八大典型APT攻击过程详解
2013-08-27 17:55 启明星辰 yepeng 51CTO.com
APT攻击是近几年来出现的一种高级攻击,具有难检测、持续时间长和攻击目标明确等特征。本文中,小编带你细数一下近年来比较典型的几个APT攻击,分析一下它们的攻击过程。
Google极光攻击
2010年的Google Aurora(极光)攻击是一个十分著名的APT攻击。Google的一名雇员点击即时消息中的一条恶意链接,引发了一系列事件导致这个搜索引擎巨人的网 络被渗入数月,并且造成各种系统的数据被窃取。这次攻击以Google和其它大约20家公司为目标,它是由一个有组织的网络犯罪团体精心策划的,目的是长 时间地渗入这些企业的网络并窃取数据。
该攻击过程大致如下:
1) 对Google的APT行动开始于刺探工作,特定的Google员工成为攻击者的目标。攻击者尽可能地收集信息,搜集该员工在Facebook、Twitter、LinkedIn和其它社交网站上发布的信息。
2) 接着攻击者利用一个动态DNS供应商来建立一个托管伪造照片网站的Web服务器。该Google员工收到来自信任的人发来的网络链接并且点击它,就进入了 恶意网站。该恶意网站页面载入含有shellcode的JavaScript程序码造成IE浏览器溢出,进而执行FTP下载程序,并从远端进一步抓了更多 新的程序来执行(由于其中部分程序的编译环境路径名称带有Aurora字样,该攻击故此得名)。
3) 接下来,攻击者通过SSL安全隧道与受害人机器建立了连接,持续监听并最终获得了该雇员访问Google服务器的帐号密码等信息。
4) 最后,攻击者就使用该雇员的凭证成功渗透进入Google的邮件服务器,进而不断的获取特定Gmail账户的邮件内容信息。
超级工厂病毒攻击(震网攻击)
著名的超级工厂病毒攻击为人所知主要源于2010年伊朗布什尔核电站遭到Stuxnet蠕虫的攻击的事件曝光。
遭遇超级工厂病毒攻击的核电站计算机系统实际上是与外界物理隔离的,理论上不会遭遇外界攻击。坚固的堡垒只有从内部才能被攻破,超级工厂病毒也正充 分的利用了这一点。超级工厂病毒的攻击者并没有广泛的去传播病毒,而是针对核电站相关工作人员的家用电脑、个人电脑等能够接触到互联网的计算机发起感染攻 击,以此为第一道攻击跳板,进一步感染相关人员的移动设备,病毒以移动设备为桥梁进入“堡垒”内部,随即潜伏下来。病毒很有耐心的逐步扩散,一点一点的进 行破坏。这是一次十分成功的APT攻击,而其最为恐怖的地方就在于极为巧妙的控制了攻击范围,攻击十分精准。
在2011年,一种基于Stuxnet代码的新型的蠕虫Duqu又出现在欧洲,号称“震网二代”。 Duqu主要收集工业控制系统的情报数据和资产信息,为攻击者提供下一步攻击的必要信息。攻击者通过僵尸网络对其内置的RAT进行远程控制,并且采用私有 协议与CC端进行通讯,传出的数据被包装成jpg文件和加密文件。
夜龙攻击
夜龙攻击是McAfee在2011年2月份发现并命名的针对全球主要能源公司的攻击行为。
该攻击的攻击过程是:
1) 外网主机如Web服务器遭攻击成功,多半是被SQL注入攻击;
2) 被黑的Web服务器被作为跳板,对内网的其他服务器或PC进行扫描;
3) 内网机器如AD服务器或开发人员电脑遭攻击成功,多半是被密码暴力破解;
4) 被黑机器被植入恶意代码,多半被安装远端控制工具(RAT),传回大量机敏文件(WORD、PPT、PDF等等),包括所有会议记录与组织人事架构图;
5) 更多内网机器遭入侵成功,多半为高阶主管点击了看似正常的邮件附件,却不知其中含有恶意代码。
RSA SecurID窃取攻击
2011年3月,EMC公司下属的RSA公司遭受入侵,部分SecurID技术及客户资料被窃取。其后果导致很多使用SecurID作为认证凭据建 立VPN网络的公司——包括洛克希德马丁公司、诺斯罗普公司等美国国防外包商——受到攻击,重要资料被窃取。在RSA SecurID攻击事件中,攻击方没有使用大规模SQL注入,也没有使用网站挂马或钓鱼网站,而是以最原始的网路通讯方式,直接寄送电子邮件给特定人士, 并附带防毒软体无法识别的恶意文件附件。
其攻击过程大体如下:
1) RSA有两组同仁们在两天之中分别收到标题为“2011 Recruitment Plan”的恶意邮件,附件是名为“2011 Recruitment plan.xls”的电子表格;
2) 很不幸,其中一位同仁对此邮件感到兴趣,并将其从垃圾邮件中取出来阅读,殊不知此电子表格其实含有当时最新的Adobe Flash的0day漏洞(CVE-2011-0609);
3) 该主机被植入臭名昭著的Poison Ivy远端控制工具,并开始自C&C中继站下载指令进行任务;
4) 首批受害的使用者并非“位高权重”人物,紧接着相关联的人士包括IT与非IT等服务器管理员相继被黑;
5) RSA发现开发用服务器(Staging server)遭入侵,攻击方随即进行撤离,加密并压缩所有资料(都是rar格式),并以FTP传送至远端主机,又迅速再次搬离该主机,清除任何踪迹。
暗鼠攻击
2011年8月份,McAfee/Symantec发现并报告了该攻击。该攻击在长达数年的持续攻击过程中,渗透并攻击了全球多达70个公司和组织的网络,包括美国政府、联合国、红十字会、武器制造商、能源公司、金融公司,等等。
其攻击过程如下:
1) 攻击者通过社会工程学的方法收集被攻击目标的信息。
2) 攻击者给目标公司的某个特定人发送一些极具诱惑性的、带有附件的邮件例如邀请他参见某个他所在行业的会议,以他同事或者HR部门的名义告知他更新通讯录,请他审阅某个真实存在的项目的预算,等等。
3) 当受害人打开这些邮件,查看附件(大部分形如:Participant_Contacts.xls、2011 project budget.xls、Contact List -Update.xls、The budget justification.xls),受害人的EXCEL程序的FEATHEADER远程代码执行漏洞 (Bloodhound.Exploit.306)被利用,从而被植入木马。实际上,该漏洞不是0day漏洞,但是受害人没有及时打补丁,并且,该漏洞只 针对某些版本的EXCEL有效,可见被害人所使用的EXCEL版本信息也已经为攻击者所悉知。
4) 木马开始跟远程的服务器进行连接,并下载恶意代码。而这些恶意代码被精心伪装(例如被伪装为图片,或者HTML文件),不为安全设备所识别。
5) 借助恶意代码,受害人机器与远程计算机建立了远程Shell连接,从而导致攻击者可以任意控制受害人的机器。
Lurid攻击
2011年9月22日,TrendMicro的研究人员公布了一起针对前独联体国家、印度、越南和中国等国家的政府部门、外交部门、航天部门,还有科研机构APT攻击——Lurid攻击。
攻击者的主要是利用了CVE-2009-4324和 CVE-2010-2883这两个已知的Adobe Reader漏洞,以及被压缩成RAR文件的带有恶意代码的屏幕保护程序。
用户一旦阅读了恶意PDF文件或者打开了恶意屏幕保护程序,就会被植入木马。木马程序会变换多种花样驻留在受害人电脑中,并与C&C服务器 进行通讯,收集的信息通常通过HTTP POST上传给C&C服务器。攻击者借助C&C服务器对木马下达各种指令,不断收集受害企业的敏感信息。
Nitro攻击
2011年10月底,Symantec发布的一份报告公开了主要针对全球化工企业的进行信息窃取的Nitro攻击。
该攻击的过程也十分典型:
1) 受害企业的部分雇员收到带有欺骗性的邮件;
2) 当受害人阅读邮件的时候,往往会看到一个通过文件名和图标伪装成一个类似文本文件的附件,而实际上是一个可执行程序;或者看到一个有密码保护的压缩文件附件,密码在邮件中注明,并且如果解压会产生一个可执行程序。
3) 只要受害人执行了附件中的可执行程序,就会被植入Poison Ivy后门程序。
4) Poison Ivy会通过TCP 80端口与C&C服务器进行加密通讯,将受害人的电脑上的信息上传,主要是帐号相关的文件信息。
5) 攻击者在获取了加密的帐号信息后通过解密工具找到帐号的密码,然后借助事先植入的木马在受害企业的网络寻找目标、伺机行动、不断收集企业的敏感信息。
6) 所有的敏感信息会加密存储在网络中的一台临时服务器上,并最终上传到公司外部的某个服务器上,从而完成攻击。
Luckycat攻击
2012年3月份,TrendMicro发布的报告中披露了一个针对印度和日本的航空航天、军队、能源等单位进行长时间的渗透和刺探的攻击行动,并命名为Luckycat。
根据报告显示,这次攻击行动依然是通过钓鱼邮件开始的,例如针对日本目标的钓鱼邮件的内容大都跟福岛核电站的核辐射问题有关。然后就是利用了很多针 对 pdf/rtf的漏洞,包括CVE-2010-3333,CVE-2010-2883,CVE-2010-3654,CVE- 2011-0611,CVE-2011-2462等。渗透进去之后就是用C&C进行远程控制。而C&C服务器是通过VPS申请到的DNS 域名。
四类APT安全解决方案面面观
2013-07-25 20:47 启明星辰 叶润国
今年的全球著名信息安全峰会RSA 2013共有350家安全厂商参展,厂家数量超过了以往的RSA年会。单从技术热点来看,这两年的RSA峰会热点并没有太多变化,依然还是围绕数据安全、 企业安全管理、合规性、应用程序安全、DLP等热点,而围绕数据和企业安全的APT检测成为了今年RSA大会的最热门话题。
APT攻击是近几年来出现的一种高级攻击,具有难检测、持续时间长和攻击目标明确等特征。传统基于攻击特征的入侵检测和防御方法在检测和防御APT 方面效果很不理想,因此,各安全厂商都在研究新的方法并提出了多种多样的解决方案。笔者在今年RSA峰会现场收集了各安全厂商所宣传的APT安全解决方案 并进行了梳理。在下文中,我们先回顾一下整个APT攻击过程,对APT安全解决方案进行分类,再介绍一些代表性厂商的APT安全解决方案,最后给出我们的 建议。
APT攻击过程分解
整个APT攻击过程包括定向情报收集、单点攻击突破、控制通道构建、内部横向渗透和数据收集上传等步骤:
1、定向情报收集,即攻击者有针对性的搜集特定组织的网络系统和员工信息。信息搜集方法很多,包括网络隐蔽扫描和社会工程学方法等。从目前所发现的 APT攻击手法来看,大多数APT攻击都是从组织员工入手,因此,攻击者非常注意搜集组织员工的信息,包括员工的微博、博客等,以便了解他们的社会关系及 其爱好,然后通过社会工程方法来攻击该员工电脑,从而进入组织网络。
2、单点攻击突破,即攻击者收集了足够的信息后,采用恶意代码攻击组织员工的个人电脑,攻击方法包括:1)社会工程学方法,如通过email给员工 发送包含恶意代码的文件附件,当员工打开附件时,员工电脑就感染了恶意代码;2)远程漏洞攻击方法,比如在员工经常访问的网站上放置网页木马,当员工访问 该网站时,就遭受到网页代码的攻击,RSA公司去年发现的水坑攻击(Watering hole)就是采用这种攻击方法。这些恶意代码往往攻击的是系统未知漏洞,现有杀毒和个人防火墙安全工具无法察觉,最终结果是,员工个人电脑感染恶意代 码,从而被攻击者完全控制。
3、控制通道构建,即攻击者控制了员工个人电脑后,需要构建某种渠道和攻击者取得联系,以获得进一步攻击指令。攻击者会创建从被控个人电脑到攻击者 控制服务器之间的命令控制通道,这个命令控制通道目前多采用HTTP协议构建,以便突破组织的防火墙,比较高级的命令控制通道则采用HTTPS协议构建。
4、内部横向渗透,一般来说,攻击者首先突破的员工个人电脑并不是攻击者感兴趣的,它感兴趣的是组织内部其它包含重要资产的服务器,因此,攻击者将 以员工个人电脑为跳板,在系统内部进行横向渗透,以攻陷更多的PC和服务器。攻击者采取的横向渗透方法包括口令窃听和漏洞攻击等。
5、数据收集上传,即攻击者在内部横向渗透和长期潜伏过程中,有意识地搜集各服务器上的重要数据资产,进行压缩、加密和打包,然后通过某个隐蔽的数据通道将数据传回给攻击者。
APT检测和防御方案分类
纵观整个APT攻击过程发现,有几个步骤是APT攻击实施的关键,包括攻击者通过恶意代码对员工个人电脑进行单点攻击突破、攻击者的内部横向渗透、 通过构建的控制通道获取攻击者指令,以及最后的敏感数据外传等过程。当前的APT攻击检测和防御方案其实都是围绕这些步骤展开。我们把本届RSA大会上收 集到的APT检测和防御方案进行了整理,根据它们所覆盖的APT攻击阶段不同,将它们分为以下四类:
1、恶意代码检测类方案:该类方案主要覆盖APT攻击过程中的单点攻击突破阶段,它是检测APT攻击过程中的恶意代码传播过程。大多数APT攻击都 是通过恶意代码来攻击员工个人电脑,从而来突破目标网络和系统防御措施的,因此,恶意代码检测对于检测和防御APT攻击至关重要。很多做恶意代码检测的安 全厂商就是从恶意代码检测入手来制定其APT检测和防御方案的,典型代表厂商包括FireEye和GFI Software。
2、主机应用保护类方案:该类方案主要覆盖APT攻击过程中的单点攻击突破和数据收集上传阶段。不管攻击者通过何种渠道向员工个人电脑发送恶意代 码,这个恶意代码必须在员工个人电脑上执行才能控制整个电脑。因此,如果能够加强系统内各主机节点的安全措施,确保员工个人电脑以及服务器的安全,则可以 有效防御APT攻击。很多做终端和服务器安全的厂商就是从这个角度入手来制定APT检测和防御方案的,典型代表厂商包括Bit9和趋势科技。
3、网络入侵检测类方案:该类方案主要覆盖APT攻击过程中的控制通道构建阶段,通过在网络边界处部署入侵检测系统来检测APT攻击的命令和控制通 道。安全分析人员发现,虽然APT攻击所使用的恶意代码变种多且升级频繁,但恶意代码所构建的命令控制通道通信模式并不经常变化,因此,可以采用传统入侵 检测方法来检测APT的命令控制通道。该类方案成功的关键是如何及时获取到各APT攻击手法的命令控制通道的检测特征。很多做入侵检测网关的厂商就是从这 个角度入手来制定APT攻击防御方案的,典型代表厂商有启明星辰、飞塔等。
4、大数据分析检测类方案:该类方案并不重点检测APT攻击中的某个步骤,它覆盖了整个APT攻击过程。该类方案是一种网络取证思路,它全面采集各 网络设备的原始流量以及各终端和服务器上的日志,然后进行集中的海量数据存储和深入分析,它可在发现APT攻击的一点蛛丝马迹后,通过全面分析这些海量数 据来还原整个APT攻击场景。大数据分析检测方案因为涉及海量数据处理,因此需要构建大数据存储和分析平台,比较典型的大数据分析平台有Hadoop。很 多做大数据分析和日志分析的厂商都是从这个角度入手来制定APT攻击检测防御方案的,典型的厂商有RSA和SOLERA。
典型APT检测和防御产品
FireEye恶意代码防御系统
FireEye可以说是本次RSA大会上最火的公司,它所推出的基于恶意代码防御引擎的APT检测和防御方案最引人瞩目。FireEye的APT安 全解决方案包括MPS(Malware protection System)和CMS(Central Management System)两个组件,其中MPS是恶意代码防护引擎,它是一个高性能的智能沙箱,可直接采集网络流量,抽取所携带文件,然后放到沙箱中进行安全检 测;CMS是集中管理系统模块,它管理系统中各MPS引擎,同时实现威胁情报的收集和及时分发。FireEye的MPS引擎有以下特点:1)支持对 Web、邮件和文件共享三种来源的恶意代码检测;2)对于不同来源的恶意代码,采取专门MPS硬件进行专门处理,目的是提高检测性能和准确性;3)MPS 支持除可执行文件之外的多达20种文件类型的恶意代码检测;4)MPS可支持旁路和串联部署,以实现恶意代码的检测和实时防护;5)MPS可实时学习恶意 代码的命令和控制信道特征,在串联部署模式可以实时阻断APT攻击的命令控制通道。CMS除了对系统中多个MPS引擎进行集中管理外,还可以连接到云中的 全球威胁情报网络来获取威胁情报,并支持将检测到的新型恶意代码情报上传到云中,以实现威胁情报的广泛共享。此外,FireEye还可以和其它日志分析产 品结合起来,形成功能更强大的信息安全解决方案。FireEye被认为是APT安全解决方案的佼佼者,其产品被很多500强企业采购。
Bit9的可信安全平台
Bit9可信安全平台(Trust-based security Platform)使用了软件可信、实时检测审计和安全云三大技术,为企业网络提供网络可视、实时检测、安全保护和事后取证等四大安全功能,从而可以检测 和抵御各种高级威胁和恶意代码。Bit9解决方案核心是一个基于策略的可信引擎,管理员可以通过安全策略来定义哪些软件是可信的。Bit9可信安全平台默 认假设所有软件都是可疑和禁止加载执行的,只有那些符合安全策略定义的软件才被认为可信和允许执行。Bit9可以基于软件发布商和可信软件分发源等信息来 定义软件的可信策略,同时,bit9还使用安全云中的软件信誉服务来度量软件可信度,从而允许用户下载和安装可信度较高的自由软件。这种基于安全策略的可 信软件定义方案其实是实现了一个软件白名单,只有那些在软件白名单中的应用软件才可以在企业计算环境中执行,其它则是禁止执行的,从而保护企业的计算环境 安全。Bit9解决方案还包括一个可安装在每个终端和服务器上的轻量级实时检测和审计模块,它是实现实时检测、安全防护和事后取证的关键部件。Bit9的 实时检测和审计模块将帮助你获得对整个网络和计算环境的全面可视性,通过它你可以实时了解到各终端和服务器的设备状态和关键系统资源状态,可以看到各终端 上的文件操作和软件加载执行情况;同时,实时检测和审计模块还审计终端上的文件进入渠道、文件执行、内存攻击,进程行为、注册表、外设挂载情况等等。 Bit9解决方案还包括一个基于云的软件信誉服务,它通过主动抓取发布于互联网上的软件,基于软件发布时间、流行程度、软件发布商、软件来源以及AV扫描 结果计算各软件信誉度。Bit9解决方案还支持从其它恶意代码检测厂商(比如FireEye)处获取文件哈希列表,从而可以识别更多的恶意代码和可疑文 件。
趋势科技Deep Discovery
趋势科技的Deep Discovery专门为APT攻击检测而设计,它采用网络入侵检测技术来检测APT攻击的命令控制通道,同时,还可以通过在入侵检测引擎上部署恶意代码 检测沙箱来弥补传统特征攻击检测的不足。Deep Discovery方案包括检测、分析、调整、响应四个步骤。产品形态上包括Inspector和Advisor两个组件。Inspector是个网络入 侵检测引擎,依据获取的威胁情报信息来检测APT攻击过程中的命令控制通道,Inspector可以通过Advisor及时获取到趋势科技的全球威胁情报 信息,以便及时检测到各种新型的APT攻击命令控制通道;同时,Inspector还包括一个Virtual Analyzer组件,它是一个智能沙箱,用来分析捕获的恶意代码。Adivsor为一个管理组件,可以实现对各Inspector引擎的集中管理;同 时,它还包括一个可选的恶意代码分析引擎,可以接收来自检测引擎的恶意代码,从而实现恶意代码的集中分析;此外,Advisor还承担了威胁情报的实时收 集和分发工作,以实现各Inspector引擎之间威胁情报的广泛共享。
RSA的NetWitness
RSA NetWitness是一款革命性的网络安全监控平台,它可为企业提供发生在网络中任何时间的网络安全态势,从而协助企业解决多种类型的信息安全挑战。 RSA NetWitness是一组软件集合,针对APT攻击的检测和防御则主要由Spectrum、Panorama和Live三大组件实现,其中,RSA NetWitness Spectrum是一款安全分析软件,专门用来识别和分析基于恶意软件的企业网络安全威胁,并确定安全威胁的优先级;RSA NetWitness Panorama通过融合成百上千种日志数据源与外部安全威胁情报,从而可可以实现创新性信息安全分析;RSA NetWitness Live是一种高级威胁情报服务,通过利用来自全球信息安全界的集体智慧和分析技能,可以及时获得各APT攻击的威胁情报信息,极大缩短了针对潜在安全威 胁的响应时间。RSA NetWitness具有以下特点:1)可对所有网络流量和各网络服务对象的离散事件进行集中分析,实现对网络的全面可视性,从而获得整个网络的安全态 势;2)可以识别各种内部威胁、检测零日漏洞攻击、检测各种定向设计的恶意代码和检测各种APT攻击事件和数据泄密事件;3)可对所捕获的网络和日志数据 进行实时上下文智能分析,从而为企业提供可行动的安全情报信息;4)可以借助NetWitness监控平台的可扩展性和强大分析能力来实现过程自动化,从 而减少安全事件响应时间,并对变化的安全威胁做出及时调整。
纵观RSA2013大会上参展的主流APT攻击检测和方案后发现,目前各厂家所推出的APT检测防御方法都具有一定的局限性,主要表现为:很多 APT攻击检测和防御方案都只能覆盖到APT攻击的某个阶段,从而可能导致漏报;很多APT安全解决方案只能检测APT攻击,并没有提供必要的APT攻击 实时防御能力。我们认为,理想的APT安全解决方案应该覆盖APT攻击的所有攻击阶段,也就是说,我们的APT安全解决方案应该包括事前、事中和事后三个 处置阶段,从而可能全面的检测和防御APT攻击。理想APT安全解决方案应该同时具有检测和实时防御能力,大数据分析和入侵检测防御技术相结合,大数据智 能分析平台应该是APT安全解决方案的核心,实现对APT攻击事件的事后分析和情报获取;同时,还应该配合主机应用控制、实时恶意代码检测和网络入侵防御 等技术,以实现对APT攻击的时间检测和防御。各APT安全厂商也已经注意到这个问题,开始通过合作或者完善自身技术方法来改进自己的APT检测和防御方 案,以弥补其不足,比如,Junior和RSA近期宣布在威胁情报共享上达成合作协议,Junior的安全产品可以使用RSA NetWitness Live提供的安全威胁情报信息,从而提升其安全网关的检测能力;Bit9的可信安全平台可以和FireEye产品集成,利用FireEye高性能智能沙 箱和上亿的恶意代码库识别恶意代码,从而更有效地保障主机终端的安全;FireEye的恶意代码防御引擎可以和第三方的安全事件分析平台(SIEM)进行 集成,从而可以实现对APT攻击的事后分析和取证。
APT攻击与防范
2009年以来,一系列重大安全事件的接连发生将一个新名词“APT攻击”带入人们的视野,APT 攻击对现有安全防护体系带来了巨大的挑战,成为所有信息安全从业人员重点关注的对象。在一些国家,APT攻击已经成为国家网络安全防御战略的重要环节,针 对APT攻击行为的检测与防御被确定是整个风险管理链条中至关重要也是最基础的组成部分。
文/H3C攻防团队
APT(Advanced Persistent Threat)高级持续性威胁是指黑客针对特定目标以窃取核心资料为目的所发动的网络攻击和侵袭行为,这种行为往往经过长期的经营与策划并具备高度的隐蔽性,是一种蓄谋已久的“恶意商业间谍威胁”。
一、 APT攻击特点
APT的攻击手法在于隐匿攻击者的踪迹并针对特定对象进行长期、有计划性和组织性地渗透,直到成功窃取数据。通常具有如下特点:
攻击针对特定高价值目标
APT攻击通常带有很强的商业或政治目的,以窃取具备商业价值的信息或破坏目标系统为目的。大型互联网服务机构(如Google、Facebook、亚马逊)、金融机构(银行、证券)、政府机构及基础工业机构(电力能源)是APT攻击的重灾区。
攻击技术复杂多样
APT 攻击的发起者象是一支配备了精良武器装备的特种部队,利用一切可能的防御漏洞围绕目标系统进行全方位精确打击,在整体攻击过程中通常会综合利用钓鱼、漏洞 扫描、SQL注入、缓冲区溢出、暴力破解、加密传输等多种技术手段绕过目标系统的层层防线,从系统外围到核心区域逐步攻克目标。
潜伏性和持续性
发 动APT攻击的黑客目的往往不是为了在短时间内获利,而是把“被控主机”当成跳板,持续搜索直到能彻底掌握所针对的目标人、事、物。在已经发生的典型 APT攻击中,攻击者经常会针对性的进行为期几个月甚至更长时间的潜心准备,熟悉用户网络坏境,搜集应用系统与业务流程中的安全隐患,定位关键信息的存储 位置与通信方式,整体攻击过程甚至持续数年之久。2011年8月,暗鼠行动(Operation Shady RAT)被发现并披露出来,调查发现该攻击从2006年启动,在长达数年的持续攻击过程中,渗透并攻击了全球多达72个公司和组织的网络,包括美国政府、 联合国、红十字会、武器制造商、能源公司、金融公司等等。
二、 APT攻击流程
(1)选定攻击目标,了解目标系统的网络架构、应用系统架构、人员组织架构及关键信息的存储位置与通信方式,选定攻击发起的突破口。
(2)通过钓鱼、SQL注入、缓冲区溢出等攻击手段突破目标外围主机,获取目标外围主机的控制权后通过合规的加密隧道从远程主机下载恶意代码及攻击工具到被控制的外围主机,安装远程控制工具并隐匿攻击痕迹,为后续攻击做好准备。
(3)以外围受控主机为跳板对内部主机展开攻击并尝试获取更多内部主机的控制权,所有被控制的主机会主动搜索敏感信息(如用户账号密码、通讯录、Word/Excel/PPT/PDF/数据库等敏感文件)并定期通过加密通道回传给受攻击者控制的远端主机。
(4)攻击者通过持续分析收集到的信息不断寻找突破口发起迭代攻击,直到成功获取目标信息。
(5)利用获取的目标信息对相关系统展开下一轮攻击。
三、 典型的APT攻击事件
1. 极光行动(Operation Aurora)
极 光行动(Operation Aurora)是2009年12月中旬发现的一场网络攻击,其名称“Aurora”来自攻击者电脑上恶意文件所在路径的一部分。遭受攻击的除了 Google外还有20多家公司,其中包括Adobe Systems、Juniper Networks、Rackspace、雅虎、赛门铁克等知名公司。在这场攻击中,以微软IE浏览器中的0day漏洞为突破口,攻击者组合了加密、隐秘编 程等复杂技术,先后使用了十几种恶意代码和多层次的加密手段,深深地挖掘进了公司网络内部并巧妙掩盖了攻击者的活动踪迹,其意图是窃取Google、 Adobe和许多其他大公司的源代码等商业信息。
图1.极光行动攻击示意
针对Google遭受的攻击调查显示,此次攻击的主要过程如下:
(1)搜集Google员工在Facebook、Twitter等社交网站上发布的隐私信息,寻找突破点。
(2) 利用动态DNS供应商建立伪造照片网站的托管Web服务器,仿冒信任人员发送带有恶意链接的信息给被攻击Google员工;。(3)被攻击Google员 工点击恶意链接触发恶意脚本(经过三次加密,躲避攻击防御设备的检查)利用微软IE浏览器的0day漏洞,通过溢出攻击获取目标机执行权限并创建SSL加 密通道与远程恶意控制器连接,从控制器下载大量漏洞挖掘程序。
(4)扫描被攻破主机上的敏感信息,通过SSL安全隧道将信息回传给恶意控制器,以被攻破主机为堡垒对内部系统进行持续的刺探攻击并最终获取访问Google服务器的帐号、密码信息。
(5)使用获取的服务器访问账号及密码成功渗透进入Google邮件服务器,进而不断获取特定Gmail账户的邮件内容信息并通过SSL加密隧道传出。
2. RSA SecurID窃取攻击
2011 年3月,EMC公司下属的RSA公司遭受入侵,部分SecurID技术及客户资料被窃取。RSA SecurID是一种身份认证系统,管理员通过向授权用户发放单独的认证设备(如网银系统中常用的动态口令牌)提供给客户除口令之外的第二个认证凭据,此 认证设备根据时间变化每分钟生成一个唯一的不可预测的令牌码,RSA的时间同步身份认证技术能够确保在相同的时间用户持有的令牌码和认证服务器产生的令牌 码相同。
图2.RSA SecurID同步认证原理
在 登录系统进行认证时,用户需要同时提供账户登录密码及令牌码,通过双重因素认证来提高系统访问的安全性,只有持有令牌的合法用户才可以访问其可以访问的资 源。掌握SecurID生成算法及客户资料的黑客可以模拟生成客户手中持有的令牌码,使应用RSA SecurID技术作为认证凭据的客户面临非授权访问的风险。由于RSA SecurID已广泛应用于政府、金融等机构(SecurID硬件部署量为4000万台,部署SecurID技术的移动设备数量为2.5亿部),此次泄漏 事件导致部分使用SecurID作为认证凭据建立VPN网络的客户受到攻击,重要资料被窃取。
调查分析得出此次RSA SecurID窃取攻击的大致过程如下:
(1)攻击者给RSA的母公司EMC的4名员工发送了两组恶意邮件,附件名为“2011 Recruitment plan.xls”。
(2)其中一位员工将该邮件从垃圾邮件中取出阅读,导致附带的恶意代码利用当时最新的Adobe Flash的0day漏洞(CVE-2011-0609)获取该主机的执行权限。
(3)该员工电脑被植入木马,开始从僵尸网络的C&C服务器下载指令并执行指定攻击任务。
(4)以该员工电脑为跳板,相关联人员(包括IT与非IT等服务器管理员)的主机相继被攻陷,攻击者成功窃取到部分SecurID技术及客户资料。
(5)RSA发现开发用服务器(Staging server)遭入侵并展开调查,攻击者发现后立即撤离,加密并压缩所有资料通过FTP传送至远程主机,随后清除入侵痕迹。
(6)在拿到SecurID信息后,攻击者开始对使用SecurID的公司展开下一轮攻击。
四、 APT攻击防范
分 析APT攻击事件,APT攻击的发起者有着超群的智慧和丰富的经验,检测APT攻击必须密切关注攻击者所执行的所有刺探行为以及释放恶意代码的每一个细 节,包括系统功能完整性、系统日志、命令与控制通道、0day安全风险、社会工程学手法、受害人、攻击活动频率等信息。针对单一攻击事件,安全人员可以利 用现有技术手段快速定位攻击源头并作出对应的安全防御策略,然而这些传统技术手段却无法及时发现并准确提取APT攻击的属性与特征。针对APT攻击行为的 防范需要构建一个多维度的安全模型,既有技术层面的检测手段,也包含用户安全意识的提高。
图3.端到端立体安全防护网络
合理分区,构建端到端立体安全防护网络
通 过部署分层控制来实现深度网络安全防御的方法是帮助企业抵御APT攻击的最佳方法。网络规划时需要根据不同业务的安全等级进行分区隔离,充分考虑终端接入 安全、通信线路安全、内网安全防护及应用系统安全等多个纬度,结合严格的访问控制、通信线路加密、安全域隔离及应用层安全扫描与防护等技术手段,构建端到 端立体安全防护网络,在关键路径上层层把关,增加入侵者对内部网络进行探测及侵入核心数据的难度。
重视审计,预判安全风险
网 络数据、用户行为及系统运行状态的审计与分析是预防安全风险的有效补充。关注系统访问权限的控制,确认每一个开放连接的用途,持续对各系统进/出数据流进 行有效的监控,定期进行系统安全风险评估,及时更新系统相关安全补丁,构建安全配置基线并定期进行审视,通过SOC系统收集汇总全网日志进行智能关联分 析,及时发现可疑行为并通过有效的技术手段进行封堵,将可能的安全风险扼杀于萌芽状态。
提高人员安全防范意识
特 洛伊木马屠城的战例告诉我们,坚不可摧的堡垒往往都是从内部被攻破的,提高人员的安全防范意识对抵御APT攻击起着至关重要的作用。2010年7月爆发的 超级工厂蠕虫病毒(Stuxnet)就是通过一个授权用户的闪存驱动器来侵入伊朗核设施物理隔离边界的控制,进而入侵内部网络展开进一步的攻击。安全是一 个系统工程,通过安全防范教育计划提升人员安全防范意识是这个工程中一个重要的环节。避免使用系统默认配置及过于简单的密码,不要在网络中泄漏个人信息, 不要随便打开陌生的邮件或访问未知的URL链接,这些简单的安全防范意识可以帮助我们避免遭受钓鱼、仿冒欺骗等社会工程学攻击,使APT攻击的发起者因找 不到突破口而放弃攻击。
结束语
技 术的发展日新月异,新技术的应用总会伴随产生新的安全问题。在经济诱惑及政治的双重驱使下,信息安全地下产业的规模在日渐壮大。作为系统信息安全的管理 者,只有持续跟踪信息安全领域技术的发展及相关安全动态,及时调整系统以适应新的安全形势需要,才能防患于未然,使系统得以安全有效的运行。
转载请注明:jinglingshu的博客 » APT攻击与防范