APT与侦测方法之分类与分析-NCTU.PDFVIP

APT 與偵測方法之分類與分析 吳政穎 林盈達 國立交通大學資訊工程系 Email: cywu.cs02g@.tw; ydlin@.tw September 30, 2013 摘要 近幾年網路駭客的攻擊已不再使用傳統的攻擊手法，進而演變成了以 APT 的模式作攻擊 ，APT的 手法複雜、目標明確 而且隱匿性高，因此可在受害者電 腦端作長時間的潛伏同時作資料擷取的動作 ，甚至於伺機發動下一波的攻擊。因 此如何有效的防範APT的攻擊，成了我們必須探討的問題 。此實驗收集了六大 類共 300隻的 APT 病毒，並且分別利用靜態、動態以及逆向工程的偵測手法對 這些病毒作行為的分析和分類，並且評估哪種偵測 手法最能有效的作APT 攻擊 的 防範和偵測。在偵測率方面，動態分析 （85.3% ）以及逆向工程 （84% ）的偵 測 率都遠高於靜態 比對 （35% ）；在 APT 攻擊行為分析方面，發現APT 攻擊手 段多為在文件開啟階段即會自動執行程式作軟體弱點的攻擊並取得權限，再透過 Heap spray的技術執行駭客欲執行的 shellcode ，以完成入侵的動作，之後即能開 始對感染電腦作遠端的存取控制 。 關鍵字： APT 、靜態分析 、動態分析 、逆向工程 1.APT 介紹 什麼是 APT 進階持續性滲透攻擊(Advanced Persistent Threat, APT)[1][2] ，不同於傳統的 攻擊模式，APT 是個有系統和計畫且針對特定目標 組織的攻擊手法， 特色在於 他的手段更為複雜 而且客製化(Advanced) ，可以同時針對目標的多個弱點作攻擊， 以達到首要任務入侵使用者電腦並取得權限，一旦入侵後，由於其低調且隱匿性 高的特性 ，讓病毒可以作持續性的潛伏 攻擊而不被察覺(Persistent) ，動輒數個星 期甚至於數個月，在這段時間裡，駭客會作機密資料的收集和分析工作，進而慢 慢的入侵感染 到整個公司或 機構的網路系統，最後再將收集到的有利資料作外傳， 這對任何一個公司或組織而言，都將會付出慘痛的代價，APT 儼然已成了各大 公司機構的一大資安 威脅。 APT 攻擊流程 偵查 APT 不同於傳統攻擊手法的一大特點就是鎖定目標，因此第一步即是擬定 1 計畫設定目標，目標可能是個人電腦金融機構或是政府機關，目標一旦鎖定後， 即是對該目標作相關資料的收集，包括公司職員名單 、職員電子郵件信箱 、聯絡 方式等相關資訊，資料蒐集的 越充足 ，越有利於之後的入侵工作進行 。 入侵 在入侵階段，駭客會利用社交工程的手法以達到入侵的目的，最常見的就是 魚叉式網路釣魚，不同於以往的網路釣魚作大量 無特定目標的攻擊，魚叉式網路 釣魚攻擊目標更為明確，駭客往往會以他人之名寄發夾帶惡意文件的郵件 ，以取 得收件人的信任 並對附帶的 文件作下載 ，一旦點擊文件作開啟，駭客便入侵成功 並且安裝後門程式，但由於該惡意文件依舊會正常開啟，收件人絲毫無法察覺已 被駭客入侵 。 收集資料 入侵之後，駭客便能在有權限的狀態下，開始對感染的電腦作存取，並且竊 取有利之相關資料，包括公司網路架構，電腦 IP 網域等重要資訊，甚至於利用 這些取得的資訊作更進一步的入侵動作 。 感染網路 如前一步驟所說，取得的有利資料，可協助駭客作更進一步的入侵，以作他 台主機或伺服器的病毒轉移，期間皆是潛伏於整個網路系統中，不斷的作資料的 收集分析和研究，包括使用者帳號密碼 瀏覽紀錄，使用者完全無法察覺電腦有絲 毫的異常， 而這正是APT潛伏期長的一大特點 。 資料擷取 在 APT 攻擊的最後一 步驟 ，就是將收集到有利的相關資料壓縮後傳送到駭 客端作存取，而這也是 APT的最終目的，並且在受害電腦端移除所有的操作紀 錄，抹除所以駭客入侵的痕跡 。 偵查 入侵 收集資料 感染網路 資料擷取 圖 1-APT 攻擊流程圖