艾斯酷博XecRay 2.0

近年來，APT（Advanced Persistent Threat，進階持續性滲透攻擊）的威脅相當受矚目，它是一種針對特定目標，方式低調且緩慢。因為是針對性攻擊，所以攻擊手法與一般網路上散播的病毒不同，且大多防毒軟體皆無法偵測到。

這款由本土廠商艾斯酷博（Xecure Lab）所推出的XecRay，則是因應這類用途的產品。它的特色在於快速檢測電腦是否被植入APT惡意程式，同時結合磁碟檔案系統中，新增、刪除等記錄檔，讓鑑識人員可以直接從惡意程式啟動的時間點進行調查，大量省去判讀記錄檔資料的時間，原廠表示，掃描一臺電腦平均約15分鐘就可完成。

一般的數位鑑識工具，譬如Encase及FTK這2款，大多提供蒐集資料、密碼破解、刪除檔案復原等功能。鑑識人員蒐集原始資料後，還須透過人工一一辨識不同記錄檔的資料，過程非常耗時。

但XecRay不是防毒軟體，它只能鑑識出系統是否存在惡意程式，並提供相關資訊，本身不具備防毒、解毒等功能。

實際測試時，平均約2分鐘就可掃描一臺電腦

XecRay這套鑑識工具目前以硬體整合軟體的方式出貨，外觀上大小與2.5吋隨身硬碟差不多。

XecRay一共有Forensics與Inspector模式，前者能完整調查電腦的軟硬體資訊，以及辨別惡意程式，它能產出一份具備惡意程式分析、綜合報表等完整的鑑識報告，但缺點是分析時間較長；而後者為Forensics模式的陽春版，主要目的是讓鑑識人員快速檢查電腦，僅提供惡意程式分析，而鑑識盒上使用的是Forensics模式，原廠表示平均鑑識時間約15分鐘，但在實際測試上，我們僅花費2分鐘左右的時間。

目前XecRay除了硬體外，也預計在明年推出企業版，屆時可採Client-Server架構部署， IT人員可透過Windows AD派送XecRay用戶端程式外，還能透過XecRay的中控伺服器設定排程掃描，並能統一監控電腦是否遭受入侵。

可掃描執行中程式，並能自動產出中繼站及Snort Rules等資訊

在辨別惡意程式方面，一般的防毒軟體是透過特徵碼比對，但XecRay則是透過惡意行為模式來辨別程式，原廠將多年來研究惡意程式常見的惡意行為，整理出近50種模式，譬如：是否隱藏檔案、植入可疑程式碼、偽裝檔名、不正常連線行為等。

在進行數位鑑識時， XecRay不只能掃描靜態資料，也能夠掃描作業系統在電腦記憶體中，正在執行的應用軟體與處理程序。只要XecRay掃描到正在執行中的程式，具備這些可疑行為，則會判讀成惡意程式。需注意的是，容易被XecRay誤判為惡意程式的，目前只有掃毒及防火牆這2類軟體。

XecRay鑑識速度相當快，不論電腦性能很好或不理想，都可在很短的時間內完成。之所以會快，是因為它並非掃描作業系統中全部的記錄檔資料。它會先列出處理程序的清單，並逐一分析處理程序模式與檔案。接著才分析記憶體與作業系統中預設自動開啟的檔案，最後才將掃描出的惡意軟體資料，與作業系統中開啟的檔案、文件、程式，以及使用者瀏覽過的URL、Cookie等記錄結合，並匯出成綜合報告。

在實際植入病毒的環境，用它來觀察惡意程式的行為

XecRay在使用上很簡單，只需將鑑識盒接上電腦的USB埠，執行XecRay2012_Forensic.EXE後，給予Administrator權限執行，隨後XecRay就會在背景執行，並且會在Windows桌面右下角的系統圖示中，顯示目前鑑識的檔案及進度。

我們看原廠實際展示XecRay時，他們的環境是以VMware Workstation執行一臺Windows XP虛擬機器，並且植入一支惡意程式──它是堪稱許多防毒軟體都無法偵測到的火焰病毒（Flame）。植入後，再使用XecRay鑑識（Forensics模式）去檢測。

由於該測試環境非常單純，所以鑑識時間約1分鐘就完成。XecRay在鑑識完後，會產出一份HTML型式的報告，內容包含被鑑識電腦的主機資訊、處理程序資訊、惡意程式鑑識等資料。

藉由綜合分析報告，調查惡意程式與系統記錄的相關性

這份報告中，最重要的部分為惡意程式鑑識及綜合分析，IT人員可透過這2項資訊，得知電腦中惡意程式的資訊，以及惡意程式執行時所留下的記錄。

以原廠展示的結果來看，我們看到XecRay鑑識出一隻名為iasadv.dll的惡意程式，除了顯示該程式的檔案位置及大小外，還發現它在記憶體中，將檔案名稱偽裝成IEXPLORE.EXE執行，並且連線到yeah.wildmansai.com這個中繼站。同時，XecRay列出該程式本身具備的偽裝檔案名稱、具網路活動及連線能力等惡意程式行為。

在該頁面的最下方，IT人員還能看到各惡意程式的綜合分析，像iasadv.dll自動執行的方式，它是透過將檔案放置在STARTUP_FOLDER中執行，並展示惡意程式植入記憶體執行的程式碼。

同時，XecRay還能針對惡意程式產生Snort Rules，讓IT人員匯入IPS設備的設定，因此只要有相同惡意程式發動攻擊時，在IPS的監控下，則能夠預防。不過，這些規則的產生是有條件的，若XecRay對惡意程式分析出的特徵碼過少，則無法產出。

除此之外，XecRay的綜合報告中，它會找出惡意程式啟動的時間點，並且將該時間點前後，作業系統上開啟的程式、文件，以及瀏覽器執行過的URL等資訊結合。在報表內容上，以黑色字體顯示的資訊為執行或開啟、灰色則為關閉或刪除檔案，而紅色及黃色則為惡意程式，差異在於威脅等級的不同。

IT人員可透過時間軸及顏色，快速分析惡意程式執行後的系統資訊，讓IT人員能從中找出關聯性。

可分析惡意程式的網路行為與特徵

在鑑識過後，系統會自動分析惡意程式的行為模式、執行時間、檔案位置、自動執行方式、記憶體字串等資訊，並且能自動列出惡意程式所連線到的中繼網站。

突顯惡意程式活動的軌跡

在該報表中，紅色與黃色資訊為系統辨識出的惡意程式，黑色為執行或開啟，灰色則為關閉或刪除。使用者透過這些程式執行或關閉的時間點，能判斷哪些系統行為與惡意程式相關連。

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商。】