Office再现0day漏洞攻击,看天阗APT如何快速响应!
发布时间:2017-10-14   作者:启明星辰

2017年10月10日,微软在例行的月度补丁中修复了一个漏洞编号为CVE-2017-11826的Microsoft Office 漏洞。部署天阗高级持续性威胁检测与管理系统(APT),无需升级即可有效检测并报警相关攻击。


 
无需升级?那么天阗APT产品是如何检测0day漏洞的?

 

天阗APT检测技术包括静态检测和沙箱检测。

 

静态检测技术:

 


沙箱检测技术:

 


以下是带有CVE-2017-11826漏洞样本检测结果报告:
 


图片注释:

 

1、 内嵌PE引擎和shellcode引擎检测出样本包含可疑PE文件以及shell code。

 

2、 动态沙箱的漏洞攻击检测引擎检测出漏洞攻击行为,栈地址交换行为,以及非法API调用行为。

 

3、 动态沙箱的行为检测引擎检测出释放可疑PE文件行为。

 

4、 动态沙箱的隐蔽信道行为检测出非法外联行为。

 

APT接口外部设备后检测出恶意样本可以反馈给对应的设备callback特征。
 

 
● 单台部署,自我闭环


天阗高级持续性威胁检测与管理系统(APT),可以将网络中的攻击流量经过协议解析还原成样本文件,或者通过标准接口手动上传样本进行检测。APT通过深度动态检测分析将恶意样本提取出来的callback特征(服务器IP:45.77.46.81;域名:mymyawady.com)加入设备内部的隐蔽信道库,这样就将未知特征变成了已知特征。
 


● 联动部署,协同闭环


串联在网络主干线路中的安全设备(如IPS、WAF、NGFW等),可以将网络中的攻击流量经过协议解析还原成样本文件,通过标准接口将还原的文件传送给天阗高级持续性威胁检测与管理系统(APT)进行检测。APT通过深度动态检测分析将恶意样本提取出来的callback特征(服务器IP:45.77.46.81;域名:mymyawady.com)提供给串行阻断设备进行防御。
 

 
金睛安全研究团队启动了应急响应流程。经过追溯,VenusEye样本分析系统于9月28日已经获得相关样本并可进行检测。

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备11010802024551号