APT对传统反病毒技术的威胁和我们的应对尝试

APT对传统反病毒技术的威胁和我们的应对尝试

注：这是根据笔者10月20日在CNCC2012中国计算机大会信息安全专题论坛速记稿，整理增删而成。

安天实验室  江海客（肖新光）

 

1.    引言

APT（Advanced Persistent Threat，高级持续性威胁）是我们目前非常感兴趣的方面，我们也曾多次在公开场合谈论APT，而与上一次在NINIS（国家网络信息安全技术研究所）的安全威胁论坛中总结我们APT样本分析的一些不足相比，我们已取得了更多实际的工作进展。今天我想站在传统的反病毒从业者的角度（而不只是站在一个分析者的角度）再进行一次自我的分析和反思。

无论是谈APT还是谈任何安全威胁，以至于谈到任何安全问题或安全事件，都脱离不开几个基本的要素。像一切其他事物一样，安全事件的要素必然也包括：时间、地点、“人物”等等，这就引出了我们今天要讨论的话题：试想在APT时代的时间、地点和人物观，与在传统的病毒时代的时间、地点和人物观之间有什么不同。

l   对比之“时间”

首先让我们从时间的角度回顾一下更为传统的恶意代码。在感染式病毒、DOS病毒基于磁盘传播的时代，最早的恶意代码是由于人与人之间或设备与设备之间简单的介质交换产生的，这是一个极度的慢速扩散的结果。而“时间”这个概念真正被提升到反病毒工作者的意识日程上，则是在蠕虫时代到来之后。杜跃进博士曾把恶意代码断代划分为蠕虫时代、木马时代和窃密时代，我的理解这是一个从“以传播手段为主导”向“以对象目标为主导”的演进。尽管上世纪90年代末，类似Melissa、Happy99等蠕虫已经出现，但所谓蠕虫时代多数人基本认为是从2000年开始的。

病毒名称	释放时间	发现时间
CodeRedII	2001年8月3日	2001年8月3日
冲击波(Blaster)	2003年8月11日	2003年8月12日
震荡波(Sasser)	2004年4月30日	2004年5月1日
Zotob	2005年8月13日	2005年8月16日
Nyxem	2006年1月20	2006年2月3日

表 1 蠕虫时代

此处我们列举了从2001年到2006年5个比较典型的恶意代码，包括像CodeRedII、冲击波、震荡波等这些具有快速传播能力且赫赫有名的恶意代码，我们可以得出一个结论，无论当时这些恶意代码把反病毒厂商和安全响应组织打得多么措手不及，但不可否认的是这些安全团队对它的感知时间都没有超过24小时。从另一种意义上来讲，当代反病毒厂商的应急捕获体系是经过蠕虫时代的快速网络传播感染的历练所成熟起来的，过去的反病毒对抗是一种捕获-辨识对抗到查杀对抗的过程，在这个过程中，更多是对我们捕获链条和规划反噬的穿透，并形成了这样一种时间链条。

病毒名称	释放时间	发现时间
Stuxnet	2009年6月	2010年7月
Duqu	2007年或2008年？	2011年8月
Flame	2007年12月之前？	2012年5月

表 2 APT时代

与之对比，我们再看一看APT时代的时间链条。在APT时代有三个非常典型的恶意代码：Stuxnet、Duqu和Flame。我们将释放推测时间与发现时间进行一下对比：

Ø  Stuxnet是在2010年7月被发现的，根据其对应的时间戳信息，我们认为它的释放时间是在2009年6月；

Ø  Duqu是在2011年8月被发现的，目前认为它的释放时间是在2007年底或在2008年初；

Ø  Flame则更晚，它在2012年5月才被发现。但从其一些早期被发现的驱动以及陆续注册的域名来看，其体系在2007年底就已经开始了早期的活动。

从上面的时间对比中，我们可以看出令整个安全业界感到非常尴尬的一点，就是这些APT蠕虫至少存在了几乎一年之久才被业内广泛感知和进行相应处理。而更让安全业界感到尴尬的是，根据现在的时间链条推导，这些恶意代码的释放时间正好与发现时间的顺序相反。我们基本上认为，这次的整个APT事件就是以最终彻底破坏伊朗相关工业体系的Stuxnet为最终攻击结果，而以Flame和Duqu为前置的搜集前导。也就是说在Flame几乎长达5年的活跃时间内，整个安全业界没有任何感知，直到最后Stuxnet发动致命一击，安全业界才开始关注工控系统安全，关注APT攻击，并通过逐步的定向、发现、挖掘，在有用户提交样本的配合下，最终发现了最早的Flame。这种“释放时间->发现时间“关系的倒错，反映了整个APT时代时间观的变化，反病毒厂商已经由“24小时”敏锐感