2023年7月逐鹿反APT

暈，居然忘了貼了...8月的都快出來了

逐鹿反apt

——2023年7月安全天下事

江海客（安天實驗室）

與此同時，關於apt的各種最新訊息，也在網路上傳遞交匯。

6月29日，kaspersky宣布發現mac os x上乙個名為macontrol的後門軟體。該惡意**正在通過電子郵件附件的形式傳播，kaspersky認為它是某個apt攻擊的一部分。

7月18日，f-secure則展示了一批文件檔案，包括ms-word、ms-excel、pdf等格式，均用於apt攻擊，其中包含了漏洞利用**，可以載入要投放到計算機中的後門。

從產業界來看，新的一輪產品競跑正在出現。國內企業雖然落後了兩年，但看起來跟進的速度並不慢。

對抗apt有多種技術思路，一種是演化出類似fireeye、damballa等反病毒領域的深度分支產品，這些產品基本上是採用流量獲取與虛擬載入相結合的方法，重點在於應對格式溢位漏洞尤其是0day漏洞。國內也有瀚海源、安天等幾家公司進入了這個領域。

有趣的是，我們很難從官方**或其他公開渠道了解到相關產品的詳細端倪。反病毒產品最大的軟肋之一，在於它是一種易於獲得的資源，因此非常容易被攻擊者用於針對性的攻防對抗——惡意**作者可以一直編寫和測試直到反病毒產品失效為止。因此反apt產品對細節的諱莫如深也不難理解。

另一種思路則是以白名單思想為基礎、以私有雲為依託的解決方案，國內也有金山、江民等廠商在做類似的嘗試。這種解決方案通過安全基線的方式解決執行准入問題，是基於傳統反病毒技術基礎、但有所突破的另一種嘗試。

私有雲的問題可能與可信計算比較類似，它更多解決的是有檔案載體的可執行體安全問題，但這種思路應對非可執行檔案的威脅能力不足。此外，鑑定效果與採集能力有關，可能會遇到rootkit的挑戰。

傳統的安全裝置廠商自然也不會放棄相關的努力，他們把很多任務作放在了對長期資料的快取和對大資料的回溯分析之上。今天的0day會在某一天變成可檢測的已知漏洞，那麼，既然apt將實時對抗變成幾乎不可完成的任務，那麼能夠回溯，總比一無所知更好。預計儲存廠商對這種思路也會歡欣鼓舞。

sans安全研究機構專家rob lee則從使用者素質的角度看待問題，他認為，apt攻擊可以被阻止，但這需要企業接受一系列的訓練。他指出，財富500強已經有超過50%的企業遭到過apt攻擊，「你可以根據過去**未來。敵人不可能改變所有的手段，只要你了解了他們，就能更好地面對下一波攻擊。」

2023年7月 逐鹿反APT