APT之特种木马检测(4) - APT防御产品

APT之特种木马检测(4)

从流量中挖掘特种木马

采用大数据分析技术来检测APT攻击行为的设备。该设备部署在网络出口处采集网络通信数据,分析通信数据中的木马通信痕迹,识别木马特征和行为,在网络层实现对全网范围内木马识别与追踪。

木马检测

木马检测

已知木马通信行为特征已知木马

木马程序分为控制端和被控端两个部分,其中被控端用来植入到用户的电脑中,控制端会在公网上提供一个IP地址、域名或URL让被控端连接完成木马上线。
从木马程序样本中提取的IP、域名、URL形成黑名单库,同时提取通信流量内容作为木马流量特征,通过黑名单和流量特征的检测,识别网络中的已知木马。

木马通信特征码    

木马在网络通信过程中,有自定义的通信格式和内容,包括心跳包、控制命令、文件传输、视频监控等,存在于流量中的木马通信行为。

黑IP

木马进行网络通信,包括存活告知、命令接收、文件传输、视频传输、更新等网络行为,远程连接的IP地址。

黑域名

木马进行网络通信,会将远程连接的地址配置成域名形式,若无固定IP使用,使用动态域名的形式配置远程连接地址,木马通过解析域名可获得连接IP地址。

黑URL

木马以读取配置文件的方式获取真实的远程连接IP地址,或需要从远程服务器上获取新的功能模块文件、配置文件、更新信息,会以URL的形式请求相关信息。

已知威胁源特征库已知/未知的木马植入

网络中主动的或被动的通信行为,可能导致终端或服务器被植入木马、被黑客控制或信息泄露,包括访问挂马页面、钓鱼页面,黑客远程扫描、脆弱点测试等行为。
铁穹系统将具有挂马、钓鱼、扫描等恶意攻击行为的网页、IP、域名定义为威胁源。

行为分析

未知特征+未知通信行为未知木马通信行为
以库特征的形式来识别木马通信行为,虽然精确性较高,但仅局限于已知木马的识别。
从已知木马行为、威胁源特征以及APT攻击事件总结出可用行为线索,用来发现未知木马和威胁。
铁穹系统将具有已知木马行为、威胁源特征以及APT特征的事件发现过程定义为行为分析。

动态域名

被木马利用作为连接地址的域名,通过该域名解析出实际的IP地址,动态域名一般没有固定的IP,但无论IP地址如何变化,都可以通过该动态域名解析出正确的连接地址。
通过动态域名后缀库的匹配,统计网络中活跃的动态域名。

协议异常

为了躲避安全监控,木马常会会采取利用正常的通信协议或端口来进行伪装,有部分伪装的内容与标准的协议不符。
统计协议和常见端口不匹配、HTTP协议、DNS协议、邮件类型协议等通信行为。

心跳

木马检测控制端是否存活的一种方式,通常会间隔相同或不同时间段与控制端进行通信。
间隔时间存在规律,且数据包内容的相同的数据报文定性为心跳数据。

非常见端口

木马一般会打开不常用的端口进行通信,或在获取系统权限进行远程控制时打开非常见端口进行控制。
统计所有通信端口,并利用端口白名单机制筛选出非常见端口。

规律域名统计

被木马利用作为连接地址的域名,通过该域名解析出实际的IP地址,访问次数会十分频繁,或仅有几次。
统计所有域名访问次数统计。

URL访问统计

被木马利用作为连接、配置获取等作用的URL,访问次数会十分频繁,或仅有几次。
内网所有IP地址访问URL的访问记录,并记录网页源码,提供下载分析。

流量异常

单个会话流量比超过X;
单个内网IP长期流量比曲线突变;
单个内网IP传输总流量超过5GB;
单个内网IP外联次数超过X;
单个内网IP外联时长超过X。

事件关联
诸如异常流量、心跳、连接动态域名等这些事件本身并不足以认定木马通信行为,一旦将这些事件通过其内在的联系进行关联,就能形成一整条证据链路,能够判定木马攻击行为。
          铁穹系统将各种木马行为、威胁源特征以及典型行为线索等进行事件关联分析,识别未知木马和未知威胁。

一种点面结合的解决方法

这是一种点面结合的检测方法,以“网络检测”为面、以“上机检测”为点。

木马检测分为网络检测和上机检测两部分,首先进行网络检测,然后根据网络检测的结果上机检测。整体流程中需要先进行网络通信数据的搜集和统计,再对捕获到的数据进行异常行为挖掘和检测,出具分析报告并给出解决建议。

特种木马的溯源分析

溯源可以从两方面入手,一个是从攻击路径溯源,一个是从特种木马溯源

各种自保护机制:自毁/自残、深度隐藏、
日期触发\时间触发\键盘触发\感染触发\启动触发\访问磁盘次数触发\调用中断功能触发\CPU型号/主板型号触发
Vmprotect\Themida

寻找第一跳的背后

人肉搜索

通过猜测特种木马的二进制文件中遗留的各种信息,再结合搜索引擎和各种互联网资源等对攻击者进行人肉搜索,确定攻击者或制造者身份。

陷阱钓鱼

在网络中或终端上布设陷阱,等待攻击者将陷阱取回查看。一旦攻击者未注意数据处理的环境安全性,就可以获取到攻击者的真实网络地址信息

主动攻击

通过口令猜解、网络攻击、溢出特种木马控制端程序等方法获得后台管理权后再进一步分析,或者尝试分析控制后台的交互IP和流量进出方向。


转载请注明出处 APT防御产品 » APT之特种木马检测(4)

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址