互联网企业APT检测解决方案

【用户背景】

某互联网络综合服务提供商一直非常重视信息安全建设，考虑到其业务系统的安全要求，甚至自行研制了一些检测类安全产品用于自身的安全防护，一直以来，也起到了相当程度的作用。但随着APT时代的来临，现有的安全防护体系无法抵御那些有预谋、有技术的攻击者。甚至发生了员工遭受攻击，相关数据丢失的安全问题，让某企业遭受了巨大的经济损失。

正是因为如此，某公司希望在目前现有的网络安全体系上做相应的规划设计，以适应新的安全需求。

经过分析发现，某公司整体网络结构与业务系统有如下特点

◆机房业务应用。某公司设有专用的机房，这些服务器主要对内部提供业务支撑服务，一旦存在内网大规模爆发的攻击事件，有可能导致服务受到影响。

◆网络带宽非常充足。服务器区与核心层基本上是千兆的网络连接，并做了双链路冗余的解决方案，以此确保网络的高稳定性。

◆人员众多。某公司拥有2万多人，网络复杂。各个分支机构之间通过城域网进行数据交换。

◆统一的Internet出口。通过网络的连接访问中心的Internet出口，目前通过防火墙做上网权限的分配(根据IP/用户身份)，一旦用户获取了相关的权限，就可以通过网络访问各种各样的网站，而黑客及病毒及会借用此通道进行攻击。

根据调研报告，我们了解到XX公司目前使用的安全体系，会遇到以下的问题：

◆邮件服务需要额外的保护 – 从交流中我们发现，XX公司内网中邮件服务是重点保护的对象。几个月前的攻击都是通过邮件进行的，而且公司部署的杀毒软件，IDPS等安全设备都没有报警，导致员工遭受攻击，重要信息资产被窃。XX公司希望能在邮件服务上做些额外的保护。

◆未知威胁状况的掌控能力 – 虽然已经部署了防病毒网关，IDPS以及自己研发的安全产品，但未知攻击/未知威胁时常进入企业内部，经常有员工因此而中招导致新病毒报告/攻击潜伏/重要资产泄露/影响业务，引起公司高层非常关注。XX公司希望能够具有识别未知恶意代码/威胁的能力，那些威胁一旦进入，就能快速感知并做出措施。

【方案解决思路】

根据某公司当前的安全状况，启明星辰提出了基于以下思路的安全解决方案

1、 监控APT攻击通道。鉴于上述我们分析某公司当前防APT状况存在的问题，我们知道：若要从根本上防止APT/未知威胁对企业的威胁，必须从APT攻击通道上去检测。

2、 控制爆发次数、降低威胁对业务的影响。我们知道，病毒/攻击从感染单台客户机扩散爆发，均需要一段空窗期。一般情况，管理员都是在病毒爆发时才会发现问题，但为时已晚。如果能够有方案能够在病毒/攻击扩散期就发现问题根源，对于某公司来讲，就是彻底消除病毒爆发的概率。

3、 网络层防APT是整体防APT的高效防线。在设计方案中，我们将网络病毒/攻击的防范作为最重要的防范对象，通过在网络接口和重要安全区域部署网络防APT设备，在网络层全面消除外来病毒/攻击的威胁，使得网络病毒/攻击不能再肆意传播，同时结合病毒/攻击所利用的传播途径，对整个安全策略进行贯彻。

4、 防APT不能依靠病毒库。当一个已知的恶性病毒/攻击入侵时，依靠病毒库的方案可行。但当一个未知病毒/未知攻击时候，病毒库的策略就失效了，整个防御体系就崩溃了。所以防APT系统要有专门的算法和措施来检测未知病毒/未知攻击的能力，让公司有对APT攻击的这种感知能力。

5、 没有管理的防APT系统是无效的防APT系统。我们构建了跨网段的集中管理系统，保证了整个防APT产品可以从管理系统中及时得到更新，同时又使得管理人员可以在任何时间、任何地点通过浏览器对整个防APT系统进行管理，使整个系统中任何一个节点都可以被管理人员随时管理，保证整个防APT系统有效、及时地感知攻击。

6、 服务是整体防APT系统中极为重要的一环。防APT系统建立起来之后，能不能对未知病毒/未知恶意代码进行有效的防范，与防APT厂商能否提供及时、全面的服务有着极为重要的关系。这一方面要求厂商要有全球化的防APT体系为基础，另一方面也要求厂商能有精良的本地化技术人员作依托，不管是对系统使用中出现的问题，还是用户发现的可疑文件，都能进行快速的分析和方案提供。启明星辰作为网络防APT及互联网安全与服务的领导厂商，可以全面满足某公司多层次的服务要求。

其部署结构如下所示：

其中，部署了恶意代码检测设备。该设备采用旁路的方式接入在中心交换网络上，将中心交换机上行到互联网的流量镜像到MDS设备上，由MDS来检测发现网络流量中病毒、木马、间谍、僵尸、信息窃取等恶意行为，定位存在威胁的计算机，监控网络安全问题。

【方案设计】

通过部署恶意代码检测设备，其目的是提供如下能力：

探测网络中的恶意行为

◆探测未知的威胁和已知恶意威胁

◆发现恶意威胁的信息窃取

◆探测网络和电子邮件攻击——网络钓鱼和网络漏洞利用

网络内容检测技术

◆2-7层协议检测

◆全面支持HTTP、FTP、POP3，SMTP主流协议

◆可疑活动关联性

◆文档内容扫描

联手统一威胁云服务

◆对客户来说，事件的定性分析是不容易的。MDS依托统一威胁云服务，利用启明星辰专业的研究分析团队，帮助用户快速定性每一个警告。

离线部署

◆被动网络查找，不会中断服务

【实际效果】

在试运行阶段，恶意代码检测设备共侦测到49个事件，其中高威胁事件30个占61.22%，中等威胁事件14个占28.57%，低风险威胁事件5个占10.2%。

其中Worm.NetSky-14活动猖獗，短短一个月时间，邮件服务器收到Worm.NetSky-14攻击事件30起。更发现5起Malicious(Malicious & EXE_Embedded_Type_1)攻击事件，经过分析这是一起针对银行金融和运营商的新一波攻击。该文档攻击样本当时virustotal网站的各大杀病毒软件均未能检测出来。具体分析如下：

该攻击以金融为主题，以美国花旗银行的邮件账户源的攻击邮件，附带DOC的攻击文档，并且在该企业内网邮件大量传播。同时我们发现该攻击主要攻击从事金融方面或者相关的企业。该攻击穿透大部分传统的网络安全防护产品。在经过启明星辰安全专家分析后，对该攻击有如下分析结论：

Email原文以美国花旗银行的账户为源，并欺骗附件是花旗银行的电子商户的帐单

图1：恶意邮件原文

被攻击者打开后将会触发CVE2012-0158漏洞，并打开迷惑性的DOC文档

图2：迷惑性DOC

漏洞触发shellcode执行后，在临时目录释放paw.EXE 并执行

该exe执行后先复制自身至C:\Documents and Settings\xxx\Application Data 随机生成的目录下，通过不同的启动标志执行相应操作

第一次执行复制自身后，便释放tmp53865f51.bat 删除自身及文件

bat

@echo off

:d

del "C:\Documents and Settings\xxx\桌面\paw.exe"

if exist "C:\Documents and Settings\xxx\桌面\paw.exe" goto d

del /F "C:\DOCUME~1\torpedo\LOCALS~1\Temp\tmp53865f51.bat"

第二次执行主要枚举进程，找到符合条件的进程，注入到系统explorer进程大小0×48000

图3：恶意代码分析

注入代码主要功能

枚举系统进程、查找文件、获取计算机信息、系统环境等信息通过加密的方式发送到远处服务器上

同时代码执行过程中有大量的反调试器跟踪

图4：恶意代码反调试器部分

该攻击样本存在大量的网络连接服务器节点，分布在不同国家，其中有美国，俄罗斯，荷兰等，采用了类似P2P Variant of Zeusbot/Spyeye协议。

【方案总结】

通过部署实施恶意代码检测设备，某公司成功发现并阻断了一起尚未被传统安全设备发现的攻击行为，成功的保障了某公司信息业务系统的安全。