沙箱和apt攻击检测什么区别
沙箱属于apt攻击检测中的一种手段方案,两者无法进行比较并且没有区别,沙箱方案的原理是将实时流量先引进虚拟机或者沙箱,通过对沙箱的文件系统、进程、网络行为、注册表等进行监控,监测流量中是否包含了恶意代码。相较于一般传统的特征匹配技术,沙箱方案对未知的恶意程序攻击具有较好的检测能力,这一方案还能解决特征匹配对新型攻击的滞后性。
apt攻击主要有以下四个流程期:
探测期:信息收集
探测期是APT攻击者收集目标信息的阶段。攻击者使用技术和社会工程学手段收集大量关于系统业务流程和使用情况等关键信息,通过网络流量、软件版本、开放端口、员工资料、管理策略等因素的整理和分析,得出系统可能存在的安全弱点。另外,攻击者在探测期中也需要收集各类零日漏洞、编制木马程序、制订攻击计划等,用于在下一阶段实施精确攻击。
入侵期:初始攻击,命令和控制
攻击者突破安全防线的方法可谓五花八门,如采用诱骗手段将正常网址请求重定向至恶意站点,发送垃圾电子邮件并捆绑染毒附件,以远程协助为名在后台运行恶意程序,或者直接向目标网站进行SQL注入攻击等。尽管攻击手段各不相同,但绝大部分目的是尽量在避免用户觉察的条件下取得服务器、网络设备的控制权。(在受害者的网络植入远程管理软件,创建秘密访问其设备的网络后门和隧道;利用漏洞和密码破解来获取受害者计算机的管理员权限,甚至是Windows域管理员账号。)
潜伏期,后续攻击,横向渗透,资料回传
攻击者成功入侵目标网络后,通常并不急于获取敏感信息和数据,而是在隐藏自身的前提下寻找实施进一步行动的最佳时机。(攻击者利用已控的目标计算机作为跳板,在内部网络搜索目标信息。)当接收到特定指令,或者检测到环境参数满足一定条件时,恶意程序开始执行预期的动作,(最初是内部侦察,在周边有信任关系的设备或Windows域内收集信息)取决于攻击者的真正目的,APT将数据通过加密通道向外发送,或是破坏应用服务并阻止恢复,令受害者承受极大损失。(攻击者扩展到对工作站、服务器等设备的控制,在之上进行信息收集)。 资料窃取阶段,攻击者通过跳板访问关键服务器,在利用0day漏洞等方式攻击服务器,窃取有用信息。然后将窃取道德数据,应用、文件、邮件等资源回传,攻击者会将这些资源重新分割成细小的碎片逐步以不同的时间周期穿给自己。
退出期:清理痕迹
以窃取信息为目的的APT类攻击一旦完成任务,用户端恶意程序便失去了使用价值;以破坏为目的的APT类攻击得手后即暴露了其存在。这两种情况中为了避免受害者推断出攻击的来源,APT代码需要对其在目标网络中存留的痕迹进行销毁,这个过程可以称之为APT的退出。APT根据入侵之前采集的系统信息,将滞留过的主机进行状态还原,并恢复网络配置参数,清除系统日志数据,使事后电子取证分析和责任认定难以进行