查看: 13203|回复: 39
收起左侧

[交流探讨] 来自卡巴斯基的技术介绍(上)

  [复制链接]
renyifei
发表于 2018-5-20 17:09:56 | 显示全部楼层 |阅读模式
本帖最后由 renyifei 于 2018-5-20 22:57 编辑

前言:
下一代技术和多层保护方法构成了我们高端解决方案的基础,我们可以保护消费者和企业免受任何类型的网络攻击。本帖基于点我译得
下半部分:点我

1.   卡巴斯基反目标攻击平台(KATA)
卡巴斯基反目标攻击平台(KATA)是一种针对具有多层检测技术的企业的复杂解决方案,可防范针对性攻击。实时监控网络流量并结合沙盒和端点行为分析,可以详细了解企业IT基础架构中发生的情况。通过关联来自包括网络,端点和全球威胁景观等多个层次的事件,KATA实现了“近实时”检测复杂威胁并有助于追溯调查。该解决方案充分体现了卡巴斯基实验室的多层下一代高级保护方法。
在过去几年中,商品恶意软件仍然隐藏在更复杂的有针对性的长期和更好准备的攻击活动中,即所谓的APT(高级持续威胁)。针对受害者,这种攻击很容易绕过单层保护。但是随着更多的检测技术的出现,攻击者错误的可能性就会上升。
反目标攻击解决方案的主要目的是将攻击的成本提高到攻击无法盈利的水平。因此,理想的解决方案应该像一个泡芙派 - 层层叠加,在中间充满美味。(老毛子的审美,服了)
Kaspersky-Anti-Targeted-Attack-Platform-1.png
KATA包含以下检测技术:
1.目标攻击分析器(TAA) - 专门为KATA开发的新技术。它汇集了来自端点和其他检测引擎的事件,以便根据统计数据和机器学习模型做出决策。
2.Sandbox--卡巴斯基实验室获奖的检测率的基础,它安装在单独的服务器上。此外,还增加了特殊的后处理来标记文件的原子可疑活动。一方面,检测攻击者的工具是他们行为的通用方法,另一方面它向安全官员提供有关恶意软件的更多信息。
3.IDS扫描实时流量 - 检测通信渠道的非常有效的方法。
传统的AV检查工作与特定(更偏执)的设置。所有检测和半检测都将进入TAA进行进一步分析。
4.卡巴斯基安全网络(KSN)广泛用于获取KATA处理的对象(文件,域,URL,IP地址等)的声誉,知名度和所有可能的信息。私有云(KPSN)也受支持。
用户可以上传Yara规则来扫描通过KATA的对象。如果对象是档案,则KATA打开它并传递单个对象以进行Yara扫描。
KATA从不同来源获取数据进行分析:
网络传感器接收流量副本,检索对象和网络元数据以供进一步分析。
与卡巴斯基安全邮件网关的集成允许它将所有消息发送给KATA。或者,客户可以安装特殊的KATA邮件传感器。
KasperskyEndpoint Security可以充当终端传感器,从客户网络中的计算机收集所有必要的数据。或者,可以安装与第三方端点保护兼容的独立代{过}{滤}理。
KATA的主要目的是检测每个阶段时的针对性攻击。每层保护都负责检测攻击的一个或多个阶段:Sandbox,Yara和AV监视器负责反渗透,IDS负责通信和渗出,TAA监控几乎所有阶段,KSN通过必要的数据帮助上述所有阶段。因此,信息安全官员可以发现企业网络中发生的所有恶意,可疑和异常情况。

2.基于行为的保护
Behavior-based-protection-1.png
使用内存保护进行行为监控可以提供最有效的方法来防御高级威胁和零日恶意软件
基于行为的检测是卡巴斯基实验室多层次的下一代保护方法的一部分。这是防止诸如无文件恶意软件,勒索软件和零时差恶意软件等高级威胁的最有效方法之一。
以下保护功能组成了卡巴斯基实验室的新威胁行为引擎:
行为检测
自动漏洞预防(AEP)
回滚组件
反加壳程序
在现实生活中,威胁程序混淆恶意代码以绕过安全产品中的静态检测技术和仿真。例如,刚刚创建的勒索软件代码通常由具有反仿真功能的定制打包程序打包。在执行之前,任何通过按需扫描或按访问扫描扫描完成的样本的尝试都不会返回检测成功,因此会执行威胁发现者的任务。
但是当涉及到执行阶段时,威胁行为引擎会实时分析实际的流程活动并揭示其恶意性质。所有需要的就是标记警报,终止流程并执行更改回滚。
在上面提到的包装勒索软件的例子中,样本可能会尝试;
在目标系统上查找重要文件
加密重要文件
删除原始文件
删除卷的副本
这些信息足以用于检测,并且不依赖于使用的隔离或反仿真技术。运行威胁行为引擎,通过行为启发式和基于ML的模型,产品变得对静态回避技术不敏感,甚至对样本行为进行修改。
基于行为的判断,尽快产生恶意活动检测很重要,这与正确的回滚机制相结合可以防止最终用户的数据丢失。回滚过程可保护不同的对象,如文件,注册表项,任务等。
回到上面的示例,让我们假设在实际的恶意活动之前,勒索软件将自己添加到自动运行(例如通过注册表)。检测之后,回滚机制应该分析行为流,而不仅仅是恢复用户的数据,而且还要删除创建的注册表项。
除了这些优点之外,在某些情况下,基于行为的检测技术成为检测和防范诸如无文件恶意软件等威胁的唯一手段。例如,在浏览互联网时,用户是攻击的目标。恶意代码将在Web浏览器的环境中执行。恶意代码的主要目标是使用注册表或WMI订阅进行持久化,并且最终没有单个对象进行静态扫描。尽管如此,行为检测组件会分析Web浏览器的线程行为,标记检测并阻止恶意活动。
行为引擎组件受益于终端上基于ML的模型,以检测除行为启发式记录之外的先前未知的恶意模式。系统事件从不同来源收集到ML模型。处理后,如果分析的模式是恶意的,ML模型会产生判决。即使在非恶意判决的情况下,行为启发式也会使用ML模型的结果,这反过来也可以标记检测。
行为检测组件实现了内存保护机制。它可以保护像lsass.exe这样的系统关键进程,并且允许在类似于恶意软件的mimikatz帮助下防止用户数据泄漏。

3.自动化漏洞预防(AEP)针对利用软件漏洞的恶意软件
自动漏洞利用防护(AEP)是卡巴斯基实验室多层次下一代防护的一部分,专门针对利用软件漏洞的恶意软件。它旨在为最常用的目标程序和技术增加一层额外的保护。 AEP为阻止和检测已知和未知漏洞提供了一种高效且非侵入性的方式。 AEP是卡巴斯基实验室基于行为的检测功能的组成部分。
Automatic-Exploit-Prevention-1.png
“杀戮链”包含多个阶段。例如,基于网络的漏洞利用通常利用下载攻击。受害者访问受恶意JavaScript代码注入的受感染网站时开始感染。经过多次检查后,受害者最终被带到一个带有Flash,Silverlight,Java或Web浏览器漏洞的网页。另一方面,对于Microsoft Office或Adobe Reader漏洞,初始感染来源可能是网络钓鱼电子邮件或恶意附件。
在执行初始交付阶段后,攻击者利用一个或多个软件漏洞来控制流程执行流程并转移到开发阶段。由于操作系统内置的安全缓解措施,直接运行任意代码通常是不可能的,因此攻击者必须先绕过它们。成功利用允许shellcode执行,攻击者的任意代码开始运行,最终导致有效恶意活动执行。这种恶意活动可以作为文件下载,甚至可以直接从系统内存加载和执行。
无论如何执行初始步骤 - 攻击者的目标是启动恶意活动。启动另一个应用程序或执行线程可能是非常可疑的,特别是如果有问题的应用程序进行这种行为。自动漏洞利用预防技术监视这些操作,并暂停应用程序的执行流程,应用附加分析来检查尝试的操作是否合法。在可疑代码启动之前发生的程序活动(特定内存区域中的内存更改以及尝试启动代码的源代码)用于确定某个操作是否由漏洞利用发起。不仅如此,AEP还采用了一些安全缓解措施来解决攻击中使用的大多数攻击技术,包括Dll劫持,反射式Dll注入,等等。那些由System Watcher组件的执行跟踪机制提供的额外保护允许该技术有信心地阻止恶意活动。

4.无文件威胁保护
Fileless-Threats-Protection-1.png
无文件威胁不直接将其主体存储在磁盘上,需要特别关注安全解决方案
无文件恶意软件是不直接将其主体存储到磁盘上的恶意软件。 2017年这类恶意软件越来越流行,因为其检测和修复的复杂性越来越高。尽管近年来这些技术仅限于有针对性的攻击,但现在它们在当前的威胁环境中越来越多,卡巴斯基实验室研究了新的木马程序家族或者甚至是无文件组件的广告软件。
以下无文件技术广泛用于攻击:
存储在WindowsManagement Instrumentation(WMI)中的恶意脚本
恶意脚本直接作为命令行参数传递给PowerShell
恶意脚本存储在注册表和/或OS调度程序任务中,并由OS调度程序执行
恶意的可执行文件直接在内存中提取和执行,而不通过.Net反射技术保存在磁盘上等等
威胁通过以下方法向受害者机器传递无文件有效破坏活动:
漏洞利用
带有宏的恶意文件
简单的可执行文件。

我的粗鄙之语:
卡巴的技术指南不同于ESET,他的所有流程都十分详细,但是这也提高了翻译难度,我已经使用了我可以想到的所有翻译方法来提高我自己的准确度,但还是有一些生僻词。
先这样吧,估计下半部分翻译完还需一段时间,请大家耐心等待吧。
5.20

评分

参与人数 10分享 +2 人气 +11 收起 理由
dongwenqi + 1 版区有你更精彩: )
FUZE + 1 感谢提供分享
雪拥蓝关 + 1
4毛5的诺顿 + 1 版区有你更精彩: )
屁颠屁颠 + 1 版区有你更精彩: )

查看全部评分

derQiQ
发表于 2018-5-20 18:32:40 | 显示全部楼层
前排支持,通读了一遍,感觉有点生硬,没看过多少原产中文的技术文章,还是本身专业翻译就是如此,如有不以请多包含
2605276004x
发表于 2018-5-20 18:33:31 | 显示全部楼层
前排膜拜
jssqysb
发表于 2018-5-20 18:36:50 | 显示全部楼层
文字太长,没仔细读。
cloud01
头像被屏蔽
发表于 2018-5-20 19:25:26 | 显示全部楼层
卡包和ESET这两家技术都差不多了 ,理念不同而已。一个全方位,一个有重点。
bbszy
发表于 2018-5-20 19:32:33 | 显示全部楼层
感觉卡巴的干货多一点 eset的修饰词太多
飘落的泪
发表于 2018-5-20 20:34:31 | 显示全部楼层
都翻译完  回头给你 + 1 技术
renyifei
 楼主| 发表于 2018-5-20 21:51:48 | 显示全部楼层
飘落的泪 发表于 2018-5-20 20:34
都翻译完  回头给你 + 1 技术

OK
renyifei
 楼主| 发表于 2018-5-20 21:52:11 | 显示全部楼层
bbszy 发表于 2018-5-20 19:32
感觉卡巴的干货多一点 eset的修饰词太多

其实ESET就是比较低调而已
renyifei
 楼主| 发表于 2018-5-20 21:53:36 | 显示全部楼层
derQiQ 发表于 2018-5-20 18:32
前排支持,通读了一遍,感觉有点生硬,没看过多少原产中文的技术文章,还是本身专业翻译就是如此, ...

因为他这种技术类文章我不好加一些修饰词
所以凑合看吧
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 11:23 , Processed in 0.158403 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表