安全專家們均認同高性能的盒內與雲端的沙盒技術是檢測潛在APT攻擊的有效手段。但是如何識別潛在的零日攻擊漏洞呢?
Fortinet發布導致潛在APT攻擊的漏洞與滲透最常用五種行為。
1. 隨機生成的IP地址。一些APT負載中包含了隨機生成IP地址字符串的功能,目的在於鋪墊進一步滲透的陷阱。
2. 命令與控制連接試探。 一旦滲透成功,APT攻擊會使用連接命令並進一步控制服務器從而竊取數據或發信號給僵屍網絡以進一步發動攻擊。檢測需要基於控制命令特征以及匯合區域的檢測。
3. 主機模擬。一個APT攻擊可能開始對其主機設備或應用進行行為模擬,從而試圖逃避檢測技術。
4.Java腳本的模糊處理。記錄在案的APT案例已經進化出無數模糊Java腳本代碼的真實意圖與目的的技術,從而進行惡意代碼的勾當。
5. 加密流量。APT負載中嵌入的加密灰色軟件的趨勢使用所有的加密流量都橫亘在提高風險評估的局面中。
Fortinet公司2012年底發布的FortiOS 5操作系統新增超過150項功能,主要集中在當前企業以及公司機構面臨的移動終端與應用激增帶來的安全困擾與防御。FortiOS 5 中同時對APT的防御,設計了盒內與雲端的沙盒技術,對未知灰色軟件,執行特有的“緊湊模式識別語言”處理,使用單一特征覆蓋超過50000種不同的病毒,包括零日攻擊的變種。