恶意代码分析系统与apt检测.pdf

Page: 1 提纲 • APT时代的来临 • 回看传统反病毒 • APT给AVER的困扰点 • 应对以及尝试 • APT检测我们还有很多路要走 • 结束 Page: 2 历史事件对比 APT时代的来临 Page: 3 时间对比（蠕虫时代） 病毒名称 释放时间 发现时间 CodeRedII 2001年8月3日 2001年8月3日 冲击波(Blaster) 2003年8月11日 2003年8月12日 震荡波(Sasser) 2004年4月30日 2004年5月1日 Zotob 2005年8月13日 2005年8月16日 Nyxem 2006年1月20 2006年2月3日 Page: 4 时间对比（APT时代） 病毒名称 释放时间 发现时间 Stuxnet 2009年6月 2010年7月 Duqu 2007年或2008年？ 2011年8月 Flame 2007年12月之前？ 2012年5月 Flame • 模块编译时间2006年，第一个关联域名注册于2007年，模块 WAVESUP3.DRV2007-12-5在欧洲Webroot社区被发现。 疑 似 Duqu 事 件 • Duqu中发现多个模块的编译时间为2010-3-11 ，但有其他事件佐证在 链 2008年甚至更早已经出现。 Stuxnet • 根据时间戳等信息认为初始时间为2009年6月 Page: 5 地点对比（蠕虫时代和APT定向性） Slammer发作30分钟感染范围示意图 Stuxnet早期感染范围示意图 Page: 6 “人物”对比（病毒与传统攻击） 病毒：CIH 病毒: Sasser 人物：陈盈豪 人物：Sven Jaschan 病毒：DNSchanger 病毒：Mariposa 人物：Tsatsin 人物： Iserdo Page: 7 “人物”对比(APT) Page: 8 传统反病毒相关说明 回看传统反病毒 Page: 9 传统反病毒的基础架构 Page: 10 架构的形成（一）