Introducción al mecanismo de detección de ataques APT en el FireHunter de Huawei

48 0 0 0

Bienvenidos de nueva cuenta. Continuaremos con la introducción a la solución de seguridad FireHunter y en esta ocasión platicaremos sobre los mecanismos de detección de ataques APT. Pasemos a la información.

 

Detección de archivos

En cuanto a los archivos maliciosos, FireHunter emplea un mecanismo de detección de comportamiento de múltiples capas que utiliza la base de datos de firmas de antivirus, el motor de detección estático / heurístico y la tecnología de entorno de ejecución virtual para realizar una detección en profundidad de archivos desconocidos y descubrir ataques potenciales de manera oportuna.

 

Figura 1 Mecanismo de detección APT


1


1. Después de recibir un archivo, FireHunter comprueba si coincide con la lista negra o la lista blanca y realiza la detección de reputación en la nube.

 

Puede elegir si desea configurar una lista negra o una lista blanca. La lista negra y la lista blanca incluyen la lista negra y la lista blanca del archivo, la lista negra y la lista blanca del remitente y destinatario del correo, la lista negra y la lista blanca del encabezado X del correo electrónico y la lista negra y blanca de la dirección IP. También puede elegir si habilitar la reputación en la nube y el filtrado basado en la reputación. Si un archivo coincide con las características de un archivo malicioso como se define en la reputación, el archivo se identifica directamente como un archivo malicioso sin detección posterior.

 

2. Luego, FireHunter usa el motor de detección de antivirus para realizar la detección de antivirus en el archivo. Aquí, también puede configurar si habilitar el motor de detección de antivirus. Además de las funciones anteriores, también puede elegir habilitar la función de filtrado antivirus. Un archivo detectado por el motor antivirus se identifica directamente como un archivo malicioso sin detección posterior.

 

3. Después de la detección antivirus, FireHunter envía todos los archivos al motor estático para su detección y luego a los motores heurísticos correspondientes para su detección.


Los archivos ejecutables portátiles (PE) se envían al motor PE para su detección.

Los archivos web se envían al motor web para su detección.

Los archivos PDF se envían al motor de PDF para su detección.

Los archivos ELF se envían al motor ELF para su detección.

Los archivos de otros tipos se envían directamente al entorno de ejecución virtual para su detección.

 

4. Después de la detección estática del motor / la caja de arena heurística o heuristic sandbox detection, puede determinar si se deben enviar los archivos al entorno de ejecución virtual para una mayor detección en función de la configuración. El entorno de ejecución virtual también se denomina sandbox pesado, que recopila comportamientos maliciosos de archivos maliciosos.


5. El motor de análisis de amenazas resume los datos de comportamiento generados por los sandboxes y los compara con los comportamientos y las reglas de comportamiento en la biblioteca de patrones de comportamiento para determinar si los archivos son maliciosos.


Detección de amenazas C&C

En un ataque APT, un hacker incrusta un nombre de dominio malicioso en un programa de caballo de Troya. El programa obtiene la dirección IP del servidor de C&C analizando el nombre de dominio e inicia proactivamente una conexión para establecer un canal de C&C. El hacker usa el DGA para generar periódicamente una gran cantidad de cadenas aleatorias y las registra como nombres de dominio C&C. Estos nombres de dominios aleatorios y desconocidos pueden interferir efectivamente y evadir la detección de nombres de dominio maliciosos por parte de los dispositivos de seguridad tradicionales.

 

En cuanto a las amenazas de C&C, FireHunter proporciona las siguientes dos tecnologías de detección para detectar efectivamente los canales de C&C en la cadena de ataque APT.

 

Detección de herramientas de acceso remoto o remote Access tool destection (RAT): detecta amenazas conocidas de C&C del tipo de herramienta de control remoto con referencia a la base de datos de firmas.



Detección de nombre de dominio o domian name detection DGA: identifica nombres de dominio maliciosos generados por DGA involucrados en solicitudes DNS o acceso HTTP.

La Figura 4 muestra el proceso de detección de nombre de dominio DGA de FireHunter.

 

Figura 4 Proceso de detección de nombre de dominio DGA


2


El proceso de detección es el siguiente:

 

FireHunter extrae funciones de nombre de dominio basadas en información de tráfico y utiliza muestras conocidas para entrenar un modelo, a saber, un clasificador de nombre de dominio.

 

Después de detectar el tráfico nuevo, FireHunter extrae las características relacionadas con el nombre de dominio y las envía al clasificador de nombres de dominio. El clasificador de nombre de dominio determina automáticamente si el nombre de dominio es normal.


FireHunter puede ajustar los parámetros de entrenamiento del modelo en función de los resultados de detección para hacer que el clasificador de nombres de dominio sea más preciso.


Te invito a visitar el siguiente enlace en donde encontraras la continuación sobre la explicación de este interesante tema:


Presentando las diferentes topologías de aplicación para el FireHunter de Huawei

 

Saludos.

 

FIN

 

Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums

 

#ComunidadEnterprise

#OneHuawei 


  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión