曾經(jīng)，偉大的物理學家阿基米德說：給我一個支點，我能撬動地球。今天，一個極客技術(shù)男說：給我一個鍵盤，我能震驚地球。網(wǎng)絡安全已成為世界上新的沒有硝煙之戰(zhàn)場。大型公司為安全投入巨資，卻依然前仆后繼曝信息泄露之恥，國家之間未曾炮火交加，卻暗戰(zhàn)頻頻，超一流的黑客公司反而被黑，上演一幕幕驚心動魄的較量。

這一切都源于黑客手中的超級武器：APT。

高級惡意軟件，APT攻擊中的核彈頭

手持APT能量的黑客，高舉達摩之劍，卻優(yōu)雅得像文藝青年，他們手中的王牌武器當之無愧的是高級惡意軟件，堪稱APT攻擊中的“核彈”。

APT中的惡意軟件，被冠以高級的頭銜，決不是浪得虛名。來自DBIR(Data Breach Investigations Report)的報告顯示，60%的被黑案例中，攻擊者僅需要幾分鐘就可滲透得手，正是由于這些高級惡意軟件，要么是利用還未公之于世的0day漏洞，要么就是采用高級的逃逸技術(shù)，在面對企業(yè)的層層安全防護如入無人之境。

利用0day 漏洞，高級惡意軟件硬闖安全防御

利用0day漏洞的高級惡意軟件，真正實現(xiàn)了“指哪打哪”的理想，在黑道上可以隨心所欲的開始心有多遠，就能T多遠的旅行。

在信息安全意義上，0Day漏洞是指在廠商被告知并發(fā)布相關(guān)補丁前就被掌握或者公開的漏洞信息。0DAY漏洞被各種組織挖掘，在地下網(wǎng)絡中被出售，據(jù)NSS Labs的專家估計，地下網(wǎng)絡市場平均每天能夠提供85個0day漏洞。由于廠商和用戶尚未知漏洞的存在，相關(guān)的漏洞補丁或惡意軟件的特征碼還不存在，而企業(yè)部署的防火墻、IPS和各種網(wǎng)關(guān)等傳統(tǒng)安全防護產(chǎn)品還停留在依靠已知的特征防護思路，面對利用0day漏洞利用的高級惡意軟件完全束手無策，真實上演一曲經(jīng)典：我家大門常打開 開放懷抱等你來，來幾次都沒關(guān)系，讓你開天辟地。

歷史上赫赫有名的APT攻擊大都是采用基于0day 漏洞的惡意軟件才得手的。如RSA被入侵，包括2015年安全大拿卡巴斯基也是遭受Duqu利用了3個0day漏洞的入侵，潛伏數(shù)月后才被發(fā)現(xiàn)。

利用高級逃逸技術(shù)，安全設備防不勝防

在APT攻擊中，高級惡意軟件中也有相當大比例是利用已知威脅漏洞，但是采用了各種高級逃逸技術(shù)來躲避傳統(tǒng)安全設備的檢測。在2014年，只有小部分惡意軟件顯示出了逃避的特性，但到了現(xiàn)在，相當大的一部分惡意軟件會利用500種逃避技術(shù)進行任意組合，以避免被檢測和分析。檢測數(shù)據(jù)表明單個的惡意軟件樣本通常具有10種以上的逃避行為，而且99%的惡意軟件感染小于10個受害者，80%的惡意軟件只有1個受害者，這說明目前的APT攻擊具有高度的目的性，這樣做的也是為了大幅度減少被檢測的可能性。

例如對金融行業(yè)造成巨大影響的Neverquest惡意軟件，該軟件沖擊了25個國家的100多家大型金融機構(gòu)。該軟件就采用非常復雜的逃逸技術(shù)，其中包括加密、匿名路由，甚至圖片隱寫等技術(shù)。

辦公文檔，那是極好的載體

而這些高級惡意軟件，在普通青年看起來，是再正常不過的文件而已，從圖中我們看到常用的辦公文檔都是這些高級惡意軟件的載體。有多少人能想到，我們每天處理的DOC文檔，竟然暗含殺機呢。

華為沙箱，超級“拆彈”專家

伴隨APT的迅速發(fā)展，高級惡意軟件也日新月異，企業(yè)必須擁有超能量的安全設備才能斬斷達摩之劍。實踐經(jīng)驗表明，沙箱正是這些高級惡意軟件的克星。面對復雜的APT威脅，要想準確的識別這些惡意軟件，沙箱必須提供全面、深入的防御能力，采用多層防御阻止未知和已知的惡意軟件，并在事件發(fā)生后實現(xiàn)威脅情報共享和聯(lián)動機制，這是實現(xiàn)APT防御的一個必要步驟。華為Firehunter沙箱是一個高性能、縱深防御可擴展的安全設備，設備中有通用的病毒檢測引擎，有強大的信譽體系，在快速經(jīng)過前面兩關(guān)檢測后，惡意軟件被送到啟發(fā)式檢測引擎，通過對文件的靜態(tài)分析，包括對文件的代碼片段、對調(diào)用的API等分析判斷文件的惡意與否，在啟發(fā)式檢測未知情況下，惡意軟件將會送到虛擬執(zhí)行環(huán)境中運行，提取軟件對操作系統(tǒng)的一系列操作行為，包括對文件系統(tǒng)、服務、注冊表和網(wǎng)絡的操作行為，然后憑借強大的行為模式庫進行分析匹配技術(shù)，從而實現(xiàn)對高級惡意軟件實時檢測、阻斷和報告呈現(xiàn)，有效避免未知威脅攻擊的迅速擴散造成的企業(yè)核心信息資產(chǎn)損失，特別適用于金融、政府機要部門、能源、高科技等關(guān)鍵用戶。