APT攻击
Advanced Persistent Threat(高持续性威胁)
A-Advanced:技术复杂多样化
P-Persistent:持续性的。有计划,有组织的进行检测和侦查
APT攻击的特点
潜伏性:
攻击过程持续周期长;攻击者首先控制一台内部主机,以打开局面。然后以“被控主机”为跳板,控制更多具有更高权限的主机。以此模式,不断持续搜索,直到能彻底掌握所针对的目标人、事、物。
持续性:
初步攻击结束后会建立类似botnet的远控架构进行持续攻击。
威胁性:
由于攻击周期长,攻击行为散布时间轴较大,审计系统和安全评估系统与日志分析系统不易察觉。
攻击者往往不直接攻击最终目标人,而是透过攻击外围人员层层渗透。较之核心人员,外围人员往往安全意识比较淡薄。
以往攻击都是炸开大门(暴力破解),为所欲为,一锤子买卖,完事儿走人。我感觉,apt攻击在思路上其实有一个创新点。首先,apt的目标都是大型公司企业的机密资料,往往都具有非常坚固的大门和高墙。所以,想要采用以前那种方式有可能伤敌一千,自损八百,不划算。其次,apt攻击讲究的是“可持续发展”,放长线钓大鱼。
可以做这么一个类比,apt攻击就好比去老板家盗窃。老板家有防盗门,不好进入。首先,我们先进入与老板家一墙之隔的人家,相对于突破老板家的大门,撬开隔壁家的大门可谓是轻而易举的。其次,发现这一墙之隔的强确实不怎么厚,哈哈。。。在墙上开个小洞,这就悄悄地进入老板家里。最后,白天地不动,晚上地干活!
这个创新点,归结起来就是:曲线行窃+放长线钓大鱼!
APT攻击模板
第一步:研究目标
目标:
了解目标公司的财务状况以及所有员工的上网习惯(是否会在网上讨论自己的boss?)及人际交往的所有信息。据此,选定第一目标主机,目标公司内部被黑客拿下的第一台主机。这台主机至关重要,起着攻击跳板的作用。【社会工程学基础,邮件攻击基础】
目标公司的边界安全和面向Internet的系统。【知己知彼】
第二步:选定并拿下第一目标主机,从而打开局面
目标:如上
途径:任何
1)强攻:
*直接对目标公网网站漏洞进行攻击(SQL注入,XSS,远程执行代码漏洞);
*直接使用挖掘出来的0day攻击目标(目前的安全防御,检测设备无法识别0day漏洞攻击)
计谋攻:
*钓鱼网站:使公司员工上钩。(这只针对于企业内部安全防御体系不健全的公司,对于安全防护体系健全的公司,通过这种方式是渗透不进去的)
*免费u盘:将装有病毒的u盘假装遗落在目标公司内部,以期有员工捡到该u盘后插入公司内部主机(这也是一种社会工程学攻击,利用人的好奇心和贪婪。同样,对于内部安全体系健全的公司,通过这种方式是渗透不进去的)
*恶意邮件:恶意邮件中往往将恶意链接包装成该员工感兴趣的话题(第一阶段的员工调查),如公司裁员表等。。。诱使员工点击恶意链接,下载黑客工具(这种邮件攻击方法可以成功绕过公司安全体系的检测)
第三步:通过横向移动,拿下具有高级权限的敏感主机
目标:如上
途径:任何
第四步:构建安全隧道
目标:与受害人机器建立了连接(VPN技术),用于持续监听、传入控制命令、传出目标源代码。
第五步:卷货撤退
目标:利用到手的高级权限,进入存有目标信息的数据库,打包、加密目标源代码。并利用VPN专用隧道将数据传出。
APT攻击检测方法
纵观整个APT攻击过程发现:
(1)恶意代码单点攻击突破
(2)内部横向渗透
(3)构建控制通道获取攻击者指令
(4)敏感数据外传
1、恶意代码检测类方案:
针对单点攻击突破阶段,检测APT攻击过程中的恶意代码传播过程。大多数APT攻击都是通过恶意代码来攻击员工个人电脑,从而来突破目标网络和系统防御措施。
2、主机应用保护类方案:
针对单点攻击突破和数据收集上传阶段。不管攻击者通过何种渠道向员工个人电脑发送恶意代码,这个恶意代码必须在员工个人电脑上执行才能控制整个电脑。因此,加强系统内各主机节点的安全,确保员工个人电脑以及服务器的安全,则可以有效防御APT攻击。
3、网络入侵检测类方案:
针对控制通道构建阶段,通过在网络边界处部署入侵检测系统来检测APT攻击的命令和控制通道。研究发现虽然APT攻击所使用的恶意代码变种多且升级频繁,但恶意代码所构建的命令控制通道通信模式并不经常变化。关键难题在于获取各APT攻击手法的命令控制通道的特征。
4、大数据分析检测类方案:
针对整个APT攻击过程。该类方案是一种网络取证思路,它全面采集各网络设备的原始流量以及各终端和服务器上的日志,然后进行集中的海量数据存储和深入分析,它可在发现APT攻击的一点蛛丝马迹后,通过全面分析这些海量数据来还原整个APT攻击场景。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课