APT攻擊與沙箱分析技術
ASRC 研究中心主任 高铭钟

APT(Advanced Persistent Threat)是一种先进而精巧的攻击。相较于一般零星的黑客攻击事件,APT攻击具有计划性;虽然APT攻击也常会搭配恶意软件,但这类恶意软件比起常见的病毒、木马,有更强烈的针对性,恶意软件也相对低调并长期潜伏。APT攻击通常与情报战有莫大的关系,不论是用于国与国、还是商业间情报的窃取,因此最常见于政府相关单位、金融业以及高科技研发单位。

APT的攻击并没有一定的方式,但一般并不直接尝试突破攻击目标的外部防卫系统,较常使用的手法是将带有恶意软件、超链接,通过电子邮件发送给攻击目标内部戒心较低的收件人,并以社交工程的方式诱导收件人开启恶意软件、超链接后,再从组织内部发动攻击。

APT攻击侦测的难点到底在哪?

或许您会好奇,APT攻击所使用的恶意软件、超链接,杀毒软件或多层杀毒软件无法查觉或拦阻吗?杀毒软件公司要产生病毒特征,需要先捕获病毒才能产生,因此对于常见、泛滥散发的病毒比较有效果;而APT是针对目标所设计的攻击,因此其攻击程序或超链接一般是“定制化”且极少曝光的,杀毒软件公司难以先期取得此类样本,再者,既是为攻击标而特制的攻击程序,避开杀毒软件侦测就再基本不过了!攻击者多半会在发动攻击前,先以常见的杀毒软件验证其攻击程序并进行修改,直到能轻松突破杀毒软件的检查。


APT攻击流程

沙盒分析技术如何预警威胁的?

当杀毒软件也失效时,是否意味着APT攻击无法在事前查觉呢? 回归到研究恶意软件最原始的想法,要了解一个程序在运行时,是否带有“恶意”行为,最直接的方法就是让它执行,并对程序的活动进行记录及评估。当然我们不可能将这样的观察工作,直接在重要的作业环境里执行,因此需要一台独立的计算机或是一个虚拟环境,让程序能在其中“活化”,再进行观察工作,这样的环境即为沙盒 (Sandbox)。沙盒可用以查觉未知的恶意软件或超链接。较先进的沙盒可同时具备多样化的执行环境,并自动触发恶意软件执行,再进行记录,并保留恶意软件执行后所留下的痕迹,供进一步观察研究,或自动推论出该程序的目的与危害程度。

虽然沙盒可用以察觉未知恶意软件或超链接,但也并非万灵丹。沙盒的分析方式是通过仿真实际开启程序的情况,这样的分析必然耗时、耗资源。若希望所有来自网络的未知文件都经过沙盒分析检测,再到用户手上,势必导致严重的延迟问题。

许多沙盒解决方案为降低延迟带来的影响,会将沙盒内的模拟环境调整为符合保护目标的环境,并尽量单纯化,如:企业内部的操作系统皆为Windows XP,则其所实行的沙盒解决方案只需要在Windows XP的操作系统仿真即可。另一种提高分析效率的方法,是先对全体未知文件进行分类,只将高风险的文件送入沙盒分析,排除防护环境中不使用或低风险的文件。此外,有部份的沙盒分析解决方案采用旁路分析,再送分析结果的方式来改善延迟问题,但这样的架构却可能导致用户在收到恶意软件与分析结果通知之间的时间差中,产生信息安全风险。


沙盒的旁路分析架构

组合防卫才是王道

最后需要特别一提的是,沙盒的自动分析环境毕竟不是真的由“人”进行操作的环境,许多恶意软件可以利用这个特性,侦测环境是否为沙盒,再决定其恶意行为是否表现出来,例如:鼠标活动、桌面文件数量等。虽然这点的确是沙盒的一大盲点,但也不需要太过失望,毕竟没有一种单一的信息安全防卫技术可以完全杜绝信息安全风险!要有效的降低信息安全风险,需要靠适当的组合防卫与配置。沙盒自动分析的长处在于揭露未知程序的行为,若其分析结果能输出至防火墙、杀毒软件、防垃圾邮件机制…等达到联防的效果,纵使恶意软件能直接逃逸沙盒的侦测,也不见得能在信息安全设备串联的情况下,躲过其它信息安全防卫机制的扫瞄,这样便可达到一加一大于二的防护效果!

回到列表