蝴蝶是美丽的, 你可知美丽的蝴蝶翅膀也会带来意外的效应?一只南美洲亚马逊河流域热带雨林中的蝴蝶,偶尔扇动几下翅膀,可以在两周以后引起美国德克萨斯州的一场龙卷风。是的,看似毫不相干的轻轻挥挥手, 却有可能引起巨大反应。自然界如此,安全界亦如此,在所有让全球震动的APT攻击事件中,起因都是那些毫不起眼的一个个链接,通过轻轻一个鼠标点击,为黑客打开了胜利之门。手滑带来的结果却远超这个自然界的蝴蝶效应。
一个个看似平常的链接背后,说不定就隐藏着一个黑客大鳄。在APT攻击中,有超过90%的恶意代码是依靠WEB形式传输,而基于WEB流量承载恶意代码的攻击形式中,目前最大的风险在于精确钓鱼网站攻击和水坑攻击。实现对WEB流量的检测,尤其是对其中的“0-Day”漏洞的恶意代码的检测,其实就是控制住了WEB流量中“0-Day”漏洞的翅膀,这是防护APT攻击的一个关键的制高点。
主动出击,定制化的精准钓鱼网站
此钓鱼已经不是几年前的钓鱼了。钓鱼人已经不遵循“愿者上钩“的原则,上钩者必须是自己看好的才会收线。攻击者前期会通过正常的URL吸引对方,利用URL相关参数,收集用户使用的操作系统、浏览器和版本等信息。并利用一些基本的技术,准确判断用户端应用环境,特别是安全防护软件和一些常见的本地应用,实现对用户环境精确收集,为指导定制化精确攻击和绕开常规检测打下基础。
定制化的精准钓鱼就是在前期精确的用户信息收集基础上,实施的一种钓鱼攻击,比普遍撒网式的钓鱼更聚焦、更定制化。通过发送链接给用户,只有在被攻击者名单中的人才能看到这个钓鱼网页,甚至名单中不同的人看到不同的内容,而不在名单中的其他人看到的则是正常的网站或者是一个现实错误的网页。也就是说如果你不在名单之列,就看不到钓鱼网页。依靠这些定制化的钓鱼网页,你能想象到攻击者一边收线,一边唱到:“钓你,钓你,钓的就是你”。
静默守候,精确的水坑式攻击
所谓“水坑攻击”,是指黑客通过分析被攻击者的网络活动规律,寻找被攻击者经常访问的网站的弱点,先攻下该网站并植入攻击代码,等待被攻击者来访时实施攻击。这种攻击行为类似《动物世界》纪录片中的一种情节:捕食者埋伏在水里或者水坑周围,等其他动物前来喝水时发起攻击猎取食物。
水坑也同样不是几年前的水坑。除出现的单漏洞多水坑的新攻击方法外,目前也出现精确式的水坑攻击。安全人员认为,这种新型手段就是对特定人群进行攻击的全新手段。这种手段被称为路过登录(Drive-by-login)。在路过登录攻击中,黑客在用户可能登录的网站中嵌入恶意代码。这些恶意代码被用于向特定目标注入恶意软件,而并非所有网页访问者。路过登录攻击是非常危险的,因为实施攻击并不需要任何社会工程学,同时很难被侦测到,因为它们只向特定用户投放恶意软件。路过式登录攻击意味着今后没有网站会是百分百安全的。任何网站,不论它的大小和功能,都有可能成为复杂的针对性入侵的受害者。
华为Firehunter沙箱,WEB "0-Day"威胁的终结者
对APT攻击防御而言,越早在攻击链中实现有效的检测和拦截,APT攻击造成的损失就越小。在华为前期客户的实施和测试过程中,有些客户的互联网出口,基于WEB的流量高端95%以上,只有对这些WEB流量进行有效拦截,才能真正实现占领APT检测的制高点。华为Firehunter沙箱,是全球仅有两家可以检测WEB流量中“0-Day”漏洞代码的安全产品。华为沙箱在检测WEB流量时,先采用静态检测模式,采用了指令流检测和信息熵检测模式,实现对web网页的恶意代码进行检测。对于未能检测到恶意代码的情况,通过提取调用的系统API方法、属性、函数名称、插件列表、DOM节点列表等信息多重判断页面的恶意与否,对于可疑的页面,则将页面送到WEB重量级沙箱中进行检测。重量级沙箱系统是针对可疑页面检测定制的用于检测WEB页面的检测环境,通过监视WEB重量级沙箱内IE访问可疑页面的整个过程,获取到IE进程在访问可疑页面过程中对操作系统的所有行为,送恶意行为识别模块进行恶意识别。华为沙箱采用“动静”结合的技术模式,能高效地检测WEB流量,有效地保护企业安全。
