【解決方案-2】網路出口擋C&C連線內網監控避免擴散

2013 / 06 / 28

編輯部

在上篇文章的最後，我們談到資安廠商們如何透過沙盒檢測等方式來進行APT的防護，以及沙盒分析的限制，畢竟用沙盒來攔阻惡意檔案只是前半部，如何透過沙盒來模擬執行這些可疑檔案以獲得APT攻擊的相關重要情資才是後半部重點所在。

所以即便第一時間無法在網路入口處阻擋掉惡意檔案也沒關係，沙盒會模擬執行惡意檔案，以觀察分析惡意檔案的行為。當惡意程式下載安裝後接著就會開始嘗試與外部的中繼站建立C&C連線，以接受攻擊者的指令，這時網路閘道就能依據沙盒分析出的各項網路特徵，像是對外連絡的IP位址、Domain Name、URL、Dynamic DNS和網路流量行為等，抓出隱藏在企業內網的C&C連線行為並進一步予以阻斷，以達到APT防禦的目的。

利用沙盒收集情資以阻斷C&C連線

威播技術服務部專案經理林岳鋒表示，以往針對這種由內向外的C&C連線行為之所以難以管理，在於目前主流的網路資安設備如：防火牆、IPS、AntiSPAM、網路閘道…等，幾乎都只有偵測由外到內的連線，因此企業常不知道內部存在著惡意流量。即使網管人員關閉不必要的連接埠，卻因為現在有越來越多網路應用程式（如：臉書、噗浪…等）走的是port 80，再加上駭客還是會使用像53/80/443等常見的網路埠來建立C&C連線，讓只能看到第四層網路埠號的傳統防火牆無法攔阻。

但透過沙盒分析得到情資回饋後，資安廠商們也能就自己產品的功能定位，在網路出口處提供不同APT防禦的選擇。像Palo Alto Networks的NGFW可以看到第七層封包內容，以辨識出是否是偽冒的C&C連線，也會將沙盒分析出的惡意檔案製作成特徵碼部署到NGFW上，阻擋相同的惡意檔案被下載安裝。而Fortinet則會將中繼站資訊放入Botnet IP黑名單中，阻絕這些來自內部電腦的對外連線行為。至於威播NG-IPS產品雖然沒有沙盒機制，但透過自家RBL研究室與外部合作單位蒐集C&C IP黑名單，在對外封包上還會檢查C&C Command，看有沒有送資料出去，以達到阻斷C&C連線的目的。

從用戶端阻擋內網攻擊活動

除了在網路出口處過濾後門程式的對外連線行為外，潛伏於企業內部的傀儡電腦也會伺機擴散入侵其他系統，以進一步提昇自己的權限或竊取機密資料，因此，如何找出駭客在內網的擴散軌跡，也是APT防禦中的重要一環。

Verizon安全顧問游獻群認為，APT攻擊在進入企業內網後，之所以能在內網搜尋重要主機進行擴散入侵，多半都是與網路和PC的設定不夠嚴謹有關。例如開啟了135/137/139/445等非必要的連接埠，或是遠端桌面連線用的3389 port不用密碼就能登入等，讓攻擊者能利用這些內網設定的疏漏，更輕易地接近重要的目標主機，且因為內網只要透過Switch就可以連接，如果Switch沒有留下Log，企業根本就不會發現內網有惡意活動，所以最好能用一些掃描工具，定期將網路拓璞抓下來分析，並切斷不必要的連線。

另外還可以透過NG-IPS或網路封包側錄工具(Sniffer)進行分析，林岳鋒指出，網路連線行為日益複雜，未來不能只看特徵值而是要做流量分析，而NG-IPS具備拆解與分析封包內容的能力，包括特徵值比對、辨識AP、IP流量分析（上傳和下載的比較）、IP連線位置分析（即IP連到哪些點）…等，可以找出異常的連線行為。

至於網路封包側錄工具(Sniffer)，市面上常見的有Wireshark、L7-filter、Ntop…等，除了價格較為便宜外，林岳鋒認為其與NG-IPS相比有2點差異：
(1) 辨識AP的精準度與樣本資料庫範圍。NG-IPS背後通常會有一個龐大資料庫，進行AP的辨識分類，一般封包分析工具並沒有，可能只能分辨50個（或更少）常見應用程式，容易出現不知道這個流量在跑什麼應用程式，或是辨識錯誤的情況，如：把開在80 port的FTP看成是Http流量。
(2) 內部是否有足夠資源。有些工具需要自己寫程式如L7-filter，企業有沒有此類人才，也是採用前需要思考的地方。

而Fortinet則是從網路層延伸到用戶端的角度來看APT內網活動的防禦。Fortinet台灣區技術顧問賴長生認為：「APT不是瞬間行為，需要長達數月到數年的部署時間，只是這段期間管理人員都沒發覺用戶端的異常行為，才讓APT的攻擊有機可乘。」因此對於APT威脅所產生的內網攻擊活動，Fortinet提出結合使用者身份與設備種類的Client Reputation(用戶端信譽評等)分析法。

簡單的說，Client Reputation就是把資安廠商常用的網頁或IP信譽評等機制的概念套用在企業內網中，針對像該用戶端是否有使用代理服務器應用程式、檢測到不同嚴重等級的網路攻擊行為、連接嘗試失敗與瀏覽網站種類等用戶端的網路異常行為進行關連式分析，以做為統計積分的依據。

舉例來說，某台業務部員工的電腦如果在企業內網不斷嘗試對財務部主機進行入侵刺探或非法的資源存取行為時，該用戶便會在Client Reputation統計分析報表中被列為高風險，提醒管理人員及早注意該用戶是否已遭APT鎖定成為內網攻擊的跳板。不過目前Client Reputation只會對用戶端行為進行統計分析，尚不能直接執行封鎖隔離的動作，如果未來能加入阻擋用戶端網路存取功能的話，相信對APT攻擊能發揮更積極的防護效果。

透過軟體更新來增加APT防禦功能

介紹過資安廠商針對APT不同階段攻擊所設計出的防護功能後，讀者另一個關心的當然還是價格；換個角度看，也就是如何取得這些具APT防護功能模組的方式。以Websense的WEB(即Web Security Gateway)、EMAIL(即Email Security Gateway)、DATA(即Data Security Suite)三大產品線來看，只要能升級到TRITON 7.7版本，其中的ACE進階分類引擎就具前述APT防護功能。而Palo Alto Networks的NGFW則是將APT防禦定位在產品本來就該做到的功能。

Fortinet則只要將其FortiGate系列產品昇級到FortiOS 5.0版本後就能使用沙盒、Client Reputation的功能，並在其Web管理介面下提供NGFW（包括Firewall、IPS、AP管控）、ATP（即Advanced Persistent Defense，包括APT與endpoint control）、NGFW+ATA（包括NGFW和ATP功能）與UTM（包括NGFW、Email、DLP、弱點掃描等功能）等預設的主要功能選項，以便管理者能先選擇所需的功能組合後，再進行細部的修改設定。

由此看來，這些非專屬設備的資安廠商都將APT防護視為其產品的加值功能，只要其產品在維護合約期間內，基本上都能透過軟體更新的方式，讓現有裝置具有APT防護能力而無需更換硬體設備。換句話說，硬體更換與否主要是在效能考量上，只有少數情況下可能會因為機器太過老舊才會發生硬體不支援而無法昇級。

不過像Palo Alto Networks沙盒檢測功能因為是另一個獨立的WildFire產品，所以要另行採購以將沙盒模擬的情資結果回饋到自己的NGFW上來阻斷APT威脅。當然Palo Alto Networks也提供免費的雲端沙盒檢測，但會有24-48小時的空窗期，在防護的即時性上有所不足。

沙盒夠不夠「殺」？

另一個要說明的是關於沙盒分析。不管是放在雲端或設備上，幾乎所有的廠商在談到APT防護時都會提到沙盒模擬技術的採用，即使像強調以DNA演算法進行APT偵測的艾斯酷博也有使用沙盒，只是因為偵測率與涵蓋率的考量而將沙盒放在後端的XecScan威脅分析系統上，由此可見沙盒技術對APT防護顯有一定效果。

雖然大家都有沙盒，但所使用的沙盒夠不夠「殺」，則各有巧妙不同。對像FireEye這種以沙盒技術為主要訴求的廠商來看，沙盒技術的細節仍有許多需要注意的地方。基本上沙盒模擬要發揮效果，得面臨兩個層次的挑戰，首先是沙盒要能模擬出適當的環境（包括支援的作業系統種類與應用程式版本等），才能觸發惡意程式進行攻擊，再者則是避免惡意程式的反偵測。

艾斯酷博科技執行長邱銘彰提到，由於沙盒模擬的廣泛使用，讓愈來愈多的APT程式在啟動前會偵測執行環境，如：網卡號碼、有沒有裝防毒軟體…等，如果發現在沙盒內就不會有任何異常動作以免被發現；此外，針對64位元環境的攻擊也有增加的趨勢，所以偵測工具如果無法支援64位元環境可能就無法誘發惡意檔案的攻擊行為。

因此FireEye技術經理林秉忠便提到有些雲端沙盒所支援的環境不確定，是否能提供多種的作業系統與軟體版本支援？支援檢測的文件類型有哪些？是只能針對exe執行檢測？還是也支援pdf、doc、xls等文件檔案？另外有些沙盒使用的是一般open source虛擬軟體，很容易就發現不是在真實的使用者環境下，這些都會影響到沙盒的檢測效果。

當惡意檔案於沙盒內順利運作後，接下來的挑戰就是如何進行比對分析，林秉忠指出如果僅靠snapshot磁碟快照方式進行比對的話，就無法發現一些只存在於記憶體中的惡意行為，而這些也成為FireEye沙盒解決方案的差異所在。

整合是一致的發展趨勢

我們反覆強調不管是APT專屬設備或是現有資安產品的廠商都同意一點，APT不能僅靠單一技術來進行防護，因此在未來發展上，各家廠商都會以整合的方式來增加自己產品的競爭力。以專屬設備而言，像艾斯酷博去年力推XecMail的APT郵件防火牆，今年則將主力轉向XecRay資安調查鑑識工具，以更深入發掘內部潛伏的惡意程式，並將內網的駭客活動情況透過視覺化方式呈現出來，同時再搭配XecScan的沙盒模擬來做到APT自動防禦。

而FireEye則向外與其他廠商產品進行整合，「我們把自己當作是一個未知惡意程式的偵測平台」林秉忠如此形容，所以FireEye解決方案會和Splunk、ArcSight、BlueCoat、A10等廠商的設備結合，透過Open IOC(Indicators of Compromise)的標準格式，將其沙盒所觀察到的攻擊資訊分享給其他本地端的閘道設備，以此形成一個內部聯防系統。

至於像Websense、Palo Alto、Fortinet這些原本就有其他資安產品的廠商，則是將APT防禦技術融合到其他的功能模組或不同產品線上來增加產品的賣點。像FortiGate結合FortiClient軟體強化終端裝置的防禦能力，Palo Alto Networks則是將沙盒與NGFW整合，以發揮阻斷惡意網路入侵的效果，而Websense則搭配DLP解決方案，提供用戶在遭受APT攻擊時確保機密不致外洩的最後一道防護。

兩者市場區隔不同

雖然同樣具備阻擋APT的功能，但由於產品設計、價格等的差異，讓專屬與非專屬的APT設備在市場上仍有一定的區隔。企業可在不需負擔額外成本的情況下，將現有的UTM、NGFW等網路安全閘道透過昇級更新的方式來具備基本APT防護功能。而使用專屬設備的話，除了需負擔額外的購置費用外（請別忽略還要加上設備管理的人力成本），在功能上也是針對APT的攻擊威脅來設計，而不像非專屬設備提供其他多樣化的安全防護功能。當然在效果上，專屬設備對APT攻擊的偵測能力較佳，但非專屬設備也會結合不同的功能模組（例如防毒、IPS、網址過濾、防火牆、Botnet偵測等）的層層過濾，來提高對APT攻擊的阻擋能力。

因此非專屬設備還是較適合資安預算有限的中小企業所使用，尤其不少中小企業甚至連基本的資安防護尚不完整，在這種情況下，Websense台灣區技術總監莊添發就建議企業應重新檢視自身的資安架構，先看有哪一塊尚待補足。至於大型企業、政府重要機構或一些有特殊安全考量的單位，這些單位IT資源較充裕，IPS、防火牆、網頁過濾等該有的設備一般來說都有了，如果真的擔心成為APT攻擊的目標，就可評估專屬設備來加強防護，最好還能與SIEM、防火牆等現有設備做整合，收集相關資訊或執行即時的網路阻絕，以提高設備的整體使用效益。

表1、專屬與非專屬APT解決方案比較
	專屬設備	非專屬設備(泛指UTM、NGFW、Web安全閘道等具備APT 防護功能的產品)
建置成本	需重新購置設備。	可從企業現有設備昇級新版軟體來增加新的APT功能模組，在維護合約期間內，基本上不需要額外費用。
產品功能定位	主要針對APT威脅防禦所設計，功能較單一化。	在現有功能架構下再新增APT的防護，功能較多樣化。
效果	在APT上的防護效果較佳。	透過不同功能的層層防禦來增加對APT攻擊的防禦。
適用環境	大型企業、重要政府機關或其他有特殊安全考量的單位。	中小企業。
未來發展	較傾向與其他資安廠商進行整合提供威脅資訊，以形成企業內部防禦系統中的一員。	與自家產品結合連動，以提高自家解決方案的附加價值。