在全球APT解決方案市場中相當知名的FireEye,可說是率先採取在閘道端加入Sandbox機制,以動態分析判斷檔案是否含有惡意程式的廠商之一。
FireEye實驗室資深研究員張榮華指出,雖然Sandbox(沙箱)的技術表面上不難,但其中有許多細節是FireEye特有機制。像是內建啟發式(Heuristics)、動態分析(Dynamic Analysis)機制,來檢測網頁、電子郵件夾帶的各種文件格式,甚至MP3、RealPlayer、影像檔等,也可能是有害的,因此同樣必須納入檢測。
 |
| ▲FireEye實驗室資深研究員張榮華提醒,雖然Sandbox技術適合用來偵測APT攻擊,但目前技術層次較高的惡意程式已能識破常見的開放虛擬機器環境,並非只要採用Sandbox都會有效。 |
最重要的是FireEye威脅防禦平台(Threat Prevention Platform)是以自主研發的虛擬主機環境來運行Sandbox,因為APT並非普通的惡意程式,技術層次較高,往往會具備環境感知(Environment-aware)能力,一旦發現所處在常見的虛擬主機環境時,便會立即停止活動。採取非開放原始碼的特殊虛擬主機技術,不僅讓駭客無法掌握迴避的方法,同時搭配專屬硬體設計,可以藉由微調核心程式優化執行效能,更可同時運行模擬多種用戶端環境。
張榮華說明,其分析方式是以流量式分析(Flow-based analysis),而非純粹的物件分析(Object-based analysis)。由於惡意程式的格式經常變換,或是採用加密機制,無法直接經由網路封包解析取出,因此必須透過分析整段的網路流量,才能判定該流量是否存在惡意,像是執行Call-back中繼站(C&C)等動作。
至於端點方面,張榮華認為,仍舊需依賴傳統Policy、防毒軟體等方案來搭配,利用網路層發現的APT攻擊情報,來清除惡意程式,當然此時就必須由資安專業人員來執行。一旦被判定為惡意程式後,必須要從電腦取證工作開始,查看所有的記錄線索,逐步追溯。以過往的經驗來看,要找到第一個被滲透進入的管道會比較難,因為該惡意程式可能已經存在一段時間,因此需仰賴FireEye設備於網路層蒐集資訊,循線找到發送感染病毒的電腦。
近期FireEye亦進一步擴展其偵測方案,推出即時、不間斷的Oculus防護平台。除了以既有的威脅防禦平台為基礎,亦包含動態威脅情報(Dynamic Threat Intelligence,DTI),為FireEye在全球部署蒐集威脅情報機制。其運用巨量資料分析技術,可快速彙整進而分析大量攻擊資料,以提升最新攻擊模式的辨識能力,協助發現潛在與實際受害者,並提供相關預測資訊。