来自 应用 2021-12-14 09:18 的文章

海外高防ip_ddos清洗能力_3天试用

海外高防ip_ddos清洗能力_3天试用

7月,VMRay发布了VMRay Analyzer的3.1版,这是我们用于自动分析和检测恶意软件的旗舰平台。在几个主要的增强中,3.1将我们现有的VMRay威胁指标(VTI)映射到MITRE ATT&CK,即敌方战术和技术、威胁集团以及相关软件和工具的行业标准框架和知识库。通过这种映射,VMRay Analyzer现在可以在描述恶意软件分析和检测过程的每个阶段描述敌对行为和威胁组活动时"说话"mitte ATT&CK。(许多安全供应商在自己的产品和服务中都经历过类似的映射过程。)无论VMRay是在分析Mac还是Windows威胁,常见的词汇是:从通过启用ATT&CK的防火墙、网关和端点发送到VMRay的传入恶意软件警报开始扩展到有关快速声誉匹配和恶意软件样本静态分析的信息,作为VMRay的多层Now,Near,Deep架构的一部分包括在VMRay的沙盒中安全执行可疑文件和url的引爆和动态分析最终的检测结果可以在整个网络安全生态系统中与支持ATT&CK的系统无缝共享。许多此类系统根据VMRay Analyzer的结果做出阻止/允许决策或提示进一步调查图1所示的VMRay分析报告显示了MITRE和VMRay平台的互操作程度。红色标记的报告标题(#1)表明VMRay已确定可疑文件是有害间谍软件,并为其分配了100/100的总体严重性分数。传统的VMRay威胁指标(VTI)-在MITRE映射之前,根据个人分析得分的严重程度进行排名(#2)。图1底部的MITRE ATT&CK Enterprise矩阵(VMRay中的一个新特性)反映了与相应vti相同的颜色编码,ddos假ip防御,但表示为MITRE ATT&CK技术(#3)。图1:VMRay分析报告,突出显示由间谍软件示例触发的恶意行为我们还扩展了VMRay搜索接口。用户现在可以搜索在3.1版或更高版本中分析的任何示例,以找到触发特定ATT&CK技术的可执行文件(图2)。他们还可以识别最常见的技术,这些信息可以为加强防御反应提供信息。图2:对使用流程注入的可执行文件的扩展搜索对于VMRay的现有客户,MITRE ATT&CK框架中添加的内置映射进一步简化了我们的高容量、高度自动化的恶意软件分析和检测过程。它还促进了与安全生态系统的广泛平台互操作性。例如,已经在使用ATT&CK但不熟悉VMRay的组织可以更容易地将我们业界最好的恶意软件分析和检测平台集成到其安全环境中。描绘全局更广泛地说,mitretatt&CK使组织能够开始描绘一幅比几年前更大、更全面的威胁图景。该框架为映射防御提供了强有力的基础,揭示了存在安全漏洞的地方;开发了基于真实世界对手行为和威胁群体的威胁模型;以及创建方法来加强网络安全。正如我们稍后将讨论的,用例可能包括丰富检测和调查、威胁建模、威胁搜索以及开发对手仿真计划和笔测试。MITRE ATT&CK的概述和简要游览ATT&CK由米特公司于2013年推出,是一个全面的、全球可访问的知识库,其名称是敌方战术、技术和常识的缩写。根据对现实世界威胁和攻击的观察,该框架通常与洛克希德马丁公司的网络杀戮链保持一致。图3:洛克希德马丁公司的网络安全杀戮链作为了解MITRE ATT&CK的结构、内容和现实价值的一种有用的方法,我们将对知识库进行一次简短的浏览:在较高的层次上,并通过深入了解敌方行为、威胁参与者和工具的基本信息的深度和细节。然后,通过VMRay Analyzer的镜头查看ATT&CK,我们将展示在真实世界恶意软件分析期间发现的威胁指标如何映射到ATT&CK策略和技术,从而使信息更容易在不同的安全系统和多个用例之间共享。战术和技术是敌人的基石正如ATT&CK的红色菜单栏所示,有多种方法可以导航框架中捕获的详细信息。然而,其主要组织结构由三个矩阵组成,这些矩阵确定并描述了危害网络的策略和技术:MITRE-PRE-ATT&CK矩阵处理洛克希德-马丁杀伤链的前两个阶段:目标侦察和有效载荷武器化。企业矩阵图3描述了适用于Windows、Linux和macOS系统的策略和技术。该矩阵涵盖了杀伤链的其余五个阶段:交付、开发、安装、指挥和控制以及目标行动。mobilematrix与企业版类似,但仅适用于iOS和Android操作系统。战术是攻击者想要达到的技术目标。企业ATT&CK矩阵中定义的策略显示在下面,在图4的顶行,也在图5中列出。蓝色文本中显示的技巧解释了具体策略是如何实现的:选择的方法以及小组为完成特定目标所采取的步骤顺序。图4:ATT&CK企业矩阵适用于Windows、Linux和macOS环境。该框架还将敌方团体与他们所采用的具体战术和技术以及他们用于设计和执行战役的软件、恶意软件和工具联系起来。深入研究策略和技术:凭证访问如图5-7所示,用户可以很容易地在ATT&CK中深入了解敌方行为。在这里,我们站在一个分析师的立场上,我们称之为泰勒,仔细阅读ATT&CK的企业策略列表(图5)。图5:ATT&CK企业矩阵中定义的策略总共有12种策略,但是Taylor现在的重点是凭证访问(TA0006),因为这在正在审查的VMRay Analyzer报告中出现。图6:获取凭证访问的对手技术图6显示了对手在获取凭证访问时可能使用的19种技术中的一些:帐户操纵、暴力、凭证转储等等。Taylor怀疑对手在搜索包含密码的文件,点击文件中的凭证(T1081)以访问使用此特定技术的真实世界攻击示例和已知缓解措施列表(图7)。图7:文件中凭据的缓解措施和真实示例VMRay的视图Taylor快速浏览了MITRE ATT&CK中的战术和技术是如何组织的,之后,Taylor转到了一份关于正在调查的实际入侵的VMRay分析报告。下面的图8显示了当恶意软件在沙盒中执行时,VMRay Analyzer检测到的突出显示的对手技术。由此产生的行为包括窃取凭证、捕获输入(通常使用密钥记录器)以及将数据发送回C2服务器。图8:VMRay中分析的恶意软件示例触发的对手技术泰勒关心的是凭证访问活动,ddos防御多少钱,它可以暴露各种敏感信息:关于员工和客户、财务、商业计划、知识产权等等。所以下一步是单击文件中的凭据。图9:VMRay威胁标识符(VTI)匹配如图9所示,四种类型的凭证被盗:用于访问FTP数据、电子邮件帐户、应用程序和浏览器。泰勒最终将深入研究所有四个威胁标识符,但从"读取敏感的FTP数据"开始,他知道FTP应用程序中存储的凭据允许访问本地文件共享,而本地文件共享是攻击者最喜欢的目标。图10:目标FTP客户机CoreFTP进一步深入,我们看到恶意软件试图窃取FTP客户端CoreFTP用来存储其缓存凭证的文件(图10)。目标文件如图11所示,用于访问该文件的API调用在图12中突出显示。图11:被盗文件图12:用于访问文件的API调用继续调查,Taylor将对VMRay Analyzer报告中强调的其他恶意软件技术重复此深入研究过程,直到了解事件的规模和影响,并确定适当的缓解措施。敌方群像到目前为止,我们一直在从战术和技术的角度来讨论ATT&CK。然而,在许多情况下,ddos服务器防御,防御者或研究人员可能希望了解特定的对手群体。例如,威胁猎手可能希望识别出在防御者行业有过目标公司历史的集团,免费高防国外cdn,然后主动寻找一个或多个集团可能已经危害网络的迹象。该框架以同样的系统化方式对敌方战术和技术进行了编目,并维护了数十个敌方团体的信息库,这些团体被描述为威胁集团、活动团体、威胁参与者、入侵集合和战役。如以下中国威胁集团APT3的例子所示,ATT&CK描述了该集团开展的关键战役和相关的集团或名称(图13)以及常用技术(图14)。资料图:13:ATP3,ddos防御设备报价,一个国家赞助的威胁组织,总部设在中国图14:APT3相关技术同时检查目录(&C)