上一期我們概述了APT攻擊的特性與流程(Infection Life Cycle),其中一個重點就是,每一次的APT威脅事件都是從全新且未知的惡意程式(Malware)開始,因為它們還沒有特徵碼,所以可以穿透現今傳統的資安設備;就像H7N9病毒一樣,在對抗它的疫苗還沒有上市前,民眾只能自求多福了。那麼在資安的世界裡,難道就讓這些欲發動攻擊或威脅的新型惡意程式,像傳染病一樣為所欲為嗎?
所幸,當APT手法日新月異地發展之際,有一種稱作沙箱(Sand Box)的技術,簡而言之,是利用虛擬環境來模擬惡意程式觸發的情況,藉以判別是否為惡意程式,表面上看來,這似乎可以預先防禦APT的攻擊,但實際情形比想像的複雜得多。
前文曾提到現在的新型惡意程式擁有會變形、會裝睡(潛伏)、會加密、會壓縮、會分散重組、會閃躲虛擬偵測環境、會偵測確實進駐個人電腦才觸發等等能力,況且這些惡意程式可能是exe執行檔或dll檔,可在不同的作業系統(Windows XP SP1/SP2/SP3、Windows 7或8)中發作或夾在不同版本的檔案中(如Office 2003/2007/2010、PDF 7/8/9/10/11),甚至以密碼保護提高信任度。
光是閃避虛擬偵測環境這一招,新型態惡意程式就足以讓沙箱技術感到挫折,所以現今的沙箱技術還是有它力有未逮之處。
根據筆者的觀察,釣魚郵件以附件夾帶惡意程式引誘目標開啟的手法,在所有已知的APT事件中所占的比例已有下降的趨勢,原因是愈來愈多的企業員工對於打開不明附件這件事愈來愈有警覺,反而在郵件中放置惡意連結的情形愈來多;該惡意連結常顯示為正常網址,如www.google.com,但其背後的IP地址卻指向惡意網站,受害者非常容易沒有戒心而點擊該連結,進而受到感染。
所以為了提高防禦APT的效果並降低誤判率(false positive),筆者提出以下的建議:
- 1. 持續員工教育:對於來路不明的郵件,不點擊連
結,不打開附件。
- 2. 依APT感染流程部署防禦:採取in-line阻擋釣魚郵
件以免惡意程式入侵,掃描過濾檔案伺服器中之潛在惡意檔案,並阻斷受感染電腦呼叫駭客伺服器(C&C)。
- 3. 防禦的廣度與深度(Multi-Vector):動態且及
時偵測並阻擋上述各種型態的惡意程式或惡意連結,並採用具備「反偵蒐」能力的虛擬執行引擎(Virtual Execution Engine)。
對抗APT如同防疫大作戰,「預防勝於治療」雖是老生常談,但終究仍必須有計畫又有紀律地執行,才能掌握防禦的先機。
(本文作者現任FireEye台灣區總經理)