雲態勢感知產品-沙箱高級威脅檢測

0x00、業務需求

· 產品調研

· 雲態勢感知產品定位

0x01、關鍵技術

· 沙箱技術

沙箱技術是提升網路威脅檢測引擎的最有效的技術，一般在雲上的用戶是不願意的安裝EDR或者主機安全產品，因為侵入性太強，同時，在業務系統發現問題的時候，排查排除增加用戶工作量。

· 大數據實時關聯分析機器學習技術

在雲使用場景下，一般需要抓取流量都是海量的（單個數據中心需要幾百G），也就是說NIDS會產生海量的日誌，需要做聚類分析，同時需要流量異常檢測能力，這需要使用機器學習技術來判斷。

今天和大家探討一下高級沙箱技術。

沙箱集群架構設計

1、由於雲數據中心每個機房都是100G+，所以需要NTA獲取流量的時候，需要做一些過濾。對於業務系統有用的必須分析的二進位文件，需要上傳到沙箱分析集群。根據常規模式評估，正常的沙箱分析流量會佔據1%整體流量，所以，需要在本地做一下初步的判斷，盡量減少上傳流量。

2、需要有分散式處理能力

（1）提供WebConsole管理

（2）提供REST API批量處理分析任務

worker

· 推送分析文件 /tasks/create/file

· 獲得分析狀態 /tasks/status

· 獲得分析結果 /tasks/report -> json

· 獲得內存dump文件 /memory/get

· 獲得抓包文件 /pcap/get

· 獲取guest沙箱狀態 /machines/list

manager

· 註冊/獲得基本信息 /api/node

· 任務狀態查詢 /api/task

· 獲取報告 /api/report/<id>/<format>

3、高級沙箱需要具備以下能力：

· 能分析運行在windows2k8、2012、ubuntu Server、Centos Server的可執行文件PE(exe、dll、msi、bin（shellcode）)、linux文件（elf）、office文檔（doc、docx、docm、xls、xlsm、xlsx、ppt、pptm、pptx）、pdf文件、URLs、HTML文件、各種腳本（PHP、VBA、PostScript File、Python、powershell（ps1）、WindowsScriptFile（wsf）、javascript（hta、js））、jar包、zip文件

· 具備跟蹤Windows API調用能力

部分危險行為API

· 具備跟蹤Linux API調用能力

· 具備存儲和分析網路通信能力

通過dpkt從PCAP文件中提取DNS 通訊, domains, IPs信息, HTTP 請求。

· 使用YARA對受感染的虛擬化系統進行高級內存分析

這個功能是對付那些fileless的惡意軟體。

· 使用YARA對受感染的虛擬化系統進行靜態文件掃描

通過靜態方法對比已知惡意軟體特徵。

· 高級webshell分析功能

通過創建web服務運行上傳的腳本，IIS、Tomcat、php

0x02、未來展望

暢想一下未來：如果現有技術無法分析，但是還有些疑似，那麼我們採用蜜罐技術來處理。通過DevOps方法快速部署的公有雲動態蜜罐環境，長期監控對外連接，一般APT攻擊潛伏時間都會很長，在養馬場中放養，或者通過機器學習方法對其周期性掃描。

本文為 bt0sea 原創稿件，授權嘶吼獨家發布，如若轉載，請註明原文地址： http://www.4hou.com/technology/11010.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：