明御APT攻击(网络战)预警平台新版本
V2.0.33正式发布!
新版本新增和完善了二十多项功能,显著提高了威胁检测能力,优化了整体性能,并改善了产品易用性。
新版本大幅提升了流量分析能力,其现已支持全流量检测,并可对加密协议进行解析;新增隐蔽信道检测、暴力破解检测等功能,增强webshell后门利用验证机制,拓展紧急事件告警事项;大幅提升沙箱检测效率,优化沙箱报告,分析结果呈现更清晰全面;集合离线的高可用威胁情报库,可直接检测攻陷主机并发现回连主机,同时支持从APT预警平台云端实时接收最新的威胁情报,增强检测能力,支持本地恶意文件特征上传云端,提升协同防御能力;提升数据传输安全性,对外送的风险信息进行加密;优化了白名单功能和文件分离设置功能。
其中最值得关注的几个要点
全流量开启检测大视野
支持全流量检测,IDS规则更有针对性,失陷主机检测更迅速,特别是利用失陷主机进行挖矿的行为,如比特币、门罗币、MsraMiner、DDGMining、WannaMine、PhotoMiner、MrsMiner、Minerd等,同时新版本增强了对挖矿软件恶意样本的检测,整体增强了对挖矿行为的检测能力。
暴力破解检测应对勒索新手段
新增SSH、TELNET、RDP、FTP暴力破解检测功能。2018年,通过RDP暴力破解服务器密码人工投毒逐渐成为勒索病毒投递的主要方式之一,GlobeImposter、Crysis等几种感染用户数量多,破坏性强的勒索病毒几乎全都采用这种方式进行传播。本版本新增暴力破解检测功能,帮助用户及时发现可疑行为,预警勒索病毒传播。
隐蔽信道检测增加新能力
新增隐蔽信道传输数据检测功能。DNS协议是必不可少的网络通信协议之一,将数据或指令藏匿于DNS协议中进行传输是一种隐蔽且有效的手段。这类手段常用于APT攻击中维持访问和数据窃取阶段。在实际场景中,当攻击者拿下某台服务器权限,或服务器被恶意软件、蠕虫、木马等感染之后,通过建立DNS隧道从而达到敏感信息盗窃、文件传输、回传控制指令、回弹Shell等目的。本版本新增DNS隐蔽信道检测能力,帮助用户发现敏感数据被窃,定位受控主机。
明御APT攻击(网络战)预警平台
明御APT攻击(网络战)预警平台是安恒信息自主研发的针对网络流量进行深度分析的一款软硬件一体化产品。该平台基于丰富的特征库、全面的检测策略、智能的机器学习、高效的沙箱动态分析,依托于云端的威胁情报,能实时发现用户网络中发生的各种已知威胁和未知威胁,特别是利用0day漏洞的未知威胁,检测能力完整覆盖整个APT攻击链,能有效发现APT攻击及各种常见攻击。
1.支持全流量分析,网络威胁一网打尽;
2.全面的检测策略,应对各种场景的攻击行为,集静态检测技术和动态分析技术于一身;
3.网络流量实时监控,建立紧急事件报警机制,迅速反应,及时发现攻击;
4.提供高级技术支持,帮助分析用户无法确定的攻击行为和样本,以对抗更高级别的黑客;
5.云端大数据分析,基于机器学习和深度挖掘等技术,实时共享最新安全威胁情报,快速预警新型恶意威胁。
APT攻击
“APT(AdvancedPersistent Threat)——高级持续性威胁,利用先进的攻击手段对特定目标进行长期持续性的网络攻击的攻击形式。APT攻击通常由具备国家背景或组织背景的黑客团体发起,他们组织严密、目标明确、手段高超、危害巨大,每一次APT攻击事件的损失是巨大的,影响是深远的。”
原文发布时间为:2018-09-4
本文作者:明天见
