Fortinet FortiGuard安全實驗室解密APT攻擊的那些事兒

責任編輯:editor006

2015-11-11 16:45:04

摘自:C114

“ 當網(wǎng)絡(luò)罪犯了解了更多普通的安全檢測方法時, 他們往往會將更多的投入放在安全規(guī)避方法的研發(fā)上。如果散播程序所連接的服務(wù)器在沙盒運行代碼的檢測期間內(nèi)暫?;顒樱瑒t無法觀察到惡意活動。

“ 當網(wǎng)絡(luò)罪犯了解了更多普通的安全檢測方法時, 他們往往會將更多的投入放在安全規(guī)避方法的研發(fā)上。” ---FortiGuard安全研究實驗室

惡意威脅可以使用多種方式來避開安全屏障。以下是黑客面對沙盒最常使用的規(guī)避技術(shù)。

邏輯炸彈

最常見的邏輯炸彈是定時炸彈,它們曾出現(xiàn)在許多引人注目的攻擊中。在一個定時炸彈中,惡意代碼部分會一直隱藏到指定的時間。攻擊者可以將惡意軟件植入到多個系統(tǒng)中,在所有炸彈被定時引爆前都不會被注意到。其他的邏輯炸彈則會在出現(xiàn)有人機互動(點擊鼠標、系統(tǒng)重啟等等)時被觸發(fā),由于在一般沙盒的環(huán)境內(nèi)難以滿足邏輯條件,所以代碼并未在檢測期間遵循惡意執(zhí)行路徑。為此,F(xiàn)ortinet精心設(shè)計了相關(guān)防御環(huán)境,使用 CPRL 和代碼仿真分析,在實際運行代碼之前發(fā)現(xiàn)邏輯炸彈。CPRL 進行實際操作指令的實時分析,因此能夠發(fā)現(xiàn)那些將會觸發(fā)炸彈的邏輯條件。

惡意代碼:Rootkit與 Bootkit

高級惡意軟件常常包含一個核心代碼,可以控制和破壞操作系統(tǒng)的 Rootkit。沙盒可能會受到這種規(guī)避技術(shù)的攻擊,因為行為監(jiān)控的功能也可能會遭到控制。此外, Bootkit在系統(tǒng)啟動時會以沙盒難以檢測到的惡意軟件來感染系統(tǒng)。Fortinet的 CPRL 檢測技術(shù),同樣可以在高級 Rootkit和 Bootkit程序運行之前發(fā)現(xiàn)它們并解決該問題。

沙盒環(huán)境檢測

另一個高級規(guī)避技術(shù)是環(huán)境覺察。 APT 代碼可能包含有一些程序,以嘗試判斷其自身是否運行于一個虛擬環(huán)境中從而表明它是否可能處于沙盒內(nèi), APT 代碼有可能檢查特定供應(yīng)商的沙盒環(huán)境特征值。如果該代碼檢測到其處于一個沙盒中,它就不會運行其惡意執(zhí)行路徑。CPRL 能夠深入檢查、檢測并捕獲那些探測沙盒的代碼。

僵尸網(wǎng)絡(luò)命令與控制窗口

僵尸網(wǎng)絡(luò)命令與控制活動通常始于一個釋放器。釋放器是十分干凈的代碼,而非一個連接到某個 URL/IP 地址以便根據(jù)命令下載文件的程序。命令可以來自于初始運行時間之后幾個小時 、幾天或幾周而出現(xiàn)的一個攻擊者。如果散播程序所連接的服務(wù)器在沙盒運行代碼的檢測期間內(nèi)暫?;顒樱瑒t無法觀察到惡意活動。CPRL 可在病毒沒有運作的期間,主動捕獲異常代碼并檢測惡意軟件, FortiGuard 的全球情報網(wǎng)絡(luò)可監(jiān)測僵尸網(wǎng)絡(luò),在僵尸網(wǎng)絡(luò)活動時對其當場進行揭露。

網(wǎng)絡(luò)快速通量

高級惡意軟件可能采用快速通量或域生成算法技術(shù)來改變某個病毒所要連接的一個 URL/IP 地址。在沙盒觀測期間,該病毒先指向某個地址,但是隨著時間的推移,在終端用戶的主機內(nèi),該代碼將通過一個不同的路徑指向某個第二地址來發(fā)送惡意信息流。FortiGuard跟蹤快速通量網(wǎng)絡(luò)并在預(yù)掃描期間將收集到的威脅情報反饋給沙盒使用。Fortinet監(jiān)測的是域名服務(wù)器,而不是像其他供應(yīng)商通常所做的那樣僅僅盯住 IP 黑名單。

加密文檔

一個古老的把戲,攻擊者可以在文檔中加密惡意軟件。然后,通過社交心理欺騙終端用戶通過輸入密碼來打開該病毒。沙盒無法自動輸入密碼,所以惡意軟件在觀察期間不會運行。Fortinet的專利壓縮文件頭檢查技術(shù)可以檢測已經(jīng)通過加密偽裝了的惡意軟件特征值。

二進制封包

二進制封包通過將其篡改部分進行加密來掩蓋惡意軟件,因而不容易被傳統(tǒng)的殺毒安全軟件分析。該代碼在其被執(zhí)行的時候打開,繼而感染宿主。類似的技術(shù)也被用于 在 JavaScript 和等語言中嵌入惡意代碼。歷史來看,這種技術(shù)曾在內(nèi)存昂貴的年代用來壓縮可執(zhí)行代碼。今天的內(nèi)存不是一個問題了,但二進制封包則經(jīng)常被用來規(guī)避殺毒檢查。對于JavaScript 和ActionScript的情況,這個方法可以被合理地用于副本保護。Fortinet的旗艦安全平臺FortiGate殺毒引擎支持腳本去模糊處理以及檢測許多二進制包,并將惡意軟件解壓成為原生形態(tài)以便進行基于 CPRL 的分析,允許在沙盒中進行實時檢測與緩解或進一步加以執(zhí)行。

多態(tài)惡意軟件

多態(tài)惡意軟件在每次運行時都會發(fā)生變化,添加少量的垃圾代碼以期對付模式檢查和基于“校驗和”的檢查。當一個操作系統(tǒng)將其打開時,惡意代碼便會執(zhí)行。多態(tài)代碼對傳統(tǒng)的反應(yīng)性檢測構(gòu)成了挑戰(zhàn),而 Fortinet則可以通過其主動防病毒檢測引擎技術(shù)、CPRL 和沙盒的結(jié)合來加以解決。該引擎可以將惡意軟件解壓為一個原生形態(tài),以便在運行駐留在沙盒中的代碼進行更深入的檢查之前,使用最低的處理資源過濾盡可能多的信息流。

Fortinet的FortiSandbox提供強大的主動檢測和防御功能,以及可操作的威脅洞察,和簡單整合部署等等。而這一切的基礎(chǔ)則是Fortinet屢獲如榮的反惡意軟件和FortiGuard威脅響應(yīng)中心提供的獨特的,雙層沙箱。經(jīng)驗豐富的Fortinet威脅研究專家現(xiàn)在則被“打包”到了FortiSandbox中為用戶提供更體貼的服務(wù)。

對抗如今的攻擊,企業(yè)更需要智能型的整合方案,不只是反惡意軟件,也不只是沙盒,更不只是分散的監(jiān)控系統(tǒng),防御目標性高隱蔽性強的攻擊所造成的數(shù)據(jù)竊取和網(wǎng)絡(luò)中斷。唯有這樣的架構(gòu)能讓企業(yè)有效地保護自己,免于如今不斷演化的威脅。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號