目前全球很多国家遭受高级恶意威胁攻击的次数呈现越来越多的趋势而自主发现并公开出来的少之又少。总结了各个国家公开的高级恶意威胁攻击不超过500起。并且现代高科技发展的今天各种APT攻击检测产品、轻重量沙箱、终端用户采集等等汇聚的安全威胁数据最终形成PB级的大数据。从而取代并减轻了原有传统的分析师苦逼的劳动。
道高一尺,魔高一丈。在各种安全防护设备不断下一代、威胁智能感知的同时,攻击者所代表的团体也在不断进化,往往真正的高级恶意威胁攻击是隐藏在真正的正常流量之下。举个例子XCode编译器里有鬼——XCodeGhost样本分析作者: 蒸米,迅迪。发现者竟然不是各种拥有重量级安全数据的APT公司,而是在移动安全领域资深专家。这里面说明一个问题,拥有重量级安全数据的很多公司“系统设备”其实很早就监测到 http://init.icloud-analysis.com的假冒网站(冒充苹果官网注:安全检测应该称之为同源性域名或者钓鱼域名)及恶意URL的存在,而没有能及时的预警---这就是人和机器的最大区别。
前面所讲的高级恶意威胁即使是长时间通过正常流量或软件进行潜伏但是最终会有他潜伏的目的性,而这目的性是操作在使用高级恶意威胁团体的最终行动上。发动特定攻击后潜伏的恶意软件所建立的指标所具有一定的恶意软件类型的特点和特征可以在一夜之间改变。当这样的变化发生时,各种攻击防护系统不会产生预期的分析结果。如果这些结果不匹配现有的规则,防护设备不可能自动识别出来,所衍生的其它高级恶意程序就自动执行攻击者所赋予它的任务。
然而,专业分析师具有人类与生俱来的特点结合自身的实际工作潜意识中的能力来识别异常行为(俗话说的(*◑∇◑)☞特异功能☜(◐∇◐*)),即使该行为不符合任何已知的规则。在这些情况下,专业分析师所具备敏锐的细微洞察能力及在各个领域的知识能力,可以快速发现少量用户上报或网络安全网站讨论的异常行为结合APT攻击检测类防护产品、PB级安全威胁数据最终发现高级恶意威胁攻击。