用戶(hù)隱私、企業(yè)數(shù)據(jù)和數(shù)字資產(chǎn)的安全。用戶(hù)可通過(guò)點(diǎn)擊https://sandbox.dbappsecurity.com.cn/跳轉(zhuǎn)至安恒云沙箱，對(duì)可疑文件進(jìn)行威脅研判并下載分析報(bào)告。或用沙箱打開(kāi)不明來(lái)源的未知文件，在虛擬環(huán)境中進(jìn)行內(nèi)容預(yù)覽，免于主機(jī)失陷、受到木馬或病毒文件攻擊。

安恒在線(xiàn)云沙盒反饋與合作請(qǐng)聯(lián)系：sandbox@dbappsecurity.com.cn

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢(shì)感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場(chǎng)>

工業(yè)互聯(lián)網(wǎng)安全>