2012年7月 逐鹿反APT

 晕，居然忘了贴了...8月的都快出来了

逐鹿反APT

——2012年7月安全天下事

江海客（安天实验室）

 

本月一些安全会议陆续召开，包括“构建安全、和谐的网络环境”的中国计算机网络安全年会、《信息安全与通讯保密》杂志社理事会议等等。这些会议的共同热点之一是如何对抗APT（高级持续性威胁）攻击。

与此同时，关于APT的各种最新消息，也在网络上传递交汇。

6月29日，Kaspersky宣布发现Mac OS X上一个名为MaControl的后门软件。该恶意代码正在通过电子邮件附件的形式传播，Kaspersky认为它是某个APT攻击的一部分。

7月18日， F-Secure则展示了一批文档文件，包括MS-Word、MS-Excel、PDF等格式，均用于APT攻击，其中包含了漏洞利用代码，可以加载要投放到计算机中的后门。

从产业界来看，新的一轮产品竞跑正在出现。国内企业虽然落后了两年，但看起来跟进的速度并不慢。

对抗APT有多种技术思路，一种是演化出类似FireEye、Damballa等反病毒领域的深度分支产品，这些产品基本上是采用流量获取与虚拟加载相结合的方法，重点在于应对格式溢出漏洞尤其是0day漏洞。国内也有瀚海源、安天等几家公司进入了这个领域。

有趣的是，我们很难从官方网站或其他公开渠道了解到相关产品的详细端倪。反病毒产品最大的软肋之一，在于它是一种易于获得的资源，因此非常容易被攻击者用于针对性的攻防对抗——恶意代码作者可以一直编写和测试直到反病毒产品失效为止。因此反APT产品对细节的讳莫如深也不难理解。

另一种思路则是以白名单思想为基础、以私有云为依托的解决方案，国内也有金山、江民等厂商在做类似的尝试。这种解决方案通过安全基线的方式解决执行准入问题，是基于传统反病毒技术基础、但有所突破的另一种尝试。

私有云的问题可能与可信计算比较类似，它更多解决的是有文件载体的可执行体安全问题，但这种思路应对非可执行文件的威胁能力不足。此外，鉴定效果与采集能力有关，可能会遇到Rootkit的挑战。

传统的安全设备厂商自然也不会放弃相关的努力，他们把很多工作放在了对长期数据的缓存和对大数据的回溯分析之上。今天的0day会在某一天变成可检测的已知漏洞，那么，既然APT将实时对抗变成几乎不可完成的任务，那么能够回溯，总比一无所知更好。预计存储厂商对这种思路也会欢欣鼓舞。

SANS安全研究机构专家Rob Lee则从用户素质的角度看待问题，他认为，APT攻击可以被阻止，但这需要企业接受一系列的训练。他指出，财富500强已经有超过50%的企业遭到过APT攻击，“你可以根据过去预测未来。敌人不可能改变所有的手段，只要你了解了他们，就能更好地面对下一波攻击。”

APT背景下，一切均不可靠将成为一条定律。近日一个特殊的渗透设备就被曝光，表面上这是一只插线板，但实际上却是内置了Wi-Fi、以太网、蓝牙和3G通讯模块的专用渗透设备，能成为入侵内网的跳板使用。就像传统窃听器经常装在灯头上来解决动力的问题一样，把插座转化成攻击跳板也是如此的思路，尽管这个方法此前多次见诸网络文献，但一直还停留在民间有限的尝试。而这款设备则工艺水准很高，并以1295美元的价格出售。但这些都不是最值得关注的，最引人瞩目的是该项目的背景——由DARPA（美国国防部高级研究计划局）资助开发。管中窥豹，可见一斑，我们已经可以看到“大玩家”（国家与政府）入场后，网络世界的秩序图景将会有怎样的变局。