2012年12月26日 星期三

聯防機制、沙箱技術 抵禦APT攻擊須多管齊下


社交工程攻擊滲透 難解卻不可不防
聯防機制、沙箱技術 抵禦APT攻擊須多管齊下

資訊安全領域一向對於新攻擊手法相當敏感,從去年初開始由APT(Advanced Persistent Threat,進階持續性威脅)攻擊造成像是Stuxnet蠕蟲、夜龍(Night Dragon)、RSA等資安事件後,隨即成為媒體關注焦點,大家聞APT色變;當然資安廠商馬上看到了這股由APT攻擊所帶來的商機,近來皆相繼推出相關的解決方案。

趨勢科技台灣區技術總監戴燊直言,APT實在無萬靈丹可解。他強調:「APT可說是一種針對性的間諜入侵行為,試想有哪一個企業可以阻擋宛如中情局般,擁有龐大資源的組織,所發動的間諜攻擊?因此沒任何一家廠商,包括趨勢,能提供完美的解決方案。」儘管如此,戴燊還是表示,因為台灣所處環境較特殊,對岸一直有很多不斷嘗試入侵竊取相關情資的事件發生,因此身為台灣本土資安廠商的趨勢科技,其實已在處理客戶APT的攻擊上已累積了許多經驗。

APT的攻擊、控制、滲透入侵三步驟 

究竟APT一種什麼樣的攻擊模式?戴燊指出,簡單來說就是用社交工程來竊取情資的一種手法。而所謂的社交工程,通常指透過Email來進行攻擊的行為,經由特製的電子郵件來發送給特定對象,並往往夾帶暗藏漏洞的文件,或是可躲避引擎偵測的加密檔案,再誘使受害者點選附件文件來觸發攻擊以植入木馬,此為攻擊階段;接著開始與中繼站進行低頻率的連絡,以遠端控制、回傳資料,甚至進行惡意程式的更新,以免被防毒軟體發現,這是第二階段的控制;最後則是取得主機帳號密碼等重要資料,且伺機入侵其他主機的內網滲透,至此完成APT攻擊、控制與滲透的入侵三步驟。

FireEye北亞區技術經理林秉忠則舉例說明,駭客組織是如何先花時間從社交網站了解攻擊對象,以進行背景研究。他提到,去年RSA的攻擊事件後來追查出,起因來自於一位負責EMC郵件系統的管理人員,將個人資料放在著名的社交網站─LinkedIn上,並註明目前任職於EMC,且擔任郵件系統管理職務,因此被鎖定為攻擊目標。而現今社交網路發達,只要有確定的目標後,就很容易透過社交網站了解該目標的興趣、喜好、工作與家庭等相關背景資料,隨即就可針對目標設計出「客製化」的電子郵件攻擊,大大提高攻擊成功的機率。

Mail和Web閘道設備的聯防機制 

由於傳統防毒的做法,都是先由駭客看到弱點且發動攻擊後,資安廠商才會收到病毒樣本據此製作解藥,因此以往的資安廠商與駭客較勁的是如何快速收集到樣本,也就產生了後來所謂的「雲端防毒」。林秉忠認為,在這種邏輯思維下,解藥永遠比攻擊慢上一步,因此要尋求一種方法不需樣本就能發現未知攻擊,才能有效突破困境。對此,專門針對APT問題提供解決方案的的美國資安廠商FireEye,從2007年開始即運用沙箱技術(Sandbox),試圖求解。

林秉忠說明,所謂的沙箱,就是一種動態模擬的分析技術,也就是利用虛擬化環境,來偵測惡意程式的行為。他進一步提到,FireEye的沙箱機制會執行附檔文件,並觀察這些程式會做哪些動作?連到哪些跳板?下載安裝哪些程式?做一個詳細完整的分析記錄,並將發現的攻擊情報送到FireEye的雲端監控中心去做攻擊資訊的分享。

沙箱技術的缺點在於執行效能較慢,且相當消耗資源,執行一次分析可能需3至5分鐘,因此若被判定為攻擊且上傳雲端成為黑名單後,其他用戶只要經過比對為相同特徵的惡意程式,就無需再送入沙箱,只有那些不在黑名單內,且未曾看過的可疑檔案才會送入執行檢測。如此一來,即可減輕沙箱運行的負擔,也可提高檢測效率。

多種設備建構偵測與阻斷機制 

目前FireEye已將沙箱技術運用在Mail和Web閘道設備上,之所以選擇這兩個媒介管道,林秉忠解釋,主要就是因為APT會經由郵件入侵,然後再透過網頁連結通訊管道,把竊取的資料傳送出去。而FireEye的Mail和Web閘道產品能相互支援,郵件閘道會將其沙箱所分析出關於APT所連絡的惡意IP與網站資訊,傳送給Web閘道進行阻擋,形成一道聯防機制。

從桌面端防毒軟體起家的趨勢科技,多年來早已陸續發展出網路閘道設備、電子郵件安全閘道等多種資安產品,因此趨勢科技在APT的防禦上是採用多種設備所組成的整套解決方案。

戴燊提到,因為APT難以事先預防,所以偵測後的回應能力更顯重要,針對前述APT的攻擊、控制與滲透的入侵三步驟,建置出相對的完整防禦系統。對APT攻擊階段的偵測,趨勢與FireEye同樣都是在郵件閘道上先進行,但不同的是,趨勢是先在郵件安全閘道(InterScan Messaging Security Virtual Appliance)上,部署針對APT惡意文件所開發的掃描引擎進行攔截阻擋,然後將取得的樣本丟到DTAS(Dynamic Threat Analysis System)沙箱中進行動態分析,再把該惡意程式回應IP或傳到哪些中繼站等詳細的攻擊行為資訊回報雲端監控中心。

而這些已得知的攻擊行為模式資料,會同步至其他網路設備進行阻斷,或由TDA(Threat Discovery Appliance)於內部網路做封包過濾,了解電腦是否出現此類被入侵的行為,以遏止來自網路的遠端控制。最後對內部那些已遭受攻擊滲透的主機,則以用戶端的安全軟體來進行惡意程式的清除工作。

選擇可完整模擬使用者行為環境的沙箱技術 

或許有人會認為沙箱技術不就是個虛擬環境而已,聽起來似乎沒什麼技術門檻,戴燊和林秉忠也承認,沙箱其實不難做,但真正的核心重點是在如何對沙箱內的行為進行分析,判斷哪些是惡意程式,又如何辨識出新的攻擊手法。 林秉忠提到很多防毒軟體也號稱有沙箱,多數偏向針對執行檔的過濾,可是現在很多APT攻擊是透過文件檔,所以需要更專業的模擬環境去進行偵測。他同意,其他資安廠商勢必也會將APT的防禦功能整合到自家的產品之中,像有新一代的防火牆就能由使用者將可疑的檔案透過防火牆丟到雲端沙箱去做分析。不過林秉忠提醒,這種雲端沙箱的方式比較適合用在一般的執行檔,因為如果是像報價單或合約這類的文件檔,企業可能會因為涉及機密隱私,而不願送上雲端進行檢測。此外,沙箱分析相當耗用資源,當大家都將檔案丟到雲端分析時,如果需要超過1小時才能獲得分析結果,就無法做到即時性的阻擋,當然也就更難以應付僅在數分鐘內即可快速變形的病毒攻擊。

資安技術不斷進步,但產品架構難有很大改進,林秉忠建議在選擇APT解決方案時,首先應先了解產品架構是否能符合企業需要,像是否包含Mail或Web等不同管道,接著才是技術層次的偵測效果。而針對沙箱技術,則要考量是否能完整模擬使用者行為環境,內建的應用程式是否有足夠不同版本以供模擬,也是評估時需要一併考量的項目之一。

轉載自《網管人》