明御®APT攻击(网络战)预警平台

APT(Advanced Persistent Threat)--------高级持续性威胁。 利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用0day漏洞进行攻击。
返回列表
1.概述

APT(Advanced Persistent Threat)--------高级持续性威胁。 利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用0day漏洞进行攻击。



1.1.攻击特点




1).极强的隐蔽性

对此可这样理解,APT攻击已经与被攻击对象的可信程序漏洞与业务系统漏洞进行了融合,在组织内部,这样的融合很难被发现。例如,2012年最火的APT攻击“火焰(Flame)”就是利用了MD5的碰撞漏洞,伪造了合法的数字证书,冒充正规软件实现了欺骗攻击。

2).潜伏期长,持续性强

APT攻击是一种很有耐心的攻击形式,攻击和威胁可能在用户环境中存在一年以上,他们不断收集用户信息,直到收集到重要情报。他们往往不是为了在短时间内获利,而是把“被控主机”当成跳板,持续搜索,直到充分掌握目标对象的使用行为。所以这种攻击模式,本质上是一种“恶意的商业间谍威胁”,因此具有很长的潜伏期和持续性。

3).目标性强

不同于以往的常规病毒,APT制作者掌握高级漏洞发掘和超强的网络攻击技术。发起APT攻击所需的技术壁垒和资源壁垒,要远高于普通攻击行为。其针对的攻击目标也不是普通个人用户,而是拥有高价值敏感数据的高级用户,特别是可能影响到国家和地区政治、外交、金融稳定的高级别敏感数据持有者、 甚至各种工业控制系统。

4).利用0day攻击

在APT攻击中,经常使用0day对目标发起攻击。很多APT中不惜使用多个高级的0day,所以在APT攻击中利用0day也是一个非常重要的特点。

2.现有的检测技术
目前,很多企业采用多种网络安全防御技术检测攻击,如采用网络防火墙、IDS、应用防火墙、日志审计等措施,然而这些检测已知漏洞攻击的方式难以有效的发现APT攻击 。

2.1.传统网络防火墙

第一代网络防火墙可以控制对网络的访问,管理员可以创建网络访问控制列表(ACLs)允许或阻止来自某个源地址或发往某个目的地址及相关端口的访问流量。传统的防火墙无法发现APT攻击,不论这些攻击来自防火墙内部的还是外部,因为防火墙只是基于网络层和会话层的攻击,而APT攻击一般都基于更高的协议层次, 防火墙无法对这些流量和攻击进行进一步的细分,只能通过ACL列表做一个最简单的控制。

状态检测防火墙是防火墙技术的重大进步,这种防火墙在网络层的ACLs基础上增加了状态检测方式,它监视每一个连接状态,并且将当前数据包和状态信息与前一时刻的数据包和状态信息进行比较,从而得到该数据包的控制信息,来达到保护网络安全的目的。它能根据TCP会话异常及攻击特征阻止网络层的攻击,通过IP分拆和组合也能判断是否有攻击隐藏在多个数据包中。然而,状态防火墙无法侦测很多应用层的攻击,如果一个攻击隐藏在合法的数据包中,它仍然能通过防火墙到达应用服务器

2.2.入侵检测系统(IDS)

入侵检测系统是一个典型的探测设备。它不跨接多个物理网段(通常只有一个监听端口),无须转发任何流量,只需要在网络上被动的、无声息的收集它所关心的报文即可。对收集来的报文,入侵检测系统提取相应的流量统计特征值,并利用内置的入侵知识库,与这些流量特征进行智能分析比较匹配。根据预设的阀值,匹配耦合度较高的报文流量将被认为是进攻,入侵检测系统将根据相应的配置进行报警或进行有限度的反击。

入侵检测系统使用特征识别技术记录并报警潜在的安全威胁。只是基于已知漏洞进行检测,不能对未知的攻击进行报警。目前大多数攻击特征数据库都是网络层的攻击。此外,可以通过加密,TCP碎片攻击以及其他方式绕过入侵检测系统的防御。

2.3.防病毒网关

防病毒网关是一种网络设备,用以保护网络内(一般是局域网)进出数据的安全。主要体现在病毒杀除、关键字过滤(如色情、反动)、垃圾邮件阻止等功能,同时部分设备也具有一定防火墙(比如划分VLAN)的功能。

对于企业网络,一个安全系统的首要任务就是阻止病毒通过电子邮件与附件入侵。当今的威胁已经不单单是一个病毒,经常伴有恶意程序、黑客攻击以及垃圾邮件等多种威胁。网关作为企业网络连接到另一个网络的关口,就象是一扇大门。一旦大门敞开,企业的整个网络信息就会暴露无遗。从安全角度来看,对网关的防护得当,就能起到“一夫当关,万夫莫开”的作用。反之,病毒和恶意代码就会从网关进入企业内部网,为企业带来巨大损失。基于网关的重要性,企业纷纷开始部署防病毒网关,主要的功能就是阻挡病毒进入网络。

这种网关防病毒产品能够检测进出网络内部的数据,对HTTP、FTP、SMTP、IMAP四种协议的数据进行病毒扫描,但所有的检测基本都基于文件类型,并且只能根据特征匹配已知的病毒木马攻击,对于利用0day进行的APT攻击就无能为力。
3.安全需求
目前针对企业、政府、金融、工业等攻击越来越多,也别是针对一些重要部门的攻击,不惜使用大量的0day和花费大量的时间对一个目标进行深度长期的攻击。而这块的检测手段有限,目前的设备无法有效的发现这些安全攻击事件。所以我们需要一种能检测此类攻击的设备。这类设备的功能应包含:


● 对常规攻击的发现;


● 对已知漏洞攻击的发现;


● 对0day攻击的发现;


● 深度威胁分析能力。



4.安恒APT攻击(网络战)预警平台的功能
• 对常规攻击的发现;

 

• 对已知漏洞攻击的发现;

 

• 对0day攻击的发现;

 

• 深度威胁分析能力。


安恒APT攻击(网络战)预警平台通过对流量进行深度解析,发现流量中的恶意攻击,提供了全面的检测和预警的能力。其中包括:

  

• WEB威胁深度检测

  

• 邮件威胁深度检测

  

• 病毒木马深度检测

  

• 0day攻击检测

  

• 异常行为分析

  

• 云端高级分析


通过综合关联分析综合判断APT攻击的行为和攻击路径


 安恒APT攻击(网络战)检测流程


4.1.WEB威胁深度检测

安恒APT攻击(网络战)预警平台通过对Web流量和应用进行深度检测,提供了全面的入侵检测能力。

安恒APT攻击(网络战)预警平台能在攻击到达Web服务器之前进行检测,并进行实时的攻击预警。安恒APT攻击(网络战)预警平台能解码所有进入的请求,检查这些请求是否合法或合乎规定;仅允许正确的格式或RFC遵从的请求通过。已知的恶意请求将被阻断,非法植入到Header、Form 和URL中的脚本将被阻止。APT攻击(网络战)预警平台还能进行Web地址翻译、请求限制、URL格式定义及Cookie安全。

安恒APT攻击(网络战)预警平台能通过与WAF联动防护一系列的攻击,无论是已知的或未知的。实现阻止那些的攻击如跨站点脚本攻击、缓冲区溢出攻击、恶意浏览、SQL注入等。

4.2.邮件威胁深度检测

安恒APT攻击(网络战)预警平台对邮件协议进行深度分析,记录并分析每个邮件,并对其中的附件进行分析并检测,发现其中的安全问题。包括WEBMail漏洞利用、邮件欺骗、邮件恶意链接、恶意邮件附件等威胁。

通过对附件进行对已知攻击特征的扫描、未知攻击漏洞的扫描和动态分析的方式进行测试,发现其中的攻击。

4.3.病毒木马深度检测

安恒APT攻击(网络战)预警平台对应用协议解析,在协议中分离文件,通过对病毒木马进行扫描,快速发现各种已知特征的恶意文件攻击行为。

安恒APT产品内部集成了500万+的病毒木马特征库,可有效发现网络中存在的僵木蠕,包含各种CVE漏洞利用、病毒感染、恶意代码传播、远控工具和恶意回连行为,分析网络中主机的威胁趋势,感知主机的威胁指数,进一步发现各种恶意样本的传播规律,预警网络安全状况。

4.4.0day攻击检测

安恒通过长期的研究,总结并提权各类0day攻击的特点。在网络流量中分析关心的文件。采用shellcode静态行为分析和沙箱动态行为分析的检测机制,弥补特征检测的不足,并输出完整的二进制分析报告,全过程解析文件在运行过程中存在的各种隐藏行为。

通过定位目标文件中的shellcode以及脚本类文件中的溢出代码,进行静态执行分析,对目标文件进行检测,发现其中的0day攻击样本。

产品内置动态沙箱分析技术发现文件中的恶意行为,内部虚拟机可实现完全模拟真实桌面环境,所有恶意文件的注册表行为、敏感路径操作行为、进程行为、导入表信息、资源信息、段信息、字符串信息及运行截图等行为都将被发现,综合分析这些恶意行为,判断其中的可疑操作,再结合加权值分析技术,在保证发现所有恶意行为的同时,极大降低了误报。

4.5.异常行为分析

APT通常会结合人工渗透攻击,在人工渗透攻击中经常使用扫描或病毒扩散的过程。这些过程中,通常会产生大量的恶意流量。利用这些恶意流量特征,能检测攻击行为。

目前检测基于多个维度,如:
 

• 基于时间的检测
  

• 基于ip的检测
  

• 基于端口的检测
  

• 基于协议的检测
  

• 基于DNS异常检测
  

• 基于木马回连行为的分析

4.6.云端高级分析

安恒APT攻击(网络战)预警平台云端可提供更为深层的威胁分析服务、安全预警服务和情报共享服务,依托于云端的海量数据、高级的机器学习和大数据分析能力,可及时共享最新的安全威胁情报,提供更为精准的威胁分析能力,用户也可直接访问云端,上传、查询和确认样本的分析结果,感知最新的安全态势。

APT的对抗是以时间对抗时间,云端是产品的重要补充,是对用户提供的一种更为高级的服务,可更为及时有效的利用大数据的能力提升APT检测的效果。


5.安恒APT攻击(网络战)预警平台部署

安恒APT攻击(网络战)预警平台共分为WEB攻击检测形态、邮件攻击检测形态、文件攻击检测形态和综合管理分析形态,分别针对不同类型的APT攻击行为进行检测和分析。



5.1.WEB攻击检测系统

安恒明御APT攻击(网络战)预警平台WEB攻击检测形态针对各种类型基于WEB的APT攻击行为进行检测,产品具备业界最成熟全面的WEB漏洞检测特征库,同时支持其他WEB检测产品不具备的WebShell攻击检测、web传输恶意文件检测和web动态行为分析,深入发现所有已知的和未知的基于WEB的APT攻击行为。

5.2.邮件攻击检测系统

安恒明御APT攻击(网络战)预警平台邮件检测形态针对各种基于邮件的APT攻击行为进行检测,产品支持各种基于WebMail的漏洞攻击检测和基于邮件附件的恶意文件传输行为检测,同时还具备基于邮件头欺骗、发件人欺骗、邮件钓鱼、恶意链接等邮件欺骗行为检测,确保发现所有基于邮件的APT攻击行为。

5.3.文件攻击检测系统

安恒明御APT攻击(网络战)预警平台文件检测形态针对各种基于文件的APT攻击行为进行检测,产品集成了全面的恶意文件检测特征库、成熟的沙箱检测机制、特有的Shellcode检测技术,通过多维度提取攻击行为,集成大量的0day算法,快速有效的发现用户网络中各种病毒、木马、蠕虫等恶意威胁。

5.4.综合管理分析系统

安恒明御APT攻击(网络战)预警平台综合管理分析形态主要针对不同产品形态的检测数据进行管理分析,通过综合管理分析、行为关联分析、日志报表综合分析等多种手段对不同检测形态产品进行管理分析,在便于管理的同时,深入发现更为隐蔽的APT攻击行为。

6.APT产品能力和价值
6.1.预警重要信息系统发生的安全事件

6.1.1.及时发现网站存在WEBSHELL后门被利用的行为

APT不仅可以从流量中发现WEBSHELL页面,还可及时预警活动的WEBSHELL利用行为,同时定位到网站服务器、路径和具体页面,帮助进一步快速解决问题。

6.1.2.快速预警高危恶意代码样本传播

一些高危的恶意代码通常杀毒软件是无法处理的,一旦进入内网影响较大,比如一些包含shellcode、勒索病毒的样本,APT产品可以快速的发现并预警这些攻击。

6.1.3.对内部主机被控制回连的行为进行监控

APT内置了一部分黑IP黑域名库,同时通过沙箱提取样本中包含的C&C IP/URL,实现动态的自学习更新黑IP黑域名库,监控内部主机存在被控制回连的行为。

6.2.完善核心系统安全防护能力

6.2.1.发现各种隐蔽威胁

通过深度和全面的行为分析能力,可以发现网络中的隐蔽攻击威胁,避免内网出现恶意代码传播和感染等危害。

6.2.2.分析当前安全防护的弱点

当前安全防护的产品都是基于特征的,极易出现绕过和漏掉的攻击,通过及时发现漏掉的这些威胁,可以分析当前安全防护的弱点。

6.2.3.完善安全防护策略

FW、IPS等安全设备在部署的时候通常都是默认策略,极为容易出现漏掉的攻击,APT可以发现并分析攻击的数据包特征,持续完善当前安全防护策略。

6.3.对攻击进行取证溯源分析

安恒APT产品不仅可以分析出当前存在的威胁,还可以记录威胁的来源、攻击手段、攻击过程、攻击目标、攻击影响等信息,实现对攻击的过程分析和溯源分析,确定内部主机的遭受的威胁程度。

6.3.1.记录详细的攻击行为

通过对攻击威胁的详细分析和行为记录,不仅可以快速发现威胁,并可对威胁的详细行为进行记录,便于进一步取证和追溯。

6.3.2.发现并定位僵尸主机

一旦出现极易被感染为僵尸主机,且难以发现,APT可以发现由内向外的异常流量,定位内网存在的僵尸主机,可以定位到具体的IP、MAC、区域等信息。

6.3.3.对攻击进行跟踪溯源

根据被攻击者遭受的所有威胁进行关联,跟踪所有对被攻击者发起的威胁信息和攻击源信息,发现其中的高危攻击。

6.4.感知安全威胁趋势规律

基于统一智能威胁分析平台,可以实现安全威胁统一分析,感知当前的安全威胁趋势和规律,通过可视化的方式进行展现,便于及时快速的掌握当前的安全动态和威胁指数。

6.4.1.全面的威胁指数分析

通过对主机威胁、文件威胁和邮件威胁多个纬度的威胁分析,形成不同纬度的当前威胁指数,实现全面的威胁动态分析。

6.4.2.安全趋势和规律分析

通过对威胁的实时检测和分析,跟踪安全威胁的趋势和规律,及时掌握安全动态,进一步明确安全建设的方向。





7.总结
杭州安恒信息技术有限公司的核心团队拥有多年互联网应用安全防卫、网络安全审计、数据库安全审计、WEB应用安全防护的深厚技术背景,拥有全球领先的具有完全知识产权的安全技术;为 的成功推出奠定了有力的基础。安恒APT攻击(网络战)预警平台由资深安全专家经历数年的时间研发而成,它能够轻松应对各种复杂的攻击,全面深入针对APT攻击的检测。

安恒APT攻击(网络战)预警平台旨在检测深度攻击的风险,降低国家利益、社会利益、企业利益乃至个人利益受损风险,广泛适用于“政府、电信、金融、证券、公安、教育、税务、电力、电子商务”等等各个领域。

安恒产品/服务现有的客户涵盖公安、运营商、政府、地税、金融等各个行业,许多企业都使用安恒产品提升企业整体安全性。

相关案例

CASES

杭州安恒信息技术有限公司 版权所有 © 2007-2017    浙ICP备09102757号 | 法律声明 | 隐私保护 |