首页
社区
课程
招聘
[旧帖] [讨论][原创]APT攻击案例分析(一)---极光行动(google退出中国大陆的导火索) 0.00雪花
发表于: 2014-1-9 20:15 4359

[旧帖] [讨论][原创]APT攻击案例分析(一)---极光行动(google退出中国大陆的导火索) 0.00雪花

2014-1-9 20:15
4359
极光行动
背景:  
    Google的一名雇员点击即时消息中的一条恶意链接,最后引发了一系列事件导致这个搜索引擎巨人的网络被渗入数月,并且造成各种系统的数据被窃取。
    这次攻击以Google和其它大约20家公司为目标,它是由一个有组织的网络犯罪团体精心策划的,目的是长时间地渗入这些企业的网络并窃取数据。

病毒模板分析:
第一步:研究目标
    APT行动开始于刺探工作,hacker首先选定特定的Google员工(该员工具有访问google服务器的权限)作为第一目标主机。攻击者尽可能地在Facebook、Twitter、LinkedIn和其它社交网站收集,搜集该员工发布的信息。
第二步:选定并拿下第一目标主机,从而打开局面
  攻击者利用一个动态DNS供应商建立托管伪造照片网站的Web服务器。该Google员工收到来自信任的人发来的网络链接并且点击它,就进入了恶意网站。由于该恶意网站页面载入含有shellcode的JavaScript程序码造成IE浏览器溢出,进而执行FTP下载程序,并从远端进一步抓了更多新的程序来执行
第三步:拿下具有高级权限的敏感主机
  极光行动的黑客将第二步与第三步融合,第一目标主机就是具有高级权限(访问google服务器权限)的主机。
第四步:攻击者通过SSL安全隧道与受害人机器建立了连接(VPN技术)。
第五步:利用到手的高级权限,进入存有目标信息的数据库,打包需要的数据。使用加密加压的数据外传策略,致使基于特征检测时系统失效。
  攻击者就使用该雇员的凭证成功渗透进入Google的邮件服务器,进而不断的获取特定Gmail账户的邮件内容信息。并通过虚拟隧道传出。
  
  评价:
  极光行动融合了第二步和第三步,即第一目标主机就是敏感主机
  第二步中,hack使用的是计谋攻的第一招,钓鱼网站:使公司员工上钩。
  第四步创建安全隧道,也是很关键的一步,也许同样也是apt攻击的薄弱环节。因为,通过隧道技术建立VPN的手段可能还是比较单一的。而要想将目标源代码运输出来,又必须建立一个隧道。所以,这一点也许可以成为检测apt攻击的关键点之一!

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (1)
雪    币: 31
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
更新啊···
2014-1-10 11:48
0
游客
登录 | 注册 方可回帖
返回
//