DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

防ddos攻击_ddos防火墙需要开启吗_免费试用

01-12 WEB安全

防ddos攻击_ddos防火墙需要开启吗_免费试用

"语境就是一切"这句古老的格言。在过去的几年里,恶意软件以各种方式发展,但威胁行为体越来越多地将其开发工作集中在使其恶意软件对上下文敏感,以便更好地识别和规避沙盒和分析环境。在这篇由VMRay高级研究分析师Tamas Boczan、SANS分析师Brandon McCrillis和我本人领导的SANS网络广播中,我们探讨了威胁行为体为更好地了解环境上下文而采用的一些主要方法,展示了上下文感知恶意软件如何通过真实世界的例子规避检测,并提出了安全团队可以采取的一些切实可行的措施来减轻这些威胁。上下文感知恶意软件模块化威胁参与者和保卫公司网络的安全团队之间的斗争通常被描述为一场不断升级的猫捉老鼠游戏。凭借其识别沙盒和分析环境的能力,"上下文感知"恶意软件的出现是对时间和资源紧张的安全专业人员的最新挑战,也是我们与SANS研究所联合制作的最新系列网络研讨会的焦点。SANS研究所的分析师Brandon McCrillis首先介绍了威胁行为体用于分发这些上下文感知有效负载的交付方法,以及它们如何以模块化的方式越来越多地部署,以更好地规避检测并获得持久性。正如他解释的那样,网络钓鱼仍然是上下文感知恶意软件最突出的切入点,"攻击者利用大规模的网络钓鱼活动来撒网尽可能广,利用商品目标的第一阶段调查脚本来确定哪些是后续攻击的主要目标。"McCrellis指出,Emotet特洛伊木马是上下文感知恶意软件的一个主要示例,它非常模块化,并且在避免检测方面非常成功:"Emotet具有虚拟机感知功能,如果在虚拟环境中运行,它会生成错误的指示。一旦Emotet的第一个阶段被交付-基于在该网络中识别的内容和该网络的目标值-攻击者可以添加不同的模块化部分,以制定更具针对性和更精细的活动。"https://306dlv9g2c4fl4za451pdg1b-wpgengine.netdna-ssl.com/wp-content/uploads/2019/11/Context-Aware-Malware-1.mp4欺骗的艺术随着恶意软件变得越来越聪明,并且越来越了解其周围的环境,安全分析人员必须特别注意创建和维护一个真实的分析环境。"一个分析环境,一般来说,应该加载尽可能接近生产资产的软件和文件例如,在乌克兰的KillDisk攻击事件中,恶意软件拒绝完全执行,除非存在某些工业控制系统进程。"从这个意义上说,安全分析员应该根据恶意软件本身的特定行为要求调整他们的分析环境:"如果你看到的是传播或使用某种办公功能的恶意软件,那么你显然希望安装该软件,以便恶意软件能够相互作用,并且可以观察行为您正在分析恶意软件和该进程之间的交互。"一般来说,McCrillis建议,对于任何类型的深入分析,最好在虚拟机或用于实时威胁分析的任何隔离系统上安装所有仪器工具。"从vanilla开始,并有一种方法来快照该虚拟机或恢复到上一次已知的良好状态,ddos攻击能防御吗,这样您就可以对所做的注册表更改、启动的进程或该恶意软件的任何行为指标进行比较。"https://306dlv9g2c4fl4za451pdg1b-wpgengine.netdna-ssl.com/wp-content/uploads/2019/11/Instrumentation-Tools-Context-Aware-2.mp4警示:小心引爆对于任何一个赛季安全专家来说,这应该是相当明显的,麦克里利斯觉得有义务宣布以下警告:"小心你引爆的地方!我见过内部的恶意软件引爆出的问题比它们正确的多。必须将恶意软件完全包含在内,并设置适当的实验室和分析环境来进行分析,这一点非常重要—您不希望追逐虚假指标或损害生产网络上的其他系统。"上下文感知恶意软件可能会增加分析复杂性,因为必须不断修改分析系统,以确保上下文感知恶意软件认为它正在实际生产环境中部署。当然,这可能会变得棘手,服务器防御ddos操作,这取决于所分析的恶意软件。McCrillis说,ddos攻击与防御电子书,"也许你需要让恶意软件与互联网进行通信,以复制或欺骗恶意软件,使其认为它是在互联网上而不是在某个孤立的环境中进行通信。您可能需要考虑通过Linux机器或其他隔离或虚拟网络路由分析流量,以确保不会无意中污染您的生产环境。"https://306dlv9g2c4fl4za451pdg1b-wpgengine.netdna-ssl.com/wp-content/uploads/2019/11/Lab-Host-Isolation-Context-Aware-Malware-3.mp4在网络研讨会的后半部分,我们将更深入地了解上下文感知恶意软件是如何规避检测的,然后VMRay的高级威胁研究员Tamas Bozcan提供了一些研究中的示例,以展示特定类型的恶意软件是如何在野外应用这些技术的。上下文感知恶意软件的规避技术当沙盒在安全生态系统(即端点保护平台、威胁情报平台、SOARE等)中得到适当整合时,它提供了一个关键机制,用于来回传递可疑文件,为事件响应和威胁搜寻团队提供检测危险新菌株所需的宝贵情报。当然,恶意软件作者越来越多地在交付有效负载之前包含自己的沙盒规避检查。正如我们在上一次SANS网络研讨会上所讨论的,恶意软件规避技术可分为三大类:检测沙盒、击败沙盒和上下文感知,其中恶意软件不是试图检测或击败沙盒本身,而是试图根据特定的上下文执行其有效负载,这已经变得尤为重要在某些有针对性的攻击中普遍存在。恶意软件检查上下文感知的一个重要方法是通过用户交互。Captcha可能是自动化系统中最著名的例子,需要用户交互来证明他们不是机器。但现在,威胁参与者正在使用类似的交互检查来对付我们,而且越来越常见的是,能够检查用户交互行为的上下文感知压力,游戏防御ddos,比如系统上的鼠标移动或需要点击才能正常运行的安装程序。https://306dlv9g2c4fl4za451pdg1b-wpgengine.netdna-ssl.com/wp-content/uploads/2019/11/User-Interaction-Context-Aware-Malware-4.mp4环境感知恶意软件VMRay的高级威胁研究员tamasboczan运用自己在实验室的经验,展示了两种特定类型的恶意软件如何利用上下文避免被发现。OopsIE恶意软件,由OilRig APT集团实施,目标是中东国家的政府组织,以及Winnti APT集团的供应链攻击"影子锤行动"。OopsIE使用了许多上下文感知沙盒规避技术,通过cdn防御ddos,这些技术使事件响应更加具有挑战性,包括在本例中,时区检查。"因此,要通过这项检查,主机或虚拟机需要在中东五个时区之一,"塔马斯解释说为了减轻VMRay中的这种情况,我们使用了一种叫做precripts的东西,它是用户可以定义的批处理文件,并在示例启动之前运行。"OopsIE使用的另一个用户交互技巧是启动一个假错误窗口,在该窗口中,用户或沙盒需要在恶意软件继续运行之前单击"确定"。通过影子锤行动,黑客能够接管华硕的合法软件更新过程,使他们能够交付包含恶意负载的签名软件更新。恶意软件查询主机的MAC地址,并将其与MAC地址哈希的内部白名单进行比较-如果找到匹配项,则通过联系命令服务器下载下一阶段恶意软件,攻击继续进行。"有趣的是,攻击者已经需要一个目标的MAC地址列表,这些地址很可能是从以前的攻击中获得的,因为这些MAC地址永远不会离开主机,"Tamas说。https://306dlv9g2c4fl4za451pdg1b-wpgengine.netdna-ssl.com/wp-content/uploads/2019/11/Operation-Shadowhammer-Context-Aware-5.mp4击败上下文感知恶意软件虽然上下文感知恶意软件代表了一些最复杂的攻击类型,但这并不意味着安全团队在自卫时束手无策。以下是一些您可以采取的主动措施,以更好地识别和减轻这些类型的威胁:采用零信任文化:通过从网络体系结构中消除信任的概念,零信任模型倡导"从不信任,始终验证"的原则。因此,重要的是要确保任何可疑的东西进入你的网络,有一个机制来提交分析。将信号与噪声分开:由于有如此多的网络和事件监视工具发出警报,将有限的资源集中在需要分析的内容上的能力比以往任何时候都更加重要。不要依赖于单一形式的检测:虽然有许多工具可以执行各种散列检查或基于签名的检测,但重要的是确保除了这些检查之外,您还可以将威胁情报传递给基于行为的检测工具以进行进一步分析。创建真实的分析环境:您正在进行分析的环境应尽可能模拟您的生产环境。如果你的沙盒中没有运行的东西,那么它就不应该运行i

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /web/61172.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8155003访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X