APT攻擊手法在台灣持續翻新
達友科技獨家代理Xecure Lab,其先進資安威脅研究中心,發現從8月13號開始出現一波利用CVE-2012-1535 Adobe Flash Player弱點,與CVE-2012-0158的Excel弱點所寄發的目標式攻擊信件,據上傳至VirusTotal的多筆資料顯示,市面上42套防毒軟體沒有一家能偵測此零時差漏洞攻擊。
很快地Adobe原廠在8月14號就發布Flash Player的資安通報並提供更新下載,唯接下來一周持續出現的幾波APT攻擊,仍有許多防毒軟體即使更新到最新病毒碼(8/17),都被繞過無法偵測這些惡意文件。
這波2012-1535漏洞與早先CVE 2012-0158漏洞,在台灣於8月下旬又崛起一波新攻勢,其主旨、內文與附件均較國外更為細緻與複雜,精心為台灣民情與目標對象的社交活動而設計,攻擊手法有三大特色:1.「沒有來路不明的郵件」,受害者的通訊錄被利用為此波社交工程攻擊名單;2.「惡意行為無法被觀察」,受害者收到的附檔變成有密碼保護的Office文件;3.「附檔類型持續翻新」,受害者收到的附檔除了Word文件,亦有Excel文件。
更由於成功躲避防毒大廠的偵測,台灣已發現多起遭受有效攻擊之個案——受害者事後上傳VirusTotal,確認其使用的防毒軟體無法有效偵測此惡意文件,包括台灣知名大廠都無法偵測。
綜觀目前市面上的APT解決方案,可分為四大類。
APT DNA分析技術
Xecure Lab自主研發的APT DNA分析技術,2011年獲得在全球最大駭客年會DEFCON首日公開發表的先進技術,係在閘道端即時對惡意檔案進行DNA採樣,不依賴文件格式、不依賴觸發環境、可突破文件加殼加密干擾、可突破反偵測技術,為全世界唯一有能力提供與商業版相同檢測等級的免費惡意文件上傳檢測網站,供全球駭客嚴峻測試,並服務一般廣大使用者。
靜態分析引擎技術
在閘道端採用的靜態分析引擎,雖不需等待病毒碼更新,卻可能需等待漏洞特徵更新,針對每個文件格式(包括PDF的各個改版)甚至每個漏洞特徵都需要撰寫一個分析模組,包括未支援的文件格式(該地區或該單位特有文書處理軟體)、未支援的CVE漏洞編號、加密碼的ZIP/RAR壓縮檔等,導致仍有很高機會錯過第一時間達到立即防護零時差攻擊的契機。
動態行為沙箱技術
沙箱技術無法重現漏洞的可執行環境,容易被反偵測,包括滑鼠會不會移動、休眠數十分鐘、對外連線測試、以及與使用者互動要求輸入密碼等技巧,都能輕易繞過沙箱環境。
黑白名單比對技術
黑名單列舉方式如同過去防毒軟體的病毒碼一般,有涵蓋率的問題。而白名單作法則須注意APT攻擊濫用可信任的簽章與憑證,如惡名昭彰的Flame在部分地區的版本甚至是有微軟合法簽章,而Stuxnet超級病毒當初亦有兩家台灣園區廠商的簽章,以及攻陷日本三菱重工的Hunter也有某軟體大廠的合法簽章。