《APT攻击与防御课件》由会员分享,可在线阅读,更多相关《APT攻击与防御课件(25页珍藏版)》请在金锄头文库上搜索。
1、APT攻击及防御 何永强 清华大学网络行为研究所 目录1、APT的定义2、APT的特点3、APT攻击流程4、APT攻击案例5、APT防御6、未来发展趋势1APT的定义n高级持续性威胁(Advanced Persistent Threat,APT) 是指组织(特别是政府) 利用先进的攻击手段对特定目标进行长期持续性网络攻击的行为。2APT特点隐蔽性APT攻击已经与被攻击对象的可信程序与业务系统的漏洞进行了融合,在组织内部,这样的融合很难被发现潜伏期长,持续性强APT攻击不是为了在短时间内获利,而是把“被控主机”当成跳板,持续搜索,直到充分掌握目标对象的使用行为和敏感数据目标性强攻击目标是拥有高价
2、值敏感数据的高级用户,特别是可能影响到国家和地区政治、外交、金融稳定的高级别敏感数据持有者。3APT攻击流程定向情报收集单点攻击突破控制通道构建内部横向渗透数据收集上传3.1 APT攻击流程-定向情报收集确定需要攻击的目标,采用360全方位搜索关于目标的一切情报信息(多采用类似社工的方法),收集内容如下:电子邮件手机联系人及时通讯(Tencent、Windows Live Messenger等)社交网站及个人博客(Facebook、weibo等)目标网站(纵向扩展)其它利用掌握的各种软件漏洞(0day漏洞,Nday漏洞)对确定目标进行攻击,主要方法如下:社会工程学:通过Email发送包含恶意代
3、码的邮件附件远程漏洞攻击:水坑攻击(Watering hole)3.2 APT攻击流程-单点攻击突破3.3 APT攻击流程-控制通道构建 取得权限后,构建某种渠道和攻击者取得联系,以获得进一步攻击指令。即常说的RAT(Remote Aceess Tool)命令控制通道目前多采用HTTP、HTTPS构建。3.4 APT攻击流程-内部横向渗透 攻击者将以所控PC机器为跳板,在系统内部进行横向渗透,以攻陷更多的PC和服务器。攻击者采取的横向渗透方法包括口令窃听和漏洞攻击等。3.3 APT攻击流程-数据收集上传 攻击者在内部横向渗透和长期潜伏过程中,有意识地搜集各服务器上的重要数据资产,进行压缩、加密
4、和打包,然后通过某个隐蔽的数据通道将数据传回给攻击者。 4.1 APT攻击案例-极光行动攻击过程回放:4.2 APT攻击案例-from Stuxnetfrom Stuxnet2010年 针对伊朗核设施的Stuxnet病毒( 奥运会计划 )2011年窃取工控系统厂商的设计图纸-Duqu病毒2012年针对中东地区的Flame病毒2013年针对中东地区银行系统的Gauss病毒 5APT防御遵循原则:多点部署集中管控力争做到:进不来、出不去、看不懂、拿不走、跑不掉定向情报收集单点攻击突破控制通道构建内部横向渗透数据收集上传5.1 APT防御-单点攻击突破防御大多数APT攻击都是通过恶意代码来攻击员工个
5、人电脑,从而来突破目标网络和系统防御措施的,因此,恶意代码检测对于检测和防御APT攻击至关重要。检测要点:恶意代码传播过程。部署位置:网关典型代表厂商:FireEye5.1.1单点攻击突破防御-FireEyeoFireEye, 每年扩张速度达100%,产品在美国国防核心单位覆盖面非常广,以多次发现正在进行攻击的0day闻名,FireEye 自2012年后每年捕获0day漏洞有: java、flash、pdf、IE 多达10个。APT攻击手段无创新是主要原因.o 5.2 APT防御-控制通道构建恶意代码所构建的命令控制通道通信模式并不经常变化,因此,可以采用传统入侵检测方法来检测APT的命令控制
6、通道。检测要点:关键是如何及时获取到各APT攻击手法的命令控制通道的特征。部署位置:网关典型代表厂商有Symantec、FireEye等。5.3 APT防御-主机应用保护类方案该类方案主要覆盖APT攻击过程中的单点攻击突破和数据收集上传阶段.检测要点:加强系统内各主机节点的安全措施,确保员工个人电脑以及服务器的安全,则可以有效防御APT攻击。部署位置:PC终端和服务器典型代表厂商:BIT9和趋势科技5.4 APT防御-大数据分析检测类方案该类方案并不重点检测APT攻击中的某个步骤,它覆盖了整个APT攻击过程。检测要点:全面采集各网络设备的原始流量以及各终端和服务器上的日志,然后进行集中的海量数
7、据存储和深入分析,它可在发现APT攻击的一点蛛丝马迹后,通过全面分析这些海量数据来还原整个APT攻击场景。部署位置:网关、PC终端和服务器典型代表厂商:Symantec,RSA5.4.1大数据分析检测-Symantec从2012年发布的安全报告:elderwood project到2013年发布的安全报告:Hidden Lynx Professional Hackers for Hire WINE计划oSymantecs Worldwide Intelligence Network Environment 数据共享计划,共享symantec的数据集,包含:恶意软件库,二进制程序信誉库,URL信
8、誉库,垃圾邮件地址库,A/V病毒引擎特征库。5.4.1 Symantec-Elderwood project具体思路是:以木马为中心线,从其在互联网诞生日期起,参与过哪些网络攻击,使用过哪些软件漏洞,建立一个数据库,然后再对其使用的软件漏洞做同源分析,发现其他的木马,进一步扩大战果,发现APT组织5.4.1 Symantec-WINE数据共享计划6.1 发展趋势APT是互联网高度发展的产物;APT是体现国家意志的国家行为;APT是一场不对称的网络安全能力较量;在敏感数据所涉及到的各个层面寻找新的机会是APT的发展趋势。6.2 发展趋势-路由安全1欧美从2008年开始,逐步将路由设备攻击方法视为网络战的重要战略高地2NSA 2009年入侵 Pacnet(香港) 的骨干路由( EAC-C2C ) 3关键得分计划(KeyScore)6.3发展趋势从以上分析可以得出结论,网络安全对抗不再局限于单纯的PC终端领域,而且全方位成体系的对抗,网络战已经悄然展开。谢谢大家
