安恒APT产品系统简介.pptVIP

安恒APT产品功能 1、WEB特征检测 2、WEBSHELL检测 3、WEB行为分析 4、异常访问 5、CC IP/URL WEB 邮件 文件 1、邮件社工检测 2、WEB Mail攻击 3、邮件附件检测 1、多引擎检测已知特征攻击 2、Shellcode检测 3、动态沙箱分析 4、木马回连分析 安恒APT产品特点 系统 特点 WEBSHELL检测 WEB行为分析 文件行为分析 木马回连分析 Discover APT WEBSHELL检测 WEB行为分析 返回码分析 返回数据分析 Referrer分析 组合分析 1、SQL注入取数据 2、暴力拆解 3、扫描器行为 4、爬虫行为 … … 文件行为分析 1、多沙箱并发设计 2、单沙箱进程权限控制 3、文件、注册表重定向 4、沙箱防逃逸 1、静态模拟分析 2、溢出点定位 安恒APT沙箱分析 木马回连分析 样本分析提取 回连行为检测 数据传输监控 完整覆盖APT攻击链 1 2 3 4 侦查目标 执行攻击 获取权限 5 数据回传 6 命令与控制 1、WEB攻击 2、恶意代码攻击 3、邮件社工 4、0day攻击 1、扫描攻击 2、WEB探测 1、后门植入2、文件上传 3、溢出攻击 4、暴力破解 1、CC IP/URL 2、WEB CC 3、异常流量 1、木马回连 2、数据盗取 发现弱点 云端情报分析 云端 黑客组织 僵尸网络 样本信誉库 知识库 1、0day漏洞 2、攻击工具 3、攻击规律 1、黑名单 2、白名单 3、机器学习 1、僵尸主机IP 2、恶意URL 1、攻击特点 2、惯用手段 3、利用工具特点 云端即服务 样本质量 服务能力 安恒APT产品应用 如何应对APT攻击？ APT 0DAY/未知威胁 威胁 绕过攻击 WEB后门 病毒木马 CC IP/URL 情报 攻击溯源 僵尸主机 攻击取证 威胁感知 一、解决WEB防护被绕过问题 应用防护弱点 绕过攻击 APT与WAF联动防护 WEB服务器 镜像流量 数据同步 WEBSHELL阻断 恶意IP阻断 非法控制 阻断 数据盗取 阻断 用户请求 威胁态势感知 3000G+ 流量解析 二、解决海量流量无法感知安全态势问题 WEB应用安全和数据库安全的领航者 WEB应用安全和数据库安全的领航者 WEB应用安全和数据库安全的领航者 * * * * * * * * * * * * * * * * 王 辉 安全发展趋势？ 网络攻击发展趋势 以破坏网络为目的 大面积扩散僵尸网络 攻击频率一次性 以常见的攻击工具为主 乌克兰电力系统APT事件 近期，在乌克兰，至少有三个区域的电力系统被具有高度破坏性的恶意软件攻击并导致大规模的停电，造成成千上万的家庭在黑暗中度过。 这次大规模的电力中断使得近一半的乌克兰伊万诺 - 弗兰科夫斯克地区的家庭陷入在黑暗当中，乌克兰新闻通讯社 TSN 报道了本次大规模停电事件。报道中指出，黑客在乌克兰国家电网中植入了恶意软件，从而导致发电站意外关闭。 乌克兰电力APT攻击过程 1、本次攻击过程开始于一个带有恶意宏的XLS文件，黑客通过钓鱼链接或钓鱼邮件诱使用户下载恶意文件。 2、当用户无意下打开XLS文件，会启动恶意宏代码执行，宏代码会在临时文件目录下释放文件vba_macro.exe，释放完成后立即启动其运行。 3、宏释放的恶意程序vba_macro.exe通过释放BlackEnergy来执行后续操作，例如与控制端通信以及下载KillDisk、SSH后门等一系列组件来执行攻击。 4、系统一旦被感染，BlackEnergy会释放出破坏性的KillDisk组件和SSH后门，修改注册表，创建服务，然后遍历进程和硬盘，删除系统关键数据，并且会执行关机命令。 5、通过攻击过程来看，BlackEnergy（黑色力量）运行于Windows平台，因此，除电力系统外，其它使用Windows平台的行业用户也可能会被波及。 APT攻击案例-夜龙攻击 2011.2.10 夜龙攻击 大量的 敏感文件、 机密信息 泄漏 5家西方跨国能源公司遭到的黑客 “有组织、隐蔽、有针对性”的攻击 始于2007年，目前攻击行动仍在持续。 APT攻击案例-夜龙攻击 攻击过程分析 通过SQL注入，入侵外网Web服务器； 以Web服务器为跳板，对内网其他服务器及终端电脑进行扫描； 通过密码暴力破解等方式入侵内网AD服务器及开发人员电脑； 向被入侵电脑植入恶意代码，并安装远端控制工具； 建立直接通道，传回大量机敏文件； 更多内网遭到入侵，更多高级主管点击了看似正常的邮件附件，却不知其中含有恶意代码。 APT攻击案例-客户案例 一次攻击分析发现的APT行为 PDF溢出攻击 IE漏洞利用 攻击者利用两种手段