安恒:关联分析是应对APT攻击的必由之路

来源: eNet硅谷动力
2014/4/2 15:26:55
2014年网络安全成为热议话题。信息化时代,网络安全是一场没有硝烟的战争,APT攻击已经成为最具威胁的攻击方法。

分享到: 新浪微博 腾讯微博
本文关键字: 网络安全 APT

2014年网络安全成为热议话题。信息化时代,网络安全是一场没有硝烟的战争,APT攻击已经成为最具威胁的攻击方法。

据国外权威信息安全结构统计,该类型攻击增长的趋势呈指数级发展。从03年开始崭露头角,08年开始攻击次数一路直线上升,并且目标明确、持续性强、具有稳定性。它利用程序漏洞与业务系统进行融合,不易被察觉,并且有着超常的耐心,最长甚至可达七年以上,不断收集用户信息。发起APT攻击所需的技术壁垒和资源壁垒,要远高于普通攻击行为。其针对的攻击目标也不是普通个人用户,而是拥有高价值敏感数据的高级用户,特别是可能影响到国家和地区政治、外交、金融稳定的高级别敏感数据持有者、 甚至各种工业控制系统。

如2011年RSA攻击事件。攻击者给RSA的母公司EMC的4名员工发送了两组恶意邮件,附件名为“2011 Recruitment plan.xls”;其中一位员工将其从垃圾邮件中取出来阅读,被当时最新的Adobe Flash的0day漏洞命中。该员工电脑被植入木马,开始从BotNet的C&C服务器下载指令执行任务。首批受害的使用者并非“位高权重”人物,紧接着相关联的人士包括IT与非IT等服务器管理员相继被黑。RSA发现开发用服务器(Staging server)遭入侵,攻击方立即撤离,加密并压缩所有资料并以FTP传送至远程主机,随后清除入侵痕迹。

其威胁从以上举例可见一斑,同时,从下图,我们可以看到APT攻击从2008年开始放量增长,并呈指数级上升趋势。

APT攻击(网络战)预警平台发布

多路径攻击需要预警平台全方位防护

APT攻击的威胁已经不单单是一个病毒,经常伴有恶意程序、黑客攻击以及垃圾邮件等多种威胁。

通过对APT攻击进行大量分析,我们发现绝大多数大攻击通过3条路径对目标发起攻击:

1.通过发送带恶意附件邮件,利用恶意附件在员工电脑种植入后门,再通过员工电脑进行进一步带渗透

2.直接攻击Web服务器,由于Web服务器经常存在严重的安全漏洞,所以黑客经常对Web服务器进行攻击,然后再利用Web服务器为跳板,对内部网络发起攻击

3.使用欺骗或流量截获对方式直接对员工服务器发起攻击,利用员工电脑对内部网络发起攻击

APT攻击(网络战)预警平台发布

0day攻击检测

在APT攻击种, 使用0day对目标进行攻击非常常见,由于没有已知的特征所这些攻击很难被传统对检测手段发现。 而APT攻击检测设备的一个主要目标就是需要能够检测到0day攻击。静态检测无法检测到深度多攻击行为,而动态检测由于存在大量环境组合无法穷举,无法触发所有多行为。所以不应该使用任何一种单独的方法对目标进行检测。

通过关联分析应对APT攻击是必由之路

APT攻击中,由于黑客可能尝试多种路径进行攻击,所以无法使用一种方法就能有效的检测出APT攻击。我们需要利用多种检测手段结合,并进行综合分析发才能更有效的发现APT攻击,常用的检查步骤为(见下图):

1.针对Web、邮件、传输的文件进行的攻击检测

2.综合这些攻击的数据分离可疑文件、攻击流量

3.对Web行为模型进行建模和统计分析

4.对文件进行静态分析和动态运行分析

5.综合各种攻击路径中对告警,进行综合分析

6.最终发现APT攻击

APT攻击(网络战)预警平台发布

常见的检测方法有:

1、深度协议解析

利用各种检测手段发现其中的恶意攻击及0day攻击。 目前解析的协议包括HTTP、SMTP、POP、FTP等。

APT攻击预警平台能检测和预警一系列的攻击,无论是已知的或未知的,并能够阻止那些最常见的攻击。如:基于Web的恶意攻击、基于文件的恶意攻击、基于特征的恶意攻击等。

2、WEB应用攻击检测

该平台能解码所有进入的请求,检查这些请求是否合法或合乎规定;仅允许正确的格式或RFC遵从的请求通过。已知的恶意请求将被阻断,非法植入到Header、Form和URL中的脚本将被阻止,能够阻止那些的攻击如跨站点脚本攻击、缓冲区溢出攻击、恶意浏览、SQL注入等。

3、邮件攻击检测

对邮件协议进行深度分析,记录并分析每个邮件,并对其中的附件进行分析并检测,发现其中的安全问题。通过对附件进行对已知攻击特征的扫描、未知攻击漏洞的扫描和动态分析的方式进行测试,发现其中的攻击。

4、文件攻击检测

安恒通过长期的研究,总结并提权各类0day攻击的特点。在网络流量中分析关心的文件。通过快速检测算法,对目标文件进行检测,发现其中的0day攻击样本。

通过检测目标文件中的shellcode以及脚本类文件中的攻击特征,并结合动态分析技术可以有效检测0day攻击行为。

5、流量分析检测

APT通常会结合人工渗透攻击,在人工渗透攻击中经常使用扫描或病毒扩散的过程。这些过程中,通常会产生大量的恶意流量。利用这些恶意流量特征,能检测攻击行为。

责编:李玉琴
vsharing 微信扫一扫实时了解行业动态
portalart 微信扫一扫分享本文给好友
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
    畅享IT
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map