360韩志立：APT攻击检测面面观

在2014中国互联网安全大会的第二天，来自360企业安全产品总监韩志立先生也现身APT防御技术论坛，给我们带来了“APT攻击检测面面观”的主题演讲。

首先，什么是APT，这个问题在业界一直没有很统一的说法。在业界还有一种讲法，强调的不是国家之间的网络安全战略空间上的对抗这方面，而是认为APT是一种更高级的攻击手段，比如高级的逃逸技术、0day等等。这些技术可能是传统安全产品无法有效检测的，业界认为这个也是叫做APT。

现今威胁的新形式

现在的威胁跟过去相比有很大的变化。中美黑客大战的时候，这个时候的攻击者往往是个人，而不是有组织的团体，他们的攻击目的可能是为了个人在技术上的挑战，或者是为了赢得在黑客中的声誉，他们可能会使用很多的攻击方法，这些攻击方法给社会带来的危害并不是非常严重。

现在我们面对的主要攻击对手已经有很大的不同，他们是有组织的团体，比如国家之间的对抗，他们进行的是国家队之间的攻击方法。还有伊朗军团这样以黑客行动主义为代表的攻击方式。还有以金融犯罪为主导的网络犯罪活动。他们有一些共同的特点，往往更具有组织性，更有目的。

现在可以利用更大范围的地下黑客产业所带来的资源。从360了解的情况可以看到，一个0day国际市场上，花几万美金就可以拿到，而一个恶意软件的建造工具也可以在黑客市场上以几千到几万美金的价格拿到。对于一个攻击者来说，不再像过去一样，可能有些更高级的人，他建造了一些工具，流传在这里，可以通过购买和团队合作的方式使用0day的方式，或者在攻击某些特定目标的时候，使用新的恶意软件的工具集定制自己的攻击工具，进行长期渗透。

现在绝大多数的攻击都有显著特点。首先是黑客非常清楚重点目标、有价值目标的企业部门会建立防御手段。在进行APT攻击的时候，会针对已知的防御手段进行测试，确认是否能够绕过这些防御手段以及检测方式。在整个攻击过程中更强调攻击的隐秘性，而不像过去，作为一个黑客，攻击别人的网站，是需要大家都能知道我做了这么一件很有趣的事情。而现在，他们是希望一切都在静悄悄的状态下进行。

对于传统安全商来说，面对着两个比较巨大的挑战。

1.高级恶意软件

它具备高级逃逸技术，或者是0day等等先进方法的恶意软件。密网系统捕获了互联网上的恶意软件样本，这些样本还不具有足够的先进性，当用这些样本检测AV厂商的时候，有54%的恶意软件是完全检测不到的。即使不考虑APT的问题，高级恶意软件也是我们面临的挑战。我们需要改变过去的想法，装了一个AV不可能做到绝大部分的查杀。如果是真正的APT攻击，它针对特定的目标，对于反攻击厂商来说，在攻击爆发之前很难拿到攻击样本。而不像过去，是大规模的目标攻击，我可以在网络中捕获大量的样本，有可能在它爆发之前在产品中安装相应的签名进行检测。

2.多态和变形技术的广泛使用

前几年比较流行的宙斯木马，它在2010年以前已经被反病毒公司发现，由于它具有多态和变形技术，当你发现它的第一个样本的时候，它在网络中已经变换了一个形态，反病毒厂商启动的特征码检测，对于它来说是永远滞后的。

这个挑战，87%的数据泄露事件是传统检测技术无法发现。这些事件的发现完全是由第三方通过外部信息，比如先进的银行和企业知道自己出现了数据渗透事件，这些企业构建的内网安全检测体系起到的作用不是非常充分。攻击者渗透到内网当中，控制了某些终端，会获得内网的合法权限。攻击者在攻击之前已经考虑到内网中存在着审计类产品、IBS等等传统的检测方式，他们能做出充分的准备。

这些所有的攻击所面对的攻击者不只是重要目标，包括个人、中小企业，他们也存在着相应风险。虽然本身的目标不够有价值，但由于他们的准备没有大型企业充分，对于黑客的付出和得到的来说还是有价值的。黑客如果想直接渗透有价值的目标，往往是非常困难的，他们会使用攻击跳板的方式。我们现在听到的阵网病毒，它的攻击目标并不是伊朗的核工厂，而是针对核工厂的某些技术人员的家庭网络进行渗透。阵网病毒最初的来源是内部技术人员的家庭电脑，在感染了家庭电脑之后，通过USB等等方式带到了工厂的隔离区域和生产区域。

如何对抗恶意攻击

大家首先会想到沙箱技术。从目前遇到的问题来看，传统的沙箱技术并不能足以解决高恶意软件的监测，比如可执行文件的检测，我在沙向中很容易判定一个PDF文件，而PE文件是很复杂的，很难判定。由于APT攻击者足够了解沙箱检测技术，他们可以逃逸检测方法。沙箱检测要依赖于虚拟环境，作为一个硬件设备，环境数量又是受限的，对于C&C通道的检测，黑客也是可以逃逸的。绝大多数企业需要防御措施。

1.可执行文件的检测

360的QVM是一个比较强大的创新。它是基于恶意软件的基因特征进行检测，不需要通过查户口本的方式知道这两个人之间是非有血缘关系，而是基因检测的方法确认这两个人在基因上有没有血缘关系，它是传统的反病毒厂商的启发式检测的进化。启发式检测受限于对恶意软件的理解，很难控制。QVM是搜集数千亿的样本，进行自动化学习，将学习结果和样本进行比对，防止误报的发生。可以做到检出率最高、误报率最低。

2.改进沙箱系统

我们需要对现有的沙箱系统进行改进，不再是像传统一样更关注沙箱中的行为，而是针对内容和指令层面进行监控。一个文本文件要被黑客利用的时候，首先是存在漏洞利用，必然会存在内存的跳转以及内存属性的变化。通过对这些方式的监控，可以确认文件运行时是否存在漏洞利用的可能性，能在很大程度上解决沙箱逃逸的方式。

3.云端检测平台和信誉情报共享

在一个设备上无法解决黑客的逃逸措施，硬件设备的虚拟环境是受限于硬件资源的，对于C&C通道的检测，黑客会采用随机的方式，这一秒连接的服务器和下一秒连接的，因为存在随机算法，我们是看不到的。通过沙箱找到C&C的地址，它往往是过时的或者是失效的方式。在这种情况下，必须依赖于云端的计算资源，有几百、几千台机器并行运算，模拟沙箱的环境，采用人工或者是机器逆向的方式检测逃逸方式，这样才能对恶意软件进行有效检测，而最终可以得到C&C或者是恶意软件地址的数据库，再推送到前端设备，达到实时防御的效果。

我们认为对现有的恶意软件进行检测，需要考虑到支持漏洞利用检测的沙箱技术。PE文件要提供未知威胁的检测能力。要依赖云端和人工的分析平台。对C&C通道的检测，以及由其实现的信誉进行总结。

对于内网的持续渗透，黑客会针对内网的IDS等特征进行逃逸，针对内网的检测方式应该是基于行为的异常检测。当我们使用这种方式的时候，首先碰到的第一个门槛就是数据存储的问题。过去如果是进行已知特征检测，对于数据存储平台来说，只需要检测日志和告警。当现在没有明确告警的时候，我需要从大量的数据中分析什么是正常行为、什么是异常行为，我们就需要搜集大量的数据。它的数据量可以达到TB的级别，对于传统的数据库来说，无论是存储，还是计算，都是做不到的。所以大数据的存储和处理能力对于APT检测来说是一个基础的技能。

当我们拿到这些数据之后，可以考虑的方式也不同于传统的异常检测，更多的是考虑基于数据挖掘的方式。如果一台机器被黑客攻占，因为这台机器要向外发送数据或者是跳转攻击，它的网络行为和正常的上网设备不同，我们可以通过物理上的挖掘算法，找到与绝大部分机器的上网行为不同的个体，对其进行具体分析，就可以确认找到APT攻击的线索。
针对这个方式，还有一些可视化的方法，看到流量异常事件，可以进一步分析确认攻击行为。可以利用可视化的关联分析，在多个时间序列中查找到攻击关联事件的顺序。

内网检测还需要考虑到安全情报数据分析。通过各种渠道拿到的安全情报，对已经存储的数据因为历史性的查询检索。即使当时没有发现，在拿到后续情报的时候进行检索，也能够找到内部是否存在曾经被渗透的痕迹，再进一步分析。内网的异常检测发现的是特殊样本，这些样本是否是真正的攻击行为，更多的是需要人工的方式进行确认。对于内网的检测，更多的是人和人之间的对抗，而它依赖的是专业化的安全人员进行的持续内网检测。

针对于APT攻击，任何一种单独的方式都是不足以检测的。Gartner的检测报告认为任何一个APT检测都需要在网络、内容和终端上进行交叉检测，在任何阶段都可以提供APT检测。黑客也许可以通过逃逸绕过某一层防御，当你的防御层级足够多的时候，黑客总是会露出马脚。

这些解决方案不仅是技术上的问题，更重要的是观念的变革。某些技术可以由安全的厂商解决，比如针对漏洞利用进行检测的沙箱技术。还有一些问题是需要社会和企业共同努力。

1.首先是针对云端的使用，所有的检测，设备计算是远远不够的，更多的对恶意软件的分析需要依赖于云端强大的计算能力和分析能力。我们需要将一些特定的样本上传到云端。对于传统的安全，采购到设备之后，企业可以很好的使用设备。在高对抗场景下，需要的服务安全能力是一般企业很难具备的。对于APT设备，需要设备和服务一体化，企业使用起来才更有效。

2.然后是安全情报的共享。大家一提到大数据，相同想到的是隐私问题。大数据涉及到非常多的领域，通过大数据的方式开展新业务，可能有隐私的问题。如何保护大数据本身的安全，又是另外的问题。我们如何使用大数据解决安全问题，这完全是不同的领域。我们认为安全情报共享不涉及任何企业和个人的隐私。当这些信息能够共享的时候，可以形成很好的蓝图，在任何一个位置看到一个复杂的APT攻击，可以在几秒钟或者是几分钟的时间内，全世界就可以对这类的攻击形成防御手段，APT攻击者的成本就会有很大提升。

所有这一切不仅是需要安全厂商的努力，也需要社会各方面改变原有观念，共同应对APT的问题。