曾經(jīng)，偉大的物理學(xué)家阿基米德說：給我一個(gè)支點(diǎn)，我能撬動(dòng)地球。今天，一個(gè)極客技術(shù)男說：給我一個(gè)鍵盤，我能震驚地球。網(wǎng)絡(luò)安全已成為世界上新的沒有硝煙之戰(zhàn)場(chǎng)。大型公司為安全投入巨資，卻依然前仆后繼曝信息泄露之恥，國(guó)家之間未曾炮火交加，卻暗戰(zhàn)頻頻，超一流的黑客公司反而被黑，上演一幕幕驚心動(dòng)魄的較量。

這一切都源于黑客手中的超級(jí)武器：APT。

高級(jí)惡意軟件，APT攻擊中的核彈頭

手持APT能量的黑客，高舉達(dá)摩之劍，卻優(yōu)雅得像文藝青年，他們手中的王牌武器當(dāng)之無愧的是高級(jí)惡意軟件，堪稱APT攻擊中的“核彈”。

APT中的惡意軟件，被冠以高級(jí)的頭銜，決不是浪得虛名。來自DBIR(Data Breach Investigations Report)的報(bào)告顯示，60%的被黑案例中，攻擊者僅需要幾分鐘就可滲透得手，正是由于這些高級(jí)惡意軟件，要么是利用還未公之于世的0day漏洞，要么就是采用高級(jí)的逃逸技術(shù)，在面對(duì)企業(yè)的層層安全防護(hù)如入無人之境。

利用0day 漏洞，高級(jí)惡意軟件硬闖安全防御

利用0day漏洞的高級(jí)惡意軟件，真正實(shí)現(xiàn)了“指哪打哪”的理想，在黑道上可以隨心所欲的開始心有多遠(yuǎn)，就能T多遠(yuǎn)的旅行。

在信息安全意義上，0Day漏洞是指在廠商被告知并發(fā)布相關(guān)補(bǔ)丁前就被掌握或者公開的漏洞信息。0DAY漏洞被各種組織挖掘，在地下網(wǎng)絡(luò)中被出售，據(jù)NSS Labs的專家估計(jì)，地下網(wǎng)絡(luò)市場(chǎng)平均每天能夠提供85個(gè)0day漏洞。由于廠商和用戶尚未知漏洞的存在，相關(guān)的漏洞補(bǔ)丁或惡意軟件的特征碼還不存在，而企業(yè)部署的防火墻、IPS和各種網(wǎng)關(guān)等傳統(tǒng)安全防護(hù)產(chǎn)品還停留在依靠已知的特征防護(hù)思路，面對(duì)利用0day漏洞利用的高級(jí)惡意軟件完全束手無策，真實(shí)上演一曲經(jīng)典：我家大門常打開 開放懷抱等你來，來幾次都沒關(guān)系，讓你開天辟地。

歷史上赫赫有名的APT攻擊大都是采用基于0day 漏洞的惡意軟件才得手的。如RSA被入侵，包括2015年安全大拿卡巴斯基也是遭受Duqu利用了3個(gè)0day漏洞的入侵，潛伏數(shù)月后才被發(fā)現(xiàn)。

利用高級(jí)逃逸技術(shù)，安全設(shè)備防不勝防

在APT攻擊中，高級(jí)惡意軟件中也有相當(dāng)大比例是利用已知威脅漏洞，但是采用了各種高級(jí)逃逸技術(shù)來躲避傳統(tǒng)安全設(shè)備的檢測(cè)。在2014年，只有小部分惡意軟件顯示出了逃避的特性，但到了現(xiàn)在，相當(dāng)大的一部分惡意軟件會(huì)利用500種逃避技術(shù)進(jìn)行任意組合，以避免被檢測(cè)和分析。檢測(cè)數(shù)據(jù)表明單個(gè)的惡意軟件樣本通常具有10種以上的逃避行為，而且99%的惡意軟件感染小于10個(gè)受害者，80%的惡意軟件只有1個(gè)受害者，這說明目前的APT攻擊具有高度的目的性，這樣做的也是為了大幅度減少被檢測(cè)的可能性。

例如對(duì)金融行業(yè)造成巨大影響的Neverquest惡意軟件，該軟件沖擊了25個(gè)國(guó)家的100多家大型金融機(jī)構(gòu)。該軟件就采用非常復(fù)雜的逃逸技術(shù)，其中包括加密、匿名路由，甚至圖片隱寫等技術(shù)。

辦公文檔，那是極好的載體

而這些高級(jí)惡意軟件，在普通青年看起來，是再正常不過的文件而已，從圖中我們看到常用的辦公文檔都是這些高級(jí)惡意軟件的載體。有多少人能想到，我們每天處理的DOC文檔，竟然暗含殺機(jī)呢。

華為沙箱，超級(jí)“拆彈”專家

伴隨APT的迅速發(fā)展，高級(jí)惡意軟件也日新月異，企業(yè)必須擁有超能量的安全設(shè)備才能斬?cái)噙_(dá)摩之劍。實(shí)踐經(jīng)驗(yàn)表明，沙箱正是這些高級(jí)惡意軟件的克星。面對(duì)復(fù)雜的APT威脅，要想準(zhǔn)確的識(shí)別這些惡意軟件，沙箱必須提供全面、深入的防御能力，采用多層防御阻止未知和已知的惡意軟件，并在事件發(fā)生后實(shí)現(xiàn)威脅情報(bào)共享和聯(lián)動(dòng)機(jī)制，這是實(shí)現(xiàn)APT防御的一個(gè)必要步驟。華為Firehunter沙箱是一個(gè)高性能、縱深防御可擴(kuò)展的安全設(shè)備，設(shè)備中有通用的病毒檢測(cè)引擎，有強(qiáng)大的信譽(yù)體系，在快速經(jīng)過前面兩關(guān)檢測(cè)后，惡意軟件被送到啟發(fā)式檢測(cè)引擎，通過對(duì)文件的靜態(tài)分析，包括對(duì)文件的代碼片段、對(duì)調(diào)用的API等分析判斷文件的惡意與否，在啟發(fā)式檢測(cè)未知情況下，惡意軟件將會(huì)送到虛擬執(zhí)行環(huán)境中運(yùn)行，提取軟件對(duì)操作系統(tǒng)的一系列操作行為，包括對(duì)文件系統(tǒng)、服務(wù)、注冊(cè)表和網(wǎng)絡(luò)的操作行為，然后憑借強(qiáng)大的行為模式庫進(jìn)行分析匹配技術(shù)，從而實(shí)現(xiàn)對(duì)高級(jí)惡意軟件實(shí)時(shí)檢測(cè)、阻斷和報(bào)告呈現(xiàn)，有效避免未知威脅攻擊的迅速擴(kuò)散造成的企業(yè)核心信息資產(chǎn)損失，特別適用于金融、政府機(jī)要部門、能源、高科技等關(guān)鍵用戶。