Fortinet FortiGuard安全实验室解密APT攻击的那些事儿
“ 当网络罪犯了解了更多普通的安全检测方法时, 他们往往会将更多的投入放在安全规避方法的研发上。”
—FortiGuard安全研究实验室
恶意威胁可以使用多种方式来避开安全屏障。以下是黑客面对沙盒最常使用的规避技术。
逻辑炸弹
最常见的逻辑炸弹是定时炸弹,它们曾出现在许多引人注目的攻击中。在一个定时炸弹中,恶意代码部分会一直隐藏到指定的时间。攻击者可以将恶意软件植入到多个系统中,在所有炸弹被定时引爆前都不会被注意到。其他的逻辑炸弹则会在出现有人机互动(点击鼠标、系统重启等等)时被触发,由于在一般沙盒的环境内难以满足逻辑条件,所以代码并未在检测期间遵循恶意执行路径。为此,Fortinet精心设计了相关防御环境,使用 CPRL 和代码仿真分析,在实际运行代码之前发现逻辑炸弹。CPRL 进行实际操作指令的实时分析,因此能够发现那些将会触发炸弹的逻辑条件。
恶意代码:Rootkit与 Bootkit
高级恶意软件常常包含一个核心代码,可以控制和破坏操作系统的 Rootkit。沙盒可能会受到这种规避技术的攻击,因为行为监控的功能也可能会遭到控制。此外, Bootkit在系统启动时会以沙盒难以检测到的恶意软件来感染系统。Fortinet的 CPRL 检测技术,同样可以在高级 Rootkit和 Bootkit程序运行之前发现它们并解决该问题。
沙盒环境检测
另一个高级规避技术是环境觉察。 APT 代码可能包含有一些程序,以尝试判断其自身是否运行于一个虚拟环境中从而表明它是否可能处于沙盒内, APT 代码有可能检查特定供应商的沙盒环境特征值。如果该代码检测到其处于一个沙盒中,它就不会运行其恶意执行路径。CPRL 能够深入检查、检测并捕获那些探测沙盒的代码。
僵尸网络命令与控制窗 口
僵尸网络命令与控制活动通常始于一个释放器。释放器是十分干净的代码,而非一个连接到某个 URL/IP 地址以便根据命令下载文件的程序。命令可以来自于初始运行时间之后几个小时 、几天或几周而出现的一个攻击者。如果散播程序所连接的服务器在沙盒运行代码的检测期间内暂停活动,则无法观察到恶意活动。CPRL 可在病毒没有运作的期间,主动捕获异常代码并检测恶意软件, FortiGuard 的全球情报网络可监测僵尸网络,在僵尸网络活动时对其当场进行揭露。
网络快速通量
高级恶意软件可能采用快速通量或域生成算法技术来改变某个病毒所要连接的一个 URL/IP 地址。在沙盒观测期间,该病毒先指向某个地址,但是随着时间的推移,在终端用户的主机内,该代码将通过一个不同的路径指向某个第二地址来发送恶意信息流。FortiGuard跟踪快速通量网络并在预扫描期间将收集到的威胁情报反馈给沙盒使用。Fortinet监测的是域名服务器,而不是像其他供应商通常所做的那样仅仅盯住 IP 黑名单。
加密文档
一个古老的把戏,攻击者可以在文档中加密恶意软件。然后,通过社交心理欺骗终端用户通过输入密码来打开该病毒。沙盒无法自动输入密码,所以恶意软件在观察期间不会运行。Fortinet的专利压缩文件头检查技术可以检测已经通过加密伪装了的恶意软件特征值。
二进制封包
二进制封包通过将其篡改部分进行加密来掩盖恶意软件,因而不容易被传统的杀毒安全软件分析。该代码在其被执行的时候打开,继而感染宿主。类似的技术也被用于 在 JavaScript 和等语言中嵌入恶意代码。历史来看,这种技术曾在内存昂贵的年代用来压缩可执行代码。今天的内存不是一个问题了,但二进制封包则经常被用来规避杀毒检查。对于JavaScript 和ActionScript的情况,这个方法可以被合理地用于副本保护。Fortinet的旗舰安全平台FortiGate杀毒引擎支持脚本去模糊处理以及检测许多二进制包,并将恶意软件解压成为原生形态以便进行基于 CPRL 的分析,允许在沙盒中进行实时检测与缓解或进一步加以执行。
多态恶意软件
多态恶意软件在每次运行时都会发生变化,添加少量的垃圾代码以期对付模式检查和基于“校验和”的检查。当一个操作系统将其打开时,恶意代码便会执行。多态代码对传统的反应性检测构成了挑战,而Fortinet则可以通过其主动防病毒检测引擎技术、CPRL 和沙盒的结合来加以解决。该引擎可以将恶意软件解压为一个原生形态,以便在运行驻留在沙盒中的代码进行更深入的检查之前,使用最低的处理资源过滤尽可能多的信息流。
Fortinet的FortiSandbox提供强大的主动检测和防御功能,以及可操作的威胁洞察,和简单整合部署等等。而这一切的基础则是Fortinet屡获如荣的反恶意软件和FortiGuard威胁响应中心提供的独特的,双层沙箱。经验丰富的Fortinet威胁研究专家现在则被“打包”到了FortiSandbox中为用户提供更体贴的服务。
对抗如今的攻击,企业更需要智能型的整合方案,不只是反恶意软件,也不只是沙盒,更不只是分散的监控系统,防御目标性高隐蔽性强的攻击所造成的数据窃取和网络中断。唯有这样的架构能让企业有效地保护自己,免于如今不断演化的威胁。
相关文章
- 2条评论
- 慵吋私野2022-05-30 04:35:43
- 洞察,和简单整合部署等等。而这一切的基础则是Fortinet屡获如荣的反恶意软件和FortiGuard威胁响应中心提供的独特的,双层沙箱。经验丰富的Fortinet威胁研究专家现在则被“打包”到了FortiSandbo
- 俗野听净2022-05-29 22:15:19
- 活动通常始于一个释放器。释放器是十分干净的代码,而非一个连接到某个 URL/IP 地址以便根据命令下载文件的程序。命令可以来自于初始运行时间之后几个小时 、几天或几周而出现的一个攻击者。如果散播程序所连接的服务器在沙盒运行代码的检测期间内暂停活动,则无法观察到恶意活动。CPRL 可在病毒没有运作的