基于沙箱回避的 APT 研究*

孫 增， 施 勇， 薛 質(zhì)

（上海交通大學(xué)信息安全工程學(xué)院，上海 200240）

基于沙箱回避的 APT 研究*

孫 增， 施 勇， 薛 質(zhì)

（上海交通大學(xué)信息安全工程學(xué)院，上海 200240）

通過對(duì)日益復(fù)雜化的 APT(Advanced Persistent Threat，高級(jí)持續(xù)性威脅） 生命周期中危險(xiǎn)階段的認(rèn)識(shí)，簡(jiǎn)要介紹 APT檢測(cè)手段的演變過程，詳細(xì)分析新型 APT 利用技術(shù)手段逃避沙箱檢測(cè)的細(xì)節(jié)。 針對(duì)現(xiàn)有的 APT 沙箱檢測(cè)不足以應(yīng)對(duì)這種新型 APT 的問題，從 APT 逃避沙箱的方式角度出發(fā)，有針對(duì)地提出新型沙箱檢測(cè)技術(shù)策略。 對(duì)于未來不斷進(jìn)化的 APT，可能會(huì)出現(xiàn)許多新的伎倆，探索建立統(tǒng)一的大數(shù)據(jù)分析跟蹤網(wǎng)絡(luò)或許是盡早發(fā)現(xiàn) APT 的有效途徑。

APT;危險(xiǎn)階段;檢測(cè)手段;沙箱回避;人機(jī)交互;特殊設(shè)置

0 引言

隨著 APT(Advanced Persistent Threat，高級(jí)持續(xù)性威脅） 發(fā)生事件的日益增多，人們已經(jīng)認(rèn)識(shí)到已知的 APT 攻擊的許多攻擊細(xì)節(jié)，以及常見的攻擊步驟。 不同的安全廠商和安全機(jī)構(gòu)從各自的特長(zhǎng)出發(fā)提出多種檢測(cè) APT 的策略，方法和工具。 目前利用沙箱檢測(cè)惡意代碼的行為已經(jīng)成為 APT 檢測(cè)的主流手段。 同時(shí)，APT 的進(jìn)化還在持續(xù)，利用新技術(shù)逃避沙箱檢測(cè)的 APT 案例經(jīng)常出現(xiàn)。 因此，需要分析這些逃避沙箱的技術(shù)，找出現(xiàn)有 APT檢測(cè)沙箱的不足，提出有針對(duì)的改進(jìn)措施。

沙箱檢測(cè)技術(shù)是一種應(yīng)對(duì) APT 通過零日漏洞發(fā)動(dòng)攻擊的有效方式。 利用沙箱接管調(diào)用接口或函數(shù)行為，通過重定向技術(shù)把程序生成和修改的文件定向到自身的文件夾中，并會(huì)在確認(rèn)病毒行為后實(shí)行“回滾”機(jī)制讓系統(tǒng)復(fù)原。 通常使用沙箱檢測(cè)技術(shù)模擬一系列應(yīng)用程序行為和網(wǎng)絡(luò)行為所產(chǎn)生的后果，再通過大數(shù)據(jù)分析來判定其是不是 APT攻擊。……