俄羅斯APT北約,走的是“凱爾卡小門”
責編:admin |2014-10-15 15:46:21奧地利歷史學家茨威格的著作《人類的群星閃耀時》中提出一個觀點,具有歷史意義的時刻一旦發生,就會決定幾十年和幾百年的歷史進程,就像避雷針的尖端集中了整個大氣層的氣流一樣,數不勝數的事件往往擠在一個時刻發生,這些事件只是發生在某一天,某一時刻,但是他的影響卻是超越時間的,這正是安全界的APT攻擊。
14日,美國一家信息安全公司iSight發布的一份報告顯示,俄羅斯黑客利用微軟office系統中的漏洞對歐美國家政府、北約,以及烏克蘭政府展開間諜活動。目標包括一些能源、電信和學術機構。APT攻擊再一次引發了網絡安全界的高度重視,北約這樣看似固若金湯的馬奇諾防線,因為0day漏洞就導致了防線的沉淪不得不讓人扼腕,而對于APT攻擊,我們得到的又一個教訓是:任何疏忽大意都可能為信息系統帶來災難性的破壞。
與傳統攻擊針對服務器開放端口或服務的攻擊不同,APT攻擊多半針對具體的人員,通過發送具有0day漏洞的WORD、Powerpoint、PDF等文檔給攻擊對象受害者為攻擊第一步。多數人并不清楚,這些文檔文件中還有可能帶有安全威脅,而放心打開,而一但打開就觸發OFFICE或Adobe PDF Reader等發生關聯反應,繼而下載二進制木馬等行為。
這就是很多媒體一直在說的APT攻擊的基本原則,由于這些漏洞是0day,用戶網絡出口原有的UTM、NGFW等防火墻類設備通常是檢測不到的,只有通過采用沙箱加載相關文檔,才是有效的快速發現漏洞的方式。但這里問題又來了,盡管安全廠商在后端部署了大量虛擬機作為沙箱,但用戶不太可能把企業的所有文檔文件交給安全廠商來鑒定,這等于把企業的家底全部交出了。
美國FireEye(火眼)公司提出這個糾結問題的解決方案,它們創新性的把沙箱放到流量監測設備中,設備還原文件后就可以放入沙箱進行分析,這樣文檔文件如果發生溢出,其行為與正常打開一個文檔文件不同,就會被沙箱發現,而其下載和釋放的其他木馬也會被沙箱捕獲分析。FireEye從此聲名大噪,成為硅谷安全產業的炙手可熱的明星,與五角大樓連接的很多廠商機構,都安裝了FireEye的產品。當然之后FireEye發現,靠設備中的沙箱檢測能力有限,還是放到云端進行多版本組合便利更為可靠,但由于FireEye已經取得了美歐用戶的信任,很多用戶并不介意把文檔提交到Fireeye的云端鑒定。而FireEye不僅成為美國很多廠商機構的標配,其產品和工程師也到達菲律賓等美國“盟友”國家,協助這些國家應對APT攻擊。而國內360、安天、瀚海源等安全廠商,也分別推出了名為天眼、追影和星云的類似解決方案。
而從這次俄羅斯利用的微軟4114等兩個漏洞來看,這次以俄羅斯為背景的攻擊,是否有可能打穿了流量檢查+沙箱解決方案的防線呢?給安全企業的警示又是什么呢?
記者采訪了安天負責漏洞分析的工程師,他向記者介紹說,根據目前的分析結果,這個4114是一個PPTX.格式文件,其運行后會通過SMB協議下載一個名為Slide.gif的文件,但實際上這是一個二進制木馬。4114確實越過了多種帶有沙箱的檢測設備,其原因是,只有播放這個PPTX才會觸發漏洞和下載木馬。
“如果我們加載時加入/C的參數,或者補充一個采用模擬按鍵的方式播放就好了”;“好在我們對SMB協議做了還原。”他做了一個解釋。“在用戶系統上觸發后,這個二進制下載的木馬就會被我們的流量檢測探針重新捕獲還原,這個木馬投入沙箱后,可以會被檢測出是一個惡意的PE樣本。對這個PE樣本的檢測是不需要添加新的規則的,這是沙箱的優點,無需頻繁的的進行規則升級。但沙箱的策略還是需要不斷完善磨合”
這不由讓記者想到,新興奧斯曼帝國蘇丹穆罕默德二世大舉攻占東羅馬帝國的首都君士坦丁堡,在雙方死傷慘重,戰事膠著的危急關頭,一扇叫凱爾卡的小門的防守疏忽釀成了國家的滅亡,可悲。
安天的技術負責人肖新光認為這個問題是非常嚴重的,目前的反APT技術機制判定一個PE載荷是否是APT攻擊的組成部分的重要參考依據,是其是否由格式文檔溢出后關聯導致下載或釋放,如果沙箱不能在第一次鑒定就觸發文檔中的溢出,而在后面的二進制威脅重新流過時再捕獲,實際破壞了這種事件關聯。從而可能讓后面的二進制檢測事件混入其他的普通威脅的病毒事件中,從而不受重視,因此單純能捕獲到后面的攻擊是有局限性的,不能僅僅憑借后面的二進制可以檢測,就認為APT檢測系統完成了任務。從攻擊的趨勢來看,攻擊者通過構造和社工的方法,讓文檔的真正打開者能按照攻擊者設想條件觸發攻擊,而上沙箱中無法觸發。這必然是今后流量+沙箱類產品解決方案面臨的主要挑戰。
沙箱并不萬能,沙箱也需要維護,甚至只是一個觸發點的前后順序,決不能允許一扇沒有軍事意義就被忽視的凱爾特門的存在,這或許就是4114漏洞的啟示。