APT预警平台智能化之路——插上威胁情报的翅膀

安恒信息

网络安全前沿资讯、 应急响应解决方案、技术热点深度解读

关注

随着黑客技术和攻击手段的多样化、复杂化、专业化，如今的网络攻击已经与曾经的局面大不相同了，攻击者有组织有预谋，手段高级，隐蔽性强，危害更大，传统网络安全体系越来越难以检测和防御新型的网络攻击，安全防范体系加入了以检测和分析为手段的主动防御方式。然而，敌众我寡、敌暗我明，网络攻防对抗中，防守者总是处于被动的状态。这个时候，威胁情报的引入就显得格外重要，在这个网络攻防的战场上，威胁情报就像是刺探到了敌人内部的消息，我们要知己知彼，方能百战不殆。威胁情报有着丰富的应用场景，可驱动溯源取证，分析告警，检测防御等，Gartner认为未来威胁情报驱动的安全检测将超越了传统的基于特征与事件的监测与防御工具。

安恒的威胁情报团队——安全数据大脑，依托玄武盾、蜜罐网络、Sumap、全球资产探测等能力与国内外数百家情报源，汇聚形成专业面向服务器安全的威胁情报中心，主要针对我国重要行业服务器遭受的网络攻击、最新的动态进行追踪研究，为各类安全产品提供高质量情报数据。

其中，高可信度 IoC（Indicator Of Compromise）可与安全日志或流量中的 IP、Domain、文件 Hash 或 URL等碰撞分析，从而可以自动识别恶意攻击并生成威胁告警。目前，云端提供高可信IoC情报的日更新库与实时检索接口，驱动安全设备实现及时的自适应安全检测与防御。

安恒明御APT攻击（网路战）预警平台（以下简称APT预警平台）最新版本集成了安恒数据大脑高可用威胁情报，精准发现内部失陷主机，自新版本上线以来，已帮助用户发现大量失陷主机，包括僵尸网络、勒索病毒感染、挖矿主机等。

在安恒数据大脑威胁情报网站上对此域名进行查询，可以看到该域名情报标签为“C&C”、“远控”、“蠕虫”、“暗云”等，被多个第三方威胁情报来源也标记为恶意域名。

“暗云”是一个迄今为止最复杂的木马之一，使用了很多复杂新颖的技术来实现长期地潜伏在用户的计算机系统中，其使用的BootKit技术可直接感染磁盘的引导区，感染后即使重装系统格式化硬盘也无法清除。暗云系列木马程序具备流量牟利、发动分布式拒绝服务攻击(以下简称“DDoS攻击”)等能力，具有互联网黑产盈利特性。暗云Ⅲ正是暗云木马的一个新变种。根据cncert监测结果可知，目前“暗云Ⅲ”木马程序控制的主机已经组成了一个超大规模的跨境僵尸网络，黑客不仅可以窃取我国百万计网民的个人隐私信息，而且一旦利用该僵尸网络发起DDoS攻击将对我国互联网稳定运行造成严重影响。

针对该情况，安恒工程师部署安恒主机卫士EDR，通过控制中心向受控主机下发命令，开启病毒查杀，通过多引擎病毒查杀，找出相关的病毒木马，开启免疫引擎进行深度防护，而后下发定期巡检任务进行持续检查，消除了主机受控的隐患。

面对如今的网络安全态势，引入高级持续性威胁检测产品，配合终端保护产品及专业的安全服务，对网络流量进行深度分析，基于行为检测，借助威胁情报的力量，在网络攻防这场没有硝烟的战争中方能更快速更精确地发现攻击行为及失陷主机，为网络安全保驾护航。

明御APT攻击（网络战）预警平台

明御APT攻击（网络战）预警平台（简称DAS-APT）是安恒信息自主研发的针对网络流量进行深度分析的一款产品。该平台基于丰富的特征库、全面的检测策略、智能的机器学习、高效的沙箱动态分析、海量的威胁情报，能实时发现网络攻击行为，特别是新型网络攻击行为，帮助用户发现网络中发生的各种已知威胁和未知威胁，检测能力完整覆盖整个APT攻击链，有效发现APT攻击、未知威胁及用户关心的网络安全事件！

1.支持全流量分析，网络威胁一网打尽；

2.全面的检测策略，应对各种场景的攻击行为，集静态检测技术和动态分析技术于一身；

3.网络流量实时监控，建立紧急事件报警机制，迅速反应，及时发现攻击；

4.云端大数据分析，基于机器学习和深度挖掘等技术，实时共享最新安全威胁情报，快速预警新型恶意威胁。

“APT（Advanced Persistent Threat）——高级持续性威胁,利用先进的攻击手段对特定目标进行长期持续性的网络攻击的攻击形式。APT攻击通常由具备国家背景或组织背景的黑客团体发起，他们组织严密、目标明确、手段高超、危害巨大，每一次APT攻击事件的损失是巨大的，影响是深远的。”