360韓志立:APT攻擊檢測面面觀
責編:admin |2014-09-25 20:25:19在2014中國互聯網安全大會的第二天,來自360企業安全產品總監韓志立先生也現身APT防御技術論壇,給我們帶來了“APT攻擊檢測面面觀”的主題演講。
首先,什么是APT,這個問題在業界一直沒有很統一的說法。在業界還有一種講法,強調的不是國家之間的網絡安全戰略空間上的對抗這方面,而是認為APT是一種更高級的攻擊手段,比如高級的逃逸技術、0day等等。這些技術可能是傳統安全產品無法有效檢測的,業界認為這個也是叫做APT。
現今威脅的新形式
現在的威脅跟過去相比有很大的變化。中美黑客大戰的時候,這個時候的攻擊者往往是個人,而不是有組織的團體,他們的攻擊目的可能是為了個人在技術上的挑戰,或者是為了贏得在黑客中的聲譽,他們可能會使用很多的攻擊方法,這些攻擊方法給社會帶來的危害并不是非常嚴重。
現在我們面對的主要攻擊對手已經有很大的不同,他們是有組織的團體,比如國家之間的對抗,他們進行的是國家隊之間的攻擊方法。還有伊朗軍團這樣以黑客行動主義為代表的攻擊方式。還有以金融犯罪為主導的網絡犯罪活動。他們有一些共同的特點,往往更具有組織性,更有目的。
現在可以利用更大范圍的地下黑客產業所帶來的資源。從360了解的情況可以看到,一個0day國際市場上,花幾萬美金就可以拿到,而一個惡意軟件的建造工具也可以在黑客市場上以幾千到幾萬美金的價格拿到。對于一個攻擊者來說,不再像過去一樣,可能有些更高級的人,他建造了一些工具,流傳在這里,可以通過購買和團隊合作的方式使用0day的方式,或者在攻擊某些特定目標的時候,使用新的惡意軟件的工具集定制自己的攻擊工具,進行長期滲透。
現在絕大多數的攻擊都有顯著特點。首先是黑客非常清楚重點目標、有價值目標的企業部門會建立防御手段。在進行APT攻擊的時候,會針對已知的防御手段進行測試,確認是否能夠繞過這些防御手段以及檢測方式。在整個攻擊過程中更強調攻擊的隱秘性,而不像過去,作為一個黑客,攻擊別人的網站,是需要大家都能知道我做了這么一件很有趣的事情。而現在,他們是希望一切都在靜悄悄的狀態下進行。
對于傳統安全商來說,面對著兩個比較巨大的挑戰。
1.高級惡意軟件
它具備高級逃逸技術,或者是0day等等先進方法的惡意軟件。密網系統捕獲了互聯網上的惡意軟件樣本,這些樣本還不具有足夠的先進性,當用這些樣本檢測AV廠商的時候,有54%的惡意軟件是完全檢測不到的。即使不考慮APT的問題,高級惡意軟件也是我們面臨的挑戰。我們需要改變過去的想法,裝了一個AV不可能做到絕大部分的查殺。如果是真正的APT攻擊,它針對特定的目標,對于反攻擊廠商來說,在攻擊爆發之前很難拿到攻擊樣本。而不像過去,是大規模的目標攻擊,我可以在網絡中捕獲大量的樣本,有可能在它爆發之前在產品中安裝相應的簽名進行檢測。
2.多態和變形技術的廣泛使用
前幾年比較流行的宙斯木馬,它在2010年以前已經被反病毒公司發現,由于它具有多態和變形技術,當你發現它的第一個樣本的時候,它在網絡中已經變換了一個形態,反病毒廠商啟動的特征碼檢測,對于它來說是永遠滯后的。
這個挑戰,87%的數據泄露事件是傳統檢測技術無法發現。這些事件的發現完全是由第三方通過外部信息,比如先進的銀行和企業知道自己出現了數據滲透事件,這些企業構建的內網安全檢測體系起到的作用不是非常充分。攻擊者滲透到內網當中,控制了某些終端,會獲得內網的合法權限。攻擊者在攻擊之前已經考慮到內網中存在著審計類產品、IBS等等傳統的檢測方式,他們能做出充分的準備。
這些所有的攻擊所面對的攻擊者不只是重要目標,包括個人、中小企業,他們也存在著相應風險。雖然本身的目標不夠有價值,但由于他們的準備沒有大型企業充分,對于黑客的付出和得到的來說還是有價值的。黑客如果想直接滲透有價值的目標,往往是非常困難的,他們會使用攻擊跳板的方式。我們現在聽到的陣網病毒,它的攻擊目標并不是伊朗的核工廠,而是針對核工廠的某些技術人員的家庭網絡進行滲透。陣網病毒最初的來源是內部技術人員的家庭電腦,在感染了家庭電腦之后,通過USB等等方式帶到了工廠的隔離區域和生產區域。
如何對抗惡意攻擊
大家首先會想到沙箱技術。從目前遇到的問題來看,傳統的沙箱技術并不能足以解決高惡意軟件的監測,比如可執行文件的檢測,我在沙向中很容易判定一個PDF文件,而PE文件是很復雜的,很難判定。由于APT攻擊者足夠了解沙箱檢測技術,他們可以逃逸檢測方法。沙箱檢測要依賴于虛擬環境,作為一個硬件設備,環境數量又是受限的,對于C&C通道的檢測,黑客也是可以逃逸的。絕大多數企業需要防御措施。
1.可執行文件的檢測
360的QVM是一個比較強大的創新。它是基于惡意軟件的基因特征進行檢測,不需要通過查戶口本的方式知道這兩個人之間是非有血緣關系,而是基因檢測的方法確認這兩個人在基因上有沒有血緣關系,它是傳統的反病毒廠商的啟發式檢測的進化。啟發式檢測受限于對惡意軟件的理解,很難控制。QVM是搜集數千億的樣本,進行自動化學習,將學習結果和樣本進行比對,防止誤報的發生。可以做到檢出率最高、誤報率最低。
2.改進沙箱系統
我們需要對現有的沙箱系統進行改進,不再是像傳統一樣更關注沙箱中的行為,而是針對內容和指令層面進行監控。一個文本文件要被黑客利用的時候,首先是存在漏洞利用,必然會存在內存的跳轉以及內存屬性的變化。通過對這些方式的監控,可以確認文件運行時是否存在漏洞利用的可能性,能在很大程度上解決沙箱逃逸的方式。
3.云端檢測平臺和信譽情報共享
在一個設備上無法解決黑客的逃逸措施,硬件設備的虛擬環境是受限于硬件資源的,對于C&C通道的檢測,黑客會采用隨機的方式,這一秒連接的服務器和下一秒連接的,因為存在隨機算法,我們是看不到的。通過沙箱找到C&C的地址,它往往是過時的或者是失效的方式。在這種情況下,必須依賴于云端的計算資源,有幾百、幾千臺機器并行運算,模擬沙箱的環境,采用人工或者是機器逆向的方式檢測逃逸方式,這樣才能對惡意軟件進行有效檢測,而最終可以得到C&C或者是惡意軟件地址的數據庫,再推送到前端設備,達到實時防御的效果。
我們認為對現有的惡意軟件進行檢測,需要考慮到支持漏洞利用檢測的沙箱技術。PE文件要提供未知威脅的檢測能力。要依賴云端和人工的分析平臺。對C&C通道的檢測,以及由其實現的信譽進行總結。
對于內網的持續滲透,黑客會針對內網的IDS等特征進行逃逸,針對內網的檢測方式應該是基于行為的異常檢測。當我們使用這種方式的時候,首先碰到的第一個門檻就是數據存儲的問題。過去如果是進行已知特征檢測,對于數據存儲平臺來說,只需要檢測日志和告警。當現在沒有明確告警的時候,我需要從大量的數據中分析什么是正常行為、什么是異常行為,我們就需要搜集大量的數據。它的數據量可以達到TB的級別,對于傳統的數據庫來說,無論是存儲,還是計算,都是做不到的。所以大數據的存儲和處理能力對于APT檢測來說是一個基礎的技能。
當我們拿到這些數據之后,可以考慮的方式也不同于傳統的異常檢測,更多的是考慮基于數據挖掘的方式。如果一臺機器被黑客攻占,因為這臺機器要向外發送數據或者是跳轉攻擊,它的網絡行為和正常的上網設備不同,我們可以通過物理上的挖掘算法,找到與絕大部分機器的上網行為不同的個體,對其進行具體分析,就可以確認找到APT攻擊的線索。
針對這個方式,還有一些可視化的方法,看到流量異常事件,可以進一步分析確認攻擊行為。可以利用可視化的關聯分析,在多個時間序列中查找到攻擊關聯事件的順序。
內網檢測還需要考慮到安全情報數據分析。通過各種渠道拿到的安全情報,對已經存儲的數據因為歷史性的查詢檢索。即使當時沒有發現,在拿到后續情報的時候進行檢索,也能夠找到內部是否存在曾經被滲透的痕跡,再進一步分析。內網的異常檢測發現的是特殊樣本,這些樣本是否是真正的攻擊行為,更多的是需要人工的方式進行確認。對于內網的檢測,更多的是人和人之間的對抗,而它依賴的是專業化的安全人員進行的持續內網檢測。
針對于APT攻擊,任何一種單獨的方式都是不足以檢測的。Gartner的檢測報告認為任何一個APT檢測都需要在網絡、內容和終端上進行交叉檢測,在任何階段都可以提供APT檢測。黑客也許可以通過逃逸繞過某一層防御,當你的防御層級足夠多的時候,黑客總是會露出馬腳。
這些解決方案不僅是技術上的問題,更重要的是觀念的變革。某些技術可以由安全的廠商解決,比如針對漏洞利用進行檢測的沙箱技術。還有一些問題是需要社會和企業共同努力。
1.首先是針對云端的使用,所有的檢測,設備計算是遠遠不夠的,更多的對惡意軟件的分析需要依賴于云端強大的計算能力和分析能力。我們需要將一些特定的樣本上傳到云端。對于傳統的安全,采購到設備之后,企業可以很好的使用設備。在高對抗場景下,需要的服務安全能力是一般企業很難具備的。對于APT設備,需要設備和服務一體化,企業使用起來才更有效。
2.然后是安全情報的共享。大家一提到大數據,相同想到的是隱私問題。大數據涉及到非常多的領域,通過大數據的方式開展新業務,可能有隱私的問題。如何保護大數據本身的安全,又是另外的問題。我們如何使用大數據解決安全問題,這完全是不同的領域。我們認為安全情報共享不涉及任何企業和個人的隱私。當這些信息能夠共享的時候,可以形成很好的藍圖,在任何一個位置看到一個復雜的APT攻擊,可以在幾秒鐘或者是幾分鐘的時間內,全世界就可以對這類的攻擊形成防御手段,APT攻擊者的成本就會有很大提升。
所有這一切不僅是需要安全廠商的努力,也需要社會各方面改變原有觀念,共同應對APT的問題。