孫 增， 施 勇， 薛 質(zhì)

（上海交通大學(xué)信息安全工程學(xué)院，上海 200240）

基于沙箱回避的 APT 研究*

孫 增， 施 勇， 薛 質(zhì)

（上海交通大學(xué)信息安全工程學(xué)院，上海 200240）

通過對日益復(fù)雜化的 APT(Advanced Persistent Threat，高級持續(xù)性威脅） 生命周期中危險階段的認識，簡要介紹 APT檢測手段的演變過程，詳細分析新型 APT 利用技術(shù)手段逃避沙箱檢測的細節(jié)。 針對現(xiàn)有的 APT 沙箱檢測不足以應(yīng)對這種新型 APT 的問題，從 APT 逃避沙箱的方式角度出發(fā)，有針對地提出新型沙箱檢測技術(shù)策略。 對于未來不斷進化的 APT，可能會出現(xiàn)許多新的伎倆，探索建立統(tǒng)一的大數(shù)據(jù)分析跟蹤網(wǎng)絡(luò)或許是盡早發(fā)現(xiàn) APT 的有效途徑。

APT;危險階段;檢測手段;沙箱回避;人機交互;特殊設(shè)置

0 引言

隨著 APT(Advanced Persistent Threat，高級持續(xù)性威脅） 發(fā)生事件的日益增多，人們已經(jīng)認識到已知的 APT 攻擊的許多攻擊細節(jié)，以及常見的攻擊步驟。 不同的安全廠商和安全機構(gòu)從各自的特長出發(fā)提出多種檢測 APT 的策略，方法和工具。 目前利用沙箱檢測惡意代碼的行為已經(jīng)成為 APT 檢測的主流手段。 同時，APT 的進化還在持續(xù)，利用新技術(shù)逃避沙箱檢測的 APT 案例經(jīng)常出現(xiàn)。 因此，需要分析這些逃避沙箱的技術(shù)，找出現(xiàn)有 APT檢測沙箱的不足，提出有針對的改進措施。

沙箱檢測技術(shù)是一種應(yīng)對 APT 通過零日漏洞發(fā)動攻擊的有效方式。 利用沙箱接管調(diào)用接口或函數(shù)行為，通過重定向技術(shù)把程序生成和修改的文件定向到自身的文件夾中，并會在確認病毒行為后實行“回滾”機制讓系統(tǒng)復(fù)原。 通常使用沙箱檢測技術(shù)模擬一系列應(yīng)用程序行為和網(wǎng)絡(luò)行為所產(chǎn)生的后果，再通過大數(shù)據(jù)分析來判定其是不是 APT攻擊。

1 APT 的危險階段分析

已知的 APT 生命生命周期可大致分為：準備階段，初始化攻擊，實施攻擊，清理痕跡。 它們的具體活動特征可以概括出四個危險攻擊階段[1］：準備，入侵，交互，竊取。 通過對每個階段的 特征和動作分析可以發(fā)現(xiàn) APT 在攻擊者暴露的幾率，實施攻擊的代價，被檢測出可能性，實時補救的代價，防御手段的多少，取證調(diào)查的可能性等方面在不同階段有著不同的等級(如表1所示）。

表 1 APT 危險節(jié)點分析

對于以上 APT 危險階段的認識經(jīng)歷了較長一段時間，人們通過大量的安全事件分析，逐漸的揭開 APT 攻擊的神秘面紗，同時又有針對和側(cè)重的提出相應(yīng)的檢測手段。 隨著認識 APT 的過程不斷完善的，相應(yīng)的檢測手段也在不斷演進。

2 APT 檢測手段的演變

最早的 APT 檢測是在傳遞和 C&C 階段進行內(nèi)容過濾，在傳遞和提升權(quán)限階段進行反惡意軟件，在利用和 C&C 階段進行入侵檢測。 這種傳統(tǒng)的真對特定階段的檢測，往往可以發(fā)現(xiàn)些單一入侵跡象，但是單一跡象很難說明整個攻擊事件的影響范圍，也很容易混淆視聽。隨后發(fā)展到對于整個攻擊鏈的調(diào)查取證和對傳遞階段的著重偵查發(fā)現(xiàn)。這種花費大量時間收集去證明攻擊發(fā)生的方法很難對攻擊造成實質(zhì)性的打擊，避免不了類似的攻擊造成的損失，同時在調(diào)查取證過程中如果失去捕獲其中一個階段的證據(jù)就意味著失去全部。

到目前為止，基于 APT 的檢測的手段有很多，側(cè)重點也五花八門涵蓋了APT攻擊生命周 期[2］的各個階段。 沙 箱 技術(shù)也在下一代 APT 檢測中扮演核心角色，利用沙箱對主機中運行加載類似 PDF、 OFFICE、 EXE、 DLL、 ZIP、 FLASH、 JavaS-cript、HTML 對象等的負載后的行為進行分析， 并標記出可以行為。 目前基于沙箱技術(shù)的 APT 檢測技術(shù)越來越被重視，同時逃避沙箱檢測[3］的 APT 的樣本也逐漸增多，新型 APT 的沙箱回避技術(shù)正在被廣泛研究。

3 新型 APT 的沙箱回避技術(shù)

通常的，沙箱系統(tǒng)被看作處理許多的惡意代碼樣本和分析檢測攻擊案例的起始。 由于許多人會把沙箱和虛擬機混淆，可能使得許多公司將虛擬機當作沙箱使用，在個人用戶終端這種想象更加普遍。

越來越多的 APT 攻擊案例表明，黑客們正在編寫新的惡意代碼，這種惡意代碼可以通過尋找沙箱在系統(tǒng)內(nèi)存、正在運行是的程序、注冊表和文件系統(tǒng)中留下的典型特征來判斷是否有沙箱正在運行，從而采取相應(yīng)的手段逃避沙箱的檢測，這種行為成為沙箱回避。

新型的 APT 設(shè)計越來越精巧，利用沙箱系統(tǒng)工作原理和本身的缺陷和沙箱在檢測 APT 中惡意代碼行為中的普遍應(yīng)用，想方設(shè)法逃避沙箱技術(shù)的檢測。 常用的沙箱回避手段有：人際交互[4］，特殊配置，特殊環(huán)境，典型的虛擬機系統(tǒng)等。 甚至，有些惡意代碼經(jīng)常利用注入到其他的程序中的手段來避免被沙箱系統(tǒng)發(fā)現(xiàn)( 例如 iexplore.exe）。 同時， 它們還通過創(chuàng)建一些用于達到其它目的的子進程來逃避檢測。

3.1 人機交互

通常在沙箱系統(tǒng)環(huán)境沒有鼠標移動和對話框彈出關(guān)閉等人為操作，APT 通過判斷入侵系統(tǒng)中的有無鼠標的點擊和對話框的彈出判斷自身是否出去沙箱的環(huán)境中。 這種 APT 在入侵到目標系統(tǒng)之后就會一直處于潛伏狀態(tài)，直到它們檢測到目標系統(tǒng)中有鼠標移動、點擊以及對話框的智能反應(yīng)等人機交互的情況時，它們才開始執(zhí)行惡意代碼。

3.1.1 鼠標點擊

惡意代碼是利用 0x0E 作為參數(shù)值，去調(diào)用安裝在掛鉤程序WH-MOUSE-LL 中的 SetWinodwsHookExA（） 函數(shù)，從而實現(xiàn)對低級別的鼠標輸入的監(jiān)控。 當鼠標被單擊時，會通過關(guān)聯(lián)指針 fn調(diào)用 UnhookWindowsHookEx（）函數(shù)停止對鼠標的監(jiān)控，然后調(diào)用sub-401170（）函數(shù)執(zhí)行惡意代碼(如圖 1 所示）。

圖1 惡意代碼監(jiān)視鼠標動作后執(zhí)行流程圖

一些與 APT 相關(guān)的惡意代碼，利用這種技術(shù)不斷進化出其它更高級的逃避沙箱技術(shù)[5］，例如通過設(shè)置鼠標點擊后的延時在察覺到有鼠標點擊之后的一段時間內(nèi)才會執(zhí)行惡意代碼或者增加循環(huán)計數(shù)功能在檢測到鼠標若干次單擊后才會執(zhí)行惡意代碼。甚至有些惡意代碼會檢測鼠標的移動方向，只有在鼠標向特定的方向移動后才會執(zhí)行。 有些惡意 PDF 文件只有在用戶鼠標向下滾動到特殊的頁面是才會被觸發(fā)執(zhí)行惡意行為。這些惡意代碼的隱蔽性更高，更不容易被察覺，從而很容易的逃避沙箱系統(tǒng)的監(jiān)控。

3.1.2 對話框

APT 惡意代碼會在應(yīng)用程序和動態(tài)鏈接庫中利用 MessageBox（）和 MessageBoxEx（）這兩個應(yīng)用程序接口創(chuàng)建對話框。 惡意代碼只有在用戶點擊按鈕之后才會執(zhí)行。通常彈出的對話框是警示性的對話框，只有當用戶點擊彈出對話框上的“確定”按鍵時，說明惡意代碼已經(jīng)在真實的目標系統(tǒng)中，這時惡意代碼被激活和執(zhí)行。

圖2 開啟對話框的 JavaScript惡意代碼

例如，惡意代碼使用 JavaScript 的 app.alert（）來開啟 Adobe Acrobat PDF 文檔內(nèi)的對話框( 如圖2所示），當使用者點擊“ 確定”時，惡意代碼會使用 app.launchURL（）方法開啟惡意的 URL。

3.2 特殊設(shè)定

越來越多的網(wǎng)絡(luò)攻擊者已經(jīng)開始關(guān)注有關(guān)沙箱系統(tǒng)的配置[6］，并利用這些配置參數(shù)運用一些手段有針對的逃避檢測。

3.2.1 睡眠呼叫

由于沙箱要檢測大量的加載文件，因此在對單一文件的檢測時間是有限的，郵箱惡意代碼會設(shè)置睡眠時間，延時執(zhí)行惡意行為從而避免沙箱的檢測。 研究發(fā)現(xiàn)惡意代碼 Trojan Nap 可以延長睡眠時鐘[7］，等待沙箱檢測完之后再執(zhí)行代碼。 代碼利用超時變量參數(shù) 0x0927C0(600 秒，10 分鐘）調(diào)用 SleepEx（）使得在 10分鐘之后惡意代碼才可以被執(zhí)行。 10分鐘的時間大于大多數(shù)沙箱檢測文件樣本所需的時間，這樣惡意代碼的行為就不會被沙箱發(fā)現(xiàn)(如圖3 所示）。

圖3 Trojan Nap 調(diào)用 SleepEx() 的方法

3.2.2 時間觸發(fā)器

同理，為充分利用沙箱檢測個體文件時間的有限性。 很多情況下，惡意代碼就像一顆“定時炸彈”，它會利用時間觸發(fā)器功能和睡眠喚醒功能共同作用，使得在時間沒有到達預(yù)置的時間時，惡意代碼將不會被執(zhí)行，從而避開沙箱的監(jiān)控。

例如惡意代碼 Trojan Hastati 利 用 GetLocalTime（）應(yīng)用程序接口獲得系統(tǒng)的當前時間，如果獲取到的當前時間沒有到達惡意代碼設(shè)置的時間，惡意代碼將會睡眠等待一段時間之后再檢測時間，如此往復(fù)循環(huán)下去，直到到達設(shè)定的時間為止(如圖 4所示）。

圖4 觸上條件沒到惡意代碼繼續(xù)睡眠

3.2.3 執(zhí)行路徑

通常沙箱是將文件拷貝到根目錄下并在根目錄下執(zhí)行相關(guān)的操作，這點和實際工作環(huán)境下[8］有所不同，在實際工作環(huán)境下是根據(jù)用戶選擇的目錄下進行操作，很少在根目錄下執(zhí)行。 這時惡意代碼就會利用 mmioOpen（） 和 GetCommadLineA（） 這兩種方式(如圖 5 所示）在 Windows 應(yīng)用程序接口中辨別代碼是否在根目錄下運行。

圖5 惡意軟件運用 mmioOpen()功能檢查執(zhí)行路徑

相比 mmioOpen（） 而言，GetCommadLineA（）的使用更加容易理解，這種方法是通過檢索當前命令行字符串[9］實現(xiàn)的。 當命令行的字符串只出現(xiàn)一個反斜杠時就可以認定文件是在根目錄下被執(zhí)行的，例如：“C： /filename.exe.”這時惡意代碼就終止或不執(zhí)行，從而逃避沙箱的檢測。

3.2.4 隱藏進程

基于文件的沙箱是通過監(jiān)控所有正在系統(tǒng)中運行的進程來識別出可以的惡意行為。它是通過微軟提供的一個名叫PsSetCreateProcessNotifyRoutine 內(nèi)核指針完成的。 隨著這個內(nèi)核程序的運行，Windows 上包含一個用來接收已經(jīng)注冊的反饋的數(shù)組。

惡意代碼 Pushdo 運用拆解工具從內(nèi)核中提取出 PsSet-CreateProcessNotifyRoutine 指針，通過這個指針就很容易的移除數(shù)組中的所有安全軟件的反饋，一旦這些反饋被移除，惡意代碼就可以 創(chuàng)建和終止進程而不會被發(fā)現(xiàn)(如圖 6 所示）。這樣，那些運用沙箱的殺毒軟件就不會得到惡意軟件運行時產(chǎn)生的警告通知。

圖6 惡意代碼檢索 PsSetCreateProcessNotifyRoutine 指針

3.3 特殊環(huán)境

許多惡意代碼都是在特定版本的應(yīng)用或操作系統(tǒng)中利用特定漏洞執(zhí)行的，而所有的沙箱系統(tǒng)都有預(yù)先設(shè)定的配置環(huán)境，如果沙箱沒有特定版本的安裝應(yīng)用，那么有些惡意的 Flash 文件和PDF 文件就不會下載，這時沙箱就檢測不到惡意代碼。

同時，這些惡意的 Flash 和 PDF 文件就是惡意代碼通過編碼手段嵌入到 PDF 和 Flash 文件中，進一步逃避沙箱檢測，甚至有些惡意代碼為了逃避沙箱還會做 DLL 加載檢測，通過計算負載的 Hash 值來判斷是否需要加載。

3.4 經(jīng)典的虛擬機系統(tǒng)

沙箱是一種虛擬環(huán)境，利用對典型虛擬機環(huán)境的檢測，惡意代碼可以從操作系統(tǒng)枚舉注冊表鍵值中的所有磁盤名稱。如果注冊表鍵值中的磁盤名稱存在于系統(tǒng)磁盤名稱中，惡意代碼就可以判定自己運行在虛擬環(huán)境中，從而不會執(zhí)行惡意行為。

另外，惡意代碼[10］還通過對經(jīng)典虛擬機的系統(tǒng)服務(wù)、自帶的特殊文件、VMX 通信端口等一些指標判斷自己是否在虛擬的環(huán)境中，從而盡可能的躲避沙箱的檢測。

基于 Andriod 的惡意代碼通過函數(shù)調(diào)用來判斷所處的環(huán)境是否是虛擬環(huán)境。 例如通過調(diào)用 isEmulator 函數(shù)檢查設(shè)備的MODEL 值(谷歌 ADTbundle 模擬器的 MODEL 變量會含有字符串“ SDK”）來判斷是否正在 Android QEMU 模擬器下運行 ( 如圖7所示）。

圖7 isEmulator 函數(shù)的相關(guān)代碼

3.5 循環(huán)運用多種逃避技術(shù)

新型的 APT 綜合運用多種沙箱回避技術(shù)，既保證自己的行蹤不會被沙箱檢測到，又保證已經(jīng)加載在系統(tǒng)中的惡意代碼盡快發(fā)揮作用，避免因長期駐留系統(tǒng)中而被反惡意代碼軟件發(fā)現(xiàn)。這種綜合的手段是以感知到的外部情況(虛擬機環(huán)境，人機交互，執(zhí)行路徑等）為條件，循環(huán)調(diào)用“睡眠回叫”技術(shù)，最終在滿足以上條件后以隱藏進程的方式實施惡意行為(如圖 8所示）。

圖8 循環(huán)運用多種逃避技術(shù)流程圖

4 現(xiàn)有 APT 檢測沙箱的不足

越來越多的惡意代碼具有交互性、耗時性和智能性。 交互性使得它們在遇到特定的人機交互操作后才能執(zhí)行;耗時性有助于逃脫自動化分析系統(tǒng)的控制;智能性可以感知所處的環(huán)境從而隱藏自己的惡意行為。 利用惡意代碼進行攻擊的 APT案例越發(fā)頻繁，暴露出現(xiàn)有的基于沙箱的 APT 檢測存在一些不足：

第一，現(xiàn)有的 APT 檢測沙箱對加載的負載檢測時間是有限的，做不到長時間的跟蹤檢測。

第二，現(xiàn)有的沙箱技術(shù)不能有效應(yīng)對惡意代碼對目標系統(tǒng)和應(yīng)用的版本檢測，也無法檢測出嵌入文件式的逃避和動態(tài)鏈接庫DLL 加載檢測逃避技術(shù)。

第三，針對利用系統(tǒng)特殊的 API和函數(shù)的沙箱逃避技術(shù)，有些的 APT 沙箱檢測解決方案中對調(diào)用類似這些特殊 API或者特殊系統(tǒng)函數(shù)的程序定義為惡意代碼，這種處理方式會導(dǎo)致誤報，因為相關(guān)的 API和系統(tǒng)函數(shù)也會被運用在正常的程序中。

第四，現(xiàn)有的 APT 同時具備很多種沙箱逃避技術(shù)并進行有效的綜合利用，而現(xiàn)有的沙箱還不具備發(fā)現(xiàn)這些所有逃避的能力。 對于大多數(shù)的沙箱通常只具有個別的手段可以預(yù)防 APT 逃避沙箱檢測。

5 新型 APT 檢測沙箱

一款較好的沙箱應(yīng)同時兼具更好的可視性和隱蔽性。也就是說，理想化的沙箱能最大限度的看清楚的惡意代碼的執(zhí)行步驟，同時又能不被惡意代碼發(fā)現(xiàn)。 最初的沙箱采用的是用戶模式的掛鉤，之后分別向可視性和隱蔽性進化：第一，采用重視隱蔽性的內(nèi)核模式的掛鉤，這種傳統(tǒng)的沙箱隱蔽性很好但可視性不足，用戶不能夠清楚的發(fā)現(xiàn)惡意代碼的執(zhí)行過程。 第二，采用調(diào)試運行的方式，形成了可視性很好但隱蔽性不足的虛擬運行環(huán)境。 惡意代碼正是利用傳統(tǒng)沙箱和虛擬環(huán)境的不足，逃避沙箱的檢測。

云計算環(huán)境下的沙箱技術(shù)是通過擁有大量數(shù)據(jù)的云平臺對計算機軟件和移動端應(yīng)用做深度分析，先讓它們在云沙箱中執(zhí)行一次，獲取其真實細致的行為信息，從而在短時間內(nèi)全面檢測一款完全未知的計算機軟件和移動端應(yīng)用的可疑行為和安全性，而任何行為或者病毒攻擊都將被局限于云沙箱中，保障用戶使用的系統(tǒng)本身是完全安全的。 結(jié)合對逃避沙箱的技術(shù)手段的剖析，提出基于系統(tǒng)仿真的新型云沙箱。 這類沙箱具有長期檢測分析、目標仿真、彈性的云計算環(huán)境部署和強大的攻擊樣本庫等特性。

首先，設(shè)置多次返回檢測的方式有效的解決惡意代碼通過設(shè)置睡眠逃過檢測的問題;同時配合響應(yīng)的出發(fā)機制，保證惡意代碼在剛執(zhí)行的第一時間就能被沙箱發(fā)現(xiàn)，從而達到檢測分析的效果。 其次，具有仿真人機交互能力，并通過定制設(shè)置在系統(tǒng)中加入移動鼠標、點擊鼠標、點擊對話框等程序模塊;使得惡意代碼察覺不出運行的環(huán)境是虛擬環(huán)境。 再次，根據(jù)不同網(wǎng)絡(luò)環(huán)境的需要，設(shè)置不同的功能和檢查粒度，從而更加有效的部署在云計算環(huán)境下的云沙箱檢測平臺。 最后，以集中存儲分發(fā)共享的方式處理攻擊樣本，形成強大的樣本特征庫，有助于更加精確快速的檢測。

6 結(jié)語

目前基于沙箱的 APT 檢測技術(shù)越來越成熟，已經(jīng)被很多安全產(chǎn)品集成。 同時，APT 針對沙箱逃避技術(shù)的認識和探索遠沒停止，隨著 APT 檢測技術(shù)的進步，越來越多的攻擊案例將會出現(xiàn)，基于沙箱逃避技術(shù)的惡意代碼更加多樣。 只有認識現(xiàn)有的逃避沙箱的細節(jié)，發(fā)現(xiàn)未來可能發(fā)展的趨勢，同時對現(xiàn)有的沙箱檢測技術(shù)不斷的更新和完善才能更有效的應(yīng)對類似 APT 的各種攻擊。 另外，針對沙 箱檢測如何提高檢測的準確率，減少誤報也是沙箱檢測 APT 系統(tǒng)的研究方向，整合大數(shù)據(jù)平臺[11］構(gòu)建關(guān)鍵證據(jù)鏈式的檢測技術(shù)是應(yīng)對未來不確定的持續(xù)性威脅的較好出路。

[1］HBGary.The New Battle Field Fighting and Defeating APT Attackers in the Enterprise[EB/OL］ .[2014-01-15］ .https： // hbgary.com/community-whitepapers.

[2］黃達理，薛質(zhì).進階持續(xù)性滲透攻擊的特征分析研究[J］.信息安全與通信保密，2012(05）：87-89.

[3］Gartner.Gartner：“ 五種類型的先進威脅防御(ATD） ” 助企業(yè)防御針對性的攻擊[EB/OL］.[2013-11-01］ .http： //security.cnw.com.cn/htm2013/20131101-285578.shtml.

[4］AhnLab.Invasion of Malware Evading the Behavior-based A-nalysis[R］ .America：AhnLab， 2014：2-7.

[5］Lastline， Labs.The Threat of Evasive Malware[R］ .America：Lastline Labs， 2013：1-8.

[6］Abhishek， Singh， Zheng.Hot Knives through Butter：Evading File-based Sandboxes[R］ .America：FireEye， 2013：3-14.

[7］Seculert.Advanced Threat Protection Solution[R］ .America：Seculert，2013.

[8］Counter， Threat， Unit.Lifecycle of an Advanced Persistent Threat[R］.USA： DELL，2012.

[9］Jon， Oltsik.APT Protection： Sourcefire FireAMP May Be the Right Product at the Right Time[R］ .USA： Enterprise Strategy Group， Inc，2012.

[10］IMPERVA.Advanced Persistent Threat：[R］ .USA： IMPERVA，2012.

[11］周濤.大數(shù)據(jù)與 APT 研究檢測[J］.信息安全與通信保密，2012(07）：29.

APT based on Sandbox Avoiding

SUN Zeng，SHI Yong ，XUE Zhi
(Institute of Information Security Engineering， Shanghai Jiaotong University， ShangHai 200240， China）

Based on the cognition of the dangerous phase in the life cycle of gradually complex APT(Advanced Persistent Threat） ，the evolution process of APT detection means is described，the techinical details to escape the sandbox testing by ADT are analyzed. The existing APT sandbox test is not enough to deal with the new APT question， and in light of this and from the angle of APT sandbox avoiding， a new sandbox detection technology strategy is proposed in this paper.For the future evolution of APT， there may be a lot of new tricks， thus exploration and establishment of unified big-data analysis tracking network may be an effective way to find APT as early as possible.

advanced persistent threat;dangerous phase;detection means;sandbox avoiding;human-computer interaction;special setup

TP309.5

A

1009-8054(2015)01-0092-05

孫 增(1987—），男，碩士，主要研究方向為網(wǎng)絡(luò)攻擊防御、高級持續(xù)性攻擊(APT）;

2014-10-27

高級XXXX 技術(shù)研究( 秘密級)(No.CNITSEC-KY-2013-009/2)

施 勇(1979—），男，博士，講師，主要研究方向為計算機網(wǎng)絡(luò)、信息安全;

薛 質(zhì)(1971—），男，博士，教授，主要研究方向為網(wǎng)絡(luò)攻擊與防御。■