曾經，偉大的物理學家阿基米德說：給我一個支點，我能撬動地球。今天，一個極客技術男說：給我一個鍵盤，我能震驚地球。網絡安全已成為世界上新的沒有硝煙之戰場。大型公司為安全投入巨資，卻依然前仆后繼曝信息泄露之恥，國家之間未曾炮火交加，卻暗戰頻頻，超一流的黑客公司反而被黑，上演一幕幕驚心動魄的較量。

這一切都源于黑客手中的超級武器：APT。

高級惡意軟件，APT攻擊中的核彈頭

手持APT能量的黑客，高舉達摩之劍，卻優雅得像文藝青年，他們手中的王牌武器當之無愧的是高級惡意軟件，堪稱APT攻擊中的“核彈”。

APT中的惡意軟件，被冠以高級的頭銜，決不是浪得虛名。來自DBIR(Data Breach Investigations Report)的報告顯示，60%的被黑案例中，攻擊者僅需要幾分鐘就可滲透得手，正是由于這些高級惡意軟件，要么是利用還未公之于世的0day漏洞，要么就是采用高級的逃逸技術，在面對企業的層層安全防護如入無人之境。

利用0day 漏洞，高級惡意軟件硬闖安全防御

利用0day漏洞的高級惡意軟件，真正實現了“指哪打哪”的理想，在黑道上可以隨心所欲的開始心有多遠，就能T多遠的旅行。

在信息安全意義上，0Day漏洞是指在廠商被告知并發布相關補丁前就被掌握或者公開的漏洞信息。0DAY漏洞被各種組織挖掘，在地下網絡中被出售，據NSS Labs的專家估計，地下網絡市場平均每天能夠提供85個0day漏洞。由于廠商和用戶尚未知漏洞的存在，相關的漏洞補丁或惡意軟件的特征碼還不存在，而企業部署的防火墻、IPS和各種網關等傳統安全防護產品還停留在依靠已知的特征防護思路，面對利用0day漏洞利用的高級惡意軟件完全束手無策，真實上演一曲經典：我家大門常打開 開放懷抱等你來，來幾次都沒關系，讓你開天辟地。

歷史上赫赫有名的APT攻擊大都是采用基于0day 漏洞的惡意軟件才得手的。如RSA被入侵，包括2015年安全大拿卡巴斯基也是遭受Duqu利用了3個0day漏洞的入侵，潛伏數月后才被發現。

利用高級逃逸技術，安全設備防不勝防

在APT攻擊中，高級惡意軟件中也有相當大比例是利用已知威脅漏洞，但是采用了各種高級逃逸技術來躲避傳統安全設備的檢測。在2014年，只有小部分惡意軟件顯示出了逃避的特性，但到了現在，相當大的一部分惡意軟件會利用500種逃避技術進行任意組合，以避免被檢測和分析。檢測數據表明單個的惡意軟件樣本通常具有10種以上的逃避行為，而且99%的惡意軟件感染小于10個受害者，80%的惡意軟件只有1個受害者，這說明目前的APT攻擊具有高度的目的性，這樣做的也是為了大幅度減少被檢測的可能性。

例如對金融行業造成巨大影響的Neverquest惡意軟件，該軟件沖擊了25個國家的100多家大型金融機構。該軟件就采用非常復雜的逃逸技術，其中包括加密、匿名路由，甚至圖片隱寫等技術。

辦公文檔，那是極好的載體

而這些高級惡意軟件，在普通青年看起來，是再正常不過的文件而已，從圖中我們看到常用的辦公文檔都是這些高級惡意軟件的載體。有多少人能想到，我們每天處理的DOC文檔，竟然暗含殺機呢。

華為沙箱，超級“拆彈”專家

伴隨APT的迅速發展，高級惡意軟件也日新月異，企業必須擁有超能量的安全設備才能斬斷達摩之劍。實踐經驗表明，沙箱正是這些高級惡意軟件的克星。面對復雜的APT威脅，要想準確的識別這些惡意軟件，沙箱必須提供全面、深入的防御能力，采用多層防御阻止未知和已知的惡意軟件，并在事件發生后實現威脅情報共享和聯動機制，這是實現APT防御的一個必要步驟。華為Firehunter沙箱是一個高性能、縱深防御可擴展的安全設備，設備中有通用的病毒檢測引擎，有強大的信譽體系，在快速經過前面兩關檢測后，惡意軟件被送到啟發式檢測引擎，通過對文件的靜態分析，包括對文件的代碼片段、對調用的API等分析判斷文件的惡意與否，在啟發式檢測未知情況下，惡意軟件將會送到虛擬執行環境中運行，提取軟件對操作系統的一系列操作行為，包括對文件系統、服務、注冊表和網絡的操作行為，然后憑借強大的行為模式庫進行分析匹配技術，從而實現對高級惡意軟件實時檢測、阻斷和報告呈現，有效避免未知威脅攻擊的迅速擴散造成的企業核心信息資產損失，特別適用于金融、政府機要部門、能源、高科技等關鍵用戶。