安然专家们均认同高机能的盒内与云端的沙盒手艺是检测暗藏APT报复打击的有效手段。可是若何辨认暗藏的零日报复打击缝隙呢?
Fortinet发布导致暗藏APT报复打击的缝隙与渗入最常常利用五种行动。
1. 随机生成的IP地址。一些APT负载中包含了随机生成IP地址字符串的功能,目标在于展垫进一步渗入的圈套。
2. 号令与节制连接试探。 一旦渗入成功,APT报复打击会利用连接号令并进一步节制办事器从而盗取数据或发旌旗灯号给僵尸收集以进一步策动报复打击。检测需要基于节制号令特点和汇合区域的检测。
3. 主机摹拟。一个APT报复打击可能开端对其主机设备或利用进行行动摹拟,从而试图回避检测手艺。
4.Java脚本的恍惚措置。记其实案的APT案例已进化出无数恍惚Java脚本代码的真实意图与目标的手艺,从而进行歹意代码的勾当。
5. 加密流量。APT负载中嵌进的加密灰色软件的趋势利用所有的加密流量都横亘在进步风险评估的场合排场中。
Fortinet公司2012年底发布的FortiOS 5把持系统新增超越150项功能,首要集中在当前企业和公司机构面对的移动终端与利用激增带来的安然困扰与防御。FortiOS 5 中同时对APT的防御,设计了盒内与云端的沙盒手艺,对未知灰色软件,履行独有的“紧凑模式辨认说话”措置,利用单一特点笼盖超越50000种不合的病毒,包含零日报复打击的变种。