Fortinet FortiGuard安全實驗室解密APT攻擊的那些事兒

2015-11-11

“ 當網絡罪犯了解了更多普通的安全檢測方法時，他們往往會將更多的投入放在安全規避方法的研發上。” ---FortiGuard安全研究實驗室

惡意威脅可以使用多種方式來避開安全屏障。以下是黑客面對沙盒最常使用的規避技術。

邏輯炸彈

最常見的邏輯炸彈是定時炸彈，它們曾出現在許多引人注目的攻擊中。在一個定時炸彈中，惡意代碼部分會一直隱藏到指定的時間。攻擊者可以將惡意軟件植入到多個系統中，在所有炸彈被定時引爆前都不會被注意到。其他的邏輯炸彈則會在出現有人機互動（點擊鼠標、系統重啓等等）時被觸發，由於在一般沙盒的環境內難以滿足邏輯條件，所以代碼並未在檢測期間遵循惡意執行路徑。為此，Fortinet精心設計了相關防禦環境，使用 CPRL 和代碼仿真分析，在實際運行代碼之前發現邏輯炸彈。CPRL 進行實際操作指令的即時分析，因此能夠發現那些將會觸發炸彈的邏輯條件。

惡意代碼：Rootkit與 Bootkit

高級惡意軟件常常包含一個核心代碼，可以控制和破壞操作系統的 Rootkit。沙盒可能會受到這種規避技術的攻擊，因為行為監控的功能也可能會遭到控制。此外， Bootkit在系統啓動時會以沙盒難以檢測到的惡意軟件來感染系統。Fortinet的 CPRL 檢測技術，同樣可以在高級 Rootkit和 Bootkit程序運行之前發現它們並解決該問題。

沙盒環境檢測

另一個高級規避技術是環境覺察。 APT 代碼可能包含有一些程序，以嘗試判斷其自身是否運行於一個虛擬環境中從而表明它是否可能處於沙盒內， APT 代碼有可能檢查特定供應商的沙盒環境特徵值。如果該代碼檢測到其處於一個沙盒中，它就不會運行其惡意執行路徑。CPRL 能夠深入檢查、檢測並捕獲那些探測沙盒的代碼。

殭屍網絡命令與控制窗口

殭屍網絡命令與控制活動通常始於一個釋放器。釋放器是十分乾淨的代碼，而非一個連接到某個 URL/IP 地址以便根據命令下載文件的程序。命令可以來自於初始運行時間之後幾個小時、幾天或幾周而出現的一個攻擊者。如果散播程序所連接的服務器在沙盒運行代碼的檢測期間內暫停活動，則無法觀察到惡意活動。CPRL 可在病毒沒有運作的期間，主動捕獲異常代碼並檢測惡意軟件， FortiGuard 的全球情報網絡可監測殭屍網絡，在殭屍網絡活動時對其當場進行揭露。

網絡快速通量

高級惡意軟件可能採用快速通量或域生成算法技術來改變某個病毒所要連接的一個 URL/IP 地址。在沙盒觀測期間，該病毒先指向某個地址，但是隨着時間的推移，在終端用户的主機內，該代碼將通過一個不同的路徑指向某個第二地址來發送惡意信息流。FortiGuard跟蹤快速通量網絡並在預掃描期間將收集到的威脅情報反饋給沙盒使用。Fortinet監測的是域名服務器，而不是像其他供應商通常所做的那樣僅僅盯住 IP 黑名單。

加密文檔

一個古老的把戲，攻擊者可以在文檔中加密惡意軟件。然後，通過社交心理欺騙終端用户通過輸入密碼來打開該病毒。沙盒無法自動輸入密碼，所以惡意軟件在觀察期間不會運行。Fortinet的專利壓縮文件頭檢查技術可以檢測已經通過加密偽裝了的惡意軟件特徵值。

二進制封包

二進制封包通過將其篡改部分進行加密來掩蓋惡意軟件，因而不容易被傳統的殺毒安全軟件分析。該代碼在其被執行的時候打開，繼而感染宿主。類似的技術也被用於在 JavaScript 和等語言中嵌入惡意代碼。歷史來看，這種技術曾在內存昂貴的年代用來壓縮可執行代碼。今天的內存不是一個問題了，但二進制封包則經常被用來規避殺毒檢查。對於JavaScript 和ActionScript的情況，這個方法可以被合理地用於副本保護。Fortinet的旗艦安全平台FortiGate殺毒引擎支持腳本去模糊處理以及檢測許多二進制包，並將惡意軟件解壓成為原生形態以便進行基於 CPRL 的分析，允許在沙盒中進行即時檢測與緩解或進一步加以執行。

多態惡意軟件

多態惡意軟件在每次運行時都會發生變化，添加少量的垃圾代碼以期對付模式檢查和基於“校驗和”的檢查。當一個操作系統將其打開時，惡意代碼便會執行。多態代碼對傳統的反應性檢測構成了挑戰，而 Fortinet則可以通過其主動防病毒檢測引擎技術、CPRL 和沙盒的結合來加以解決。該引擎可以將惡意軟件解壓為一個原生形態，以便在運行駐留在沙盒中的代碼進行更深入的檢查之前，使用最低的處理資源過濾儘可能多的信息流。

Fortinet的FortiSandbox提供強大的主動檢測和防禦功能，以及可操作的威脅洞察，和簡單整合部署等等。而這一切的基礎則是Fortinet屢獲如榮的反惡意軟件和FortiGuard威脅響應中心提供的獨特的，雙層沙箱。經驗豐富的Fortinet威脅研究專家現在則被“打包”到了FortiSandbox中為用户提供更體貼的服務。

對抗如今的攻擊，企業更需要智能型的整合方案，不只是反惡意軟件，也不只是沙盒，更不只是分散的監控系統,防禦目標性高隱蔽性強的攻擊所造成的數據竊取和網絡中斷。唯有這樣的架構能讓企業有效地保護自己，免於如今不斷演化的威脅。