如何快速捕捉 0-Day Payload

0x00、業務需求

如果你掌握全球Top流量的互聯網大廠，雲廠商，現有的0 day應急響應流程大致：查詢現有的日誌流程留存，比如：http流數據，觀察是匹配的應用指紋服務是否存在異常的請求，然後查看這些主機是否被入侵，比如說：對外可疑連接、失陷主機檢測等。然後深度分析提交的payload是否為0 day。但是MTTD時間基本上是超過24小時的。那麼，我們如何更快的降低MTTD時間，快速抓取0 day Payload呢？

0x01、解決方案

可否使用全流量檢測探針自動化做這個事？傳統的全流量檢測引擎，是基於規則檢測模型，發現Payload才能寫規則載入到IDS檢測引擎中，才能發現告警。而且大廠也不能一直存儲http流數據，存儲成本太高而且價值不大。所以，也沒法發現最早在你的環境中的攻擊行為。

這裡只是和大家拋磚引玉，盡量通過自動化的手段提升發現效率。

1、捕捉0-day 惡意軟體入侵，然後反查入侵路徑中的payload。

目前態勢感知產品一般處理十幾T的網路流量數據，並且發現威脅（關聯分析結果），告警的MTTD時間大約幾十秒（還取決於硬體設備投入），如果可以自動化發現未知惡意文件，那麼可以大幅降低0 day Payload的檢測時間。其次，我們在確認威脅的時候，其實通常是以造成危害後，有確切證據才能判斷是0 day攻擊。

那麼如何檢測到未知的惡意文件呢？

前提條件：

1、你企業環境中的態勢感知產品具備動態行為檢測能力，也就是我們常說的沙箱檢測。你的NIDS探針具備文件還原能力，可以捕捉到我們關注的文件類型。

2、對海量的5元組數據、http、DNS數據、伺服器進程、埠、關鍵文件變更快照有一定的留存時間。

其次通過AI優化檢測引擎：

1、網路層面或者主機層面獲取到未知文件，進入反病毒集群、沙箱集群跑一邊。因為現代的防病毒廠商也在用機器學習方法提升自己的檢測率。

·通過商業手段或者在自己環境中積累的文件，安裝我們關注的文件類型劃分訓練文件。

·不同的文件類型通過文件靜態特徵獲取到AI演算法需要的特徵向量，輸入到大數據預測引擎（spark Mlib）中做實施分類訓練，形成不同類型文件的惡意文件分類器。

·接收一個或者多個未知文件，通過分類器判斷，得出threat score

·如果現有分類器也無法分類，那麼把未知文件的沙箱檢測出來的執行結果做聚類分析。查看統計分析結果，屬於那個惡意分類概率大的就投入到這個分類，動態調整其threat score

·對主機上孤島文件做以上流程分析。通過聚類演算法分析出主機上的運行進程關聯的文件，定義成未知文件走以上流程。

3、文件信譽度

以上流程當然可以配合文件在你環境中的文件信譽。

文件信譽可以從以下三個方面判斷：

·第一次發現時間：什麼時候第一次發現你跟蹤的文件

·流行度：有多少用戶使用這個文件

·存活時間：你跟蹤的文件存活多久。

通過統計分析手段打分，我們可以發現未知可疑文件。

0x02、總結

通過傳統沙箱、AI優化檢測引擎和文件信譽度等多種方式檢測未知惡意文件，然後反查相關日誌，可以降低捕捉0 day Payload的MTTD時間。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！