安全专家们均认同高性能的盒内与云端的沙盒技术是检测潜在APT攻击的有效手段。但是如何识别潜在的零日攻击漏洞呢?
Fortinet发布导致潜在APT攻击的漏洞与渗透最常用五种行为。
1. 随机生成的IP地址。一些APT负载中包含了随机生成IP地址字符串的功能,目的在于铺垫进一步渗透的陷阱。
2. 命令与控制连接试探。 一旦渗透成功,APT攻击会使用连接命令并进一步控制服务器从而窃取数据或发信号给僵尸网络以进一步发动攻击。检测需要基于控制命令特征以及汇合区域的检测。
3. 主机模拟。一个APT攻击可能开始对其主机设备或应用进行行为模拟,从而试图逃避检测技术。
4.Java脚本的模糊处理。记录在案的APT案例已经进化出无数模糊Java脚本代码的真实意图与目的的技术,从而进行恶意代码的勾当。
5. 加密流量。APT负载中嵌入的加密灰色软件的趋势使用所有的加密流量都横亘在提高风险评估的局面中。
Fortinet公司2012年底发布的FortiOS 5操作系统新增超过150项功能,主要集中在当前企业以及公司机构面临的移动终端与应用激增带来的安全困扰与防御。FortiOS 5 中同时对APT的防御,设计了盒内与云端的沙盒技术,对未知灰色软件,执行特有的“紧凑模式识别语言”处理,使用单一特征覆盖超过50000种不同的病毒,包括零日攻击的变种。