Websense公司安然研究主管Alex Watson往年在研究了来自Windows弊端陈述(WER)的1600万解体陈述后,发现了操纵零日缝隙倡议的高级延续性威胁(APT)。
你比来发现了针对移动收集运营商和当局机构的针对性报复打击,你是若何发现的?
我们那时正在试图研究若何检测威胁的标题问题,例如侵进企业收集的有针对性报复打击。此刻摆设的收集安然系统主如果基于来自供给商的额外信息和基于签名的防御。这意味着,此刻的安然系统可以或许很好地发现已知威胁,但在过往一年我们所看到的的例子中,收集犯法组织很愿意破钞需要的资本和事务来避免PF、防火墙或防病毒系统的检测。
你若何操纵Windows弊端陈述(WER)来发现之前未知的威胁?
微软操纵这些陈述来优先排序缝隙修复,和肯定利用法度是不是故障,而我们操纵这些解体陈述来发现延续报复打击、缝隙操纵勾当、代码或注进报复打击。当你插进USB设备设备到你的电脑,陈述会发送到微软,此中具体介绍你的电脑,但大年夜大都企业都没成心想到这些陈述被发出往。
你测试了哪些缝隙操纵?
我们进行了一些案例研究,以切磋我们若何操纵异常勾当来发现已知报复打击。我们查看了过往一年中最风行的报复打击之一,即CVE-2013-3893(很是强大年夜的IE缝隙操纵,被用于台湾和日本的针对性报复打击中),我们看到这个缝隙被用于针对高价值组织,但他们利用的根本举措措施、shell代码和恍惚手艺并没有达到实际缝隙操纵的程度,这让我们思疑这是独一操纵这个缝隙的群体。
你若何描述这类报复打击?
这是一种有针对性的报复打击,报复打击者起首发送电子邮件到企业内选定的人群。我们假定是15小我,这些利用法度中起码有一个会呈现故障,从而呈现我们可以或许检测的法度解体,而其他可能会成功。我们逆向了这些缝隙操纵,发现体味体点,并为解体陈述成立了指纹(在缝隙操纵掉败的环境下)。
但是,我们搜刮了4个月内的1600万份陈述,最后发现来自四个不合企业的五份陈述合适我们的指纹。我们查看了这些企业,出格是此中两个(移动收集运营商和当局机构)是高价值方针。他们都有Houdini H-Worm(长途拜候木马)。
你发现了其他报复打击吗?
我们还汇集了来自发卖点(POS)利用法度的利用解体陈述,例如POSRAM歹意软件针对的利用法度。对这些解体日记信息的阐发显示,报复打击者可能向其pos.exe利用法度注进了代码,这近似于其他POS歹意软件利用的载体。假定你从利用法度开辟人员来看这个标题问题,这是很是糟的解体,因为这是他人的代码,而不是你本身的代码。
从安然角度来看,这让我们相信可能呈现代码注进报复打击。是以,假定有歹意产品对准你的POS利用法度,而这个歹意法度解体了,那么,它可能很快会让你的收集解体。
安然企业应若何应对这些报复打击?
跟着报复打击者进步其进侵手艺,安然行业需要摆脱基于签名的防御,添加更多环绕异常勾当和收集行动的谍报监控系统。