>其它>>正文

深度揭密:360如何利用大数据发现海外网络攻击

原标题:深度揭密:360如何利用大数据发现海外网络攻击

日前,360威胁情报中心追日团队发布《人面狮行动》报告,披露了活跃在中东的网络攻击活动,引发了广泛关注。这是继洋葱狗行动、美人鱼行动以及Swift攻击之后,360追日团队再度披露发生在海外的APT高级攻击活动。

在全球网络攻击频发,网络流量规模惊人的情况下,360追日团队究竟是如何敏感地捕获和发现发生在海外的网络攻击行动的?

社交网站引发的“血案”

这个名为“人面狮行动”的网络攻击能被发现,首先得从360的电脑终端安全产品说起。

不久前,一位360海外用户在Facebook以色列军队主页上的评论,收到一个带有网址链接的回复。出于好奇,这位用户点击了链接,但他没有想到,这个小小的动作险些让自己落入黑客组织的陷阱。

在随后下载名为“个人所得税改革”的希伯来语文档后,360安全终端发出了“发现疑似木马”的警示,用户随即终止了继续点击浏览文件的动作,并在安全软件提示下,删除了下载的不明文件。

至此,这个貌似虚惊一场、平常得不能再平常的木马查杀,似乎要画上句号了。

但故事并没到此结束:根据360安全终端的规则,该疑似木马文件的MD5等信息被上传到了360威胁情报中心(重要事情再澄清一遍:这里不涉及用户任何隐私。上传的不是用户个人信息,是木马的特征信息)。

在捕获“人面狮”相关可疑样本后,追日团队的安全研究人员基于大量APT攻击事件的分析经验,敏感地怀疑,这有可能是APT攻击。

接着,在360威胁情报中心,追日团队的安全研究人员对样本又进一步进行了同源分析,关联到很多同源的恶意样本。在天眼大数据平台,追日团队的安全研究人员,对相关攻击样本进行了数据分析,同时对相关流量数据的关联,最后分析出了不同攻击源间的关联关系,成功定位出了这个活跃在中东地区的网络攻击活动——人面狮行动。

至此,海外终端发现的可疑木马,通过360安全研究人员和360天眼大数据分析平台的人机协作,揭露出以窃取敏感信息为目的的中东地区网络攻击活动。

[上述攻击流程是由360安全人员推断还原出来的。基本流程是:首先这类样本被360海外终端拦截捕获,恶意PE文件回传到后台,通过常规人工鉴定流程,360安全人员确定相关恶意程序是属于新的一种后门木马,由于该类木马家族类型之前并未见过,且基本其他反病毒引擎并不检出,所以对这类恶意程序进行了详细深入分析]

根据披露的报告,攻击活跃时间主要集中在2014年6月到2015年11月期间,相关攻击活动最早可以追溯到2011年12月。主要采用利用社交网络进行水坑攻击,截止到目前总共捕获到恶意代码样本314个,C&C域名7个。

能力来自大数据能力

完整串起一个APT攻击事件,工作量和工作难度强度都非常大:一般的病毒木马样本分析有经验的安全研究人员一般1~2天就可以做出一个完整的样本分析报告,分析出对抗手法。但是溯源APT事件需要从一个样本做切入点,从这个样本分析出特性和线索,加以提炼,在后台数据平台关联分析出对应的样本,再对关联出的样本逐一进行分析到位,从一个点拓展出N个点,然后对所有分析结果进行归纳和总结,将事件的整个攻击链串起来。

在这个过程中,安全团队自身的能力、资源和经验很关键。360追日团队的所有成员都在安全行业从业超过8年以上,负责人田阗更是有12年的病毒木马对抗经验,所以对所有攻击样本分析都可以手到擒来,而且他们还可以协同整个360公司在主防、反病毒、上网行为分析、挖漏洞、基础数据、补天漏洞库等所有能力和资源,这些保证了追日团队可以用最好的方法和途径,以最快的速度进行分析,可以快速的进行溯源,然后扩展跟踪。

“当然最重要的还是公司有庞大的安全大数据积累和天眼分析平台,”田阗称,“公司的安全大数据积累在全球都是首屈一指的,如果没有类似云查杀日志、网盾日志、样本和线索积累等庞大完善的数据积累,可以对某一个样本进行技术分析,但无法“串出”一个完整的事件,捕捉和分析APT几乎不可能。”

正是有了完善的大数据和大数据分析系统,追日团队将单纯的样本分析上升到了APT攻击事件追踪和溯源分析上,在安全圈里公认提升了好几个档次。

2015年5月,360天眼实验室发布的一份APT报告,这份报告披露了一个名为“海莲花”的黑客组织,针对中国的海事机构、中国领海的主管部门、科研院所和航运公司进行了长达3年的网络黑客攻击。“海莲花”是追日团队捕获的第一个APT攻击事件,也是国内首次公开的境外黑客组织针对中国的APT攻击事件,让中美外交部门同时发声了。

2015年披露的“海莲花”组织引起海内外关注

“海莲花”之后,在1年多时间里,已经捕获了30多起APT事件,既有境外黑客组织针对中国政府、科研和能源机构的攻击,也有境外黑客组织针对其他国家的攻击,黑客组织针对银行等商业机构的攻击,还有商业机构之间利用APT相互攻击的。

田阗表示,“发现海外黑客组织的影响让我们对APT攻击事件的捕获和分析有了更多认同感和责任感”。作为专追APT的网络攻击事件“重案组”,对360追日团队来说,未来更需要保持持续追击、迎接新兴挑战的毅力。

在人面狮行动中,攻击组织选择采用社交媒体评论方式进行攻击,这种方式门槛和成本更低,同时说明可能比钓鱼邮件和网站水坑攻击也更有效。“这是一种新的攻击方式,类似的一些不为人知的攻击技术越来越多的被攻击者使用,比如X86处理器中、BIOS中和硬盘和SIM卡的固件中都有可能预置攻击手段,这些手段使得攻击越来越趋向于底层”,田阗表示,“这都增加了追踪和对抗的难度,有挑战才会有动力。

据悉,在8月16日举行的ISC2016(中国互联网大会)上,追日团队的安全研究人员还将代表追日团队分享在APT追踪和对抗领域的最新研究成果。

继续阅读:

此文由 热点网 编辑,未经允许不得转载!:首页 > 科技» 深度揭密:360如何利用大数据发现海外网络攻击

责任编辑:

声明:本文由入驻搜狐号的作者撰写,除搜狐官方账号外,观点仅代表作者本人,不代表搜狐立场。
阅读 ()
投诉
推荐阅读
免费获取