Firehunter APT沙箱安全技术方案
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
55%
利用钓鱼邮件Web链接
• 有95% 的网络攻击基于文件发起; • 其中40%利用钓鱼邮件、55%利用钓鱼邮件的恶意链接;
0Day的恶意文件检测迫在眉睫。
未知威胁防御已在法规&标准中明确提出
网络安全等级保护基本要求 第1部分:安全通用要求
网络安全等级保护测评要求 第1部分: 安全通用要求
《网络安全法》 强调对高级持续性威胁的检测
沙箱主要原理
动态和静态检测相结合,并利用机器学习,发现威胁 虚拟环境运行可疑文件, 天然解决恶意文件的分片分段、
加壳等逃逸手段。
检测文件类型
Windows 可执行文件,EXE、dll WEB网页,如检测Javascript、Flash、JavaApplet等 各种办公文档,如Office、PDF、WPS等 各种图片文件,如JPEG、PNP、JPG等 各种压缩文件、加壳文件
沙箱的选择标准是什么?
全面检测
是否能全面检测恶意文件?包括 PE、office 、PDF、WPS、压 缩文件、web文件等等,越多越 好。
高效性
是否能快速的完成检测,在安全 事件发生后60秒里采取有效行动, 可以相比减少40%的支出。
准确
是否能准确检测恶意文件,少误 报。目前安全产品误报率惊人,真 正有效的告警只占19%,准确率越 高越好。
• 从受攻击地域上看主要集中在北京、广西、江浙地区、 四川等。
APT/未知威胁防御面临的挑战
0Day漏洞正在商品化
0Day在黑市的标价
文件载体的APT攻击占据主流
非文件 载体攻 击, 5%
文件载体…
40%
利用钓鱼邮件附件
• 0Day漏洞一直是APT组织实施攻击的技术制高点。 • 商品化的0Day让APT攻击变得更容易。
web-browsing /newcos102.pdf
Behavior Sequence
Type
Behavior
Request
/international/l oadpdf.php
0:00:21
Process Creation
Source Destination Application URL
Time 0:00:19
File Information
307960772bb54ae42d87e7ad8b1c600ded893fa5
Malware Session Information
192.168.1.200:32854
202.117.3.32:80
ntvdm.exe Wrote To C:\WINDOWS\Temp\scs1.tmp
ntvdm.exe Transfer C:\WINDOWS\Temp\scs1.tmp
关键技术: ▪ 操作系统监控:文件操作、注册表操作、服务、进程操作、内存、模块加载、网络操作 ▪ 多种抗逃逸躲避检测技术:环境检测、延时对抗、内部混淆、交互逃逸
AcroRd32.exe Created C:\WINDOWS\system32\ntvdm.exe
0:00:24 0:00:26 0:00:33
File Create File Write File Transfer
ntvdm.exe Created C:\WINDOWS\Temp\scs1.tmp
沙箱是未知威胁检测最为有效的手段
应对APT攻击,快速、准确的检测就是降低支出
误报的平均损失:每年130万美元
4 % 19 % 40 %
迟钝响应的损失:增加40%的支出
40 %
有效处理 有效报警 未报警
Source:Ponemon report
减少支出
在威胁事件发生后60秒内采取行动可以将 解决违规问题的成本平均降低40%
50+文件类型检测,全面识别未知恶意软件
Office
WEB
PE
EXE
JS
静态分析
• 文件附加数据识别 • 代码片段分析 • 变形代码识别 • API调用异常分析 • ------
动态分析
• 指令流监控 • 识别文件操作 • 识别注册表操作 • 识别服务调用 • ------
智能行为综合分析
SHA-256 Verdict
FireHunter基于行为特征检测
• 具备未知恶意文件检测能力 • 检测代码调用的API、组件等信息 • 检测软件本地的行为(文件、注册表等) • 检测软件的网络行为(上传下载外联等) • 检测软件代码的结构
FireHunter不仅具备动态虚拟执行环境模拟, 同样支持基于信誉、签名的检测机制 检测能力覆盖已知威胁和未知威胁
4重纵深检测,检出率达99%以上
1
信誉体系
2
静态检测
(病毒/文件漏洞……)
3
启发式检测
WEB 轻启发量式级检沙测箱
共享性
沙箱作为目前最为有效的未知威胁 检测手段,其检测结果能否共享至 其他安全设备联动阻断至关重要。
华为沙箱——领先的未知文件检测机制
未知文件 未知文件 未知文件
?
?
?
VM
安全文件 恶意文件 安全文件
华为FireHunter6000系列沙箱
对APT攻击中恶意文件深度检测
价值:检测APT攻击的渗透阶段和控制建立阶段
传统安全设备基于签名检测
• 针对未知恶意文件无检测能力 • 基于已知样本 • 代码签名匹配 • 具备检测滞后性 • 未知恶意文件样本未知、无法生成签名
基于签名威胁检测机制仍然扮演着重要的角色, 实际使用中可检测出60%-70%威胁事件,且检测 效率较高。
20% 80%
FireHunter检测机制
FireHunter6000
华为Firehunter APT沙箱安全技术解决方案
目录
1 APT攻击趋势及挑战 2 FireHunter产品介绍 3 成功案例
APT攻击趋势及挑战
• 2019年APT攻击有增无减; • 大部分APT组织有政府背景;
数据来源:华为安全威胁情报中心
• 2019年国内受攻击行业主要分布在政府、央企国企、科 研单位、金融和高校;
《国家电子政务外网标准-政务云安全要 求》明确提出对未知威胁的防御和态势感知要求
《网络安全等级保护》 APT/未知威胁检测写入等保标挑战 2 FireHunter产品介绍 3 成功案例
为什么需要FireHunter?
传统安全设备检测机制
防火墙、IPS 、IDS、WAF 等