企業資安服務
FAQ
APT狙擊手
  • Q什麼是APT攻擊?
    進階持續性滲透攻擊(Advanced Persistent Threat, APT),Advanced 意指精心策畫的進階攻擊手法,Persistent 則是長期、持續性的潛伏。APT 攻擊重點在於低調且緩慢,利用各種複雜的工具與手法,逐步掌握目標的人、事、物,不動聲色地竊取其鎖定的資料。所以能發動這種 APT 攻擊手法的駭客,都是以長期滲透特定組織為目標,擁有高超複雜的入侵技巧,並且有足夠資金,才能支持這樣的滲透及攻擊活動。
  • Q請敘述APT狙擊手相較於其他APT防護服務的優勢
    APT狙擊手提供兩種優於其他APT防護服務的核心技術:

    1.APT狙擊手為了分析惡意程式,使用了一種稱為“CPU emulation”的技術,可以突破傳統砂箱的限制。競爭對手的砂箱技術無法模擬到CPU層級,僅能提供至虛擬作業系統的層級。此技術讓我們得以有效分析惡意程式的每一個行為,並可有效偵測出惡意程式的規避行為。
    2.APT狙擊手利用”主動式威脅偵測”,主動挖掘出世界上最新的惡意主機 (drive-by 站點或者 C&C 殭屍網路結構),保護客戶網路免於該威脅。此方式跟傳統的流程有很大的不同。APT狙擊手會使用自製的瀏覽器程式,主動於網際網路上爬行並且測試找尋威脅情資,並將之建立成為威脅模型。此搜尋為針對性的搜尋,因此優化所找挖掘到的威脅結果。威脅情資的建立完全為自動化流程。
    3.APT狙擊手提供中文化報表內容,易於觀看與查詢。
  • QAPT狙擊手是否需要安裝軟體agent?
    本服務無須在端點或者桌機上安裝軟體agent。
  • QAPT狙擊手是否會在偵測到資安事件時送出即時告警資訊?
    可以。告警訊息採用email方式寄送。
  • Q企業如何確定自己需要APT狙擊手這項服務?
    可以透過以下兩種方式:
    1.若客戶同時有上網需求,可以先詢問業務經理申租資安艦隊(入門版、實用強化版、旗艦版)內含APT狙擊手標準版服務。
    2.若客戶無須另外添購網路,可以詢問業務經理申請APT狙擊手標準版試用(一個月)。
  • Q若客戶使用APT狙擊手標準版服務,發現有疑似遭到APT攻擊要如何處理?
    建議處理方式有以下兩種:
    1.可聯繫中華電信業務經理,利用進階資安服務如:安全評估服務(滲透測試)、資安健檢等方式,確認受駭的程度。
    2.可採用APT狙擊手白金版服務,進一步擺放sensor到企業內部,確認企業受駭程度。
  • QAPT狙擊手可以分析那些檔案類型?
    APT狙擊手能夠分析並且偵測位於Microsoft Excel, Word 文件, PDF 檔案, Java, Javascript, 以及 Windows 執行檔內攻擊。
  • QAPT狙擊手白金版相較標準版多了哪些優勢?
    白金版可提供即時惡意郵件阻擋的功能與可以精準定位企業內部受駭IP。

    根據趨勢科技TrendLabs的研究,有91%的APT攻擊利用電子郵件作為開始的進入點。此外,Ponemon的研究表示有78%的針對性電子郵件攻擊利用嵌入在附件的惡意軟體。根據這幾點,攻擊者顯然認為電子郵件是阻力最小的攻擊路徑,可以用來避開現有的安全防禦。

    選用白金版可以即時阻擋全面性APT攻擊(郵件與流量),標準版則以即時阻擋APT流量攻擊為主。企業可根據自身需求選擇標準版或白金版。
  • QAPT狙擊手具有哪些反制最新式迴避偵測的手法(類型如下):
    APT狙擊手面對各類反偵測技術,因應手法如下:

    1.人為干預: 惡意程式執行的虛擬系統中會一同模擬周邊裝置,並且模仿人為的操作用以欺騙惡意程式。

    2.組態偵測: CPU emulation的技術讓我們能夠以指令集作為分析惡意程式的層級,因此提高了我們對於組態偵測迴避手法的能見度。

    3.環境偵測: CPU emulation的技術讓我們能夠以指令集作為分析惡意程式的層級,因此提高了我們對於環境偵測迴避手法的能見度。類似的手法也用於主動式威脅偵測流程中,採用模擬式的瀏覽器(包含滑鼠的移動)讓我們得以偵測嵌入式iframe,也就是一般人所看到的網頁中”隱藏式”的惡意物件。

    4.虛擬化偵測: 一樣透過 CPU emulation approach 的手法讓我們能夠對抗此種偵測方式。重點是對於惡意程式碼的高能見度,讓我們得以發現此類虛擬化環境的偵測手法。

    5.APT狙擊手的技術是以Anubis的寶貴經驗為基礎,完全的以對抗反偵測技巧以及砂箱特徵辨識技巧而開發出來。因此不需要修改虛擬環境中的OS,或者安裝其他可能會導致被惡意程式偵測出來目前為虛擬環境的額外元件。相對而言,APT狙擊手的技術使用emulation的技巧,收集惡意程式執行時的資訊,而不需要任何修改或者調整後的函式庫。

    6.無已知的限制。
  • QAPT狙擊手是否提供端點防護功能?
    目前不提供。若有端點防護的需求,我們另外有資安鑑識服務可以提供端點防護,可以直接洽詢聯絡。
  • QAPT狙擊手對於特定應用程式的支援程度?
    APT狙擊手的偵測涵蓋 web, email 以及殭屍連線。
    以殭屍連線來說,我們的惡意程式連線分析模型支援TCP跟UDP,因此除了例如HTTP/HTTPS(iCAP), SMTP跟DNS流量之外,我們並不拘限於特定的傳輸埠號。

    除此之外APT狙擊手也提供了深層封包掃描引擎(Deep Packet Inspection Engine) ,可針對其他特定的應用程式(例如RDP)執行掃描作業。
  • QAPT狙擊手是否需要對於特定的應用程式預先定義使用埠號?
    無須此資訊,APT狙擊手使用啟發式(heuristics)以及自動化演算法來偵測攻擊。
  • QAPT狙擊手檢查的結果是如何被分析以及歸納的?
    APT狙擊手結合所有於企業內所收集的資訊,並且歸納成為單一的資安事件(incident)。我們會尋找流量的模式,送往C&C以及已知惡意網域的連線,並且於檔案的分析中摘錄出行為模式。我們會把這些事件綜合起來,並且加以評分所導致的威脅層級。

    APT狙擊手會專注於把許多不同但是互為關連的事件整合起來,關聯化後產生告警,而不是替許多不同的獨立事件分別產生告警。
  • QAPT狙擊手能否檢查zip跟rar以及用密碼加密的zip檔案內容?
    ZIP以及RAR檔案即使使用密碼加密也可以被分析。我們會先以常見的密碼作暴力破解,若解不開則搜尋email內的關鍵字用來作為暴力破解的密碼。
  • QAPT狙擊手支援IPv6嗎?
    本服務目前尚不支援IPv6。