《APT攻击技术与思考》由会员分享,可在线阅读,更多相关《APT攻击技术与思考(9页珍藏版)》请在金锄头文库上搜索。
1、APT攻击技术与思考-天融信APT技术分析与思考-阳光1什么是APT1.1 概述IT技术的突飞猛进促使着云计算、物联网、移动互联网等成为ICT当前最 重的要业务,深刻地普惠着人们的生活。但与此同时,各种信息安全问题也随 之而来,困扰甚至危及个人、企业及国家安全,使得信息安全产业“身份倍增”。 其中,近期的APT(Advanced Persistent Threat)问题更是将信息安全产业推到 风口浪尖上,“APT ”也成为业界内的“时髦名词”。究其原因,近几年世界各 地发生了多起名噪一时的APT攻击事件,主要有: 2010 年 1 月,极光行动(Operation Aurora)攻击 GMa订
2、。 2010年7月,震网(Stuxnet)攻击伊朗布什尔核电站。 2011年3月,Comodo的数字签名被窃。 2011年3月,EMC的RSA SecurID技术数据遭窃。 2011年4月,Sony PSN用户资料外泄。 2011年5月,美国军火大厂洛克希德马丁 (Lockheed Martin)的被入侵。 2011年5月,Gma订大量账号被入侵。 2011年6月,CIA被入侵。 2011年6月,Sega游戏公司被入侵,用户资料外泄。 2011年6月,国际货币基金(IMF)被入侵。 2011年7月,苹果公司(Apple)被入侵。 2011年11月,日本总务省发现计算机遭木马入侵已三个月。 20
3、12年1月,亚马逊旗下美国电子商务网站Zappos遭到黑客网络攻击, 2400万用户的电子邮件和密码等信息被窃取。 2012年3月,东软集团被曝商业秘密外泄,约20名员工因涉嫌侵犯公司 商业秘密被警方抓捕。此次商业秘密外泄造成东软公司损失高达4000余万元人 民币。 2012年3月,央视3.15晚会曝光招商银行、中国工商银行、中国农业银行员工以一份十元到几十元的价格大肆兜售个人征信报告、银行卡信息,导致 部分用户银行卡账号被盗。 2012年5月,1号店90万用户信息被500元叫卖。有媒体从90万全字 段的用户信息资料上进行了用户信息验证,结果表明大部分用户数据属真实信 息。个人信息的泄露将会导
4、致诈骗、勒索甚至威胁人身安全的事件发生频率增 高,让人心悸。 2012年7月,京东、雅虎、Linkedin和安卓论坛累计超过800万用户信 息泄密,而且让人堪忧的是,部分网站的密码和用户名称是以未加密的方式储 存在纯文字档案内,意味着所有人都可使用这些信息。 2012年7月,三星电子员工向LGD泄密AMOLED技术被起诉。 2012年8月,银行外包后台成泄密重灾区,江苏银行1个月卖千份客户 资料。同月,上海数十万条新生儿信息遭倒卖,出自市卫生局数据库外包维护 工作人员。 2012年9月,美国媒体报道:有黑客组织声称破解了联邦调查局(FBI) 主管的笔记本电脑,获得了 1200万苹果iOS用户U
5、DID、用户名、设备名称、设 备类型、苹果推送通知服务记录、电话号码、地址、等重要内容。 2012年11月,“三通一达”等多家快递公司客户信息遭贩卖。快递单号 的信息被大面积泄露,甚至衍生出多个专门交易快递单号信息的网站。这些交 易网站显示,被交易的快递单号来自包括申通、圆通、中通、韵达在内的多个 快递公司,“淘单114”还写着“单号来源于各地快递员”。要分析APT首先必须了解APT攻击与普通攻击有什么区别,其实在两者并 无本质的区别,都是网络攻击行为,都包含攻击三要素即攻击目标、攻击目的、 攻击过程,而前者相对于后者的特点体现在攻击三要素的总结就是“APT”,但 不是Advanced Per
6、sis tent Threat而是Advanced Persis tent Targe ted”, 即针对性地、高级地、持续性地攻击。T:攻击目标明确、攻击目的明确攻击目标通常都具有深厚背景,包括可政治、经济、安全技术等,攻击目 的通常都是窃取、控制、破坏攻击目标所掌握的重要资源,而这些资源肯定是 攻击目标所重点保护的对象,因此决定了攻击过程的高难度性,体现在难以突 破、难以隐蔽、难以定位。P:攻击过程时间长由于攻击过程的高难度性决定了需要寻找机会进行纵向突破进入攻击目标 网络,再进行横向摸索渗透,为了避免暴露攻击行为需隐匿在目标网络正常行为中,整个过程需要经历数月甚至数年。A:攻击手段高级由
7、于攻击过程的高难度性决定攻击手段的高级性,主要体现在人力、物力、 财力以及技术代价。例如,耗费大量人力、物力、财力进行情报搜集;利用社 会工程学诱骗、利用Oday漏洞或特种木马攻击、利用物理摆渡直接从内部发起 攻击等;利用合法网络通道建立隐蔽信道。1-2 APT攻击典型案例极光行动(2009-2010)针对GOOGLE等三十多个高科技公司的极光攻击。攻击者通过FACEBOOK上 的好友分析,锁定了 GOOGLE公司的一个员工和他的一个喜欢摄影的电脑小白好 友。攻击者入侵并控制了电脑小白好友的电脑,然后伪造了一个照片服务器, 上面放置了 IE的0DAY攻击代码,以电脑小白的身份给GOOGLE员工
8、发送IM消 息邀请他来看最新的照片,其实URL指向了这个IE 0DAY的页面。GOOGLE的员 工相信之后打开了这个页面然后中招,攻击者利用GOOGLE这个员工的身份在内 网内持续渗透,直到获得了 GMAIL系统中很多敏感用户的访问权限。窃取了 MA IL系统中的敏感信息后,攻击者通过合法加密信道将数据传出。事后调查,不 止是 GOOGLE中招了,三十多家美国高科技公司都被这一 APT攻击搞定,甚至包 括赛门铁克这样的安全厂商。13 APT攻击过程1. 定向情报搜集所谓知己知彼百战不殆,攻击过程的首要步骤就是了解攻击目标,主要对 象为攻击目组织的网络系统和员工信息、主要途径是现实生活世界和虚拟
9、网络 世界、主要方法包括网络隐蔽扫描和社会工程学方法等。从目前所发现的APT 攻击手法来看,大多数APT 攻击都是从组织员工入手,因此攻击者非常注意搜 集组织员工的信息,包括员工的微博、博客等,以便了解他们的社会关系及其 爱好,然后通过社会工程方法来攻击该员工电脑,从而进入目标组织网络。2. 纵向攻击突破攻击者在掌握了攻击目标的足够情报之后,就开始尝试找到突破口进入目 标组织网络。突破的途径包括外部(外部渗透攻击或者外部诱骗攻击)和内部 (间谍攻击或物理摆渡攻击)突破。攻击方法包括:1)社会工程学方法假冒员工的信任者给员工发送包含恶意代码的文件附件或恶意URL的E mail,当员工打开附件或点
10、击URL时,员工电脑就感染了恶意代码;在 员工经常访问的网站上放置网页木马,当员工访问该网站时,就遭受到 网页木马的攻击。2)远程漏洞攻击方法对目标组织的开发服务进行远程漏洞攻击,获取控制权后再进行内部渗 透。3)物理摆渡攻击通过感染目标组织员工的移动存储设备再传播到内部网络电脑,从而控 制该电脑。4)间谍攻击通过收买目标组织员工进行配合攻击或直接攻击。3. 隐蔽信道构建攻击者控制了员工电脑后,需要构建某种隐蔽信道长期保持和攻击者联系, 以获得攻击指令及后期数据回传。为了避免被发现,攻击者通常会采用目标网 络的合法网络协议搭建隐蔽信道,目前常用的包括HTTP、HTTPS、DNS、ICMP协 议
11、等。4. 横向摸索渗透通常攻击者首先突破的员工电脑只是跳板,通过跳板进行横向渗透最终找 到此次攻击目的的重要资源。5. 完成最终攻击目的攻击者在通过长期渗透得到目标组织的重要资源的控制权后,就可以执行 此次攻击的最终目的,包括操控资源、完成破坏资源、窃取资源以达到某种利 益。2 APT攻击防范四大策略在APT防范领域,国内外很多厂商都提出了自己的防范策略和解决方案, 可以概括为四类。2.1 主机文件保护类纵观当前发现的APT攻击行为,多数都是以攻击目标内部员工的电脑为跳板,因此如果能够确保终端电脑的安全则可以有效防止APT 攻击。主要思路是 监控终端电脑上应用程序加载和执行情况,采用白名单机制
12、防止恶意代码程序 的加载和运行。目前已有很多终端安全厂商从这个思路着手制定APT 攻击防御 方案,典型代表厂商包括金山网络、Bit9、趋势科技等。22恶意代码检测类恶意代码类APT解决方案主要思路是网络进/出口处设置关卡,对所经过的 邮件附件、URL、共享文件进行恶意代码扫描及分析,试图防止恶意代码特别是 未知恶意代码进行内部网络,最终阻止APT攻击者从外至内的纵向突破。典型 代表厂商包括FireEye和GFI Software等。23网络入侵检测类APT攻击者在实现了纵向攻击突破后,紧接着就要建立隐蔽信息用于长期控 制及实施横向渗透步骤。虽然APT 攻击中的恶意代码变种很多,但是隐蔽信道 通
13、信模式并不经常变化,通常利用HTTP、HTTPS、DNS、ICMP协议来实现,所以 可以采用传统入侵检测方法来检测。典型代表厂商有启明星辰、飞塔等。24大数据分析检测类前文三大APT攻击防范方案都是以APT攻击全过程中的具体某个阶段为切 入点的单点方案,重点在于防御,而大数据分析检测类方案覆盖了整个APT攻 击过程,是一种网络取证方案,重点在于事后分析。该类方案通过全面采集网 络设备的原始流量以及终端和服务器上的日志,进行集中的海量数据存储,在 一旦发现APT攻击的蛛丝马迹后,对这些海量存储数据进行关联分析,最终还 原整个APT攻击场景。典型代表厂商包括RSA和SOLERA等。3 APT攻击典
14、型防范产品31 FireEye恶意代码防御系统FireEye 的恶意代码防御系统包括 MPS(Malware protection System)和 CM S(Central Management System)两个组件。其中MPS是一个基于高性能沙箱的 恶意代码防护引擎,可直接釆集网络流量并抽取其中所携带文件放到沙箱中进 行安全检测;CMS是集中管理系统模块,负责集中管理系统中各个MPS引擎以及 威胁情报的收集和及时分发。FireEye的MPS引擎有以下特点:1. 针对性地对Web、邮件、文件共享三类网络协议的原始流量进行恶意 代码检测;2. 为了提高恶意代码检测性能和准确性,对以上三类网络
15、协议的原始 流量,釆用专门MPS硬件进行处理;3. MPS支持除可执行文件之外的多达20种文件类型的恶意代码检测;4. MPS支持旁路和串联部署,以实现恶意代码的检测和实时防护;5. MPS可实时学习恶意代码的命令和控制信道特征,在串联部署模式可 以实时阻断APT攻击的命令控制通道。CMS除了对系统中多个MPS引擎进行集中管理外,还可以连接到云端的全球 威胁情报网络来获取威胁情报,并支持将检测到的新型恶意代码情报上传到云 端,以实现威胁情报的广泛共享。此外,FireEye还可以和其它日志分析产品结 合起来,形成功能更强大的信息安全解决方案。FireEye 被认为是APT安全解决 方案的佼佼者,
16、其产品被很多500强企业釆购。3.2 Bit9可信安全平台Bit9可信安全平台(Trust-based security Platform)使用了软件可信、实 时检测审计和安全云三大技术,为企业网络提供网络可视、实时检测、安全保 护和事后取证等四大安全功能,从而可以检测和抵御各种高级威胁和恶意代码。 Bit9解决方案核心是一个基于策略的可信引擎,管理员可以通过安全策略来定 义哪些软件是可信的。Bit9可信安全平台默认假设所有软件都是可疑和禁止加载执行的,只有那 些符合安全策略定义的软件才被认为可信和允许执行。Bit9可以基于软件发布 商和可信软件分发源等信息来定义软件的可信策略,同时还使用安全云中的软 件信誉服务
