随着APT攻击从2009年开始被美国重视以来,国际安全厂商逐步提出了一些新的检测技术并用于产品中,并且取得了良好的效果,这些技术逐步被重视,开始引领起下一代检测技术的变革。主要有:
虚拟执行分析检测
通过在虚拟机上执行检测对抗,基于运行行为来判定攻击。这种检测技术原理和主动防御类似,但由于不影响用户使用,可以最更深更强的检测以及防止绕过和在虚拟机下层进行检测。另外可疑性可以由对安全研究更深入的人员进行专业判定和验证。国外多家厂商APT检测的产品主要使用该技术。
内容无签名算法检测
针对内容深度分析发现可疑特征,再配合虚拟执行分析检测。该技术需要对各种内容格式进行深入研究,并分析攻击者负载内容的原理性特征。该技术可以帮助快速过滤检测样本降低虚拟执行分析检测的性能压力,同时虚拟执行分析检测容易被对抗,而攻击原理性特征比较难绕过。国外几个最先进的APT检测厂商检测的产品里部分使用了该技术。
新的检测技术面临的问题
事实求是的说,新的威胁检测技术产品使用后,再以前难以检测的APT攻击上,取得了比较明显的效果,但应该看到:这些效果是在攻击者还不知道该类产品和相关技术原理或取得的,而随着这些APT攻击检测技术的日益走向前台,攻击者也清楚了对抗者的存在和对抗技术的原理,之后的对抗必然产生,而且现有的检测技术在对抗上面,并不占有优势,下面是一些可能APT对抗的手段分析:
◆逻辑执行对抗:攻击者可以使用如触发时间逻辑,触发条件逻辑,检测虚拟机环境等多种手段来对抗虚拟执行分析检测。
◆云恶意对抗:攻击者植入的是无恶意行为的代码,通过检测方难以知道的服务器端动态条件,选择性的下载恶意代码来执行以逃过检测。
结论
APT攻击的检测与对抗,只是刚刚开始,还有很多很长的路需要走,这需要专业的研究和产品团队,长期投入并研究攻击者的手段并不断改进新的检测技术和方法,同时提供更加体系化的检测架构,才能对抗APT攻击带来的挑战。