據統計,目前有七成惡意程式從來未有紀錄,不可能被防毒軟件偵察。基本上,防毒軟件只靠定義檔(Signature)作為保護,已失去作用。惡意程式也可經上網,例如Java或者Flash入侵,一般防火牆不能從應用層面,抵擋惡意程式攻擊。
惡意程式可避開掃描、防火牆和IPS系統,再通過與外界黑客控制的「指令及控制伺服器」(command-and-control,CnC),進行破壞、盗竊、刺探機密。這些有組織和針對的網絡間諜活動,統稱為「進階持續性滲透攻擊」(Advanced Persistent Threat,APT)。
美國國防部很早就針對APT作出防護,其中一家供應商是FireEye。FireEye是最早專注於防禦APT方案,研制出針對APT系統,年初更以十億美元收購了專門調查IT保安事故的Mandiant。
Mandiant曾經公佈有關據稱為解放軍專門從事網絡活動的61398部隊,受到廣泛報導,Mandiant針對用戶端受攻擊後,可隔離和分析受感染機器,並評估受襲程度。
沙盒技術亦有漏洞
據FireEye亞洲區資深系統經理Steve Ledzian說,FireEye毋須採用定義檔,準確探測出從未出現惡意程式,不少廠商均先後推出以虛擬機器(VM)為基礎的所謂「沙盒」(Sandbox)技術,去辨認APT攻擊。
沙盒通常是指先利用VM,開啟進入系統檔案,根據行為來判斷動機。但是Ledzian說,不少APT已發展出辨別出VM技術,會先按兵不動,待安裝到正式機器上,才發動攻擊,亦發明更多方法,躲避沙盒的追蹤。
FireEye並非用市面上一般商用的VM,而是專門針對惡意程式設計,稱為「多維虛擬機器」(multi-vector virtual machine),可模仿不同平台和應用版本,甚至不同Service Patches組合,還模擬用戶不同動作,追蹤惡意程式不同階段行為,例如混合多個階段和平台作出的攻擊。
一般來說,惡意程式會攻擊已發現的程式漏洞。但部分攻擊針對仍未發現的程式漏洞,也就是一般稱為「零日攻擊」,更防不勝防,FireEye 也可憑行為探測「零日攻擊」。去年,FireEye發現了十一個「零日攻擊」,數量為所有保安公司之冠。
沙盒技術並非萬能
「即使利用了沙盒,也不一定可辨認出「零日攻擊」惡意程式。去年入侵美國智庫「外交事務委員會」(Council on Foreign Relations)網站的惡意程式為例,乃透過IE
8當時未知的漏洞,再透過通過Java和Flash碼,先行分析到訪的機器,靜待下次到訪時,分多次攻擊到訪用戶,分批下載病毒。」
「病毒分多次下載,黑客以化整為零方法,看來互不相干,或者沒有攻擊的程式碼,可逃過一次性沙盒技術分析。這種攻擊被統稱為「水坑攻擊」(CFR
Watering Hole Attack),就如獅子在水坑附近靜待獵人一樣。」
Ledzian說,據FireEye調查發現,2013下半年,上述攻擊大幅上升,不少純用沙盒的保護方法起不了保護作用。「上述情況跟恐怖分子用兩種化學品,先後偷運入境,再混成爆炸品手法相似。」
本港CnC伺服器數量排名高
FireEye調查發現,APT針對地區,以美國、南韓和加拿大排名最高。而採用網站作攻擊手段,明顯比較電郵為多。「可能用戶對不明來歷郵件,更具警覺性。而社交媒體興起,令網上攻擊相較容易,導致從網上APT增加。」
以地區排名計,全球最多黑客控制的CnC伺服器,本港亦榜上有名,全球約有百分之1.9的CnC伺服器位於本港境內。「雖然說CnC伺服器所在地,並不同時代表黑客在港,從此可見APT在本港異常活躍。」
沒有留言:
發佈留言