据统计,目前有七成恶意程序从来未有纪录,不可能被防毒软件侦察。基本上,防毒软件只靠定义档(Signature)作为保护,已失去作用。恶意程序也可经上网,例如Java或者Flash入侵,一般防火墙不能从应用层面,抵挡恶意程序攻击。
恶意程序可避开扫描、防火墙和IPS系统,再通过与外界黑客控制的‘指令及控制服务器’(command-and-control,CnC),进行破坏、盗窃、刺探机密。这些有组织和针对的网络间谍活动,统称为‘进阶持续性渗透攻击’(Advanced Persistent Threat,APT)。
美国国防部很早就针对APT作出防护,其中一家供应商是FireEye。FireEye是最早专注于防御APT方案,研制出针对APT系统,年初更以十亿美元收购了专门调查IT保安事故的Mandiant。
Mandiant曾经公布有关据称为解放军专门从事网络活动的61398部队,受到广泛报导,Mandiant针对用户端受攻击后,可隔离和分析受感染机器,并评估受袭程度。
沙盒技术亦有漏洞
据FireEye亚洲区资深系统经理Steve Ledzian说,FireEye毋须采用定义档,准确探测出从未出现恶意程序,不少厂商均先后顶出以虚拟机器(VM)为基础的所谓‘沙盒’(Sandbox)技术,去辨认APT攻击。
沙盒通常是指先利用VM,开启进入系统文件,根据行为来判断动机。但是Ledzian说,不少APT已发展出辨别出VM技术,会先按兵不动,待安装到正式机器上,才发动攻击,亦发明更多方法,躲避沙盒的追踪。
FireEye并非用市面上一般商用的VM,而是专门针对恶意程序设计,称为‘多维虚拟机器’(multi-vector virtual machine),可模仿不同平台和应用版本,甚至不同Service Patches组合,还模拟用户不同动作,追踪恶意程序不同阶段行为,例如混合多个阶段和平台作出的攻击。
一般来说,恶意程序会攻击已发现的程序漏洞。但部分攻击针对仍未发现的程序漏洞,也就是一般称为‘零日攻击’,更防不胜防,FireEye 也可凭行为探测‘零日攻击’。去年,FireEye发现了十一个‘零日攻击’,数量为所有保安公司之冠。
沙盒技术并非万能
‘即使利用了沙盒,也不一定可辨认出‘零日攻击’恶意程序。去年入侵美国智库‘外交事务委员会’(Council on Foreign Relations)网站的恶意程序为例,乃通过IE 8当时未知的漏洞,再通过通过Java和Flash码,先行分析到访的机器,静待下次到访时,分多次攻击到访用户,分批下载病毒。’
‘病毒分多次下载,黑客以化整为零方法,看来互不相干,或者没有攻击的源程序,可逃过一次性沙盒技术分析。这种攻击被统称为‘水坑攻击’(CFR Watering Hole Attack),就如狮子在水坑附近静待猎人一样。’
Ledzian说,据FireEye调查发现,2013下半年,上述攻击大幅上升,不少纯用沙盒的保护方法起不了保护作用。‘上述情况跟恐怖分子用两种化学品,先后偷运入境,再混成爆炸品手法相似。’
香港CnC服务器数量排名高
FireEye调查发现,APT针对地区,以美国、韩国和加拿大排名最高。而采用网站作攻击手段,明显比较电邮为多。‘可能用户对不明来历邮件,更具警觉性。而社交媒体兴起,令网上攻击相较容易,导致从网上APT增加。’
以地区排名计,全球最多黑客控制的CnC服务器,香港亦榜上有名,全球约有百分之1.9的CnC服务器位于香港境内。‘虽然说CnC服务器所在地,并不同时代表黑客在港,从此可见APT在本港异常活跃。’
- 评论列表(网友评论仅供网友表达个人看法,并不表明本站同意其观点或证实其描述)
-