→產品訊息

新聞中心

 

一種經濟有效的方法來檢測企業中的目標攻擊

儘管很容易陷入新的令人振奮的保護策略浪潮中,但我們最近發現了一種有趣的方法來檢測目標攻擊和相關參與者。令人驚訝的是,大多數企業中已經存在該解決方案的很大一部分:久經考驗的端點安全平台。在這種情況下,我們使用了自己的McAfee Endpoint Security(ENS)。我們與ENS一起使用了McAfee的免費軟體GetQuarantine和第三方威脅分析服務。

問題

我們將從針對性攻擊的有效定義開始:

有針對性的攻擊是一種威脅,在這種威脅中,威脅行為者會主動追擊並損害特定目標。為了實現該目標,對手可能會適應並改善他們的攻擊,以對抗受害者的防禦並堅持很長時間。

這是什麼意思 首先,對手的目標是折衷特定目標,而不僅僅是任意目標。其次,對手有足夠的技能來了解防禦的工作原理,並且有足夠的資源主動地適應和改進他們的攻擊以擊敗防禦。第三,對手的決心足以在可能不確定的時間內追求目標。

綜上所述,以上特徵挑戰了大多數防禦技術。為什麼這樣?因為這些特徵與這些技術所基於的假設背道而馳。

從本質上講,大多數防禦技術都是基於簽名的,其中籤名是由人工分析人員,機器或使用已知惡意行為的實例創建的。構造簽名的成本很高,並且通過使用相同的簽名抵御其他地方的相同攻擊來分攤。

二十年前,當周圍只有幾千個惡意軟體示例時,相對容易找到惡意文件或應用程序的來源,犯罪者以及創建和發布原因。安全研究人員將手動分析每個樣本,通過純粹的內存仔細識別與以前已知的樣本的相似性,並用唯一的名稱標記每個樣本。這種方法之所以行之有效,是因為當時的攻擊是機會性的,目的是盡可能廣泛地傳播。這意味著防病毒公司可以在一處發現攻擊,提取相關的檢測簽名,並將簽名更新發送到其安裝庫。

現在,安全威脅情報公司每天收到數十萬個新的惡意軟體樣本。根本沒有足夠的時間或資源來分析每種惡意軟體來回答誰,什麼,何時以及為什麼?最好的防病毒軟體可以做的是一個文件到只有兩個垃圾桶分類:好還是壞。研究人員不可能手動查看每個樣本並將其處理到與以前相同的細節。更糟糕的是,今天的襲擊已成為目標。攻擊者針對特定企業創建一次性變體。這幾乎不可能將企業之間的攻擊聯繫起來以了解攻擊者。

這是一個重要的問題。正如攻擊的數量和復雜程度呈指數級增長一樣,跟踪攻擊背後的人,確定不同惡意軟體樣本及其作者之間的聯繫以及攻擊意圖的目標也丟失了。

為什麼重要呢?在缺乏有關誰試圖破壞組織的信息的情況下,防御者只能在黑暗中行動。他們使用威脅情報(通常是不相關的,並且在相關的情況下很可能已過時),根據其他地方發生的違規行為做出安全決策。

解決方案

對有針對性的戰役的分析表明,作為攻擊一部分的程序通常具有幾個相似的特徵。首先,惡意軟體或攻擊機制的重點是一個企業,或者最多是一個部門,其次,惡意軟體程序展示了進化特徵,其中參與者反复釋放了它的不同變體。我們提出的解決方案著眼於這些特徵,並試圖通過在客戶環境中發現的惡意軟體與已知的目標活動之間找到二進制語義來發現目標活動。

我們的解決方案策略是:

端點安全檢測到惡意軟體樣本。將其與來自已知目標攻擊的樣本進行比較。如果相似度很高,則很可能表明ENS檢測到的樣本是該目標攻擊的一部分,威脅因素也相同。

該策略在三個構建塊中實施:樣本收集器,樣本存儲和使用第三方威脅分析應用程序的針對性攻擊分析。

樣品收集器(GetQuarantine

使用McAfee專有許可的免費軟體GetQuarantine進行樣本收集。GetQuarantine是可部署的McAfee e-Policy Orchestrator(ePO)工具,可以在受McAfee ENS保護的所有端點上運行。GetQuarantine作為ePO計劃產品部署任務運行。ENS清除或刪除被檢測為威脅的項目,並將副本以不可執行的格式保存到Quarantine文件夾中。計劃運行中的GetQuarantine工具,檢查隔離文件夾,如果以前的工具運行期間尚未上載項目,則將項目上載到McAfee後端。

示例存儲(McAfee Workflow和AWS)

McAfee工作流後端從GetQuarantine接收示例提交,並將其存儲在S3存儲桶中。每個企業都對樣本進行了分類,以供進一步分析。像MAGIC這樣的第三方分析應用程序可以在樣本上運行,以提取有針對性的攻擊見解。參與第三方分析程序的McAfee客戶可以使用分析服務。對於不參與第三方分析程序的客戶,樣本處理將在McAfee後端層結束,並且最終樣本將被刪除而無需進一步分析。

目標攻擊分析

對於我們的試點實施,我們使用了Cythereal MAGIC服務。McAfee後端將樣本提交給MAGIC,以進行二進制相似性分析。客戶可以使用Cythereal網站查看分析報告。Cythereal是McAfee的安全創新聯盟(SIA)的合作夥伴。

Cythereal MAGIC™(惡意軟體基因組相關性)是一種網路服務,被譽為“ 類固醇上的BinDiff ”。該系統在彙編指令級代碼中使用高級程序分析技術對程序進行語義相似性分析。該程序的語義比結構或行為特徵提供了更有意義的見解。MAGIC可以找到使用GetQuarantine提交的樣本之間的相似性,還可以從MAGIC的數據庫中找到這些樣本的變體。它具有提供用於檢測活動的警報的功能,並且可以生成可用於搜索其他服務(例如VirusTotal)的YARA規則。

我們首先嘗試使用開源工具(如SSDEEP,SDHASHTLSH等)進行人為驅動的內部分析,以證明使用隔離區中發現的樣本的二進制相似性來識別目標攻擊的概念。儘管我們使用這些開源工具成功證明了這一概念,但是它們並不是非常有效,尤其是對於多態變體,因此我們探索了第三方選項並確定了Cythereal MAGIC™。

建築

圖1顯示了我們系統的總體架構:

[圖1:McAfee ENS通過研究其行為或其他手段來檢測可疑樣本,然後將樣本文件移至隔離文件夾。ePO中配置為計劃任務的GetQuarantine Tool的計劃執行將示例提交給McAfee後端。第三方分析應用程序會定期從McAfee後端接收樣本,以進行進一步分析。]

案例分析

對於案例研究,我們使用了McAfee發現的活動Oceansalt的樣本。我們測試了該解決方案使用語義相似性對樣本進行分組的能力,還測試了該解決方案識別Oceansalt樣本的新變體的能力。

解決方案從隔離區對惡意軟體進行分組的能力說明

McAfee Endpoint Security(ENS)檢測到兩個Oceansalt示例(如表1所示)。GetQuarantine將這些示例提交給McAfee後端。這些文件的有針對性的攻擊分析表明,語義相似度為95.1%。圖2中對它們的控制流圖的比較證明了較高的語義相似性得分。

[表1:McAfee™安全運營中心在2018年6月至7月報告的Oceansalt示例。]

[圖2:表1中海鹽樣品的控制流圖]

解決方案將野外新品種鏈接到已知目標攻擊的能力的說明

最後,我們來探討激發該研究的用例。屬於目標攻擊的惡意軟體通過其文件哈希來識別。但是,攻擊者使用多態和其他混淆來創建新的變體。儘管McAfee ENS可能會阻止此類變體,但可能無法將其鏈接到原始攻擊。有針對性的攻擊分析可以幫助填補這一空白。

為了測試解決方案定位此類定向攻擊的能力,我們向MAGIC 上傳了Oceansalt示例(MD5:531DEE019792A089A4589C2CCE3DAC95 [ VT ]),並將其標識為APT。然後,我們通過GetQuarantine上傳了大量(數千個)惡意軟體樣本。正如我們所認為的,定向攻擊分析發送了警報,通知它已檢測到Oceansalt的變體(圖3)。

[圖3:有關在隔離區檢測到Oceansalt變種的警報]

觸發MAGIC的警報是因為它發現了兩個野生的Oceansalt變種,這些變種以前是McAfee SOC或任何其他全球威脅情報未報告的。

[表2:使用語義相似性發現的Oceansalt樣本的兩個新變體]

嘗試隔離

我們在實驗室中測試了基於GetQuarantine的解決方案,並獲得了令人鼓舞的結果。如果您想嘗試此解決方案,請使用以下步驟以及McAfee Endpoint Security(ENS):

  • 下載GetQuarantine的Beta版,是專有的許可免費軟體。
  • 使用ePO生態系統進行部署。
  • 成功將示例提交到McAfee後端后,會收到一封確認電子郵件。

要從第三方分析應用程序獲取分析結果,請按照以下步驟操作:

  • 訪問Cythereal MAGIC™
  • MAGIC儀表板包含有關各種正在進行的活動的詳細信息的圖表。
  • 在圖中選擇一個活動後,將顯示一個包含所有相關惡意軟件的表格,客戶可以在其中下載樣本和YARA規則。
  • 每當MAGIC檢測到目標攻擊時,它都會向客戶的註冊電子郵件地址發送警報電子郵件,以及其他威脅情報,例如有關威脅組的信息,對該組的第三方研究以及相關的IoC。客戶還可以看到神奇的網站上提醒列表。

摘要

從本練習中可以看到,傳統的AV仍然可以提供很多好處,並且可以在針對目標攻擊的總體安全策略中發揮重要作用。我們可以使用GetQuarantine之類的工具並通過對隔離工件進行分析來發現有針對性的攻擊,從而放大從AV檢測中發出的信號。我們可以採用增量方法來解決有針對性的攻擊挑戰。

 資料來源:https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/did-you-check-your-quarantine/