rixifuAPT是一种针对目标用户进行多种量身定制的网络行为合集,这种综合采用了包括零日(0day)在内的多种手机手法,长期着包括、金融、企业、能源等在内的诸多行业。
天阗APT检测系列,是一款针对恶意代码等未知具有细粒度检测效果的专业安全产品,可实现包括对:未知恶意代码检查、嵌套式检测、木马蠕虫病毒识别、隐秘通道检测等多类型未知漏洞(0-day)利用行为的检测,由启明星辰集团自主研发。
天阗APT检测系列,采用国内领先的双重检测方法(静态检测和动态检测),多种核心检测技术手段:二进制检查、堆喷检测、ROP利用检测、API检测、堆栈检测、Shell code检查、沙箱检查等,可以检测出APT的核心步骤,同时,产品可结合人工服务,有效发现APT。
天阗APT检测系统,针对APT常常采用复合文档的特点,本系统的动态检测系统创造性的采用了两大检测系统进行APT检测:基于二进制的漏洞利用检测系统和针对PE文件的传统行为分析系统。漏洞利用系统检测到可疑漏洞利用行为的文档类文件后,会根据漏洞触发的具体情况将其投入到行为分析检测系统中继续进行检测,从而获得更进一步的行为分析结果,包括具体的文件行为信息和网络行为信息。
在我们的检测系统中内置了多种操作系统和软件环境,在检测的时候我们会将样本放进所有环境进行检测,如果某一个环境检测到了恶意行为则报警。目前我们支持的操作系统有Windowx XP和Windows 7;支持检测的Office软件有Office 2003、2007、2010,支持检测的Adobe软件有Adobe 8、9、10、11以及等。
当前病毒基本都存在一些专门针对沙箱检测的逃逸技术:运行环境检测,延时运行,虚拟机检测等等。针对这些逃逸技术,我们的反病毒工程师对沙箱进行了全新的设计,能对抗这些已知甚至未知的沙箱逃逸技术;并模拟了各种病毒需要的环境,比如盗号木马试图检测的各种游戏环境,AV终结者病毒试图检测的各种杀毒软件安装环境等。
APT经常会使用看起来的加密信道来负载数据并逃过审计检测,天阗APT检测系统的可疑行为分析系统在分析样本时,能快速其发出的可疑C&C连接,并可自动提取C&C连接的可疑IP,端口,URL等信息并将相关信息发送给IDS、IPS、Firewall等配套安全设备,使得这些本力防范APT的设备具有拦截APT的能力。
我们设计出了专业人士和非专业人士都易读懂的报告格式,报告既包括非专业人士需要的简要描述等信息,也包括专业人士需要的详细报告。分析系统检测报告包含简要的描述信息和具体的报告两项内容。
我们设计了一套全新的高效智能虚拟机调度引擎,该引擎能根据当前的系统资源占用和自动启动或关闭相应的虚拟环境,样本的实时检测性。另外当样本数量突发时虚拟机调度引擎亦能智能调节虚拟机任务的分发。
天阗APT检测系统可通过联动接口与传统IDS、IPS、网闸等安全防护产品进行联动。IDS等可将监测到的可疑文件通过联动接口传送至本系统,由本系统进行动态沙箱检测。系统检测的结果也可以通过联动接口传送回IDS等设备,以作为IDS等传统安全防护产品对于恶意文件类型的无法准确检测的补充,做到全方位的防护。
APT检测产品满足未知恶意代码检测的需求。通过对恶意代码的检测,可以有效解决关键业务系统与终端信息被窃取、业务系统运行被非法控制与干扰、业务数据被、业务系统被等恶性网络安全事件的发生。
网友评论 ()条 查看