首頁 > 關(guān)于我們 > 安恒動態(tài) > 2023 > 正文

精心偽裝，潛伏竊密？安恒云沙箱不允許！

閱讀量：次 文章來源：安恒信息

當今時代信息網(wǎng)絡(luò)滲透各個領(lǐng)域，網(wǎng)絡(luò)空間成為人類的“第二生存空間”和“第五維戰(zhàn)場”。網(wǎng)絡(luò)作戰(zhàn)演進至今，已從“壞小子作惡”量級升級變種為“大玩家對決”層面。

國家安全部新聞辦曾披露多起有關(guān)APT（Adavanced Persistent Threat，高級持續(xù)性威脅）竊密的案例并表示，近年來境外各類政府背景APT黑客組織不斷加強對我國網(wǎng)絡(luò)攻擊，竊取大量重要敏感信息，極力攻擊試圖控制我國核心設(shè)備和關(guān)鍵設(shè)施，勢頭猛烈，威脅巨大，嚴重危害我國網(wǎng)絡(luò)空間國家安全和利益。

與傳統(tǒng)網(wǎng)絡(luò)攻擊方式相比，APT攻擊意圖明確、技術(shù)高超、行動隱蔽、潛伏期長，是數(shù)字經(jīng)濟時代最大的網(wǎng)絡(luò)安全挑戰(zhàn)之一。

對此，獵影實驗室將百余個重點APT組織的動、靜態(tài)特征、流量特征、妥協(xié)指標IOC、技戰(zhàn)術(shù)指標TTPs與痛苦金字塔、ATT&CK等多類模型結(jié)合，在安恒云沙箱平臺落地APT組織歸因分析模塊，實現(xiàn)了APT組織深度識別，研究員可高效進行威脅識別、分析、溯源、狩獵等工作。

痛苦金字塔模型

David Bianco在早些時候就定義了入侵檢測的“痛苦金字塔模型”

時至今日，這個簡單模型也能夠提供一些參考，其用于對各類攻擊指標進行分層，并描述了各類指標在攻防對抗中的應(yīng)用難度和價值。

從上圖可以發(fā)現(xiàn)，隨著越接近金字塔頂端，雙方投入的成本越高。Hash、IP、域名是較為普及和相對容易的指標，網(wǎng)絡(luò)特征和攻擊工具的特征相對下層成本要再高一些，最上層的TTPs，即戰(zhàn)術(shù)、技術(shù)、步驟，最為復雜，從應(yīng)用角度來看，需要通過技戰(zhàn)術(shù)及實例相結(jié)合而形成檢測條例。

在威脅對抗過程中，作為防御方，我們可以分析提取掌握攻擊者的多維度攻擊特征。安恒云沙箱借鑒痛苦金字塔模型，從多個維度和模塊綜合判別惡意樣本的組織歸屬：

域名/IP/Hash

威脅情報碰撞模塊：安恒云沙箱集成了威脅情報模塊，其中覆蓋了長期持續(xù)追蹤的APT威脅情報指標，同時，多元化渠道和挖掘能力保障了APT情報的持續(xù)更新和云沙箱在威脅情報上的檢測能力。

網(wǎng)絡(luò)或主機特征

網(wǎng)絡(luò)流量監(jiān)測模塊：網(wǎng)絡(luò)監(jiān)測是沙箱的必備模塊，網(wǎng)絡(luò)監(jiān)測能夠分析掌握樣本的C&C通信、數(shù)據(jù)傳輸、可疑訪問、下載等內(nèi)容。APT組織在流量上可能存在特征，通過流量檢測策略或異常流量行為捕捉策略在流量層面進行惡意發(fā)現(xiàn)。

攻擊工具

惡意武器工具檢測模塊：APT組織在使用攻擊武器時，因為成本原因，可能會在一段時間內(nèi)會保持使用同武器工具或變動不大的變種，通過武器特征、基因代碼、行為特征、文件屬性等層面可對其進行檢測識別。

安恒云沙箱具備動態(tài)深度分析能力，能夠從容應(yīng)對APT常用的文件混淆、代碼加密、注入、多段分離等手段，能夠轉(zhuǎn)儲并識別關(guān)鍵核心載荷。并可通過行為監(jiān)測緊盯APT武器發(fā)生的敏感操作、持久化、隱蔽、竊密等重點行為。

安恒云沙箱具備靜態(tài)深度解析提取能力，能夠深度解析Office辦公系列、PDF、CHM、LNK等多種格式，對關(guān)鍵特性代碼、特定屬性進行提取，并通過APT檢測特性、特征進行識別。

TTPs

攻擊行為和TTPs檢測模塊：APT組織會使用一些特定的攻擊技術(shù)和戰(zhàn)術(shù)（TTPs），通過分析樣本的行為和使用的TTPs，并與ATT&CK攻擊矩陣相結(jié)合，安恒云沙箱經(jīng)過離散鏈、串聯(lián)鏈、映射鏈等方式，能夠?qū)颖九c已知的APT組織進行關(guān)聯(lián)。

最后，經(jīng)過多個模型分析檢測結(jié)果，匯聚進行綜合模塊分析歸因到APT組織。并且，安恒云沙箱將綜合檢測和識別匯聚入場景信息中的組織事件畫像模塊。

快速鑒別APT樣本

以透明部落組織的一個樣本為例，經(jīng)過安恒云沙箱綜合分析，快速獲得樣本的詳細分析信息，從聚合標簽中即可判斷出樣本為Crimson RAT，APT組織為Transparent Tribe（透明部落）。

https://sandbox.dbappsecurity.com.cn/report/7c0457d4-3ade-4ab3-8eef-67370b5f7255

通過多維歸因進行判定。

通過畫像了解APT組織詳情。

使用多模塊進行深入分析，如宏代碼提取。

洞察先機消弭隱患

近年來，境外APT組織不僅加大了對我國黨政機關(guān)、國防軍工、科研院所等核心要害單位的攻擊活動，而且延伸到了關(guān)鍵信息基礎(chǔ)設(shè)施、能源、金融、軍民融合等各個領(lǐng)域。攻擊來源眾多、頻次和力度日益增強。

沙箱作為一種強大的工具，為安全研究人員和網(wǎng)絡(luò)防御團隊提供了前所未有的洞察力。從收集樣本到運行分析，安恒云沙箱可以模擬攻擊過程，記錄樣本的完整行為，幫助我們發(fā)現(xiàn)隱藏的威脅并準備戰(zhàn)略性防御措施。

借助沙箱的力量，我們能夠保護用戶隱私、企業(yè)數(shù)據(jù)和數(shù)字資產(chǎn)的安全。用戶可通過點擊https://sandbox.dbappsecurity.com.cn/跳轉(zhuǎn)至安恒云沙箱，對可疑文件進行威脅研判并下載分析報告。或用沙箱打開不明來源的未知文件，在虛擬環(huán)境中進行內(nèi)容預(yù)覽，免于主機失陷、受到木馬或病毒文件攻擊。

安恒在線云沙盒反饋與合作請聯(lián)系：sandbox@dbappsecurity.com.cn

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場>

工業(yè)互聯(lián)網(wǎng)安全>