建立多層聯防架構 迫使駭客寸步難行

業界普遍認為，善用沙箱模擬技術，有助於探索未知惡意攻擊，可望發揮一定防護功效。來源：Cuckoo

回顧APT話題延燒，始於2006？2007年，當時資安業界開始察覺，駭客已不再以癱瘓系統為目的，轉而以竊盜機敏資料以資謀利，且攻擊力道不斷增強，後續幾年又驚爆數起重大事件，足見APT已成為惡意攻擊主流，致使對應方案應運而生。

由於網路應用日益發達，故而有愈來愈多惡意程式，開始透過網際網路傳遞，且型態變得愈來愈複雜，能有效躲避傳統安全系統的偵測，於是APT便成為近來最讓人驚悚的夢魘。

可以想見，當多數資安業者驚覺，過去賴以生財的利器，不管是防火牆、入侵防禦系統、防毒軟體、垃圾郵件過濾器等眾多安全產品，竟然無法阻止APT惡意程式的步步進逼，實在非同小可，當然會著手研究APT攻擊，試圖歸納相關惡意程式之樣貌，繼而研發可破解其攻勢的解決方案；發展至今，許多原本擅於不同領域的多數資安廠商，儘管各自定義APT的方式頗為分歧，但多已宣稱備妥APT防禦產品。

看到這裡，不少企業用戶紛紛對於資安業者「肅然起敬」。所謂台上1分鐘、台下10年功，綜觀APT駭客之攻城掠地、所向披靡，固然讓人咬牙切齒，卻不得不讓人佩服，他們確實深具巧思，懂得利用複雜的社交工程、非執行檔的文件漏洞、冒用合法數位簽章，乃至自我保護機制，繞過層層防禦，一步步取得受駭企業的有價資訊，足見這些駭客經過長期淬煉，已經摸透了絕大多數資安工具的偵測脈絡，才得以佔盡上風。

至於資安業者，居然可以在短短期間，從束手無策的疲弱身態，一下子猶如吃盡大補丸，足以戰勝惡意攻擊，進化速度未免太快，卻也不禁令人有所質疑，運用這些廠商提供的安全機制，真能擋得住APT攻勢？

持平而論，資安廠商長期與惡意程式鬥法，依據過去經驗，縱使一時之間難免失手，但通常不會讓駭客囂張太久，很快就能修補過往罩門，找出因應對策，足見這群業者理應具備一定研發實力，亡羊補牢的效率並不差，因此能夠將APT防禦解決方案端到檯面上，絕非滿口膨風，肯定所有憑據。

在此情況下，企業機構為了防範APT攻擊，自然有必要詳加研究相關防禦產品，並依據自身應用環境的弱點，選擇最契合實際需求的解決方案，儘速予以導入、佈建。

單靠沙箱  不足以萬無一失

但APT畢竟堪稱是史上最難對付的惡意攻擊，位居攻方的駭客歷經長時間布局，悉心研究守方可能乘隙而入的弱點，不斷研製最能突穿所有防線的攻擊行為，等於是在反覆試誤之中持續強化能量，因此當你架設起新的防禦工事，駭客並不會就此棄械投降，一定再接再勵翻新攻擊手法，靜待你可能犯錯的時機點(例如新的員工上線、新的應用服務啟動等)，抓住瞬間契機給予致命一擊。因此，不管企業是否導入APT防護系統，仍舊不可掉以輕心，必須培養嚴謹的資安意識，無時無刻灌注在所有使用者的日常行為模式之中。

此外，如同前述論點，駭客會根據守方的防禦機制，持續研究新的突破點，因此一時有效的解決方案，也未必永遠有效。以資安業者公認最能有效防禦未知惡意攻擊的「沙箱」(Sandbox)模擬技術而論，便是很典型的例子。

隨著雲端沙箱產品或服務不斷出籠，駭客在長期冷眼旁觀之下，不斷嚐試修正其攻擊方式，時至今日，似乎也漸漸凸顯出沙箱的盲點。資安業者指出，以Target慘遭APT攻擊的事件為例，證明用重金打造的強大沙箱，雖然放諸整體防禦架構，必然有其功效，但如果僅想靠它抵擋一切威脅，未免寄望太高。

沙箱防護可能隱含的問題中，最明顯的一點，即是現今駭客愈來愈懂得運用「假動作」閃避沙箱偵測，當其意識到已被導向虛擬環境，便得知此時正在接受沙箱模擬，於是決定暫緩一切動作，使之看似為乾淨無害的檔案，爾後經由放行至Production運作環境，再伺機卸下假面具，開始觸發惡意行徑。

因此，在APT防禦業界夙有盛名的FireEye，便標榜其MVX虛擬分析引擎，完全是自行研發打造，並未採用一般常見的商用虛擬機，為的正是讓惡意程式不知自己進入沙箱環境，故而不會採取假動作，終至遭到一舉成擒。

值得一提的，有些時候，某些惡意程式甚至不必大費周章採取假動作，也可躲過沙箱偵測。比方說，假設一個埋藏惡意程式的PDF檔案，內含好幾頁內容，駭客通常不會選擇將惡意行為的觸發點，擺在第一頁，而是當使用者翻閱到第二、三或四頁時，才會開始動作，值此時刻，沙箱在進行模擬分析後，理應會判定為正常檔案，接著予以放行。

但也有若干廠商已意識到此一盲點，遂採取不同手段，力圖讓惡意程式浮出檯面。譬如來自南韓的AhnLab，其MDS自動化惡意程式防禦系統，特別在沙箱防護機制之後，添加了一道「整合式行為分析」防禦層，然後透過動態內容分析檢測技術(DICA)，重新剖析PDF檔案的Shellcode，藉此過濾出可疑的惡意指令，避免APT矇混過關。

此外，不久前才被美商Verint Systems購併的艾斯酷博(Xecure Lab)，則是運用DNA反解析之逆向工程專利技術，可從程式語法與行為合理性等角度，察覺依附在各個機碼或程式的惡意程式，甚至可一併揪出後門程式所夾雜的中繼站資訊。

緊盯APT攻擊步驟  從中找尋擊破點

再者，有些包藏惡意程式的檔案，並非運用了多麼高明的加密、或暫緩執行速度等方式，才得以成功閃躲沙箱防護，而是因為執行模擬的環境不匹配所致！沿用前述的PDF惡意檔案之例，單單以PDF而論，前後便有7、8、9、10或11等不同版本之區別，每個版本各有不同漏洞，有時駭客會刻意運用較舊版本的弱點撰寫惡意程式，倘若某些沙箱支援廣度不足，或基於效能考量，僅選擇以少數版本進行模擬測試，就容易產生漏網之魚，而當該惡意PDF檔案進入企業網路，又恰好有使用者透過被駭客預設觸發的版本工具開啟，即意謂駭客佈樁成功，可好整以暇伺機展開後續行動。

正因如此，包括FireEye等若干廠商，強調會在進行虛擬分析時，針對不同檔案格式的所有版本，執行完整測試，為的正是防堵漏網之魚。

總括而論，APT防禦是一個浩大工程，其實很難靠著單一或少數解決方案，便能克竟全功，因此不少專家一致建議，企業宜佈建多層次聯防架構，藉以朝向多個面向分頭進擊，進而墊高駭客入侵的門檻；在此一聯防機制，即便是部分單憑己力不足以防範APT攻擊的資安工具，譬如防火牆、入侵防禦系統、防毒軟體甚或資料外洩防護(DLP)等等產品，只要被擺對位置、各司其職，都可望發揮一定功效，這也證明，企業面對一些看似傳統的防護工具，絕不能因為它們「看似對APT無計可施」，就加以束之高閣。

為何多層次聯防機制如此重要？此乃由於，綜觀APT攻擊模式，通常都可區分為幾道步驟，不外是先行偵測用戶行為，然後透過郵件或Web佈放誘餌、設法引君入甕，誘使其下載特定程式，接著利用受害者電腦的系統漏洞，植入惡意檔案並預留後門，再試圖聯繫外部中繼站、接受下一步指令，最後透過SMB網路芳鄰等管道，於企業網路內部進行橫向擴散，逐步取得最高控制權，終至竊取資料。

凡走過必留痕跡，上述的每一步驟，其實都有可疑行跡，此途徑當中的任何一點，都有擊破的機會；一旦偵測出APT惡意程式，通報原廠的雲端實驗室，隨即製作相對應解藥，再派送至各端點防護系統，一方面阻止類似攻擊進犯，二方面清除並修復已遭感染的主機，即可化險為夷。