企業(yè)應(yīng)了解的APT攻擊那些事

責(zé)任編輯:editor006

作者:董建偉

2015-02-02 14:45:04

摘自:it168網(wǎng)站

以往的那些APT攻擊只存在于報道之中,如震網(wǎng)攻擊、極光攻擊、夜龍攻擊等針對的都是較大規(guī)模的組織或企業(yè)。攻擊者針對需要竊取數(shù)據(jù)的企業(yè)或個人,將第一個目標鎖定到企業(yè)員工的身上作為情報開端,并通過社交工程攻擊開啟一連串攻擊。

以往的那些APT攻擊只存在于報道之中,如震網(wǎng)攻擊、極光攻擊、夜龍攻擊等針對的都是較大規(guī)模的組織或企業(yè)。而近兩年來APT攻擊開始出現(xiàn)在普通的企業(yè)中,黑客的攻擊手段越來越高明,企業(yè)傳統(tǒng)的安全防護手段已無法有效的應(yīng)對APT攻擊,在未來企業(yè)如何有效防護APT已迫在眉睫。

企業(yè)應(yīng)了解的APT攻擊那些事

本期我們針對APT攻擊防護的選題,專門邀請到了趨勢科技中國區(qū)業(yè)務(wù)發(fā)展總監(jiān)童寧,他現(xiàn)主要是負責(zé)趨勢科技企業(yè)內(nèi)容安全在中國的發(fā)展,同時兼任云安全相關(guān)產(chǎn)品的管理工作。我們將從APT的目標、APT攻擊過程、企業(yè)APT防護之道、CSO注意事項等方面來深入的解析APT的防御之道。

哪些數(shù)據(jù)、企業(yè)和個人容易成為APT的目標?

當前,數(shù)字化威脅不斷進化,高級持續(xù)性威脅(Advanced Persistent Threat,APT)呈增長之勢。APT攻擊者采用定制化的手段、利用社會工程學(xué),有計劃、有組織的持續(xù)窺探目標網(wǎng)絡(luò)弱點,長期潛伏并竊取核心機密數(shù)據(jù),這讓各個行業(yè)的組織都處于危險境地。

1、任何企業(yè)都可能是潛在攻擊的目標

作為一家盈利的公司或作為一個主權(quán)國家,即意味著處于競爭中。換句話說,您將始終是攻擊的潛在目標。過去,我們會把金融、政府、軍隊、能源等和民生相關(guān)的用戶設(shè)定為最容易受到APT攻擊的對象,但現(xiàn)在這些情況發(fā)生了變化。

在過去的兩年里,美國 Target 超市一億筆客戶資料被竊取販賣、臺灣20個與經(jīng)濟相關(guān)的機構(gòu)受到APT攻擊、美國 Home Depot 16 家飾建材連鎖賣場的6000萬筆客戶資料失竊、eBay遭到神秘黑客的攻擊、iCloud泄露出大量好萊塢影星私密照片、索尼影視在APT攻擊中大量商業(yè)機密遭泄露。這讓安全界對APT攻擊的思考有了新的啟示,例如:APT攻擊不僅會針對政府、金融、基礎(chǔ)建設(shè)和知識產(chǎn)權(quán)的行業(yè),交通、零售、酒店、旅游、教育、醫(yī)療、媒體行業(yè)都會成為目標。

2、黑客會先瞄準包含內(nèi)部賬戶的數(shù)據(jù)

因為所有規(guī)模的組織均擁有寶貴的數(shù)據(jù),這些“你自己認為重要的、或是不重要”,都可能成為黑客組織或是“雇傭軍”的目標。當然,被竊取的數(shù)據(jù)也有一部分相似點,這就是企業(yè)內(nèi)部中存在的大量賬戶信息。黑客需要利用這些數(shù)據(jù)提升權(quán)限,探測網(wǎng)絡(luò)內(nèi)部拓撲,橫向移動。

3、鐘愛“社交網(wǎng)絡(luò)”的員工最易受到定向攻擊

從以往的案例調(diào)查中可以發(fā)現(xiàn),APT攻擊者會利用社交工程技術(shù),分析企業(yè)內(nèi)部人員的職務(wù)、工作性質(zhì)、個人興趣等,如果某個員工特別喜歡在網(wǎng)絡(luò)社交平臺中談?wù)撟约旱墓ぷ?,或者公司?nèi)部的問題,那么便很可能已經(jīng)被盯上。黑客會發(fā)送與他(她)工作和興趣相關(guān)的郵件、惡意鏈接,從這些疏于防范的終端上打開攻擊的入口。

APT攻擊過程的六個階段

第1階段:情報收集

在趨勢科技的調(diào)查數(shù)據(jù)中,只有31%的企業(yè)會懲罰將公司機密資料貼到公眾社交平臺上的員工,這樣使得黑客非常容易的就能獲取到目標企業(yè)的IT環(huán)境和組織架構(gòu)的重要信息。攻擊者針對需要竊取數(shù)據(jù)的企業(yè)或個人,將第一個目標鎖定到企業(yè)員工的身上作為情報開端,并通過社交工程攻擊開啟一連串攻擊。

第2階段:利用社會工程學(xué)

利用電子郵件、即時通信軟件、社交網(wǎng)絡(luò)或是應(yīng)用程序漏洞找到進入目標網(wǎng)絡(luò)的大門。趨勢科技的調(diào)查結(jié)果顯示,在87%的組織中,會有網(wǎng)絡(luò)用戶點擊黑客安排的網(wǎng)絡(luò)鏈接,這些惡意鏈接都是精心設(shè)計的APT社交工程的誘餌。另外,95%的APT攻擊利用了社交工程釣魚郵件,這是針對性最強、設(shè)計最縝密的攻擊,但卻是簡單的技巧。

第3階段:命令與控制 (C&C 通信)

但閱讀或點擊了“誘餌”,攻擊者需要通過在主機上安裝后門程序,以達到持久駐留在內(nèi)部網(wǎng)絡(luò)的目的,并潛入盡可能多的主機。APT攻擊活動利用這些后門程序,首先在目標網(wǎng)絡(luò)中找出放有敏感信息的重要計算機。然后,APT攻擊活動利用網(wǎng)絡(luò)通信協(xié)議來與C&C服務(wù)器通訊,并確認入侵成功的計算機和C&C服務(wù)器間保持通訊。

由于 C&C 通信的特征與正常流量不同,因此這通常可能是APT攻擊的第一個跡象。但是,攻擊者演進了技術(shù),通過降低通信頻率以及在極短的時間內(nèi)改變域名和 IP 地址,讓 C&C 通信變得難以檢測。

第4階段:橫向移動

攻擊者會開始潛入更多的內(nèi)部設(shè)備,收集憑證、提升權(quán)限級別,實現(xiàn)持久控制。為此,攻擊者會試圖獲取大量的普通帳戶以及管理員帳戶。因此,攻擊者通常會跟蹤 Active Directory 之類目錄服務(wù)或Root權(quán)限的賬號,使用包括傳遞哈希值算法的技巧和工具,將攻擊者權(quán)限提升到跟管理者一樣。這個過程一旦成功,攻擊者便會為自己創(chuàng)建合法的帳戶和訪問權(quán)限,以訪問托管所需信息的服務(wù)器,從而加快數(shù)據(jù)隱蔽泄露。由于最終數(shù)據(jù)竊取利用了合法的管理憑證,這使得數(shù)據(jù)竊取檢測變得更加困難。

第5階段:資產(chǎn)/資料發(fā)掘

為確保以后的數(shù)據(jù)竊取行動中會得到最有價值的數(shù)據(jù),APT會長期低調(diào)的潛伏。這是APT長期潛伏不容易被發(fā)現(xiàn)的特點,來挖掘出最多的資料,而且在這個過程當中,通常不會是重復(fù)自動化的過程,而是會有人工的介入對數(shù)據(jù)做分析,他們尋找雇傭者需要的,或是可以販賣高價的“數(shù)據(jù)”。

第6階段:資料竊取

APT是一種高級的、狡猾的伎倆,高級黑客可以利用APT入侵網(wǎng)絡(luò)、逃避“追捕”、悄無聲息不被發(fā)現(xiàn)、隨心所欲對泄露數(shù)據(jù)進行長期訪問,最終挖掘到攻擊者想要的資料信息。而在收集了敏感信息之后,攻擊者將把數(shù)據(jù)歸集到內(nèi)部暫存服務(wù)器,并在這里對數(shù)據(jù)進行壓縮和加密,以傳輸至外部位置。

經(jīng)過前面6個階段,攻擊者后面主要的行為將放在長期控制上,一旦他們發(fā)現(xiàn)事件暴露,便會破壞信息的完整性及可用性,以起到“毀尸滅跡”的目的。但此時,泄密信息早已進入到地下黑市交易,或是被雇傭方非法占有。

關(guān)于APT攻擊更多需要注意的地方

1、不要過分依賴終端防毒軟件

APT攻擊慣用的伎倆大多是釣魚、漏洞、后門等常見的攻擊技術(shù),但是通過對這些犯罪手段地綜合性運用,最終會有一個惡意控制代碼能夠成功繞過企業(yè)外部防線。但根據(jù)趨勢科技的調(diào)查統(tǒng)計,超過80%的受害組織,并不知道自身已遭受到APT攻擊;在這些企業(yè)用戶中,平均要經(jīng)過346天才會發(fā)現(xiàn)自己遭受到APT攻擊,當中有77%的組織在發(fā)現(xiàn)受到攻擊時,已經(jīng)被黑客取得完全的掌控,但只有50%的受害計算機內(nèi)會被找出惡意軟件。所以,具備小批量、針對性、不重復(fù)等特點的APT攻擊面前,自動化惡意軟件清除工具只能看到其冰山一角,過度依賴傳統(tǒng)的防毒軟件將不會幫助企業(yè)走出這種惡性循環(huán)。

2、企業(yè)可能接觸到的小型網(wǎng)絡(luò)

攻擊者還會利用某個組織的網(wǎng)絡(luò)基礎(chǔ)設(shè)施來發(fā)動對其它組織的攻擊。在某些案例中,攻擊者會利用受害者的電子郵件賬號來增加他們魚叉式網(wǎng)絡(luò)釣魚攻擊郵件的可信度。在類似的攻擊事件中,為了實現(xiàn)對大型組織網(wǎng)絡(luò)的攻擊,黑客可能會從連接到該組織網(wǎng)絡(luò)的小企業(yè)入手,然后以其作為跳板發(fā)動攻擊。對攻擊者來說,通過小企業(yè)的網(wǎng)絡(luò)會更加容易也更為隱蔽,而且不會在大型組織的網(wǎng)絡(luò)內(nèi)留下痕跡。

3、超過95%的APT攻擊始于社交網(wǎng)絡(luò)釣魚郵件

根據(jù)趨勢科技的研究結(jié)果顯示,超過95%的APT攻擊始于社交網(wǎng)絡(luò)釣魚郵件,這類郵件通常含有傳統(tǒng)郵件或終端安全產(chǎn)品無法檢測的惡意附件或URL。“電子郵件”已經(jīng)成為了黑客最易取得APT攻擊成效的入口。在某些案例中,攻擊者會利用受害者的電子郵件賬號來增加他們魚叉式網(wǎng)絡(luò)釣魚攻擊郵件的可信度。而經(jīng)過足夠多的研究分析后,網(wǎng)絡(luò)犯罪份子可以制造出社交工程誘餌,騙取足夠多的員工點擊網(wǎng)絡(luò)鏈接或者打開郵件附件。

企業(yè)如何了解自身的APT防護能力?

APT攻擊改變了當前的威脅形勢,已經(jīng)不可能再提前進行預(yù)防,我們必須假設(shè)自己將受到威脅。隨著這一心理模式的轉(zhuǎn)變,我們也必須重新制定安全策略。

1、是否轉(zhuǎn)變了防御觀念

APT攻擊是否有“幫手”呢?答案是肯定的,這個幫手就是我們自己的固化的想法:“外圍的一切都是危險的,內(nèi)部的一切都是安全的。”但這種基于外圍防御的安全策略早已過時,因為攻擊者越來越狡猾,正使用各種方法穿過這些防御。另外,如果你已經(jīng)仔細閱讀或者從其他途徑了解過一些APT攻擊案例,便可以發(fā)現(xiàn),最近的數(shù)據(jù)泄露事件已證明,盡管注重外圍的新一代防火墻/IPS不斷演進,卻都無法著眼于內(nèi)部網(wǎng)絡(luò)的APT攻擊檢測。但即使攻擊者再如何隱藏,他們要想竊取高價值得數(shù)據(jù),并需要在網(wǎng)絡(luò)中有所行動,這些蛛絲馬跡可以在“橫向移動”中被發(fā)現(xiàn)。

2、是否清楚APT攻擊鏈和防護點

IT安全威脅越來越大,迫使許多企業(yè)只好拼命追趕,以應(yīng)對最新的安全威脅,這早已不是什么秘密。但沒有什么比APT攻擊更讓人憂心忡忡的了,它甚至可以讓一名CEO下臺,讓一家企業(yè)失去用戶的信任,或是花費數(shù)億美金才能修復(fù)破壞。那么,損失慘重的數(shù)據(jù)泄露事件又是怎么發(fā)生的呢?

這是每家企業(yè)的信息安全主管思考的問題,他們必須全面了解APT攻擊的生命周期,以及每個階段呈現(xiàn)的特點,從這個鏈條中找到防護點。如果你已經(jīng)清楚了APT攻擊的過程,那么可以針對這些能力進行系統(tǒng)的評估:

a) 現(xiàn)有的防護設(shè)備能否檢測到攻擊?

b) 能否抓取攻擊特征進行系統(tǒng)且全面的分析?

c) 能否通過策略調(diào)整避免遭受攻擊?

d) 能否在最快的時間,有效阻止正在進行的攻擊?

e) 如果攻擊已經(jīng)發(fā)送,能否降低損失,或者讓攻擊者決定耗費如此大的精力,竊取回來的數(shù)據(jù)可能不值幾個錢?

f) 能否誘騙攻擊者進入內(nèi)部設(shè)定好的蜜罐網(wǎng)絡(luò)?

g) 能否追蹤攻擊者,并最終摧毀?

關(guān)于APT攻擊,CSO需要注意的地方

建議一:針對APT攻擊是否制定了《自我評估清單》,例如您是否對員工制定了詳細的社交網(wǎng)絡(luò)防泄密培訓(xùn);

建議二:是否能夠在網(wǎng)絡(luò)中部署威脅發(fā)現(xiàn)系統(tǒng),識別APT攻擊橫向移動或C&C通信的行動

建議三:許多僅僅看似是“警告”的日志,單獨來看均沒有意義。但是,當某位專家審視這些事件時,它們就形成了一個顯示外部攻擊歷程的“時間線”,公司是否擁有或外聘了這些專家。

建議四:您會發(fā)現(xiàn)向高級管理層闡述APT攻擊的嚴重性是多么必要和困難。這可能很難以具體的投資回報率作為理由或很難解釋為什么現(xiàn)有的安全控制不足。所以你現(xiàn)在就需要準備一份能夠吸引(或者是震懾)PPT文稿,來說服自己的老板。

建議五:什么才是理想的解決方案?理想的解決方案會將整個安全基礎(chǔ)架構(gòu)編排到自定義的可適應(yīng)防御中,您可以根據(jù)您的特定環(huán)境和攻擊者來調(diào)整此防御。

建議六:定制化智能防御戰(zhàn)略的實現(xiàn)需要借助其可擴展性及與多種產(chǎn)品的集成能力,以滿足不同的企業(yè)環(huán)境需求。但絕對沒有搬來就用的方案,因此,沒有兩個解決方案是完全相同的,而是根據(jù)業(yè)務(wù)大小、業(yè)務(wù)范圍以及現(xiàn)有的安全基礎(chǔ)架構(gòu)而異。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號