【用戶(hù)背景】

某互聯(lián)網(wǎng)絡(luò)綜合服務(wù)提供商一直非常重視信息安全建設(shè)，考慮到其業(yè)務(wù)系統(tǒng)的安全要求，甚至自行研制了一些檢測(cè)類(lèi)安全產(chǎn)品用于自身的安全防護(hù)，一直以來(lái)，也起到了相當(dāng)程度的作用。但隨著APT時(shí)代的來(lái)臨，現(xiàn)有的安全防護(hù)體系無(wú)法抵御那些有預(yù)謀、有技術(shù)的攻擊者。甚至發(fā)生了員工遭受攻擊，相關(guān)數(shù)據(jù)丟失的安全問(wèn)題，讓某企業(yè)遭受了巨大的經(jīng)濟(jì)損失。

正是因?yàn)槿绱?，某公司希望在目前現(xiàn)有的網(wǎng)絡(luò)安全體系上做相應(yīng)的規(guī)劃設(shè)計(jì)，以適應(yīng)新的安全需求。

經(jīng)過(guò)分析發(fā)現(xiàn)，某公司整體網(wǎng)絡(luò)結(jié)構(gòu)與業(yè)務(wù)系統(tǒng)有如下特點(diǎn)

◆機(jī)房業(yè)務(wù)應(yīng)用。某公司設(shè)有專(zhuān)用的機(jī)房，這些服務(wù)器主要對(duì)內(nèi)部提供業(yè)務(wù)支撐服務(wù)，一旦存在內(nèi)網(wǎng)大規(guī)模爆發(fā)的攻擊事件，有可能導(dǎo)致服務(wù)受到影響。

◆網(wǎng)絡(luò)帶寬非常充足。服務(wù)器區(qū)與核心層基本上是千兆的網(wǎng)絡(luò)連接，并做了雙鏈路冗余的解決方案，以此確保網(wǎng)絡(luò)的高穩(wěn)定性。

◆人員眾多。某公司擁有2萬(wàn)多人，網(wǎng)絡(luò)復(fù)雜。各個(gè)分支機(jī)構(gòu)之間通過(guò)城域網(wǎng)進(jìn)行數(shù)據(jù)交換。

◆統(tǒng)一的Internet出口。通過(guò)網(wǎng)絡(luò)的連接訪(fǎng)問(wèn)中心的Internet出口，目前通過(guò)防火墻做上網(wǎng)權(quán)限的分配(根據(jù)IP/用戶(hù)身份)，一旦用戶(hù)獲取了相關(guān)的權(quán)限，就可以通過(guò)網(wǎng)絡(luò)訪(fǎng)問(wèn)各種各樣的網(wǎng)站，而黑客及病毒及會(huì)借用此通道進(jìn)行攻擊。

根據(jù)調(diào)研報(bào)告，我們了解到XX公司目前使用的安全體系，會(huì)遇到以下的問(wèn)題：

◆郵件服務(wù)需要額外的保護(hù) – 從交流中我們發(fā)現(xiàn)，XX公司內(nèi)網(wǎng)中郵件服務(wù)是重點(diǎn)保護(hù)的對(duì)象。幾個(gè)月前的攻擊都是通過(guò)郵件進(jìn)行的，而且公司部署的殺毒軟件，IDPS等安全設(shè)備都沒(méi)有報(bào)警，導(dǎo)致員工遭受攻擊，重要信息資產(chǎn)被竊。XX公司希望能在郵件服務(wù)上做些額外的保護(hù)。

◆未知威脅狀況的掌控能力 – 雖然已經(jīng)部署了防病毒網(wǎng)關(guān)，IDPS以及自己研發(fā)的安全產(chǎn)品，但未知攻擊/未知威脅時(shí)常進(jìn)入企業(yè)內(nèi)部，經(jīng)常有員工因此而中招導(dǎo)致新病毒報(bào)告/攻擊潛伏/重要資產(chǎn)泄露/影響業(yè)務(wù)，引起公司高層非常關(guān)注。XX公司希望能夠具有識(shí)別未知惡意代碼/威脅的能力，那些威脅一旦進(jìn)入，就能快速感知并做出措施。

【方案解決思路】

根據(jù)某公司當(dāng)前的安全狀況，啟明星辰提出了基于以下思路的安全解決方案

1、 監(jiān)控APT攻擊通道。鑒于上述我們分析某公司當(dāng)前防APT狀況存在的問(wèn)題，我們知道：若要從根本上防止APT/未知威脅對(duì)企業(yè)的威脅，必須從APT攻擊通道上去檢測(cè)。

2、 控制爆發(fā)次數(shù)、降低威脅對(duì)業(yè)務(wù)的影響。我們知道，病毒/攻擊從感染單臺(tái)客戶(hù)機(jī)擴(kuò)散爆發(fā)，均需要一段空窗期。一般情況，管理員都是在病毒爆發(fā)時(shí)才會(huì)發(fā)現(xiàn)問(wèn)題，但為時(shí)已晚。如果能夠有方案能夠在病毒/攻擊擴(kuò)散期就發(fā)現(xiàn)問(wèn)題根源，對(duì)于某公司來(lái)講，就是徹底消除病毒爆發(fā)的概率。

3、 網(wǎng)絡(luò)層防APT是整體防APT的高效防線(xiàn)。在設(shè)計(jì)方案中，我們將網(wǎng)絡(luò)病毒/攻擊的防范作為最重要的防范對(duì)象，通過(guò)在網(wǎng)絡(luò)接口和重要安全區(qū)域部署網(wǎng)絡(luò)防APT設(shè)備，在網(wǎng)絡(luò)層全面消除外來(lái)病毒/攻擊的威脅，使得網(wǎng)絡(luò)病毒/攻擊不能再肆意傳播，同時(shí)結(jié)合病毒/攻擊所利用的傳播途徑，對(duì)整個(gè)安全策略進(jìn)行貫徹。

4、 防APT不能依靠病毒庫(kù)。當(dāng)一個(gè)已知的惡性病毒/攻擊入侵時(shí)，依靠病毒庫(kù)的方案可行。但當(dāng)一個(gè)未知病毒/未知攻擊時(shí)候，病毒庫(kù)的策略就失效了，整個(gè)防御體系就崩潰了。所以防APT系統(tǒng)要有專(zhuān)門(mén)的算法和措施來(lái)檢測(cè)未知病毒/未知攻擊的能力，讓公司有對(duì)APT攻擊的這種感知能力。

5、 沒(méi)有管理的防APT系統(tǒng)是無(wú)效的防APT系統(tǒng)。我們構(gòu)建了跨網(wǎng)段的集中管理系統(tǒng)，保證了整個(gè)防APT產(chǎn)品可以從管理系統(tǒng)中及時(shí)得到更新，同時(shí)又使得管理人員可以在任何時(shí)間、任何地點(diǎn)通過(guò)瀏覽器對(duì)整個(gè)防APT系統(tǒng)進(jìn)行管理，使整個(gè)系統(tǒng)中任何一個(gè)節(jié)點(diǎn)都可以被管理人員隨時(shí)管理，保證整個(gè)防APT系統(tǒng)有效、及時(shí)地感知攻擊。

6、 服務(wù)是整體防APT系統(tǒng)中極為重要的一環(huán)。防APT系統(tǒng)建立起來(lái)之后，能不能對(duì)未知病毒/未知惡意代碼進(jìn)行有效的防范，與防APT廠(chǎng)商能否提供及時(shí)、全面的服務(wù)有著極為重要的關(guān)系。這一方面要求廠(chǎng)商要有全球化的防APT體系為基礎(chǔ)，另一方面也要求廠(chǎng)商能有精良的本地化技術(shù)人員作依托，不管是對(duì)系統(tǒng)使用中出現(xiàn)的問(wèn)題，還是用戶(hù)發(fā)現(xiàn)的可疑文件，都能進(jìn)行快速的分析和方案提供。啟明星辰作為網(wǎng)絡(luò)防APT及互聯(lián)網(wǎng)安全與服務(wù)的領(lǐng)導(dǎo)廠(chǎng)商，可以全面滿(mǎn)足某公司多層次的服務(wù)要求。

其部署結(jié)構(gòu)如下所示：

其中，部署了惡意代碼檢測(cè)設(shè)備。該設(shè)備采用旁路的方式接入在中心交換網(wǎng)絡(luò)上，將中心交換機(jī)上行到互聯(lián)網(wǎng)的流量鏡像到MDS設(shè)備上，由MDS來(lái)檢測(cè)發(fā)現(xiàn)網(wǎng)絡(luò)流量中病毒、木馬、間諜、僵尸、信息竊取等惡意行為，定位存在威脅的計(jì)算機(jī)，監(jiān)控網(wǎng)絡(luò)安全問(wèn)題。

【方案設(shè)計(jì)】

通過(guò)部署惡意代碼檢測(cè)設(shè)備，其目的是提供如下能力：

探測(cè)網(wǎng)絡(luò)中的惡意行為

◆探測(cè)未知的威脅和已知惡意威脅

◆發(fā)現(xiàn)惡意威脅的信息竊取

◆探測(cè)網(wǎng)絡(luò)和電子郵件攻擊——網(wǎng)絡(luò)釣魚(yú)和網(wǎng)絡(luò)漏洞利用

網(wǎng)絡(luò)內(nèi)容檢測(cè)技術(shù)

◆2-7層協(xié)議檢測(cè)

◆全面支持HTTP、FTP、POP3，SMTP主流協(xié)議

◆可疑活動(dòng)關(guān)聯(lián)性

◆文檔內(nèi)容掃描

聯(lián)手統(tǒng)一威脅云服務(wù)

◆對(duì)客戶(hù)來(lái)說(shuō)，事件的定性分析是不容易的。MDS依托統(tǒng)一威脅云服務(wù)，利用啟明星辰專(zhuān)業(yè)的研究分析團(tuán)隊(duì)，幫助用戶(hù)快速定性每一個(gè)警告。

離線(xiàn)部署

◆被動(dòng)網(wǎng)絡(luò)查找，不會(huì)中斷服務(wù)

【實(shí)際效果】

在試運(yùn)行階段，惡意代碼檢測(cè)設(shè)備共偵測(cè)到49個(gè)事件，其中高威脅事件30個(gè)占61.22%，中等威脅事件14個(gè)占28.57%，低風(fēng)險(xiǎn)威脅事件5個(gè)占10.2%。

其中Worm.NetSky-14活動(dòng)猖獗，短短一個(gè)月時(shí)間，郵件服務(wù)器收到Worm.NetSky-14攻擊事件30起。更發(fā)現(xiàn)5起Malicious(Malicious & EXE_Embedded_Type_1)攻擊事件，經(jīng)過(guò)分析這是一起針對(duì)銀行金融和運(yùn)營(yíng)商的新一波攻擊。該文檔攻擊樣本當(dāng)時(shí)virustotal網(wǎng)站的各大殺病毒軟件均未能檢測(cè)出來(lái)。具體分析如下：

該攻擊以金融為主題，以美國(guó)花旗銀行的郵件賬戶(hù)源的攻擊郵件，附帶DOC的攻擊文檔，并且在該企業(yè)內(nèi)網(wǎng)郵件大量傳播。同時(shí)我們發(fā)現(xiàn)該攻擊主要攻擊從事金融方面或者相關(guān)的企業(yè)。該攻擊穿透大部分傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)產(chǎn)品。在經(jīng)過(guò)啟明星辰安全專(zhuān)家分析后，對(duì)該攻擊有如下分析結(jié)論：

Email原文以美國(guó)花旗銀行的賬戶(hù)為源，并欺騙附件是花旗銀行的電子商戶(hù)的帳單

圖1：惡意郵件原文

被攻擊者打開(kāi)后將會(huì)觸發(fā)CVE2012-0158漏洞，并打開(kāi)迷惑性的DOC文檔

圖2：迷惑性DOC

漏洞觸發(fā)shellcode執(zhí)行后，在臨時(shí)目錄釋放paw.EXE 并執(zhí)行

該exe執(zhí)行后先復(fù)制自身至C:\Documents and Settings\xxx\Application Data 隨機(jī)生成的目錄下，通過(guò)不同的啟動(dòng)標(biāo)志執(zhí)行相應(yīng)操作

第一次執(zhí)行復(fù)制自身后，便釋放tmp53865f51.bat 刪除自身及文件

bat

@echo off

:d

del "C:\Documents and Settings\xxx\桌面\paw.exe"

if exist "C:\Documents and Settings\xxx\桌面\paw.exe" goto d

del /F "C:\DOCUME~1\torpedo\LOCALS~1\Temp\tmp53865f51.bat"

第二次執(zhí)行主要枚舉進(jìn)程，找到符合條件的進(jìn)程，注入到系統(tǒng)explorer進(jìn)程大小0×48000

圖3：惡意代碼分析

注入代碼主要功能

枚舉系統(tǒng)進(jìn)程、查找文件、獲取計(jì)算機(jī)信息、系統(tǒng)環(huán)境等信息通過(guò)加密的方式發(fā)送到遠(yuǎn)處服務(wù)器上

同時(shí)代碼執(zhí)行過(guò)程中有大量的反調(diào)試器跟蹤

圖4：惡意代碼反調(diào)試器部分

該攻擊樣本存在大量的網(wǎng)絡(luò)連接服務(wù)器節(jié)點(diǎn)，分布在不同國(guó)家，其中有美國(guó)，俄羅斯，荷蘭等，采用了類(lèi)似P2P Variant of Zeusbot/Spyeye協(xié)議。

【方案總結(jié)】

通過(guò)部署實(shí)施惡意代碼檢測(cè)設(shè)備，某公司成功發(fā)現(xiàn)并阻斷了一起尚未被傳統(tǒng)安全設(shè)備發(fā)現(xiàn)的攻擊行為，成功的保障了某公司信息業(yè)務(wù)系統(tǒng)的安全。