让失陷手机无从遁形
前段时间在iOS平台上肆虐的XcodeGhost让很多认为苹果操作系统固若金汤的人大跌眼镜,尤其是经常使用敏感应用(银、证券交易、即时通信等)的用户更是脊背发凉。在XcodeGhost爆发的高峰期有超过800款应用被确认感染,其中包括大量的在苹果App Store上排名前500的应用。可以说,这是苹果自2008年上线App Store以来最大的安全事件。
中国论文
有没有在安全威胁刚刚开始的时候就将其控制在可控范围内的办法呢?
康科技的建议是采用基于康慧眼云和下一代防火墙的失陷主机检测解决方案。康下一代防火墙可以利用代码分析和恶意流量监控,获取威胁活动特征,而慧眼云可以对防火墙设备上传的异常日志进行全局关联分析,确定用户络中的失陷主机。目前,康下一代防火墙已经提供对XCodeGhost恶意代码的防护解决方案。
在2015中国络安全大会上,康的技术人员讲解了康是如何做到快速识别恶意代码的。面对XcodeGhost,康利用其独特的XAI(eXtensive Application Inspection)包识别技术,对XcodeGhost进行了大样本流量分析,并成功将应用层特征提取出来。分析结果显示,XcodeGhost与两个服务器地址的连接建立在HTTP POST报文中,并与被感染应用有明显的特征区别。因此,康迅速将XcodeGhost的特征剥离出来,发布了最新的协议升级更新,并应用于旗下上行为管理(ICG)等产品中。
在XcodeGhost攻击过程中,康ICG能够在互联出口有效发现XcodeGhost与C&C服务器建立通信的流量并及时进行阻断隔离。在隔离过程中,康ICG可以实现精确切割、灵活配置、及时响应。
精确切割,实现被感染APP与XcodeGhost特征分离,对XcodeGhost流量隔离并不影响被感染APP的正常使用;灵活配置,能够对隔离策略的生效时间、操作系统、IP范围等进行细粒度定义,确保不会让无关流量影响设备性能;及时响应,康所有安全管理类产品都具有以周为周期的特征协议库更新机制,如果XcodeGhost出现变种或者类似XcodeGhost的木马出现,康会将最新的协议库及时推送至设备端,及时响应新威胁。
康科技建议康下一代防火墙用户立即在安全策略中开启间谍软件防护选项,并升级IPS特征库版本,以实现对XCodeGhost恶意流量的识别和阻断。
同时,康下一代防火墙用户可登录康官在线提交“慧眼云”试用申请,利用云端的威胁情报检测和异常行为分析能力,快速发现络中已失陷的苹果终端。
康现场工作人员向表示,事实再次证明,无论恶意行为如何隐藏,终究会留下蛛丝马迹。也许用户终端无法检测,但通过康“慧眼云”这样的云和大数据技术对异常行为做深度关联分析,就可以很快找到问题的根源,对症下药。
