俄罗斯APT北约 走的是“凯尔卡小门”

奥地利历史学家茨威格的著作《人类的群星闪耀时》中提出一个观点，具有历史意义的时刻一旦发生，就会决定几十年和几百年的历史进程，就像避雷针的 尖端集中了整个大气层的气流一样，数不胜数的事件往往挤在一个时刻发生，这些事件只是发生在某一天，某一时刻，但是他的影响却是超越时间的，这正是安全界 的APT攻击。

近日，美国一家信息安全公司iSight发布的一份报告显示，俄罗斯黑客利用微软office系统中的漏洞对欧美国家政府、北约，以及乌克兰政府展开间谍活动。目标包括一些能源、电信和学术机构。APT攻击再一次引发了网络安全界的高度重视，北约这样看似固若金汤的马奇诺防线，因为0day漏洞就导致了防线的沉沦不得不让人扼腕，而对于APT攻击，我们得到的又一个教训是：任何疏忽大意都可能为信息系统带来灾难性的破坏。

与传统攻击针对服务器开放端口或服务的攻击不同，APT攻击多半针对具体的人员，通过发送具有0day漏洞的WORD、Powerpoint、PDF等文档给攻击对象受害者为攻击第一步。多数人并不清楚，这些文档文件中还有可能带有安全威胁，而放心打开，而一但打开就触发OFFICE或Adobe PDF Reader等发生关联反应，继而下载二进制木马等行为。

这就是很多媒体一直在说的APT攻击的基本原则，由于这些漏洞是0day，用户网络出口原有的UTM、NGFW等防火墙类设备通常是检测不到的，只有通过采用沙箱加载相关文档，才是有效的快速发现漏洞的方式。但这里问题又来了，尽管安全厂商在后端部署了大量虚拟机作为沙箱，但用户不太可能把企业的所有文档文件交给安全厂商来鉴定，这等于把企业的家底全部交出了。

美国FireEye(火眼)公司提出这个纠结问题的解决方案，它们创新性的把沙箱放到流量监测设备中，设备还原文件后就可以放入沙箱进行分析，这样文档文件如果发生溢出，其行为与正常打开一个文档文件不同，就会被沙 箱发现，而其下载和释放的其他木马也会被沙箱捕获分析。FireEye从此声名大噪，成为硅谷安全产业的炙手可热的明星，与五角大楼连接的很多厂商机构， 都安装了FireEye的产品。当然之后FireEye发现，靠设备中的沙箱检测能力有限，还是放到云端进行多版本组合便利更为可靠，但由于 FireEye已经取得了美欧用户的信任，很多用户并不介意把文档提交到Fireeye的云端鉴定。而FireEye不仅成为美国很多厂商机构的标配，其 产品和工程师也到达菲律宾等美国“盟友”国家，协助这些国家应对APT攻击。而国内360、安天、瀚海源等安全厂商，也分别推出了名为天眼、追影和星云的类似解决方案。

而从这次俄罗斯利用的微软4114等两个漏洞来看，这次以俄罗斯为背景的攻击，是否有可能打穿了流量检查+沙箱解决方案的防线呢？给安全企业的警示又是什么呢？

记者采访了安天负责漏洞分析的工程师，他向记者介绍说，根据目前的分析结果，这个4114是一个PPTX.格式文件，其运行后会通过SMB协议 下载一个名为Slide.gif的文件，但实际上这是一个二进制木马。4114确实越过了多种带有沙箱的检测设备，其原因是，只有播放这个PPTX才会触 发漏洞和下载木马。

“如果我们加载时加入/C的参数,或者补充一个采用模拟按键的方式播放就好了”;“好在我们对SMB协议做了还原。”他做了一个解释。“在用户 系统上触发后，这个二进制下载的木马就会被我们的流量检测探针重新捕获还原，这个木马投入沙箱后，可以会被检测出是一个恶意的PE样本。对这个PE样本的 检测是不需要添加新的规则的，这是沙箱的优点，无需频繁的的进行规则升级。但沙箱的策略还是需要不断完善磨合”

这不由让记者想到，新兴奥斯曼帝国苏丹穆罕默德二世大举攻占东罗马帝国的首都君士坦丁堡，在双方死伤惨重，战事胶着的危急关头，一扇叫凯尔卡的小门的防守疏忽酿成了国家的灭亡，可悲。

安天的技术负责人肖新光认为这个问题是非常严重的，目前的反APT技术机制判定一个PE载荷是否是APT攻击的组成部分的重要参考依据，是其是 否由格式文档溢出后关联导致下载或释放，如果沙箱不能在第一次鉴定就触发文档中的溢出，而在后面的二进制威胁重新流过时再捕获，实际破坏了这种事件关联。 从而可能让后面的二进制检测事件混入其他的普通威胁的病毒事 件中，从而不受重视，因此单纯能捕获到后面的攻击是有局限性的，不能仅仅凭借后面的二进制可以检测，就认为APT检测系统完成了任务。从攻击的趋势来看， 攻击者通过构造和社工的方法，让文档的真正打开者能按照攻击者设想条件触发攻击，而上沙箱中无法触发。这必然是今后流量+沙箱类产品解决方案面临的主要挑 战。

沙箱并不万能，沙箱也需要维护，甚至只是一个触发点的前后顺序，决不能允许一扇没有军事意义就被忽视的凯尔特门的存在，这或许就是4114漏洞的启示。