資源描述:
《基于動態(tài)分析的apt檢測技術(shù)研究》由會員上傳分享����,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在教育資源-天天文庫��。
1���、基于動態(tài)分析的APT檢測技術(shù)研究基于動態(tài)分析的APT檢測技術(shù)研究安天實驗室文檔信息安天實驗室反病毒引發(fā)布日期2012/11作者擎研發(fā)中心背景介紹本報告介紹了安天在APT檢測方面的經(jīng)驗及近年來在對抗APT方面的工作�����。版權(quán)說明本文版權(quán)屬于安天實驗室所有�����。本著開放共同進(jìn)步的原則�����,允許以非商業(yè)用途使用自由轉(zhuǎn)載���。轉(zhuǎn)載時需注明文章版權(quán)����、出處及鏈接��,并保證文章完整性�����。以商業(yè)用途使用本文的����,請聯(lián)系安天實驗室另做授權(quán)。聯(lián)系郵箱:resource@antiy.cn����。?安天實驗室版權(quán)所有第1頁/共20頁基于動態(tài)分析的APT檢測技術(shù)研究基于動態(tài)分析的APT檢測技術(shù)研究安天實驗室安天實驗室反病毒引擎研發(fā)中心Andy&C
2、uteK編者按:2012年11月12日至14日�,第十五屆AVAR國際反病毒安全會議在杭州舉行。安天實驗室研發(fā)負(fù)責(zé)人在大會上做了題為《基于動態(tài)分析的APT檢測技術(shù)研究》的英文報告�����,報告中介紹了安天在APT檢測方面的經(jīng)驗及近年來在對抗APT方面的工作�����。報告中指出基于動態(tài)分析系統(tǒng)可以判定網(wǎng)絡(luò)中傳輸?shù)奈募欠窭昧艘阎蛭粗穆┒?,從而發(fā)現(xiàn)可能的APT攻擊中搜集信息和滲透行為。本文根據(jù)大會報告整理形成的論文���,并在技術(shù)文章匯編(十)中首次公開�。關(guān)鍵詞:APT:高級持續(xù)性威脅(AdvancedPersistentThreat,APT)C&C:命令與控制(CommandandControl)1摘要在信息化高
3��、速發(fā)展的今天���,網(wǎng)絡(luò)安全正面臨著全新的挑戰(zhàn)����。高級持續(xù)性威脅(APT)不斷發(fā)展升級�����,也許就在我們認(rèn)為一切正常時,APT攻擊正在發(fā)生或己然完成��。攻擊者不再是原有意義上的惡意代碼作者或黑客���,通過寬泛的大面積攻擊以獲取部分利益���;而是有組織團(tuán)隊、具有極強(qiáng)目的性的持續(xù)性攻擊����。由于上述的特點APT攻擊的對象必然是有所選擇的,為了利益的最大化����,他們選擇的目標(biāo)開始轉(zhuǎn)為企業(yè)甚至是政府。也正是上述的這些特點導(dǎo)致了企業(yè)防御成本的增加��,防范難度的加大��。APT攻擊組織會通過各種手段收集目標(biāo)的信息�,不斷的利用最新的漏洞甚至是已知漏洞對目標(biāo)進(jìn)行定點的攻擊。自2010年1月Google在其官方微博承認(rèn)自己遭受到網(wǎng)絡(luò)攻擊后���,APT
4���、就成為信息安全界的一個熱門話題��。這兩年隨著Stuxnet事件、Duqu事件以及Flame事件的接連發(fā)生�����,如何發(fā)現(xiàn)和應(yīng)對APT成為一個新的挑戰(zhàn)���。?安天實驗室版權(quán)所有第2頁/共20頁基于動態(tài)分析的APT檢測技術(shù)研究第一����,簡介APT(AdvancedPersistentThreat)即高級持續(xù)性威脅����,通常是指在某個組織(如國家或財團(tuán))的支持下針對一個特定的目標(biāo)使用比較高級的技術(shù)進(jìn)行持續(xù)的攻擊。這種攻擊通常具有很強(qiáng)的破壞性���,手段比較隱蔽�����,持續(xù)時間較長����,這種攻擊造成的后果也是極其嚴(yán)重的。APT并不是一個新的技術(shù)�����,其主要采用的是最新的漏洞利用溢出攻擊目標(biāo)并進(jìn)行遠(yuǎn)程控制���。對于溢出和遠(yuǎn)程控制的檢測傳統(tǒng)上殺毒軟
5���、件通過特征碼技術(shù)以及及時的升級。但由于殺毒軟件的特征碼以及簡單的啟發(fā)檢測受到資源和時間的限制���,對于變化的新的樣本難以及時發(fā)現(xiàn)���。針對惡意代碼的動態(tài)分析技術(shù)也有很多包括類似CWSandbox為代表的Ring3級別的監(jiān)控程序,主要運(yùn)行在虛擬機(jī)或者冰點還原系統(tǒng)內(nèi)部�,可以對惡意代碼的進(jìn)程相關(guān)的API調(diào)用做記錄。但由于該分析系統(tǒng)只是停留在簡單的監(jiān)控����,對于分析的結(jié)果缺乏進(jìn)一步的提煉挖掘和識別����,所以在惡意檢測上還需要更進(jìn)一步���;另一個自動分析惡意代碼的系統(tǒng)是Threatexpert����,該自動化分析的主要技術(shù)方案是通過快照對比方式發(fā)現(xiàn)惡意代碼運(yùn)行前后的對系統(tǒng)的修改���,同時也使用Hook的方法對系統(tǒng)進(jìn)行監(jiān)控,模擬一定的
6��、網(wǎng)絡(luò)應(yīng)答����,觸發(fā)一些網(wǎng)絡(luò)行為。由于其是全封閉狀態(tài)���,所以很多網(wǎng)絡(luò)行為無法捕獲���,只能捕獲模擬開始的幾個包。Anubis系統(tǒng)主要采用對QEMU的修改這種方式的好處是比較底層���,但是解析指令比較復(fù)雜�,特別是一些上層的API調(diào)度,到了系統(tǒng)底層就變化為基本的操作���,所以Anubis系統(tǒng)的記錄的行為多是以對系統(tǒng)修改為主��。由于APT可能采用多種格式入侵��,特別是文檔類型的格式���,一些反APT產(chǎn)品如FireEye的設(shè)備中已經(jīng)出現(xiàn)支持文檔類型、PDF等惡意代碼的動態(tài)分析����。本文采取的主要檢測方法是依托白名單和動、靜態(tài)分析技術(shù)對一個網(wǎng)絡(luò)進(jìn)行立體的防御���,達(dá)到盡可能的縮短檢測時間����,盡可能全面的檢測APT威脅���。第二�����,攻擊技術(shù)特點研究
7����、a)高級可持續(xù)攻擊介紹APT主要是指有組織,有能力且針對特定相關(guān)目標(biāo)所發(fā)動功擊�。APT是一種攻擊類型,其主要針對企業(yè)���、政府以及軍事領(lǐng)域發(fā)起有針對性的攻擊���,具有極高的目的性����、階段性與長其潛伏的特性。為了發(fā)起APT攻擊����,攻擊者會進(jìn)行針對性的資料收集,對被攻擊的目標(biāo)進(jìn)行深入分析�����。通常來說攻擊者具有較強(qiáng)的網(wǎng)絡(luò)安全相關(guān)的技術(shù)能力。?安天實驗室版權(quán)所有第3頁/共20頁基于動態(tài)分析的APT檢測技術(shù)研究i.APT
