一、网络间谍APT
小白:东哥,最近想看点间谍片,有什么推荐的么?
大东:间谍片我看的少,不过说到间谍片,我想考考你,你知道APT是什么吗?
小白:东哥这么问,那它一定是个病毒吧!
大东:看来你是不知道,我给你讲讲吧。
(图片来自网络)
大东:APT(Advanced Persistent Threat)是指高级持续性威胁。利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式,APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。
小白:还会收集情报?
大东:是啊,在收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用漏洞进行攻击。
小白:那它攻击是为了盗取资料?
大东:对,APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并威胁着企业的数据安全。
小白:长期经营跟策划那一定具有很好的隐蔽性!
大东:APT的攻击手法,在于隐匿自己,具备高度的隐蔽性,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。
小白:那它是以何种方式攻击的呢?
大东:APT入侵客户的途径多种多样,主要包括以下几个方面。以智能手机、平板电脑和USB等移动设备为目标和攻击对象继而入侵企业信息系统的方式。
小白:那怎么攻击成功的呢?
大东:社交工程的恶意邮件是许多APT攻击成功的关键因素之一,邮件几乎真假难辨。从一些受到APT攻击的大型企业可以发现,这些企业受到威胁的关键因素都与普通员工遭遇社交工程的恶意邮件有关。黑客刚一开始,就是针对某些特定员工发送钓鱼邮件,以此作为使用APT手法进行攻击的源头。
小白:那别的方法是?
大东:利用防火墙、服务器等系统漏洞继而获取访问企业网络的有效凭证信息是使用APT攻击的另一重要手段。总之,高级持续性威胁(APT)正在通过一切方式,绕过基于代码的传统安全方案(如防病毒软件、防火墙、IPS等),并更长时间地潜伏在系统中,让传统防御体系难以侦测。
二、长期潜伏的恶意商业间谍
小白:那它最大的威胁是什么?
大东:“潜伏性和持续性”是APT攻击最大的威胁,这些新型的攻击和威胁可能在用户环境中存在一年以上或更久,他们不断收集各种信息,直到收集到重要情报。而这些发动APT攻击的黑客目的往往不是为了在短时间内获利,而是把“被控主机”当成跳板,持续搜索,直到能彻底掌握所针对的目标人、事、物,所以这种APT攻击模式,实质上是一种“恶意商业间谍威胁”。
小白:持续这么久都发现不出来?
大东:针对特定政府或企业,长期进行有计划性、组织性的窃取情报行为,针对被锁定对象寄送几可乱真的社交工程恶意邮件,如冒充客户的来信,取得在计算机植入恶意软件的第一个机会。由于APT攻击具有持续性甚至长达数年的特征,这让企业的管理人员无从察觉。在此期间,这种“持续性”体现在攻击者不断尝试的各种攻击手段,以及渗透到网络内部后长期蛰伏。
小白:那攻击者是如何长期潜伏并获取游泳的数据?
大东:攻击者建立一个类似僵尸网络Botnet的远程控制架构,攻击者会定期传送有潜在价值文件的副本给命令和控制服务器(C&C Server)审查。将过滤后的敏感机密数据,利用加密的方式外传。我来给你仔细讲讲它的过程吧。
小白:好的!
大东:攻击者发送恶意软件电子邮件给一个组织内部的收件人。例如,Cryptolocker就是一种感染方式,它也称为勒索软件,其攻击目标是Windows个人电脑,会在看似正常的电子邮件附件中伪装。一旦收件人打开附件,Cryptolocker就会在本地磁盘上加密文件和映射网络磁盘。如果你不乖乖地交赎金,恶意软件就会删除加密密钥,从而使你无法访问自己的数据。
小白:这个方法就有点恶心了。
大东:这只是其中一个方法,还有两个,一个是攻击者会感染一个组织中用户经常通过DNS访问的网站。著名的端到端战网Gameover Zeus就是一个例子,一旦进入网络,它就能使用P2P通信去控制受感染的设备。另一个是攻击者会通过一个直连物理连接感染网络,如感染病毒的U盘。一旦进入组织内部,几乎在所有的攻击案例中,恶意软件执行的第一个重要操作就是使用DNS从一个远程服务器上下载真实的APT。在成功实现恶意目标方面,真实的APT比初始感染要强大许多。
小白:杀毒软件察觉不到么?
大东:一旦下载和安装之后,APT会禁用运行在已感染计算机上的反病毒软件或类似软件。不幸的是,这个操作并不难。然后,APT通常会收集一些基础数据,然后使用DNS连接一个命令与控制服务器,接收下一步的指令。
(图片来自网络)
小白:那么多数据攻击者要如何带走呢?
大东:攻击者可能在一次成功的APT中发现数量达到TB级的数据。在一些案例中,APT会通过接收指令的相同命令与控制服务器接收数据。然而,通常这些中介服务器的带宽和存储容量不足以在有限的时间范围内传输完数据。此外,传统数据还需要更多的步骤,而步骤越多就越容易被人发现。因此,APT通常会直接连接另一个服务器,将它作为数据存储服务器,将所有盗取的数据上传到这个服务器中。最后这个阶段一样会使用DNS。
(图片来自网络)
三、防止数据被盗刻不容缓
小白:真可怕!有没有什么办法能防止数据被盗?
大东:使用威胁情报。这包括APT操作者的最新信息;从分析恶意软件获取的威胁情报;已知的C2网站;已知的不良域名、电子邮件地址、恶意电子邮件附件、电子邮件主题行;以及恶意链接和网站。威胁情报在进行商业销售,并由行业网络安全组共享。企业必须确保情报的相关性和及时性。威胁情报被用来建立“绊网”来提醒你网络中的活动。但这样还是不够的。
小白:那还要如何操作?
大东:建立强大的出口规则。除网络流量(必须通过代理服务器)外,阻止企业的所有出站流量,阻止所有数据共享、网站和未分类网站。阻止SSH、FTP、Telnet或其他端口和协议离开网络。这可以打破恶意软件到C2主机的通信信道,阻止未经授权的数据渗出网络。收集强大的日志分析。企业应该收集和分析对关键网络和主机的详细日志记录以检查异常行为。日志应保留一段时间以便进行调查。还应该建立与威胁情报匹配的警报。聘请安全分析师。安全分析师的作用是配合威胁情报、日志分析以及提醒对APT的积极防御。
来源:中国科学院计算技术研究所
领取专属 10元无门槛券
私享最新 技术干货