雲態勢感知產品-沙箱高級威脅檢測
0x00、業務需求
· 產品調研
最近由於工作關係關注了市面上的態勢感知產品,總結如下:· 雲態勢感知產品定位
使用大數據技術關聯分析數據快速整合NIDS(包含sandbox)、HIDS、EDR、WAF、DDoS、Scanner的數據,讓用戶更清晰的了解雲上資產的安全現狀,做出下一步安全整改動作。0x01、關鍵技術
· 沙箱技術
沙箱技術是提升網路威脅檢測引擎的最有效的技術,一般在雲上的用戶是不願意的安裝EDR或者主機安全產品,因為侵入性太強,同時,在業務系統發現問題的時候,排查排除增加用戶工作量。
· 大數據實時關聯分析機器學習技術
在雲使用場景下,一般需要抓取流量都是海量的(單個數據中心需要幾百G),也就是說NIDS會產生海量的日誌,需要做聚類分析,同時需要流量異常檢測能力,這需要使用機器學習技術來判斷。
今天和大家探討一下高級沙箱技術。
沙箱集群架構設計
1、由於雲數據中心每個機房都是100G+,所以需要NTA獲取流量的時候,需要做一些過濾。對於業務系統有用的必須分析的二進位文件,需要上傳到沙箱分析集群。根據常規模式評估,正常的沙箱分析流量會佔據1%整體流量,所以,需要在本地做一下初步的判斷,盡量減少上傳流量。
2、需要有分散式處理能力
(1)提供WebConsole管理
(2)提供REST API批量處理分析任務
worker
· 推送分析文件 /tasks/create/file
· 獲得分析狀態 /tasks/status
· 獲得分析結果 /tasks/report -> json
· 獲得內存dump文件 /memory/get
· 獲得抓包文件 /pcap/get
· 獲取guest沙箱狀態 /machines/list
manager
· 註冊/獲得基本信息 /api/node
· 任務狀態查詢 /api/task
· 獲取報告 /api/report/<id>/<format>
3、高級沙箱需要具備以下能力:
· 能分析運行在windows2k8、2012、ubuntu Server、Centos Server的可執行文件PE(exe、dll、msi、bin(shellcode))、linux文件(elf)、office文檔(doc、docx、docm、xls、xlsm、xlsx、ppt、pptm、pptx)、pdf文件、URLs、HTML文件、各種腳本(PHP、VBA、PostScript File、Python、powershell(ps1)、WindowsScriptFile(wsf)、javascript(hta、js))、jar包、zip文件
· 具備跟蹤Windows API調用能力
部分危險行為API
· 具備跟蹤Linux API調用能力
· 具備存儲和分析網路通信能力
通過dpkt從PCAP文件中提取DNS 通訊, domains, IPs信息, HTTP 請求。
· 使用YARA對受感染的虛擬化系統進行高級內存分析
這個功能是對付那些fileless的惡意軟體。
· 使用YARA對受感染的虛擬化系統進行靜態文件掃描
通過靜態方法對比已知惡意軟體特徵。
· 高級webshell分析功能
通過創建web服務運行上傳的腳本,IIS、Tomcat、php
0x02、未來展望
暢想一下未來:如果現有技術無法分析,但是還有些疑似,那麼我們採用蜜罐技術來處理。通過DevOps方法快速部署的公有雲動態蜜罐環境,長期監控對外連接,一般APT攻擊潛伏時間都會很長,在養馬場中放養,或者通過機器學習方法對其周期性掃描。
本文為 bt0sea 原創稿件,授權嘶吼獨家發布,如若轉載,請註明原文地址: http://www.4hou.com/technology/11010.html 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※XSS(一)
※WAF自動化FUZZ腳本
※Catalog簽名偽造——Long UNC文件名欺騙
※Invoke-PSImage利用分析
※疑似俄羅斯APT黑客組織「蜻蜓」入侵美國電網
TAG:信息安全 |