孫 增， 施 勇， 薛 質(zhì)

（上海交通大學(xué)信息安全工程學(xué)院，上海 200240）

基于沙箱回避的 APT 研究*

孫 增， 施 勇， 薛 質(zhì)

（上海交通大學(xué)信息安全工程學(xué)院，上海 200240）

通過對日益復(fù)雜化的 APT(Advanced Persistent Threat，高級持續(xù)性威脅） 生命周期中危險(xiǎn)階段的認(rèn)識，簡要介紹 APT檢測手段的演變過程，詳細(xì)分析新型 APT 利用技術(shù)手段逃避沙箱檢測的細(xì)節(jié)。 針對現(xiàn)有的 APT 沙箱檢測不足以應(yīng)對這種新型 APT 的問題，從 APT 逃避沙箱的方式角度出發(fā)，有針對地提出新型沙箱檢測技術(shù)策略。 對于未來不斷進(jìn)化的 APT，可能會出現(xiàn)許多新的伎倆，探索建立統(tǒng)一的大數(shù)據(jù)分析跟蹤網(wǎng)絡(luò)或許是盡早發(fā)現(xiàn) APT 的有效途徑。

APT;危險(xiǎn)階段;檢測手段;沙箱回避;人機(jī)交互;特殊設(shè)置

0 引言

隨著 APT(Advanced Persistent Threat，高級持續(xù)性威脅） 發(fā)生事件的日益增多，人們已經(jīng)認(rèn)識到已知的 APT 攻擊的許多攻擊細(xì)節(jié)，以及常見的攻擊步驟。 不同的安全廠商和安全機(jī)構(gòu)從各自的特長出發(fā)提出多種檢測 APT 的策略，方法和工具。 目前利用沙箱檢測惡意代碼的行為已經(jīng)成為 APT 檢測的主流手段。 同時(shí)，APT 的進(jìn)化還在持續(xù)，利用新技術(shù)逃避沙箱檢測的 APT 案例經(jīng)常出現(xiàn)。 因此，需要分析這些逃避沙箱的技術(shù)，找出現(xiàn)有 APT檢測沙箱的不足，提出有針對的改進(jìn)措施。

沙箱檢測技術(shù)是一種應(yīng)對 APT 通過零日漏洞發(fā)動攻擊的有效方式。 利用沙箱接管調(diào)用接口或函數(shù)行為，通過重定向技術(shù)把程序生成和修改的文件定向到自身的文件夾中，并會在確認(rèn)病毒行為后實(shí)行“回滾”機(jī)制讓系統(tǒng)復(fù)原。 通常使用沙箱檢測技術(shù)模擬一系列應(yīng)用程序行為和網(wǎng)絡(luò)行為所產(chǎn)生的后果，再通過大數(shù)據(jù)分析來判定其是不是 APT攻擊。

1 APT 的危險(xiǎn)階段分析

已知的 APT 生命生命周期可大致分為：準(zhǔn)備階段，初始化攻擊，實(shí)施攻擊，清理痕跡。 它們的具體活動特征可以概括出四個(gè)危險(xiǎn)攻擊階段[1］：準(zhǔn)備，入侵，交互，竊取。 通過對每個(gè)階段的 特征和動作分析可以發(fā)現(xiàn) APT 在攻擊者暴露的幾率，實(shí)施攻擊的代價(jià)，被檢測出可能性，實(shí)時(shí)補(bǔ)救的代價(jià)，防御手段的多少，取證調(diào)查的可能性等方面在不同階段有著不同的等級(如表1所示）。

表 1 APT 危險(xiǎn)節(jié)點(diǎn)分析

對于以上 APT 危險(xiǎn)階段的認(rèn)識經(jīng)歷了較長一段時(shí)間，人們通過大量的安全事件分析，逐漸的揭開 APT 攻擊的神秘面紗，同時(shí)又有針對和側(cè)重的提出相應(yīng)的檢測手段。 隨著認(rèn)識 APT 的過程不斷完善的，相應(yīng)的檢測手段也在不斷演進(jìn)。

2 APT 檢測手段的演變

最早的 APT 檢測是在傳遞和 C&C 階段進(jìn)行內(nèi)容過濾，在傳遞和提升權(quán)限階段進(jìn)行反惡意軟件，在利用和 C&C 階段進(jìn)行入侵檢測。 這種傳統(tǒng)的真對特定階段的檢測，往往可以發(fā)現(xiàn)些單一入侵跡象，但是單一跡象很難說明整個(gè)攻擊事件的影響范圍，也很容易混淆視聽。隨后發(fā)展到對于整個(gè)攻擊鏈的調(diào)查取證和對傳遞階段的著重偵查發(fā)現(xiàn)。這種花費(fèi)大量時(shí)間收集去證明攻擊發(fā)生的方法很難對攻擊造成實(shí)質(zhì)性的打擊，避免不了類似的攻擊造成的損失，同時(shí)在調(diào)查取證過程中如果失去捕獲其中一個(gè)階段的證據(jù)就意味著失去全部。

到目前為止，基于 APT 的檢測的手段有很多，側(cè)重點(diǎn)也五花八門涵蓋了APT攻擊生命周 期[2］的各個(gè)階段。 沙 箱 技術(shù)也在下一代 APT 檢測中扮演核心角色，利用沙箱對主機(jī)中運(yùn)行加載類似 PDF、 OFFICE、 EXE、 DLL、 ZIP、 FLASH、 JavaS-cript、HTML 對象等的負(fù)載后的行為進(jìn)行分析， 并標(biāo)記出可以行為。 目前基于沙箱技術(shù)的 APT 檢測技術(shù)越來越被重視，同時(shí)逃避沙箱檢測[3］的 APT 的樣本也逐漸增多，新型 APT 的沙箱回避技術(shù)正在被廣泛研究。

3 新型 APT 的沙箱回避技術(shù)

通常的，沙箱系統(tǒng)被看作處理許多的惡意代碼樣本和分析檢測攻擊案例的起始。 由于許多人會把沙箱和虛擬機(jī)混淆，可能使得許多公司將虛擬機(jī)當(dāng)作沙箱使用，在個(gè)人用戶終端這種想象更加普遍。

越來越多的 APT 攻擊案例表明，黑客們正在編寫新的惡意代碼，這種惡意代碼可以通過尋找沙箱在系統(tǒng)內(nèi)存、正在運(yùn)行是的程序、注冊表和文件系統(tǒng)中留下的典型特征來判斷是否有沙箱正在運(yùn)行，從而采取相應(yīng)的手段逃避沙箱的檢測，這種行為成為沙箱回避。

新型的 APT 設(shè)計(jì)越來越精巧，利用沙箱系統(tǒng)工作原理和本身的缺陷和沙箱在檢測 APT 中惡意代碼行為中的普遍應(yīng)用，想方設(shè)法逃避沙箱技術(shù)的檢測。 常用的沙箱回避手段有：人際交互[4］，特殊配置，特殊環(huán)境，典型的虛擬機(jī)系統(tǒng)等。 甚至，有些惡意代碼經(jīng)常利用注入到其他的程序中的手段來避免被沙箱系統(tǒng)發(fā)現(xiàn)( 例如 iexplore.exe）。 同時(shí)， 它們還通過創(chuàng)建一些用于達(dá)到其它目的的子進(jìn)程來逃避檢測。

3.1 人機(jī)交互

通常在沙箱系統(tǒng)環(huán)境沒有鼠標(biāo)移動和對話框彈出關(guān)閉等人為操作，APT 通過判斷入侵系統(tǒng)中的有無鼠標(biāo)的點(diǎn)擊和對話框的彈出判斷自身是否出去沙箱的環(huán)境中。 這種 APT 在入侵到目標(biāo)系統(tǒng)之后就會一直處于潛伏狀態(tài)，直到它們檢測到目標(biāo)系統(tǒng)中有鼠標(biāo)移動、點(diǎn)擊以及對話框的智能反應(yīng)等人機(jī)交互的情況時(shí)，它們才開始執(zhí)行惡意代碼。

3.1.1 鼠標(biāo)點(diǎn)擊

惡意代碼是利用 0x0E 作為參數(shù)值，去調(diào)用安裝在掛鉤程序WH-MOUSE-LL 中的 SetWinodwsHookExA（） 函數(shù)，從而實(shí)現(xiàn)對低級別的鼠標(biāo)輸入的監(jiān)控。 當(dāng)鼠標(biāo)被單擊時(shí)，會通過關(guān)聯(lián)指針 fn調(diào)用 UnhookWindowsHookEx（）函數(shù)停止對鼠標(biāo)的監(jiān)控，然后調(diào)用sub-401170（）函數(shù)執(zhí)行惡意代碼(如圖 1 所示）。

圖1 惡意代碼監(jiān)視鼠標(biāo)動作后執(zhí)行流程圖

一些與 APT 相關(guān)的惡意代碼，利用這種技術(shù)不斷進(jìn)化出其它更高級的逃避沙箱技術(shù)[5］，例如通過設(shè)置鼠標(biāo)點(diǎn)擊后的延時(shí)在察覺到有鼠標(biāo)點(diǎn)擊之后的一段時(shí)間內(nèi)才會執(zhí)行惡意代碼或者增加循環(huán)計(jì)數(shù)功能在檢測到鼠標(biāo)若干次單擊后才會執(zhí)行惡意代碼。甚至有些惡意代碼會檢測鼠標(biāo)的移動方向，只有在鼠標(biāo)向特定的方向移動后才會執(zhí)行。 有些惡意 PDF 文件只有在用戶鼠標(biāo)向下滾動到特殊的頁面是才會被觸發(fā)執(zhí)行惡意行為。這些惡意代碼的隱蔽性更高，更不容易被察覺，從而很容易的逃避沙箱系統(tǒng)的監(jiān)控。

3.1.2 對話框

APT 惡意代碼會在應(yīng)用程序和動態(tài)鏈接庫中利用 MessageBox（）和 MessageBoxEx（）這兩個(gè)應(yīng)用程序接口創(chuàng)建對話框。 惡意代碼只有在用戶點(diǎn)擊按鈕之后才會執(zhí)行。通常彈出的對話框是警示性的對話框，只有當(dāng)用戶點(diǎn)擊彈出對話框上的“確定”按鍵時(shí)，說明惡意代碼已經(jīng)在真實(shí)的目標(biāo)系統(tǒng)中，這時(shí)惡意代碼被激活和執(zhí)行。

圖2 開啟對話框的 JavaScript惡意代碼

例如，惡意代碼使用 JavaScript 的 app.alert（）來開啟 Adobe Acrobat PDF 文檔內(nèi)的對話框( 如圖2所示），當(dāng)使用者點(diǎn)擊“ 確定”時(shí)，惡意代碼會使用 app.launchURL（）方法開啟惡意的 URL。

3.2 特殊設(shè)定

越來越多的網(wǎng)絡(luò)攻擊者已經(jīng)開始關(guān)注有關(guān)沙箱系統(tǒng)的配置[6］，并利用這些配置參數(shù)運(yùn)用一些手段有針對的逃避檢測。

3.2.1 睡眠呼叫

由于沙箱要檢測大量的加載文件，因此在對單一文件的檢測時(shí)間是有限的，郵箱惡意代碼會設(shè)置睡眠時(shí)間，延時(shí)執(zhí)行惡意行為從而避免沙箱的檢測。 研究發(fā)現(xiàn)惡意代碼 Trojan Nap 可以延長睡眠時(shí)鐘[7］，等待沙箱檢測完之后再執(zhí)行代碼。 代碼利用超時(shí)變量參數(shù) 0x0927C0(600 秒，10 分鐘）調(diào)用 SleepEx（）使得在 10分鐘之后惡意代碼才可以被執(zhí)行。 10分鐘的時(shí)間大于大多數(shù)沙箱檢測文件樣本所需的時(shí)間，這樣惡意代碼的行為就不會被沙箱發(fā)現(xiàn)(如圖3 所示）。

圖3 Trojan Nap 調(diào)用 SleepEx() 的方法

3.2.2 時(shí)間觸發(fā)器

同理，為充分利用沙箱檢測個(gè)體文件時(shí)間的有限性。 很多情況下，惡意代碼就像一顆“定時(shí)炸彈”，它會利用時(shí)間觸發(fā)器功能和睡眠喚醒功能共同作用，使得在時(shí)間沒有到達(dá)預(yù)置的時(shí)間時(shí)，惡意代碼將不會被執(zhí)行，從而避開沙箱的監(jiān)控。

例如惡意代碼 Trojan Hastati 利 用 GetLocalTime（）應(yīng)用程序接口獲得系統(tǒng)的當(dāng)前時(shí)間，如果獲取到的當(dāng)前時(shí)間沒有到達(dá)惡意代碼設(shè)置的時(shí)間，惡意代碼將會睡眠等待一段時(shí)間之后再檢測時(shí)間，如此往復(fù)循環(huán)下去，直到到達(dá)設(shè)定的時(shí)間為止(如圖 4所示）。

圖4 觸上條件沒到惡意代碼繼續(xù)睡眠

3.2.3 執(zhí)行路徑

通常沙箱是將文件拷貝到根目錄下并在根目錄下執(zhí)行相關(guān)的操作，這點(diǎn)和實(shí)際工作環(huán)境下[8］有所不同，在實(shí)際工作環(huán)境下是根據(jù)用戶選擇的目錄下進(jìn)行操作，很少在根目錄下執(zhí)行。 這時(shí)惡意代碼就會利用 mmioOpen（） 和 GetCommadLineA（） 這兩種方式(如圖 5 所示）在 Windows 應(yīng)用程序接口中辨別代碼是否在根目錄下運(yùn)行。

圖5 惡意軟件運(yùn)用 mmioOpen()功能檢查執(zhí)行路徑

相比 mmioOpen（） 而言，GetCommadLineA（）的使用更加容易理解，這種方法是通過檢索當(dāng)前命令行字符串[9］實(shí)現(xiàn)的。 當(dāng)命令行的字符串只出現(xiàn)一個(gè)反斜杠時(shí)就可以認(rèn)定文件是在根目錄下被執(zhí)行的，例如：“C： /filename.exe.”這時(shí)惡意代碼就終止或不執(zhí)行，從而逃避沙箱的檢測。

3.2.4 隱藏進(jìn)程

基于文件的沙箱是通過監(jiān)控所有正在系統(tǒng)中運(yùn)行的進(jìn)程來識別出可以的惡意行為。它是通過微軟提供的一個(gè)名叫PsSetCreateProcessNotifyRoutine 內(nèi)核指針完成的。 隨著這個(gè)內(nèi)核程序的運(yùn)行，Windows 上包含一個(gè)用來接收已經(jīng)注冊的反饋的數(shù)組。

惡意代碼 Pushdo 運(yùn)用拆解工具從內(nèi)核中提取出 PsSet-CreateProcessNotifyRoutine 指針，通過這個(gè)指針就很容易的移除數(shù)組中的所有安全軟件的反饋，一旦這些反饋被移除，惡意代碼就可以 創(chuàng)建和終止進(jìn)程而不會被發(fā)現(xiàn)(如圖 6 所示）。這樣，那些運(yùn)用沙箱的殺毒軟件就不會得到惡意軟件運(yùn)行時(shí)產(chǎn)生的警告通知。

圖6 惡意代碼檢索 PsSetCreateProcessNotifyRoutine 指針

3.3 特殊環(huán)境

許多惡意代碼都是在特定版本的應(yīng)用或操作系統(tǒng)中利用特定漏洞執(zhí)行的，而所有的沙箱系統(tǒng)都有預(yù)先設(shè)定的配置環(huán)境，如果沙箱沒有特定版本的安裝應(yīng)用，那么有些惡意的 Flash 文件和PDF 文件就不會下載，這時(shí)沙箱就檢測不到惡意代碼。

同時(shí)，這些惡意的 Flash 和 PDF 文件就是惡意代碼通過編碼手段嵌入到 PDF 和 Flash 文件中，進(jìn)一步逃避沙箱檢測，甚至有些惡意代碼為了逃避沙箱還會做 DLL 加載檢測，通過計(jì)算負(fù)載的 Hash 值來判斷是否需要加載。

3.4 經(jīng)典的虛擬機(jī)系統(tǒng)

沙箱是一種虛擬環(huán)境，利用對典型虛擬機(jī)環(huán)境的檢測，惡意代碼可以從操作系統(tǒng)枚舉注冊表鍵值中的所有磁盤名稱。如果注冊表鍵值中的磁盤名稱存在于系統(tǒng)磁盤名稱中，惡意代碼就可以判定自己運(yùn)行在虛擬環(huán)境中，從而不會執(zhí)行惡意行為。

另外，惡意代碼[10］還通過對經(jīng)典虛擬機(jī)的系統(tǒng)服務(wù)、自帶的特殊文件、VMX 通信端口等一些指標(biāo)判斷自己是否在虛擬的環(huán)境中，從而盡可能的躲避沙箱的檢測。

基于 Andriod 的惡意代碼通過函數(shù)調(diào)用來判斷所處的環(huán)境是否是虛擬環(huán)境。 例如通過調(diào)用 isEmulator 函數(shù)檢查設(shè)備的MODEL 值(谷歌 ADTbundle 模擬器的 MODEL 變量會含有字符串“ SDK”）來判斷是否正在 Android QEMU 模擬器下運(yùn)行 ( 如圖7所示）。

圖7 isEmulator 函數(shù)的相關(guān)代碼

3.5 循環(huán)運(yùn)用多種逃避技術(shù)

新型的 APT 綜合運(yùn)用多種沙箱回避技術(shù)，既保證自己的行蹤不會被沙箱檢測到，又保證已經(jīng)加載在系統(tǒng)中的惡意代碼盡快發(fā)揮作用，避免因長期駐留系統(tǒng)中而被反惡意代碼軟件發(fā)現(xiàn)。這種綜合的手段是以感知到的外部情況(虛擬機(jī)環(huán)境，人機(jī)交互，執(zhí)行路徑等）為條件，循環(huán)調(diào)用“睡眠回叫”技術(shù)，最終在滿足以上條件后以隱藏進(jìn)程的方式實(shí)施惡意行為(如圖 8所示）。

圖8 循環(huán)運(yùn)用多種逃避技術(shù)流程圖

4 現(xiàn)有 APT 檢測沙箱的不足

越來越多的惡意代碼具有交互性、耗時(shí)性和智能性。 交互性使得它們在遇到特定的人機(jī)交互操作后才能執(zhí)行;耗時(shí)性有助于逃脫自動化分析系統(tǒng)的控制;智能性可以感知所處的環(huán)境從而隱藏自己的惡意行為。 利用惡意代碼進(jìn)行攻擊的 APT案例越發(fā)頻繁，暴露出現(xiàn)有的基于沙箱的 APT 檢測存在一些不足：

第一，現(xiàn)有的 APT 檢測沙箱對加載的負(fù)載檢測時(shí)間是有限的，做不到長時(shí)間的跟蹤檢測。

第二，現(xiàn)有的沙箱技術(shù)不能有效應(yīng)對惡意代碼對目標(biāo)系統(tǒng)和應(yīng)用的版本檢測，也無法檢測出嵌入文件式的逃避和動態(tài)鏈接庫DLL 加載檢測逃避技術(shù)。

第三，針對利用系統(tǒng)特殊的 API和函數(shù)的沙箱逃避技術(shù)，有些的 APT 沙箱檢測解決方案中對調(diào)用類似這些特殊 API或者特殊系統(tǒng)函數(shù)的程序定義為惡意代碼，這種處理方式會導(dǎo)致誤報(bào)，因?yàn)橄嚓P(guān)的 API和系統(tǒng)函數(shù)也會被運(yùn)用在正常的程序中。

第四，現(xiàn)有的 APT 同時(shí)具備很多種沙箱逃避技術(shù)并進(jìn)行有效的綜合利用，而現(xiàn)有的沙箱還不具備發(fā)現(xiàn)這些所有逃避的能力。 對于大多數(shù)的沙箱通常只具有個(gè)別的手段可以預(yù)防 APT 逃避沙箱檢測。

5 新型 APT 檢測沙箱

一款較好的沙箱應(yīng)同時(shí)兼具更好的可視性和隱蔽性。也就是說，理想化的沙箱能最大限度的看清楚的惡意代碼的執(zhí)行步驟，同時(shí)又能不被惡意代碼發(fā)現(xiàn)。 最初的沙箱采用的是用戶模式的掛鉤，之后分別向可視性和隱蔽性進(jìn)化：第一，采用重視隱蔽性的內(nèi)核模式的掛鉤，這種傳統(tǒng)的沙箱隱蔽性很好但可視性不足，用戶不能夠清楚的發(fā)現(xiàn)惡意代碼的執(zhí)行過程。 第二，采用調(diào)試運(yùn)行的方式，形成了可視性很好但隱蔽性不足的虛擬運(yùn)行環(huán)境。 惡意代碼正是利用傳統(tǒng)沙箱和虛擬環(huán)境的不足，逃避沙箱的檢測。

云計(jì)算環(huán)境下的沙箱技術(shù)是通過擁有大量數(shù)據(jù)的云平臺對計(jì)算機(jī)軟件和移動端應(yīng)用做深度分析，先讓它們在云沙箱中執(zhí)行一次，獲取其真實(shí)細(xì)致的行為信息，從而在短時(shí)間內(nèi)全面檢測一款完全未知的計(jì)算機(jī)軟件和移動端應(yīng)用的可疑行為和安全性，而任何行為或者病毒攻擊都將被局限于云沙箱中，保障用戶使用的系統(tǒng)本身是完全安全的。 結(jié)合對逃避沙箱的技術(shù)手段的剖析，提出基于系統(tǒng)仿真的新型云沙箱。 這類沙箱具有長期檢測分析、目標(biāo)仿真、彈性的云計(jì)算環(huán)境部署和強(qiáng)大的攻擊樣本庫等特性。

首先，設(shè)置多次返回檢測的方式有效的解決惡意代碼通過設(shè)置睡眠逃過檢測的問題;同時(shí)配合響應(yīng)的出發(fā)機(jī)制，保證惡意代碼在剛執(zhí)行的第一時(shí)間就能被沙箱發(fā)現(xiàn)，從而達(dá)到檢測分析的效果。 其次，具有仿真人機(jī)交互能力，并通過定制設(shè)置在系統(tǒng)中加入移動鼠標(biāo)、點(diǎn)擊鼠標(biāo)、點(diǎn)擊對話框等程序模塊;使得惡意代碼察覺不出運(yùn)行的環(huán)境是虛擬環(huán)境。 再次，根據(jù)不同網(wǎng)絡(luò)環(huán)境的需要，設(shè)置不同的功能和檢查粒度，從而更加有效的部署在云計(jì)算環(huán)境下的云沙箱檢測平臺。 最后，以集中存儲分發(fā)共享的方式處理攻擊樣本，形成強(qiáng)大的樣本特征庫，有助于更加精確快速的檢測。

6 結(jié)語

目前基于沙箱的 APT 檢測技術(shù)越來越成熟，已經(jīng)被很多安全產(chǎn)品集成。 同時(shí)，APT 針對沙箱逃避技術(shù)的認(rèn)識和探索遠(yuǎn)沒停止，隨著 APT 檢測技術(shù)的進(jìn)步，越來越多的攻擊案例將會出現(xiàn)，基于沙箱逃避技術(shù)的惡意代碼更加多樣。 只有認(rèn)識現(xiàn)有的逃避沙箱的細(xì)節(jié)，發(fā)現(xiàn)未來可能發(fā)展的趨勢，同時(shí)對現(xiàn)有的沙箱檢測技術(shù)不斷的更新和完善才能更有效的應(yīng)對類似 APT 的各種攻擊。 另外，針對沙 箱檢測如何提高檢測的準(zhǔn)確率，減少誤報(bào)也是沙箱檢測 APT 系統(tǒng)的研究方向，整合大數(shù)據(jù)平臺[11］構(gòu)建關(guān)鍵證據(jù)鏈?zhǔn)降臋z測技術(shù)是應(yīng)對未來不確定的持續(xù)性威脅的較好出路。

[1］HBGary.The New Battle Field Fighting and Defeating APT Attackers in the Enterprise[EB/OL］ .[2014-01-15］ .https： // hbgary.com/community-whitepapers.

[2］黃達(dá)理，薛質(zhì).進(jìn)階持續(xù)性滲透攻擊的特征分析研究[J］.信息安全與通信保密，2012(05）：87-89.

[3］Gartner.Gartner：“ 五種類型的先進(jìn)威脅防御(ATD） ” 助企業(yè)防御針對性的攻擊[EB/OL］.[2013-11-01］ .http： //security.cnw.com.cn/htm2013/20131101-285578.shtml.

[4］AhnLab.Invasion of Malware Evading the Behavior-based A-nalysis[R］ .America：AhnLab， 2014：2-7.

[5］Lastline， Labs.The Threat of Evasive Malware[R］ .America：Lastline Labs， 2013：1-8.

[6］Abhishek， Singh， Zheng.Hot Knives through Butter：Evading File-based Sandboxes[R］ .America：FireEye， 2013：3-14.

[7］Seculert.Advanced Threat Protection Solution[R］ .America：Seculert，2013.

[8］Counter， Threat， Unit.Lifecycle of an Advanced Persistent Threat[R］.USA： DELL，2012.

[9］Jon， Oltsik.APT Protection： Sourcefire FireAMP May Be the Right Product at the Right Time[R］ .USA： Enterprise Strategy Group， Inc，2012.

[10］IMPERVA.Advanced Persistent Threat：[R］ .USA： IMPERVA，2012.

[11］周濤.大數(shù)據(jù)與 APT 研究檢測[J］.信息安全與通信保密，2012(07）：29.

APT based on Sandbox Avoiding

SUN Zeng，SHI Yong ，XUE Zhi
(Institute of Information Security Engineering， Shanghai Jiaotong University， ShangHai 200240， China）

Based on the cognition of the dangerous phase in the life cycle of gradually complex APT(Advanced Persistent Threat） ，the evolution process of APT detection means is described，the techinical details to escape the sandbox testing by ADT are analyzed. The existing APT sandbox test is not enough to deal with the new APT question， and in light of this and from the angle of APT sandbox avoiding， a new sandbox detection technology strategy is proposed in this paper.For the future evolution of APT， there may be a lot of new tricks， thus exploration and establishment of unified big-data analysis tracking network may be an effective way to find APT as early as possible.

advanced persistent threat;dangerous phase;detection means;sandbox avoiding;human-computer interaction;special setup

TP309.5

A

1009-8054(2015)01-0092-05

孫 增(1987—），男，碩士，主要研究方向?yàn)榫W(wǎng)絡(luò)攻擊防御、高級持續(xù)性攻擊(APT）;

2014-10-27

高級XXXX 技術(shù)研究( 秘密級)(No.CNITSEC-KY-2013-009/2)

施 勇(1979—），男，博士，講師，主要研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)、信息安全;

薛 質(zhì)(1971—），男，博士，教授，主要研究方向?yàn)榫W(wǎng)絡(luò)攻擊與防御?！?/p>