曾经,伟大的物理学家阿基米德说:给我一个支点,我能撬动地球。今天,一个极客技术男说:给我一个键盘,我能震惊地球。网络安全已成为世界上新的没有硝烟之战场。大型公司为安全投入巨资,却依然前仆后继曝信息泄露之耻,国家之间未曾炮火交加,却暗战频频,超一流的黑客公司反而被黑,上演一幕幕惊心动魄的较量。
这一切都源于黑客手中的超级武器:APT。
高级恶意软件,APT攻击中的核弹头
手持APT能量的黑客,高举达摩之剑,却优雅得像文艺青年,他们手中的王牌武器当之无愧的是高级恶意软件,堪称APT攻击中的“核弹”。
APT中的恶意软件,被冠以高级的头衔,决不是浪得虚名。来自DBIR(Data Breach Investigations Report)的报告显示,60%的被黑案例中,攻击者仅需要几分钟就可渗透得手,正是由于这些高级恶意软件,要么是利用还未公之于世的0day漏洞,要么就是采用高级的逃逸技术,在面对企业的层层安全防护如入无人之境。
利用0day 漏洞,高级恶意软件硬闯安全防御
利用0day漏洞的高级恶意软件,真正实现了“指哪打哪”的理想,在黑道上可以随心所欲的开始心有多远,就能T多远的旅行。
在信息安全意义上,0Day漏洞是指在厂商被告知并发布相关补丁前就被掌握或者公开的漏洞信息。0DAY漏洞被各种组织挖掘,在地下网络中被出售,据NSS Labs的专家估计,地下网络市场平均每天能够提供85个0day漏洞。由于厂商和用户尚未知漏洞的存在,相关的漏洞补丁或恶意软件的特征码还不存在,而企业部署的防火墙、IPS和各种网关等传统安全防护产品还停留在依靠已知的特征防护思路,面对利用0day漏洞利用的高级恶意软件完全束手无策,真实上演一曲经典:我家大门常打开 开放怀抱等你来,来几次都没关系,让你开天辟地。
历史上赫赫有名的APT攻击大都是采用基于0day 漏洞的恶意软件才得手的。如RSA被入侵,包括2015年安全大拿卡巴斯基也是遭受Duqu利用了3个0day漏洞的入侵,潜伏数月后才被发现。
利用高级逃逸技术,安全设备防不胜防
在APT攻击中,高级恶意软件中也有相当大比例是利用已知威胁漏洞,但是采用了各种高级逃逸技术来躲避传统安全设备的检测。在2014年,只有小部分恶意软件显示出了逃避的特性,但到了现在,相当大的一部分恶意软件会利用500种逃避技术进行任意组合,以避免被检测和分析。检测数据表明单个的恶意软件样本通常具有10种以上的逃避行为,而且99%的恶意软件感染小于10个受害者,80%的恶意软件只有1个受害者,这说明目前的APT攻击具有高度的目的性,这样做的也是为了大幅度减少被检测的可能性。
例如对金融行业造成巨大影响的Neverquest恶意软件,该软件冲击了25个国家的100多家大型金融机构。该软件就采用非常复杂的逃逸技术,其中包括加密、匿名路由,甚至图片隐写等技术。
办公文档,那是极好的载体
而这些高级恶意软件,在普通青年看起来,是再正常不过的文件而已,从图中我们看到常用的办公文档都是这些高级恶意软件的载体。有多少人能想到,我们每天处理的DOC文档,竟然暗含杀机呢。
华为沙箱,超级“拆弹”专家
伴随APT的迅速发展,高级恶意软件也日新月异,企业必须拥有超能量的安全设备才能斩断达摩之剑。实践经验表明,沙箱正是这些高级恶意软件的克星。面对复杂的APT威胁,要想准确的识别这些恶意软件,沙箱必须提供全面、深入的防御能力,采用多层防御阻止未知和已知的恶意软件,并在事件发生后实现威胁情报共享和联动机制,这是实现APT防御的一个必要步骤。华为Firehunter沙箱是一个高性能、纵深防御可扩展的安全设备,设备中有通用的病毒检测引擎,有强大的信誉体系,在快速经过前面两关检测后,恶意软件被送到启发式检测引擎,通过对文件的静态分析,包括对文件的代码片段、对调用的API等分析判断文件的恶意与否,在启发式检测未知情况下,恶意软件将会送到虚拟执行环境中运行,提取软件对操作系统的一系列操作行为,包括对文件系统、服务、注册表和网络的操作行为,然后凭借强大的行为模式库进行分析匹配技术,从而实现对高级恶意软件实时检测、阻断和报告呈现,有效避免未知威胁攻击的迅速扩散造成的企业核心信息资产损失,特别适用于金融、政府机要部门、能源、高科技等关键用户。
