论文部分内容阅读
“我们发现,从2012年1月开始,APT攻击就进入了高发期,国内外的金融行业都不断出现APT的攻击事件。高级持续性威胁不但在攻击频率上越加频繁,而且在攻击方式上日趋多样化,这种威胁使得我们内部敏感数据面临着极大的外泄风险。”某证券公司负责网络安全的工程师如是说。
“外围的一切都是危险的,内部的一切都是安全的。”这种基于外围防御的安全策略早已过时,因为攻击者越来越狡猾,正使用各种方法,利用防护体系中“最薄弱的人”穿过这些屏障。特别是随着进阶性持续攻击(Advanced Persistent Threat,APT)的进一步发展,企业内部正在变得越来越危险。
APT攻击范围扩展
2015年4月初,法国最大的全球性电视网遭到重大网络攻击,造成电视转播信号中断数小时,同时,电视台的网站和社交网络同时被黑客控制,并出现了大量“圣战”标语、视频和图片。在此次攻击事件中,攻击的范围前所未见,攻击者能够完全中断该电视台所有11个频道的播出;完全中断电视台的内部网络;实现对电视台网站和社交媒体帐号的控制;更新网站内容,并在社交媒体账号贴出对ISIS行动的法国士兵亲属名字和个人信息。
尽管完整的细节尚未明朗,不过从Arid Viper和Sony等公司之前遭到的攻击,以及针对关键基础设施攻击的调查显示,这很有可能是以网络钓鱼为入侵手段的APT。
APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据。此外,APT攻击是一种很有耐心的攻击形式,攻击和威胁可能在用户环境中存在一年以上,他们不断收集用户信息,直到收集到重要情报。同时他们往往不是为了在短时间内获利,而是把“被控主机”当成跳板,持续搜索,直到充分掌握目标对象的使用行为。
以Google遭受攻击为例,可以告诉我们APT攻击是如何开始的。
Google的一名雇员点击即时消息中的一条恶意链接,引发了一系列事件导致Google被黑客渗入数月,并且造成各种系统的数据被窃取。这次攻击以Google和其它大约20家公司为目标,它是由一个有组织的网络犯罪团体精心策划的,目的是长时间地渗入这些企业的网络并窃取数据。
此次APT攻击,首先寻找特定的Google员工成为攻击者的目标。攻击者尽可能地收集信息,搜集该员工在Facebook、Twitter、LinkedIn和其它社交网站上发布的信息。接着攻击者利用一个动态DNS供应商来建立一个托管伪造照片网站的Web服务器。
利用这个伪造的Web服务器,攻击者伪造成这位Google员工所信任的人,并向他发送了恶意链接。Google员工点击这个未知的网络链接,就进入了恶意网站。该恶意网站页面载入含有shellcode的JavaScript程序码造成IE浏览器溢出,进而执行FTP下载程序,并从远端进一步抓取更多新的程序来执行下载。
攻击者通过SSL安全隧道与受害人机器建立了连接,持续监听并最终获得了该雇员访问Google服务器的帐号密码等信息。最后,攻击者就使用该雇员的凭证成功渗透进入Google的邮件服务器,进而不断的获取特定Gmail账户的邮件内容信息。
由以上的案列可以看出,APT攻击有极强的隐蔽性,对此可这样理解,APT攻击已经与被攻击对象的可信程序漏洞与业务系统漏洞进行了融合,在组织内部,这样的融合很难被发现。例如,对Google的APT攻击中,攻击者利用一个动态DNS供应商来建立一个托管伪造照片网站的Web服务器,该Google员工收到来自信任的人发来的网络链接并且点击它,就进入了恶意网站。
APT攻击如今已是一项全球问题,不法分子攻击的目标不再局限于美国、俄罗斯与中国,还包括澳大利亚、巴西、埃及和德国。
同时,以往APT攻击和威胁主要针对的是国家重要的基础设施和单位,包括能源、电力、金融、国防等关系到国计民生,或者是国家核心利益的网络基础设施。而据最新发布的2014年APT观察报告显示,APT攻击目标正从政府单位转向非政府组织,甚至连中小型企业也成为攻击目标。
曾有黑客长期潜伏窃取中小企业及其客户的邮件通讯内容,在下单时提供假的汇款帐户,使中小企业蒙受巨额损失。
找准抑制点
由于APT攻击的隐秘性,很多情况下人们并不知道正在被APT攻击,所以,解开APT攻击之谜的第一步,就是充分了解黑客将从何入手、清楚他们是如何拿到数据的?趋势科技最新发布的在《演化中的APT治理战略》白皮书中将APT攻击分为6个阶段。
第1阶段是情报收集。只有31%的企业会惩罚将公司机密资料贴到公众社交平台上的员工,这使得黑客非常容易就能获取到目标企业IT环境和组织架构内的重要信息。攻击者针对需要窃取数据的企业或个人,将第一个目标锁定到企业员工的身上,并通过公共信息资源(网络社交工具,如微信,微博,朋友圈等)以及社交工程学等手段收集并研究目标对象的相关信息,准备实施定向攻击。
第2阶段是单点突破。利用电子邮件、即时通信软件、社交网络或是应用程序漏洞找到进入目标网络的大门。在87% 的组织中,会有网络用户点击黑客安排的网络链接,这些恶意链接都是精心设计的APT 社交工程的诱饵。另外,超过90% 的APT 攻击利用了社交工程钓鱼邮件,这是针对性最强、设计最缜密、入侵最有效、成本最低廉的攻击媒介。恰恰是这种简单的技巧,使得攻击者不费吹灰之力绕过传统安全防御,将恶意代码推送给目标个体,创建后门,实现单点突破进入目标网络,从而着手进一步网络渗透。 第3阶段是命令与控制(C&C 通信)。目标个体一但阅读或点击了“诱饵”,攻击者的后门程序将会成功植入到目标个体的主机上,以达到持久驻留在内部网络的目的,并伺机潜入尽可能多的主机。被入侵的计算机通过部署在互联网的C&C 服务器与攻击者保持通讯,获取攻击者的指令及更多攻击工具,用于后续阶段的使用。由于 C&C 通信的特征与正常流量不同,因此这通常是APT 攻击的第一个迹象。但是,攻击者演进了技术,通过降低通信频率、使用加密手段、以及在极短的时间内改变域名和 IP 地址,让C&C通信变得难以检测。
第4阶段是横向移动。攻击者立足之后,会渗透更多的内部主机,收集凭证、提升权限级别,实现持久控制。为此,攻击者会试图获取大量的普通帐户以及管理员帐户。通常攻击者通常会跟踪 Active Directory之类目录服务或Root 权限的账号,使用一定的技巧和工具(例如可以传递哈希值算法的工具)将攻击者权限提升到跟管理者一样。这个过程一旦成功,攻击者便会为自己创建合法的帐户和访问权限,以访问托管所需信息的服务器,从而加快敏感数据的发掘和泄露。由于最终数据窃取利用了合法的管理凭证,这使得数据窃取检测变得更加困难。
第5阶段是资料发掘。为确保以后的数据窃取行动中会得到最有价值的数据,攻击者会长期低调的潜伏,并使用一些技术和工具手段识别有价值的服务器及存放在这些服务器上的重要信息资产,以挖掘出更多敏感资料。这个过程通常不是重复自动化的过程,而是人工对数据做分析,寻找雇佣者需要的,或是可以高价贩卖的“数据”。
第6阶段是资料窃取。APT 是一种高级的、狡猾的伎俩,高级黑客可以利用APT 入侵网络、逃避“追捕”、随心所欲对相关数据进行长期访问,最终挖掘到想要的信息。而在收集了敏感信息之后,攻击者将把数据归集到内部暂存服务器,并在这里对数据进行压缩和加密,最终传输至外部。
APT攻击惯用的伎俩大多是钓鱼、漏洞、后门等常见的攻击技术,但是通过对这些犯罪手段地综合性运用,最终成功绕过企业外部防线,使得原本安全的企业内部正在变得充满了危机。
最近的数据泄露事件已经证明,尽管注重外围的新一代防火墙/IPS 不断演进,却都无法着眼于内部网络的APT攻击检测。但即使攻击者再如何隐藏,他们若要想窃取高价值数据,就需要在网络中有所行动,这些蛛丝马迹可以在“横向移动”中被发现,通过内部策略调整加以阻止。
趋势科技(中国区)业务发展总监童宁表示,企业可以通过一定的技术手段制定APT防范解决方案,防止用户的指定数据或信息资产以违反安全策略规定的形式被有意或意外流出,但更重要的是在管理方面。企业可以借鉴更多的教育、培训手段来提升普通用户的安全意识。企业同时还可以制定详细的社交网络使用协议,能让员工保持在正确的轨道范围内行使权利,并在必要时提供破坏规则的惩罚,避免信息泄露事件出现“破窗效应”。具体来讲,IT 经理可以检查实践中的最佳做法并指导员工什么该做和什么不该做,安排社交攻击的测试演练,让他们了解可能会出现的连锁事件,减少人为因素在APT 治理中造成的弱点。
“外围的一切都是危险的,内部的一切都是安全的。”这种基于外围防御的安全策略早已过时,因为攻击者越来越狡猾,正使用各种方法,利用防护体系中“最薄弱的人”穿过这些屏障。特别是随着进阶性持续攻击(Advanced Persistent Threat,APT)的进一步发展,企业内部正在变得越来越危险。
APT攻击范围扩展
2015年4月初,法国最大的全球性电视网遭到重大网络攻击,造成电视转播信号中断数小时,同时,电视台的网站和社交网络同时被黑客控制,并出现了大量“圣战”标语、视频和图片。在此次攻击事件中,攻击的范围前所未见,攻击者能够完全中断该电视台所有11个频道的播出;完全中断电视台的内部网络;实现对电视台网站和社交媒体帐号的控制;更新网站内容,并在社交媒体账号贴出对ISIS行动的法国士兵亲属名字和个人信息。
尽管完整的细节尚未明朗,不过从Arid Viper和Sony等公司之前遭到的攻击,以及针对关键基础设施攻击的调查显示,这很有可能是以网络钓鱼为入侵手段的APT。
APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据。此外,APT攻击是一种很有耐心的攻击形式,攻击和威胁可能在用户环境中存在一年以上,他们不断收集用户信息,直到收集到重要情报。同时他们往往不是为了在短时间内获利,而是把“被控主机”当成跳板,持续搜索,直到充分掌握目标对象的使用行为。
以Google遭受攻击为例,可以告诉我们APT攻击是如何开始的。
Google的一名雇员点击即时消息中的一条恶意链接,引发了一系列事件导致Google被黑客渗入数月,并且造成各种系统的数据被窃取。这次攻击以Google和其它大约20家公司为目标,它是由一个有组织的网络犯罪团体精心策划的,目的是长时间地渗入这些企业的网络并窃取数据。
此次APT攻击,首先寻找特定的Google员工成为攻击者的目标。攻击者尽可能地收集信息,搜集该员工在Facebook、Twitter、LinkedIn和其它社交网站上发布的信息。接着攻击者利用一个动态DNS供应商来建立一个托管伪造照片网站的Web服务器。
利用这个伪造的Web服务器,攻击者伪造成这位Google员工所信任的人,并向他发送了恶意链接。Google员工点击这个未知的网络链接,就进入了恶意网站。该恶意网站页面载入含有shellcode的JavaScript程序码造成IE浏览器溢出,进而执行FTP下载程序,并从远端进一步抓取更多新的程序来执行下载。
攻击者通过SSL安全隧道与受害人机器建立了连接,持续监听并最终获得了该雇员访问Google服务器的帐号密码等信息。最后,攻击者就使用该雇员的凭证成功渗透进入Google的邮件服务器,进而不断的获取特定Gmail账户的邮件内容信息。
由以上的案列可以看出,APT攻击有极强的隐蔽性,对此可这样理解,APT攻击已经与被攻击对象的可信程序漏洞与业务系统漏洞进行了融合,在组织内部,这样的融合很难被发现。例如,对Google的APT攻击中,攻击者利用一个动态DNS供应商来建立一个托管伪造照片网站的Web服务器,该Google员工收到来自信任的人发来的网络链接并且点击它,就进入了恶意网站。
APT攻击如今已是一项全球问题,不法分子攻击的目标不再局限于美国、俄罗斯与中国,还包括澳大利亚、巴西、埃及和德国。
同时,以往APT攻击和威胁主要针对的是国家重要的基础设施和单位,包括能源、电力、金融、国防等关系到国计民生,或者是国家核心利益的网络基础设施。而据最新发布的2014年APT观察报告显示,APT攻击目标正从政府单位转向非政府组织,甚至连中小型企业也成为攻击目标。
曾有黑客长期潜伏窃取中小企业及其客户的邮件通讯内容,在下单时提供假的汇款帐户,使中小企业蒙受巨额损失。
找准抑制点
由于APT攻击的隐秘性,很多情况下人们并不知道正在被APT攻击,所以,解开APT攻击之谜的第一步,就是充分了解黑客将从何入手、清楚他们是如何拿到数据的?趋势科技最新发布的在《演化中的APT治理战略》白皮书中将APT攻击分为6个阶段。
第1阶段是情报收集。只有31%的企业会惩罚将公司机密资料贴到公众社交平台上的员工,这使得黑客非常容易就能获取到目标企业IT环境和组织架构内的重要信息。攻击者针对需要窃取数据的企业或个人,将第一个目标锁定到企业员工的身上,并通过公共信息资源(网络社交工具,如微信,微博,朋友圈等)以及社交工程学等手段收集并研究目标对象的相关信息,准备实施定向攻击。
第2阶段是单点突破。利用电子邮件、即时通信软件、社交网络或是应用程序漏洞找到进入目标网络的大门。在87% 的组织中,会有网络用户点击黑客安排的网络链接,这些恶意链接都是精心设计的APT 社交工程的诱饵。另外,超过90% 的APT 攻击利用了社交工程钓鱼邮件,这是针对性最强、设计最缜密、入侵最有效、成本最低廉的攻击媒介。恰恰是这种简单的技巧,使得攻击者不费吹灰之力绕过传统安全防御,将恶意代码推送给目标个体,创建后门,实现单点突破进入目标网络,从而着手进一步网络渗透。 第3阶段是命令与控制(C&C 通信)。目标个体一但阅读或点击了“诱饵”,攻击者的后门程序将会成功植入到目标个体的主机上,以达到持久驻留在内部网络的目的,并伺机潜入尽可能多的主机。被入侵的计算机通过部署在互联网的C&C 服务器与攻击者保持通讯,获取攻击者的指令及更多攻击工具,用于后续阶段的使用。由于 C&C 通信的特征与正常流量不同,因此这通常是APT 攻击的第一个迹象。但是,攻击者演进了技术,通过降低通信频率、使用加密手段、以及在极短的时间内改变域名和 IP 地址,让C&C通信变得难以检测。
第4阶段是横向移动。攻击者立足之后,会渗透更多的内部主机,收集凭证、提升权限级别,实现持久控制。为此,攻击者会试图获取大量的普通帐户以及管理员帐户。通常攻击者通常会跟踪 Active Directory之类目录服务或Root 权限的账号,使用一定的技巧和工具(例如可以传递哈希值算法的工具)将攻击者权限提升到跟管理者一样。这个过程一旦成功,攻击者便会为自己创建合法的帐户和访问权限,以访问托管所需信息的服务器,从而加快敏感数据的发掘和泄露。由于最终数据窃取利用了合法的管理凭证,这使得数据窃取检测变得更加困难。
第5阶段是资料发掘。为确保以后的数据窃取行动中会得到最有价值的数据,攻击者会长期低调的潜伏,并使用一些技术和工具手段识别有价值的服务器及存放在这些服务器上的重要信息资产,以挖掘出更多敏感资料。这个过程通常不是重复自动化的过程,而是人工对数据做分析,寻找雇佣者需要的,或是可以高价贩卖的“数据”。
第6阶段是资料窃取。APT 是一种高级的、狡猾的伎俩,高级黑客可以利用APT 入侵网络、逃避“追捕”、随心所欲对相关数据进行长期访问,最终挖掘到想要的信息。而在收集了敏感信息之后,攻击者将把数据归集到内部暂存服务器,并在这里对数据进行压缩和加密,最终传输至外部。
APT攻击惯用的伎俩大多是钓鱼、漏洞、后门等常见的攻击技术,但是通过对这些犯罪手段地综合性运用,最终成功绕过企业外部防线,使得原本安全的企业内部正在变得充满了危机。
最近的数据泄露事件已经证明,尽管注重外围的新一代防火墙/IPS 不断演进,却都无法着眼于内部网络的APT攻击检测。但即使攻击者再如何隐藏,他们若要想窃取高价值数据,就需要在网络中有所行动,这些蛛丝马迹可以在“横向移动”中被发现,通过内部策略调整加以阻止。
趋势科技(中国区)业务发展总监童宁表示,企业可以通过一定的技术手段制定APT防范解决方案,防止用户的指定数据或信息资产以违反安全策略规定的形式被有意或意外流出,但更重要的是在管理方面。企业可以借鉴更多的教育、培训手段来提升普通用户的安全意识。企业同时还可以制定详细的社交网络使用协议,能让员工保持在正确的轨道范围内行使权利,并在必要时提供破坏规则的惩罚,避免信息泄露事件出现“破窗效应”。具体来讲,IT 经理可以检查实践中的最佳做法并指导员工什么该做和什么不该做,安排社交攻击的测试演练,让他们了解可能会出现的连锁事件,减少人为因素在APT 治理中造成的弱点。