建立多层联防架构 迫使黑客寸步难行

业界普遍认为，善用沙箱模拟技术，有助于探索未知恶意攻击，可望发挥一定防护功效。来源：Cuckoo

回顾APT话题延烧，始于2006？2007年，当时网安业界开始察觉，黑客已不再以瘫痪系统为目的，转而以窃盗机敏数据以资谋利，且攻击力道不断增强，后续几年又惊爆数起重大事件，足见APT已成为恶意攻击主流，致使对应方案应运而生。

由于网络应用日益发达，故而有愈来愈多恶意程序，开始透过网际网络传递，且型态变得愈来愈复杂，能有效躲避传统安全系统的侦测，于是APT便成为近来最让人惊悚的梦魇。

可以想见，当多数网安业者惊觉，过去赖以生财的利器，不管是防火墙、入侵防御系统、防毒软件、垃圾邮件过滤器等众多安全产品，竟然无法阻止APT恶意程序的步步进逼，实在非同小可，当然会着手研究APT攻击，试图归纳相关恶意程序之样貌，继而研发可破解其攻势的解决方案；发展至今，许多原本擅于不同领域的多数网安厂商，尽管各自定义APT的方式颇为分歧，但多已宣称备妥APT防御产品。

看到这里，不少企业用户纷纷对于网安业者「肃然起敬」。所谓台上1分钟、台下10年功，综观APT黑客之攻城掠地、所向披靡，固然让人咬牙切齿，却不得不让人佩服，他们确实深具巧思，懂得利用复杂的社交工程、非执行档的文件漏洞、冒用合法数码签章，乃至自我保护机制，绕过层层防御，一步步取得受骇企业的有价信息，足见这些黑客经过长期淬炼，已经摸透了绝大多数网安工具的侦测脉络，才得以占尽上风。

至于网安业者，居然可以在短短期间，从束手无策的疲弱身态，一下子犹如吃尽大补丸，足以战胜恶意攻击，进化速度未免太快，却也不禁令人有所质疑，运用这些厂商提供的安全机制，真能挡得住APT攻势？

持平而论，网安厂商长期与恶意程序斗法，依据过去经验，纵使一时之间难免失手，但通常不会让黑客嚣张太久，很快就能修补过往罩门，找出因应对策，足见这群业者理应具备一定研发实力，亡羊补牢的效率并不差，因此能够将APT防御解决方案端到台面上，绝非满口膨风，肯定所有凭据。

在此情况下，企业机构为了防范APT攻击，自然有必要详加研究相关防御产品，并依据自身应用环境的弱点，选择最契合实际需求的解决方案，尽速予以导入、布建。

单靠沙箱  不足以万无一失

但APT毕竟堪称是史上最难对付的恶意攻击，位居攻方的黑客历经长时间布局，悉心研究守方可能乘隙而入的弱点，不断研制最能突穿所有防线的攻击行为，等于是在反覆试误之中持续强化能量，因此当你架设起新的防御工事，黑客并不会就此弃械投降，一定再接再励翻新攻击手法，静待你可能犯错的时机点(例如新的员工上线、新的应用服务启动等)，抓住瞬间契机给予致命一击。因此，不管企业是否导入APT防护系统，仍旧不可掉以轻心，必须培养严谨的网安意识，无时无刻灌注在所有使用者的日常行为模式之中。

此外，如同前述论点，黑客会根据守方的防御机制，持续研究新的突破点，因此一时有效的解决方案，也未必永远有效。以网安业者公认最能有效防御未知恶意攻击的「沙箱」(Sandbox)模拟技术而论，便是很典型的例子。

随着云端沙箱产品或服务不断出笼，黑客在长期冷眼旁观之下，不断嚐试修正其攻击方式，时至今日，似乎也渐渐凸显出沙箱的盲点。网安业者指出，以Target惨遭APT攻击的事件为例，证明用重金打造的强大沙箱，虽然放诸整体防御架构，必然有其功效，但如果仅想靠它抵挡一切威胁，未免寄望太高。

沙箱防护可能隐含的问题中，最明显的一点，即是现今黑客愈来愈懂得运用「假动作」闪避沙箱侦测，当其意识到已被导向虚拟环境，便得知此时正在接受沙箱模拟，于是决定暂缓一切动作，使之看似为乾净无害的档案，尔后经由放行至Production运作环境，再伺机卸下假面具，开始触发恶意行径。

因此，在APT防御业界夙有盛名的FireEye，便标榜其MVX虚拟分析引擎，完全是自行研发打造，并未采用一般常见的商用虚拟机，为的正是让恶意程序不知自己进入沙箱环境，故而不会采取假动作，终至遭到一举成擒。

值得一提的，有些时候，某些恶意程序甚至不必大费周章采取假动作，也可躲过沙箱侦测。比方说，假设一个埋藏恶意程序的PDF档案，内含好几页内容，黑客通常不会选择将恶意行为的触发点，摆在第一页，而是当使用者翻阅到第二、三或四页时，才会开始动作，值此时刻，沙箱在进行模拟分析后，理应会判定为正常档案，接着予以放行。

但也有若干厂商已意识到此一盲点，遂采取不同手段，力图让恶意程序浮出台面。譬如来自韩国的AhnLab，其MDS自动化恶意程序防御系统，特别在沙箱防护机制之后，添加了一道「整合式行为分析」防御层，然后透过动态内容分析检测技术(DICA)，重新剖析PDF档案的Shellcode，借此过滤出可疑的恶意指令，避免APT蒙混过关。

此外，不久前才被美商Verint Systems购并的艾斯酷博(Xecure Lab)，则是运用DNA反解析之逆向工程专利技术，可从程序语法与行为合理性等角度，察觉依附在各个机码或程序的恶意程序，甚至可一并揪出后门程序所夹杂的中继站信息。

紧盯APT攻击步骤  从中找寻击破点

再者，有些包藏恶意程序的档案，并非运用了多麽高明的加密、或暂缓执行速度等方式，才得以成功闪躲沙箱防护，而是因为执行模拟的环境不匹配所致！沿用前述的PDF恶意档案之例，单单以PDF而论，前后便有7、8、9、10或11等不同版本之区别，每个版本各有不同漏洞，有时黑客会刻意运用较旧版本的弱点撰写恶意程序，倘若某些沙箱支持广度不足，或基于效能考量，仅选择以少数版本进行模拟测试，就容易产生漏网之鱼，而当该恶意PDF档案进入企业网络，又恰好有使用者透过被黑客缺省触发的版本工具开启，即意谓黑客布桩成功，可好整以暇伺机展开后续移动。

正因如此，包括FireEye等若干厂商，强调会在进行虚拟分析时，针对不同档案格式的所有版本，执行完整测试，为的正是防堵漏网之鱼。

总括而论，APT防御是一个浩大工程，其实很难靠着单一或少数解决方案，便能克竟全功，因此不少专家一致建议，企业宜布建多层次联防架构，藉以朝向多个面向分头进击，进而垫高黑客入侵的门槛；在此一联防机制，即便是部分单凭己力不足以防范APT攻击的网安工具，譬如防火墙、入侵防御系统、防毒软件甚或数据外泄防护(DLP)等等产品，只要被摆对位置、各司其职，都可望发挥一定功效，这也证明，企业面对一些看似传统的防护工具，绝不能因为它们「看似对APT无计可施」，就加以束之高阁。

为何多层次联防机制如此重要？此乃由于，综观APT攻击模式，通常都可区分为几道步骤，不外是先行侦测用户行为，然后透过邮件或Web布放诱饵、设法引君入瓮，诱使其下载特定程序，接着利用受害者电脑的系统漏洞，植入恶意档案并预留后门，再试图联系外部中继站、接受下一步指令，最后透过SMB网络芳邻等管道，于企业网络内部进行横向扩散，逐步取得最高控制权，终至窃取数据。

凡走过必留痕迹，上述的每一步骤，其实都有可疑行迹，此途径当中的任何一点，都有击破的机会；一旦侦测出APT恶意程序，通报原厂的云端实验室，随即制作相对应解药，再派送至各端点防护系统，一方面阻止类似攻击进犯，二方面清除并修复已遭感染的主机，即可化险为夷。