2014年8月19日 星期二

建立多層聯防架構 迫使駭客寸步難行

建立多層聯防架構 迫使駭客寸步難行

回顧APT話題延燒,始於2006~2007年,當時資安業界開始察覺,駭客已不再以癱瘓系統為目的,轉而以竊盜機敏資料以資謀利,且攻擊力道不斷增強,後續幾年又驚爆數起重大事件,足見APT已成為惡意攻擊主流,致使對應方案應運而生。

由於網路應用日益發達,故而有愈來愈多惡意程式,開始透過網際網路傳遞,且型態變得愈來愈複雜,能有效躲避傳統安全系統的偵測,於是APT便成為近來最讓人驚悚的夢魘。

業界普遍認為,善用沙箱模擬技術,有助於探索未知惡意攻擊,可望發揮一定防護功效。來源:Cuckoo

可以想見,當多數資安業者驚覺,過去賴以生財的利器,不管是防火牆、入侵防禦系統、防毒軟體、垃圾郵件過濾器等眾多安全產品,竟然無法阻止APT惡意程式的步步進逼,實在非同小可,當然會著手研究APT攻擊,試圖歸納相關惡意程式之樣貌,繼而研發可破解其攻勢的解決方案;發展至今,許多原本擅於不同領域的多數資安廠商,儘管各自定義APT的方式頗為分歧,但多已宣稱備妥APT防禦產品。

看到這裡,不少企業用戶紛紛對於資安業者「肅然起敬」。所謂台上1分鐘、台下10年功,綜觀APT駭客之攻城掠地、所向披靡,固然讓人咬牙切齒,卻不得不讓人佩服,他們確實深具巧思,懂得利用複雜的社交工程、非執行檔的文件漏洞、冒用合法數位簽章,乃至自我保護機制,繞過層層防禦,一步步取得受駭企業的有價資訊,足見這些駭客經過長期淬煉,已經摸透了絕大多數資安工具的偵測脈絡,才得以佔盡上風。

至於資安業者,居然可以在短短期間,從束手無策的疲弱身態,一下子猶如吃盡大補丸,足以戰勝惡意攻擊,進化速度未免太快,卻也不禁令人有所質疑,運用這些廠商提供的安全機制,真能擋得住APT攻勢?

持平而論,資安廠商長期與惡意程式鬥法,依據過去經驗,縱使一時之間難免失手,但通常不會讓駭客囂張太久,很快就能修補過往罩門,找出因應對策,足見這群業者理應具備一定研發實力,亡羊補牢的效率並不差,因此能夠將APT防禦解決方案端到檯面上,絕非滿口膨風,肯定所有憑據。

在此情況下,企業機構為了防範APT攻擊,自然有必要詳加研究相關防禦產品,並依據自身應用環境的弱點,選擇最契合實際需求的解決方案,儘速予以導入、佈建。

單靠沙箱  不足以萬無一失

但APT畢竟堪稱是史上最難對付的惡意攻擊,位居攻方的駭客歷經長時間布局,悉心研究守方可能乘隙而入的弱點,不斷研製最能突穿所有防線的攻擊行為,等於是在反覆試誤之中持續強化能量,因此當你架設起新的防禦工事,駭客並不會就此棄械投降,一定再接再勵翻新攻擊手法,靜待你可能犯錯的時機點(例如新的員工上線、新的應用服務啟動等),抓住瞬間契機給予致命一擊。因此,不管企業是否導入APT防護系統,仍舊不可掉以輕心,必須培養嚴謹的資安意識,無時無刻灌注在所有使用者的日常行為模式之中。

此外,如同前述論點,駭客會根據守方的防禦機制,持續研究新的突破點,因此一時有效的解決方案,也未必永遠有效。以資安業者公認最能有效防禦未知惡意攻擊的「沙箱」(Sandbox)模擬技術而論,便是很典型的例子。

隨著雲端沙箱產品或服務不斷出籠,駭客在長期冷眼旁觀之下,不斷嚐試修正其攻擊方式,時至今日,似乎也漸漸凸顯出沙箱的盲點。資安業者指出,以Target慘遭APT攻擊的事件為例,證明用重金打造的強大沙箱,雖然放諸整體防禦架構,必然有其功效,但如果僅想靠它抵擋一切威脅,未免寄望太高。

沙箱防護可能隱含的問題中,最明顯的一點,即是現今駭客愈來愈懂得運用「假動作」閃避沙箱偵測,當其意識到已被導向虛擬環境,便得知此時正在接受沙箱模擬,於是決定暫緩一切動作,使之看似為乾淨無害的檔案,爾後經由放行至Production運作環境,再伺機卸下假面具,開始觸發惡意行徑。

因此,在APT防禦業界夙有盛名的FireEye,便標榜其MVX虛擬分析引擎,完全是自行研發打造,並未採用一般常見的商用虛擬機,為的正是讓惡意程式不知自己進入沙箱環境,故而不會採取假動作,終至遭到一舉成擒。

值得一提的,有些時候,某些惡意程式甚至不必大費周章採取假動作,也可躲過沙箱偵測。比方說,假設一個埋藏惡意程式的PDF檔案,內含好幾頁內容,駭客通常不會選擇將惡意行為的觸發點,擺在第一頁,而是當使用者翻閱到第二、三或四頁時,才會開始動作,值此時刻,沙箱在進行模擬分析後,理應會判定為正常檔案,接著予以放行。

但也有若干廠商已意識到此一盲點,遂採取不同手段,力圖讓惡意程式浮出檯面。譬如來自南韓的AhnLab,其MDS自動化惡意程式防禦系統,特別在沙箱防護機制之後,添加了一道「整合式行為分析」防禦層,然後透過動態內容分析檢測技術(DICA),重新剖析PDF檔案的Shellcode,藉此過濾出可疑的惡意指令,避免APT矇混過關。

此外,不久前才被美商Verint Systems購併的艾斯酷博(Xecure Lab),則是運用DNA反解析之逆向工程專利技術,可從程式語法與行為合理性等角度,察覺依附在各個機碼或程式的惡意程式,甚至可一併揪出後門程式所夾雜的中繼站資訊。

緊盯APT攻擊步驟  從中找尋擊破點

再者,有些包藏惡意程式的檔案,並非運用了多麼高明的加密、或暫緩執行速度等方式,才得以成功閃躲沙箱防護,而是因為執行模擬的環境不匹配所致!沿用前述的PDF惡意檔案之例,單單以PDF而論,前後便有7、8、9、10或11等不同版本之區別,每個版本各有不同漏洞,有時駭客會刻意運用較舊版本的弱點撰寫惡意程式,倘若某些沙箱支援廣度不足,或基於效能考量,僅選擇以少數版本進行模擬測試,就容易產生漏網之魚,而當該惡意PDF檔案進入企業網路,又恰好有使用者透過被駭客預設觸發的版本工具開啟,即意謂駭客佈樁成功,可好整以暇伺機展開後續行動。

正因如此,包括FireEye等若干廠商,強調會在進行虛擬分析時,針對不同檔案格式的所有版本,執行完整測試,為的正是防堵漏網之魚。

總括而論,APT防禦是一個浩大工程,其實很難靠著單一或少數解決方案,便能克竟全功,因此不少專家一致建議,企業宜佈建多層次聯防架構,藉以朝向多個面向分頭進擊,進而墊高駭客入侵的門檻;在此一聯防機制,即便是部分單憑己力不足以防範APT攻擊的資安工具,譬如防火牆、入侵防禦系統、防毒軟體甚或資料外洩防護(DLP)等等產品,只要被擺對位置、各司其職,都可望發揮一定功效,這也證明,企業面對一些看似傳統的防護工具,絕不能因為它們「看似對APT無計可施」,就加以束之高閣。

為何多層次聯防機制如此重要?此乃由於,綜觀APT攻擊模式,通常都可區分為幾道步驟,不外是先行偵測用戶行為,然後透過郵件或Web佈放誘餌、設法引君入甕,誘使其下載特定程式,接著利用受害者電腦的系統漏洞,植入惡意檔案並預留後門,再試圖聯繫外部中繼站、接受下一步指令,最後透過SMB網路芳鄰等管道,於企業網路內部進行橫向擴散,逐步取得最高控制權,終至竊取資料。

凡走過必留痕跡,上述的每一步驟,其實都有可疑行跡,此途徑當中的任何一點,都有擊破的機會;一旦偵測出APT惡意程式,通報原廠的雲端實驗室,隨即製作相對應解藥,再派送至各端點防護系統,一方面阻止類似攻擊進犯,二方面清除並修復已遭感染的主機,即可化險為夷。

轉載自《DIGITIMES中文網