记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

检测五项零日攻击行为防御APT

2013-05-08 11:45

安全专家们均认同高性能的盒内与云端的沙盒技术是检测潜在APT攻击的有效手段。但是如何识别潜在的零日攻击漏洞呢?

Fortinet发布导致潜在APT攻击的漏洞与渗透最常用五种行为。

1. 随机生成的IP地址。一些APT负载中包含了随机生成IP地址字符串的功能,目的在于铺垫进一步渗透的陷阱。

2. 命令与控制连接试探。 一旦渗透成功,APT攻击会使用连接命令并进一步控制服务器从而窃取数据或发信号给僵尸网络以进一步发动攻击。检测需要基于控制命令特征以及汇合区域的检测。

3. 主机模拟。一个APT攻击可能开始对其主机设备或应用进行行为模拟,从而试图逃避检测技术。

4.Java脚本的模糊处理。记录在案的APT案例已经进化出无数模糊Java脚本代码的真实意图与目的的技术,从而进行恶意代码的勾当。

5. 加密流量。APT负载中嵌入的加密灰色软件的趋势使用所有的加密流量都横亘在提高风险评估的局面中。

Fortinet公司2012年底发布的FortiOS 5操作系统新增超过150项功能,主要集中在当前企业以及公司机构面临的移动终端与应用激增带来的安全困扰与防御。FortiOS 5 中同时对APT的防御,设计了盒内与云端的沙盒技术,对未知灰色软件,执行特有的“紧凑模式识别语言”处理,使用单一特征覆盖超过50000种不同的病毒,包括零日攻击的变种

知识来源: www.2cto.com/Article/201305/208946.html

阅读:68444 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“检测五项零日攻击行为防御APT”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云