基于漏洞的批量自动化攻击一直是企业安全防御中面临的主要威胁。批量漏洞利用或高级定向攻击中通常会使用脚本作为攻击的载体。而在实际场景的应用中,我们发现恶意脚本的检测通常存在两大难题:
第一大难题:恶意脚本种类丰富且利用场景多样
恶意脚本的种类,包括但不限于:bash、python、perl、powershell、bat、vbs等。利用技巧则包括:文件落盘和无文件脚本入侵。从操作系统层面区分,脚本可以分为Windows和Linux类脚本。因此,为每一种脚本类型建造相应的解混淆和检测引擎成本很大。
第二大难题:恶意脚本的类型难以定义
脚本作为操作系统的解释器,天生与操作系统有着较为密切的联系,而究竟何种类型的脚本才算是恶意脚本,这一定义又始终困扰着安全行业。
面对两大难题,阿里云安全工程师王硕及技术专家孙艺,在他们日常的研究中相继提出了技术层面的解决方案。面对种类丰富且利用技巧多样的恶意脚本,他们提出了通用动态沙箱的方法论对脚本进行解混淆,并应用推理的方法结合多维度日志进行检测。而针对恶意脚本难以定义的问题,他们通过对云上大规模入侵事件家族的持续追踪,定义出了云环境下恶意脚本的种类。
在本次XCon2020的会议中,他们两位将带来议题演讲《云安全环境下恶意脚本检测的最佳实践》,全面介绍云环境下恶意脚本的利用方式以及五花八门躲避检测的手段,从而向我们展示静态打标之外的动态检测新思路。
云安全环境下恶意脚本检测的最佳实践
议题简介
该议题将阐述通过受控执行的方式产出行为特征进行数据分析,从而对恶意脚本进行“推理式”的判定。系统介绍每天可支持亿级别样本的高对抗轻量级脚本沙箱的开发细节,创新性的提出通用化的“分支覆盖、时间控制、进程链追踪”等方案。
演讲者
王硕 阿里云安全工程师
孙艺 阿里云技术专家
阿里云,结合云计算时代的数据与算力优势,建设全球领先的企业安全产品,为阿里集团以及公有云百万用户的基础安全保驾护航。团队研究方向涵盖WEB安全、二进制安全、恶意文本、企业入侵检测与响应、检测防御引擎开发、安全数据分析、威胁情报等。
XCon 2020 第19届 安全焦点信息安全技术峰会
会议时间:2020年8月19-20日
XCon安全焦点信息安全技术峰会(XFocus Information Security Conference),始于2002年,是国内首个信息安全行业技术峰会,现已发展成为国内“最知名、最权威、举办规模最大”的信息安全会议之一。
秉承“严谨求实、精进探索”的会议精神,XCon持续致力于信息安全行业生态体系的建设与发展。凭借前瞻性的技术分享、权威性的技术交流、开放性的人才培养成功吸引了两百余位国内外知名安全专家、技术人才、一线安全从业者,为国内信息安全行业优质生态的构建提供了“人才、技术、创新模式”等基础,也为信息安全从业者、爱好者构建起友好和谐的交流平台。
2020年,经历过疫情的沉淀与思考,XCon再度活力启程。更主流的形式、更精彩的议题、更深度的探索、更丰满的干货,期待你的加入!最新活动资讯,请关注XCon官方微信!【扫描下方二维码,免费报名参会】
如若转载,请注明原文地址