觀點

防禦APT攻擊 加強惡意文件偵測及AP更新

2012 / 06 / 18
廖珮君
防禦APT攻擊  加強惡意文件偵測及AP更新

進階持續性威脅(APT, Advanced Persistent Threat)愈演愈烈,近年來,不僅陸續爆發出SonyRSA、三菱重工業等受害案例,就連資安廠商的年度報告,也明確指出APT攻擊有持續增加的趨勢。

趨勢科技產品經理王應達表示,這種新型態攻擊多半透過釣魚郵件,誘使收件者開啟夾帶惡意程式的檔案,由於這些惡意程式或病毒只有30%為傳統格式(如:exe),其餘70%皆是文件檔案格式(如:pdfwordppt),加上擬真度極高,容易讓收件者失去防備心。再者,駭客多半會利用AP漏洞設計惡意程式,根據統計,AP的弱點和問題雖然高於作業系統,但多數人都只關心OS有沒有上Patch,卻很少在意AdobeFlash等應用程式是否已經上了Patch,這也是APT攻擊容易成功的原因之一。

由於傳統資安防禦手法,在面對APT攻擊時可能有以下四大問題:

1.      定期修補文件與弱點:難以避開零時差漏洞引起的空窗期;

2.      透過防毒軟體掃描與清除病毒:現今攻擊者多半已掌握各家防毒軟體廠商的偵測技術,並事先調查攻擊目標使用哪一家的解決方法,進而客製化開發惡意程式,藉此避開防毒軟體的偵測;

3.      向員工宣導不要開啟來路不明的E-mail:釣魚郵件益發真假難辨,駭客會根據攻擊目標的身份客製化釣魚郵件,使得收件者無從分辨是否為釣魚郵件;

4.      利用黑名單機制阻擋連線:名單更新耗時費力,且更新頻率密集度亦是一大問題。

因此,趨勢科技於日前推出Deep Discovery解決方案,從側錄網路流量開始,檢測是否為惡意內容與通訊,最後再透過觀察與分析找出攻擊行為,協助企業防禦APT攻擊。

在內容偵測部份,偵測項目包括惡意文件、可疑網路連線、及是否有攻擊行為。王應達強調會特別加強文件檢查的工作,像是E-mail是否夾帶了可透過文件弱點攻擊的附加檔案、文件是否內嵌程式或有隱藏式下藏、是否為異常檔案結構、針對已知文件弱點進行掃描等。

至於觀察與分析攻擊行為,主要透過沙盒(Sand Box)進行,Deep Discovery可以根據使用者環境客製化沙盒(如:繁體中文版的Windows環境),並將可疑檔案丟到沙盒內模擬運作,再透過時間加速器、虛擬網路回應、虛擬使用者資訊、多版本AP…等模擬多種情境,從中觀察與分析惡意程式的攻擊模式。