攻防演习丢分“重灾区”避坑指南(内附免费高级工具)
为了快速做到威胁研判和应急处置,BT师傅们可以利用红雨滴云沙箱在Windows、Linux、Mac、Android任意操作系统下对任意复杂形式的文件进行恶意特征检测及高级对抗阻击样本逃逸,单个文件最大可支持300M,也可同时投递多个可执行文件及加密压缩包,或进行批量URL查询分析。目前,红雨滴云沙箱面向注册用户免费开放。
上传分析完成后,通过概要信息可看到该样本的基本信息:包括文件信息、基因特征、恶意评分等,借助威胁情报AI助手,还可以快速得到整个样本的研判归纳总结,包含精准的检测结果及行为分析、具体的威胁类别、关联的恶意家族等信息。同时提供不同文件类型的专业、完整的详细分析报告下载。
以红雨滴团队历年攻防演习实战经验来看,钓鱼邮件仍是攻击者常用的投递恶意样本的入口,通过不同类型的文件名和图标对文件进行伪装,诱使受害者打开,进而运行恶意程序。恶意程序还借助行为伪装进一步迷惑受害者,同时采用多种手段对抗安全软件的动静态检测和阻碍人工分析过程。
“2024第二季度绩效自评.zip”,“***以学铸魂、以学增智、以学正风、以学促干有关重要论述.rar”,“招标投诉反馈附件.zip”,“新质生产力学习材料合集.7z”,“2024年下半年调薪通知.zip”……这些文件附件和员工的工作或利益紧密相关,基于对公司安全体系的信任,大多数人在第一时间会选择点击。但攻击无处不在,即便公司配备了最豪华的网络安全设备防线,并配备了最敬业的安全运营人员,也很难堵住这种“鱼目混珠”的恶意样本攻击。
因此,选择奇安信红雨滴云沙箱,是打开攻防对抗上帝视角的不二之选。
红雨滴云沙箱
红雨滴云沙箱是威胁情报中心红雨滴团队基于多年的APT高级攻防对抗经验、安全大数据、威胁情报等能力,使用软、硬件虚拟化技术开发实现的真正的“上帝模式”高对抗沙箱,协助奇安信威胁情报中心及相关安服和客户发现了多个在野0day漏洞攻击、nday漏洞攻击,和无数计的APT攻击线索及样本,是威胁情报数据产出的重要基石,并被业内权威威胁分析厂商VirusTotal所集成。
八大杀手锏
**|**智能研判
红雨滴云沙箱的自动化攻击狩猎流程,可自动化地不停捕获可疑样本,并对各类样本进行智能化判定,基于恶意行为综合判断识别可疑文件。并借助威胁情报AI助手,可快速获得该样本文件的分析结果归纳,包含精准的检测结果及行为分析、具体的威胁类别、关联的恶意家族等信息。
**|**极速性能
红雨滴云沙箱集群优化了海量样本处理,自研高效调度平台。放弃传统模拟执行,采用仿真模拟降低性能损耗,提高运行样本效率。除功能增强外,不依赖多款AV引擎数量,注重提升检测准确性和适用性。
**|**高级对抗
沙箱逃逸是攻击者在虚拟机中利用漏洞逃逸到真机执行恶意代码。仿真动态检测可判断运行环境,延迟或终止恶意代码执行,避免被检测。奇安信威胁情报中心分析人员通过长期对抗分析经验,不断提升红雨滴云沙箱的高级对抗能力。
**|**深度解析
恶意样本采用多种手段躲避检测,QOWL文件深度解析引擎通过解包拆解文件,提取静态基因信息辅助红雨滴云沙箱预判,“修正”沙箱集群对样本的执行逻辑,确保样本在正确环境下运行,实现精准捕获。
**|**自研引擎
自研的RAS高级APT静态检测引擎,由多个核心扫描引擎集成。基于QOWL文件深度解析引擎提取的“基因”数据输入,使用海量人工分析样本的特征和启发式经验规则,深度检测恶意文件详细的静态、动态行为,并提取高价值IOC和深度分析。
**|**海量关联
红雨滴云沙箱在保障了高性能和高对抗能力的同时,结合QOWL和QRAS两大核心引擎,利用奇安信威胁分析平台ALPHA海量的情报数据,充分发挥情报关联、样本关联等能力。
**|**高级分析服务
红雨滴云沙箱,由红雨滴高级威胁分析团队(@RedDrip7)提供人工分析及技术支持。该团队每日可进行万级的高度疑似恶意对象和事件研判,每年参与超百起重大定向攻击事件的现场分析取证处置,同时也进行各类高级威胁分析引擎工具的持续研发,是奇安信集团的主力威胁分析技术支持团队,也是国内外最有影响力的威胁情报研究团队之一。
**|**威胁情报
红雨滴云沙箱构建了高级自研产品,形成威胁情报运营的闭环。人工样本投递数据精确丰富,智能化判定文件行为,并输出威胁情报数据用于检测与分析,同时将这些数据加入机器学习模型强化引擎,智能化生成的分析报告,可供分析师进行攻击定性、关联搜索、拓线分析及溯源追踪。
总结
奇安信威胁情报中心提醒广大用户,谨防钓鱼攻击,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行标题夸张的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。
若需运行、安装来历不明的应用,可先通过奇安信红雨滴云沙箱(https://sandbox.ti.qianxin.com)进行判别,目前已支持包括Windows、Linux、Mac M1等平台在内的多种格式文件深度分析,并面向注册用户免费开放。
