發(fā)現(xiàn)未知威脅/零日攻擊的利器
2018年08月30日
無(wú)論公司企業(yè)還是個(gè)人消費(fèi)者,都對(duì)零日攻擊擔(dān)心不已�,怕保護(hù)不好自己的數(shù)據(jù)。如果都不知道威脅長(zhǎng)什么樣子���,談何御威脅于家門之外?
一段時(shí)間以來(lái),以防御未知威脅為目的的安全工具不斷涌現(xiàn)���,但零日攻擊利用新漏洞或新技術(shù)的本質(zhì)�,讓此類攻擊難以被傳統(tǒng)安全軟件檢測(cè)��。
以殺毒軟件和反惡意軟件工具為例�����,用戶不得不持續(xù)安裝更新的原因���,就是新品系或新版本的惡意軟件特征碼要不斷加入到這些防護(hù)軟件的字典中�。沒(méi)有特定惡意軟件的定義,這些軟件就對(duì)該特定惡意軟件視而不見���,任其長(zhǎng)驅(qū)直入��。
檢測(cè)惡意軟件的傳統(tǒng)方法依賴發(fā)現(xiàn)入侵指標(biāo)(IOC)���。這一方法的問(wèn)題在于,通過(guò)IOC檢測(cè)惡意軟件需要之前“看到”過(guò)這些IOC�����。
這基本上就是基于特征碼和基于規(guī)則的方法����,要求軟件必須“知道”入侵的“定義”才可以識(shí)別入侵?�?上攵?�,既然零日惡意軟件是全新品種的惡意軟件�,其特定IOC自然就不為人所知,這種必須先見過(guò)才能檢測(cè)的方法又怎么能檢測(cè)得出零日攻擊呢?
這些傳統(tǒng)應(yīng)用程序在防御已知威脅上表現(xiàn)良好����。但我們又是否能訓(xùn)練機(jī)器來(lái)發(fā)現(xiàn)之前從未觀測(cè)過(guò)的惡意軟件呢?換句話說(shuō),機(jī)器能檢測(cè)零日攻擊嗎?
當(dāng)然可以。
行為分析�����,也就是我們所謂的“新”方法����,就是特別適合檢測(cè)零日攻擊的,與以上傳統(tǒng)方法完全不同的另一條路�����。其中秘訣在于���,幾乎所有惡意軟件,包括零日惡意軟件�,都會(huì)展現(xiàn)出昭示攻擊進(jìn)行時(shí)的一些行為。
行為分析的核心是用異常檢測(cè)來(lái)查找這些異于常規(guī)軟件的行為���。所有惡意軟件在行為上或多或少都有些異常����,因而也就能被分析檢測(cè)��。
依賴行為而非特征碼的另一個(gè)巨大優(yōu)勢(shì)在于,所謂的“無(wú)文件惡意軟件”也能被檢測(cè)出來(lái)�����。如其名稱所顯示的�,無(wú)文件惡意軟件并不將自身保存成主機(jī)上的文件,而是寄生內(nèi)存之中��,基于文件特征碼的傳統(tǒng)掃描和白名單技術(shù)幾乎不可能檢測(cè)到���。但即便是無(wú)文件惡意軟件�����,也要表現(xiàn)出一些能被檢測(cè)的行為�����。
我們不妨考慮一下最壞的場(chǎng)景:零日無(wú)文件攻擊�����。這種最壞情況下�,行為分析檢測(cè)過(guò)程是怎樣的呢?
首先�,網(wǎng)絡(luò)釣魚郵件將一份惡意Word文檔投放到你電腦上�����。然后�����,惡意軟件嘗試在被感染主機(jī)上獲取立足點(diǎn);微軟Word啟動(dòng)PowerShell��,注冊(cè)表鍵被篡改��。接下來(lái)�����,PowerShell與命令與控制(C&C)中心通聯(lián)��,準(zhǔn)備好攻擊載荷��。最后,載荷被下載執(zhí)行����。攻擊任務(wù)完成。
零日惡意軟件的情況下���,因?yàn)橹皼](méi)“見過(guò)”該惡意軟件��,你的殺毒軟件不能在惡意軟件進(jìn)入到主機(jī)時(shí)識(shí)別出來(lái)�。加之這還是個(gè)無(wú)法被掃描的無(wú)文件攻擊,不會(huì)在主機(jī)上安裝任何新的可執(zhí)行代碼��,還只利用主機(jī)已有程序作惡�����。殺軟就更加無(wú)法發(fā)現(xiàn)了��。但是����,上述入侵過(guò)程中它所進(jìn)行的很多活動(dòng)都是可以被行為分析工具打上“不正常行為”標(biāo)簽的。
Word啟動(dòng)PowerShell就是個(gè)不正常的父-子進(jìn)程�����。C&C域名查詢會(huì)觸發(fā)異常DNS頻率和時(shí)刻報(bào)警��。協(xié)議隧道的建立則會(huì)表現(xiàn)出該協(xié)議的不正常網(wǎng)絡(luò)負(fù)載�。諸如此類。這種情況下����,即便零日威脅本身是完全未知的�,但其導(dǎo)致的行為變化是無(wú)法隱藏的�����。
行為分析真正超酷的地方在于���,完全無(wú)需事先備好威脅特征信息�,即便是全新品種的惡意軟件���,也能在造成不可挽回的傷害之前就看出其行為所昭示的警示信息����。
江蘇國(guó)駿信息科技有限公司在信息網(wǎng)絡(luò)安全�、運(yùn)維平臺(tái)建設(shè)、動(dòng)漫設(shè)計(jì)����、軟件研發(fā)�、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀。公司遵循信息安全整體性的IATF模型����,從“人員素養(yǎng)”����、“制度流程”�����、“技術(shù)產(chǎn)品”三個(gè)視角提供全面���、可信的方案���,業(yè)務(wù)涵蓋咨詢、評(píng)估�����、規(guī)劃�����、管控�����、建設(shè)、培訓(xùn)等�。
江蘇國(guó)駿信息科技有限公司——全面可信的信息安全服務(wù)商。
