啟發式掃描和沙箱防護:雙劍合壁對抗 APT 攻擊

趨勢科技一直都在對抗APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊,所以很清楚並沒有單一技術可以有效地防護組織網路來對抗這些造成嚴重影響的攻擊活動。這很可悲,沒錯,但它也意味著有許多安全技術可以加以利用,像是沙箱和啟發式掃描。它們協同工作就能夠合成強大的武器來提供防護。

APT

採用啟發式掃描和沙箱技術這樣互補的技術可以補全對方的弱點,有效而快速地提早識別未知的威脅。啟發式掃描採用基於規則的系統以快速識別可能的惡意檔案。它的有效性在很大程度上依賴於規則如何定義。而另一方面,沙箱技術是種在受保護環境(通常是虛擬機)內安全地執行可疑檔案的方法,所以可以看到它會做些什麼而不會感染到主機。

效率和準確度

實際上,啟發式掃描可以做為檔案送至沙箱前的過濾器。這樣做可以降低成本和提高系統的承受量。啟發式掃描也可以判斷檔案的類型,這樣當你將兩樣技術配合使用時,舉個例子,啟發式掃描可以告訴沙箱一個Office檔案是Word 2003、Word 2007或Word1.0。這樣沙箱就可以利用適當/預期的環境下執行該檔案。

此外,即使一家公司有足夠的資源讓沙箱用各種可能條件來執行每一個檔案,還是有惡意軟體可以分辨自己是否運行在沙箱中,進而不會表現出任何惡意行為。對IT管理員來說,最好的辦法就是先用啟發式掃描來偵測這個檔案,以獲得更好的偵測覆蓋率。

解決方案與零時差攻擊

如前面所提到,啟發式掃描加上沙箱技術的有效性在很大程度上依賴於定義好的啟發式規則。這些規則需要足夠的前瞻性才能識別全新的威脅,但同時要夠具體才能避免誤判。

檢查這些規則有效性的好方法就是看這些規則如何處理零時差漏洞攻擊。本質上來說,零時差漏洞攻擊就是利用未修補漏洞的惡意軟體,但對於相似的漏洞攻擊技術,足夠「聰明」的啟發式規則就可以抓到它們。

比方說,趨勢科技進階威脅掃描引擎內就算是已經開發好幾年的舊啟發式規則也可以偵測到最近的零時差攻擊:

  • 2014年5月的CVE-2014-05155被2014年所開發的規則所偵測 – HEUR_SWFJIT.B
  • 2014年4月的CVE-2014-1761被2012年所開發的規則所偵測 – HEUR_RTFEXP.A/ HEUR_RTFMALFORM。
  • 2014年2月的CVE-2014-0496被2010年所開發的規則所偵測 –HEUR_PDFEXP.A
  • 2013年11月的CVE-2013-3346被2010年所開發的規則所偵測 –HEUR_PDFEXP.A

 協助早期偵測

假設已被入侵:企業現在應該明白,越晚察覺到進行中的針對性攻擊活動,就越難減輕損害,甚或偵測到攻擊。因此,早期發現是網路防禦者的首要任務,而多層次防禦則是長期的作法。

@原文出處:Heuristic Scanning and Sandbox Protection: Best of Both Worlds作者:Chingo Liao和Kuanyu Chen(威脅分析師)