我看APT攻防对抗:APT攻击的特性

FlashSky   翰海源CEO

翰海源:立志于让安全成为IT系统基础属性;帮助客户改进自身系统的安全,以及实现对APT攻击的检测与防御.

 

APT(高级持续性威胁)攻击是指近年来,专业甚至是有组织和国家背景支持的黑客,针对重要目标和系统发起的一种攻击手段,主要特征有

 

1)持续性:攻击者为了重要的目标长时间持续攻击直到攻破为止。攻击成功用上一年到三年,攻击成功后持续潜伏五年到十年的案例都有。这种持续性攻击下,让攻击完全处于动态发展之中,而当前我们的防护体系都是强调静态对抗能力很少有防护者有动态对抗能力,因此防护者或许能挡住一时的攻击,但随时间的发展,系统不断有新的漏洞被发现,防御体系也会存在一定的空窗期:比如设备升级、应用需要的兼容性测试环境等等,最终导致系统的失守。

 

 

2)终端性:攻击者虽然针对的是重要的资产目标,但是入手点却是终端为主。再重要的目标,也是由终端的人来访问的。而人在一个大型组织里,是难以保证所有人的安全能力与安全意识都处于一个很高水准之上的。而做好每个人的终端防护比服务器端防护要困难很多。通过SQL注射攻击了WEB服务器,一般也是希望利用他攻击使用这些WEB服务器的终端用户作为跳板渗透进内网。

 

 

3)广谱信息收集性:攻击者会花上很长的时间和资源,依靠互联网搜集,主动扫描,甚至真实物理访问方式,收集被攻击目标的信息,主要包括:组织架构,人际关系,常用软件,常用防御策略与产品,内部网络部署等信息。

 

 

4)针对性:攻击者会针对收集到的常用软件,常用防御策略与产品,内部网络部署等信息,搭建专门的环境,用于寻找有针对性安全漏洞,测试特定的木马是否能饶过检测。

 

 

5)未知性:攻击者依据找到的针对性安全漏洞,特别是0DAY,根据应用本身构造专门的触发攻击的代码。并编写符合自己攻击目标,但能饶过现有防护者检测体系的特种木马。这些0DAY漏洞和特种木马,都是防护者或防护体系所不知道的。

 

 

6)渗透性社工:攻击者为了让被攻击者目标更容易信任,往往会先从被攻击者目标容易信任的对象着手,比如攻击一个被攻击者目标的电脑小白好友或家人,或者被攻击者目标使用的内部论坛,通过他们的身份再对组织内的被攻击者目标发起0DAY攻击,成功率会高很多。再利用组织内的已被攻击成功的身份再去渗透攻击他的上级,逐步拿到对核心资产有访问权限的目标。

 

 

7)隐蔽合法性:攻击者访问到重要资产后,往往通过控制的客户端,分布使用合法加密的数据通道,将信息窃取出来,以饶过我们的审计和异常检测的防护。

 
8)长期潜伏与控制:攻击者长期控制重要目标获取的利益更大。一般都会长期潜伏下来,控制和窃取重要目标。当然也不排除在关键时候破坏型爆发。

 

从以上特性来看,可以获得如下结论
1)APT攻击的成本很高(专业的团队,长期的信息收集,挖掘0DAY和利用,特马,环境测试,渗透性社工与潜伏,多种检测对抗),因此只适合专业的网络犯罪团伙或有组织和国家支持的特种攻击团队

 

 

2)因此APT攻击是针对有重要价值资产或重要战略意义的目标,一般军工、能源、金融、军事、政府、重要高科技企业等最容易遭受APT攻击。

 

 

3)虽然普通网民不会遭受APT攻击的眷顾,但是如果你是APT攻击目标组织的一名普通员工甚至只是与APT攻击目标组织的一名普通员工是好友或亲戚关系,你依然可能成为APT攻击的中间跳板,当然作为普通个人,APT攻击本身不会窃走你个人什么东西(你本身就是重要人物如组织中的高级管理人员或个人主机里保存有重要资料的除外)。

 
4)不要以为你重要的信息资产只在内网甚至物理隔离就能不遭受APT攻击,因为即使物理阻止了网络层流,也阻止不了逻辑上的信息流。RSA被APT攻击利用FLASH 0DAY偷走了在内网严密保护的SECURID令牌种子,震网利用7个0DAY和摆渡成功渗透进了伊朗核设施级的物理隔离网络。

 

目前APT攻击发布细节出来的案例,基本都是以美国公布的。但是不代表APT攻击只针对欧美,主要原因在于,美国由于IT技术的发达成为APT攻击的首要目标,而且很多高科技公司也是民营的,而美国公司把针对安全事件发生后的调查和公布看作一种公司的诚信行为,而其他很多国家因为被攻击后更习惯捂盖子的做法公开的很少。另一个原因是我猜测,美国在APT检测和防御技术上具备一定的先进性使,他们具备针对部分APT攻击能及时发现,因此可以在攻击一开始时就配合取证了解完整的攻击过程与手法,而其他国家在这方面比较落后,发现时都是后期阶段,只能清除而很难分析取证溯源了解整个攻击过程与手法了。
APT攻击案例中比较著名的有:
1)针对GOOGLE等三十多个高科技公司的极光攻击:攻击者通过FACEBOOK上的好友分析,锁定了GOOGLE公司的一个员工和他的一个喜欢摄影的电脑小白好友。攻击者入侵并控制了电脑小白好友的机器,然后伪造了一个照片服务器,上面放置了IE的0DAY攻击代码,以电脑小白的身份给GOOGLE员工发送IM消息邀请他来看最新的照片,其实URL指向了这个IE 0DAY的页面。GOOGLE的员工相信之后打开了这个页面然后中招,攻击者利用GOOGLE这个员工的身份在内网内持续渗透,直到获得了GMAIL系统中很多敏感用户的访问权限。窃取了MAIL系统中的敏感信息后,攻击者通过合法加密信道将数据传出。事后调查,不止是GOOGLE中招了,三十多家美国高科技公司都被这一APT攻击搞定,甚至包括赛门铁克这样牛比的安全厂商。
2)针对美国能源部的夜龙攻击:攻击者首先收集了很多能源部门的WEB服务器的SQL注射的漏洞,攻击并控制了这些WEB服务器。但这并不是攻击者想要的,攻击者在这些WEB站点上一些供内部人员访问的页面上放置了针对IE和OFFICE应用的0DAY挂马攻击代码,因为针对内部站点的,靠挂马检测难以检测,传播范围不大,而且上来的都基本是目标。于是很快搞定了一些个人终端,渗透进能源部门的内网。窃取和控制了大量的有价值的主机。
3)针对RSA窃取SECURID令牌种子的攻击:攻击者首先搞定了RSA一个外地的小分支机构人员的邮箱或主机,然后以这个人员的身份,向RSA的财务主管发了一封财务预算的邮件请求RSA的财务主管进行审核,内部附属了一个EXCEL的附件,但是里面嵌入了一个FLASH的0DAY利用代码。RSA的财务主管认为可信并是自己的工作职责,因此打开了这个XCEL附件,于是攻击者成功控制了RSA的财务主管,再利用RSA的财务主管的身份逐步渗透,最后窃取走了SECURID令牌种子,通过IE的代理传回给控制者,RSA发现被入侵后一直不承认SECURID令牌种子也被窃取走,直到攻击者利用窃取的SECURID令牌种子攻击了多个美国军工企业RSA才承认SECURID令牌种子被偷走。
4)针对伊朗核电站的震网攻击:伊朗核电站是一个物理隔离的网络,因此攻击者首先获得了一些核电站工作人员和其家庭成员的信息,针对这些家庭成员的主机发起了攻击,成功控制了这些家庭用的主机,然后利用4个WINDOWS的0DAY漏洞,可以感染所有接入的USB移动介质以及通过USB移动介质可以攻击接入的主机。终于靠这种摆渡攻击渗透进了防护森严物理隔离的伊朗核电站内部网络,最后再利用了3个西门子的0DAY漏洞,成功控制了控制离心机的控制系统,修改了离心机参数,让其发电正常但生产不出制造核武器的物质,但在人工检测显示端显示一切正常。成功的将伊朗制造核武器的进程拖后了几年。
还有一些属于APT攻击范畴但细节比较少或者攻击时就被发现的案例
1)洛克-马丁:攻击者使用PDF 0DAY嵌入到邮件中发送给内部人员发起攻击,但被检测出来,但洛克-马丁未公布是如何检测到这个PDF 0DAY的
2)VERISIGN:VERISIGN今年承认内部发现被黑客攻击成功,但当时在现在离任的高级管理人员都不知道这件事,VERISIGN坚持自己用于可信站点签名的根证书还是安全的,但是又没证据证明。如果VERISIGN的根证书和RSA的SECURID令牌种子一样已被窃取,这意味着攻击者以后可以扮演任何一个可信站点,可以针对加密链路发起中间人攻击而不被察觉。
3)NASA:NASA承认去年至少有13次被黑客成功入侵且窃取走了许多核心机密,但具体的攻击细节没有披露。
4)韩国农协银行:据一些未公开的分析过程是攻击者利用社工,将一张免费的网络电影观看券(韩国网上看电影是需要付费的)给了负责韩国农协银行内部系统开发的IBM外包团队的项目经理,项目经理使用了工作的笔记本去访问这个电影的URL中招,攻击者利用此台笔记本作跳板,成功控制了韩国农协银行的所有重要系统并窃走信息。然后长期在银行备份时恶意破坏备份但显示备份成功,最后来了一次总爆发,将所有数据删除后撤退。韩国农协银行试图用备份恢复系统发现最近的备份都被破坏,导致大量数据无法同步,损失惨重。
当然还有一些被报道出来的APT攻击案例,这里就不一一列举。但总体来看,APT攻击始终依赖于:
1)攻击者对被攻击者的信息了解,这是制定社工和攻击策略的前提;
2)有针对性的0DAY漏洞,这是突破当前防护体系和有一些安全意识的人员的利器;
3)有针对性的木马和行为的对抗,特别是杀毒,HIPS,网络审计产品的对抗

评论关闭。