首页
社区
课程
招聘
[旧帖] [原创]高持续性攻击APT 0.00雪花
发表于: 2014-1-9 17:18 2115

[旧帖] [原创]高持续性攻击APT 0.00雪花

2014-1-9 17:18
2115
APT攻击
Advanced Persistent Threat(高持续性威胁)

A-Advanced:技术复杂多样化
P-Persistent:持续性的。有计划,有组织的进行检测和侦查
  APT攻击的特点
潜伏性:
攻击过程持续周期长;攻击者首先控制一台内部主机,以打开局面。然后以“被控主机”为跳板,控制更多具有更高权限的主机。以此模式,不断持续搜索,直到能彻底掌握所针对的目标人、事、物。

持续性:
初步攻击结束后会建立类似botnet的远控架构进行持续攻击。
威胁性:
由于攻击周期长,攻击行为散布时间轴较大,审计系统和安全评估系统与日志分析系统不易察觉。

攻击者往往不直接攻击最终目标人,而是透过攻击外围人员层层渗透。较之核心人员,外围人员往往安全意识比较淡薄。
  以往攻击都是炸开大门(暴力破解),为所欲为,一锤子买卖,完事儿走人。我感觉,apt攻击在思路上其实有一个创新点。首先,apt的目标都是大型公司企业的机密资料,往往都具有非常坚固的大门和高墙。所以,想要采用以前那种方式有可能伤敌一千,自损八百,不划算。其次,apt攻击讲究的是“可持续发展”,放长线钓大鱼。
  可以做这么一个类比,apt攻击就好比去老板家盗窃。老板家有防盗门,不好进入。首先,我们先进入与老板家一墙之隔的人家,相对于突破老板家的大门,撬开隔壁家的大门可谓是轻而易举的。其次,发现这一墙之隔的强确实不怎么厚,哈哈。。。在墙上开个小洞,这就悄悄地进入老板家里。最后,白天地不动,晚上地干活!
  这个创新点,归结起来就是:曲线行窃+放长线钓大鱼!
  APT攻击模板
第一步:研究目标
目标:
了解目标公司的财务状况以及所有员工的上网习惯(是否会在网上讨论自己的boss?)及人际交往的所有信息。据此,选定第一目标主机,目标公司内部被黑客拿下的第一台主机。这台主机至关重要,起着攻击跳板的作用。【社会工程学基础,邮件攻击基础】
目标公司的边界安全和面向Internet的系统。【知己知彼】
第二步:选定并拿下第一目标主机,从而打开局面
目标:如上
途径:任何
  1)强攻:
  *直接对目标公网网站漏洞进行攻击(SQL注入,XSS,远程执行代码漏洞);
    *直接使用挖掘出来的0day攻击目标(目前的安全防御,检测设备无法识别0day漏洞攻击)
  计谋攻:
*钓鱼网站:使公司员工上钩。(这只针对于企业内部安全防御体系不健全的公司,对于安全防护体系健全的公司,通过这种方式是渗透不进去的)
*免费u盘:将装有病毒的u盘假装遗落在目标公司内部,以期有员工捡到该u盘后插入公司内部主机(这也是一种社会工程学攻击,利用人的好奇心和贪婪。同样,对于内部安全体系健全的公司,通过这种方式是渗透不进去的)
  *恶意邮件:恶意邮件中往往将恶意链接包装成该员工感兴趣的话题(第一阶段的员工调查),如公司裁员表等。。。诱使员工点击恶意链接,下载黑客工具(这种邮件攻击方法可以成功绕过公司安全体系的检测)
第三步:通过横向移动,拿下具有高级权限的敏感主机
目标:如上
途径:任何
第四步:构建安全隧道
目标:与受害人机器建立了连接(VPN技术),用于持续监听、传入控制命令、传出目标源代码。
第五步:卷货撤退
目标:利用到手的高级权限,进入存有目标信息的数据库,打包、加密目标源代码。并利用VPN专用隧道将数据传出。

APT攻击检测方法
  纵观整个APT攻击过程发现:
(1)恶意代码单点攻击突破
(2)内部横向渗透
(3)构建控制通道获取攻击者指令
(4)敏感数据外传
1、恶意代码检测类方案:
    针对单点攻击突破阶段,检测APT攻击过程中的恶意代码传播过程。大多数APT攻击都是通过恶意代码来攻击员工个人电脑,从而来突破目标网络和系统防御措施。
2、主机应用保护类方案:
    针对单点攻击突破和数据收集上传阶段。不管攻击者通过何种渠道向员工个人电脑发送恶意代码,这个恶意代码必须在员工个人电脑上执行才能控制整个电脑。因此,加强系统内各主机节点的安全,确保员工个人电脑以及服务器的安全,则可以有效防御APT攻击。
3、网络入侵检测类方案:
    针对控制通道构建阶段,通过在网络边界处部署入侵检测系统来检测APT攻击的命令和控制通道。研究发现虽然APT攻击所使用的恶意代码变种多且升级频繁,但恶意代码所构建的命令控制通道通信模式并不经常变化。关键难题在于获取各APT攻击手法的命令控制通道的特征。
4、大数据分析检测类方案:
    针对整个APT攻击过程。该类方案是一种网络取证思路,它全面采集各网络设备的原始流量以及各终端和服务器上的日志,然后进行集中的海量数据存储和深入分析,它可在发现APT攻击的一点蛛丝马迹后,通过全面分析这些海量数据来还原整个APT攻击场景。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (6)
雪    币: 102
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
新手来学~~ 一点都看不懂!
2014-1-12 00:16
0
雪    币: 86
活跃值: (18)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
4
楼主总结的不错,但是如果真做起来,很难啊估计。耗时太长了。
2014-7-19 11:07
0
雪    币: 47147
活跃值: (20460)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
5
确定原创吗?若不是原创,请改下标题,若是请确认下。

http://blog.sciencenet.cn/blog-947101-757462.html
2014-7-19 11:20
0
雪    币: 5
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
学习了,
叔宝被责,回到店中,挨过一夜,到天明,负痛夹府中领文。那蔡知府甚是贤能,次日升堂,把诸事判断极明。叔宝候公事完了,方才跪下禀道:“小的是济南府刘爷差人,伺候老爷批文回去。”叔宝今日怎么说出刘爷,因刺史与刘爷是个同年好友,是要望他周全的意思。果然那蔡刺史回嗔作喜道:“你就是济南刘爷的差人么?昨日鲁莽得紧,故此责你几板。”遂唤经承取批过来签押,叫库吏取银三两,付与叔宝道:“本府与你老爷是同年,念你千里路程,这些小赏你为路费。”叔宝叩头谢了,接着批文银两,出府回店。小二看见叔宝领批文回来,满脸堆笑道:“秦爷批文既然领来,如今可把帐算算何如?”叔宝道:“拿帐来。”小二道:“秦爷是八月十六到的,如今是九月十八,共三十二天,前后两日不算,共三十日。每日却是六钱算的,该十八两银,前收过银十两,尚欠八两。”叔主道:“这三两是太爷赏的,也与你吧!”小二道:“再收三两,还欠五两,乞秦爷付足。”叔宝道:“小二哥且莫忙,我还未去,因我有个朋友,到泽州投文,盘缠银两,都在他身边,等他来会我,才有银子还你。”小二听了这话,即时变脸,暗想:“他若把马骑走了,叫我那里去讨这银子?莫若把他的批文留住,倒是稳当。”就向叔宝笑道:“秦爷既不起身回去,这批文是要紧的,可拿到里面,交拙荆收藏,你也好放心盘桓。”
2014-7-19 13:40
0
雪    币: 31
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
不错,看之前先回复个
2014-7-20 16:37
0
雪    币: 209
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
看完了,回复一下
2014-7-20 18:23
0
游客
登录 | 注册 方可回帖
返回
//