自然界如此����,安全界亦如此����,在所有讓全球震動的APT攻擊事件中,起因都是那些毫不起眼的一個個鏈接����,通過輕輕一個鼠標點擊,為黑客打開了勝利之門�。手滑帶來的結果卻遠超這個自然界的蝴蝶效應。
蝴蝶是美麗的, 你可知美麗的蝴蝶翅膀也會帶來意外的效應?一只南美洲亞馬遜河流域熱帶雨林中的蝴蝶�,偶爾扇動幾下翅膀,可以在兩周以后引起美國德克薩斯州的一場龍卷風�����。是的����,看似毫不相干的輕輕揮揮手, 卻有可能引起巨大反應����。自然界如此�����,安全界亦如此��,在所有讓全球震動的APT攻擊事件中����,起因都是那些毫不起眼的一個個鏈接,通過輕輕一個鼠標點擊�,為黑客打開了勝利之門。手滑帶來的結果卻遠超這個自然界的蝴蝶效應�。
一個個看似平常的鏈接背后����,說不定就隱藏著一個黑客大鱷。在APT攻擊中���,有超過90%的惡意代碼是依靠WEB形式傳輸�����,而基于WEB流量承載惡意代碼的攻擊形式中���,目前最大的風險在于精確釣魚網(wǎng)站攻擊和水坑攻擊��。實現(xiàn)對WEB流量的檢測����,尤其是對其中的“0-Day”漏洞的惡意代碼的檢測�,其實就是控制住了WEB流量中“0-Day”漏洞的翅膀,這是防護APT攻擊的一個關鍵的制高點�����。
主動出擊�����,定制化的精準釣魚網(wǎng)站
此釣魚已經(jīng)不是幾年前的釣魚了��。釣魚人已經(jīng)不遵循“愿者上鉤“的原則����,上鉤者必須是自己看好的才會收線。攻擊者前期會通過正常的URL吸引對方,利用URL相關參數(shù)�,收集用戶使用的操作系統(tǒng)、瀏覽器和版本等信息��。并利用一些基本的技術��,準確判斷用戶端應用環(huán)境����,特別是安全防護軟件和一些常見的本地應用,實現(xiàn)對用戶環(huán)境精確收集�,為指導定制化精確攻擊和繞開常規(guī)檢測打下基礎。
定制化的精準釣魚就是在前期精確的用戶信息收集基礎上��,實施的一種釣魚攻擊�����,比普遍撒網(wǎng)式的釣魚更聚焦���、更定制化�。通過發(fā)送鏈接給用戶����,只有在被攻擊者名單中的人才能看到這個釣魚網(wǎng)頁,甚至名單中不同的人看到不同的內(nèi)容����,而不在名單中的其他人看到的則是正常的網(wǎng)站或者是一個現(xiàn)實錯誤的網(wǎng)頁。也就是說如果你不在名單之列�����,就看不到釣魚網(wǎng)頁����。依靠這些定制化的釣魚網(wǎng)頁,你能想象到攻擊者一邊收線�,一邊唱到:“釣你,釣你�,釣的就是你”。
靜默守候����,精確的水坑式攻擊
所謂“水坑攻擊”,是指黑客通過分析被攻擊者的網(wǎng)絡活動規(guī)律���,尋找被攻擊者經(jīng)常訪問的網(wǎng)站的弱點�����,先攻下該網(wǎng)站并植入攻擊代碼�����,等待被攻擊者來訪時實施攻擊�。這種攻擊行為類似《動物世界》紀錄片中的一種情節(jié):捕食者埋伏在水里或者水坑周圍,等其他動物前來喝水時發(fā)起攻擊獵取食物���。
水坑也同樣不是幾年前的水坑����。除出現(xiàn)的單漏洞多水坑的新攻擊方法外����,目前也出現(xiàn)精確式的水坑攻擊。安全人員認為���,這種新型手段就是對特定人群進行攻擊的全新手段���。這種手段被稱為路過登錄(Drive-by-login)。在路過登錄攻擊中�,黑客在用戶可能登錄的網(wǎng)站中嵌入惡意代碼。這些惡意代碼被用于向特定目標注入惡意軟件����,而并非所有網(wǎng)頁訪問者。路過登錄攻擊是非常危險的����,因為實施攻擊并不需要任何社會工程學,同時很難被偵測到��,因為它們只向特定用戶投放惡意軟件����。路過式登錄攻擊意味著今后沒有網(wǎng)站會是百分百安全的。任何網(wǎng)站�����,不論它的大小和功能����,都有可能成為復雜的針對性入侵的受害者。
華為Firehunter沙箱���,WEB "0-Day"威脅的終結者
對APT攻擊防御而言���,越早在攻擊鏈中實現(xiàn)有效的檢測和攔截��,APT攻擊造成的損失就越小�����。在華為前期客戶的實施和測試過程中��,有些客戶的互聯(lián)網(wǎng)出口��,基于WEB的流量高端95%以上��,只有對這些WEB流量進行有效攔截���,才能真正實現(xiàn)占領APT檢測的制高點。華為Firehunter沙箱�,是全球僅有兩家可以檢測WEB流量中“0-Day”漏洞代碼的安全產(chǎn)品。華為沙箱在檢測WEB流量時�,先采用靜態(tài)檢測模式,采用了指令流檢測和信息熵檢測模式�,實現(xiàn)對web網(wǎng)頁的惡意代碼進行檢測。對于未能檢測到惡意代碼的情況�,通過提取調用的系統(tǒng)API方法、屬性��、函數(shù)名稱��、插件列表、DOM節(jié)點列表等信息多重判斷頁面的惡意與否�,對于可疑的頁面,則將頁面送到WEB重量級沙箱中進行檢測�。重量級沙箱系統(tǒng)是針對可疑頁面檢測定制的用于檢測WEB頁面的檢測環(huán)境����,通過監(jiān)視WEB重量級沙箱內(nèi)IE訪問可疑頁面的整個過程,獲取到IE進程在訪問可疑頁面過程中對操作系統(tǒng)的所有行為��,送惡意行為識別模塊進行惡意識別����。華為沙箱采用“動靜”結合的技術模式,能高效地檢測WEB流量��,有效地保護企業(yè)安全���。
