APT攻擊背后的秘密:攻擊時(shí)的命令和控制
責(zé)編:admin |2015-02-09 17:15:07在之前的文章中(APT攻擊背后的秘密:攻擊性質(zhì)及特征分析;攻擊前的"敵情"偵察;攻擊時(shí)的武器與手段;攻擊時(shí)的漏洞利用),我們已經(jīng)了解了APT攻擊的特征、"敵情"偵察、攻擊的武器和手段以及APT攻擊的漏洞利用。本文我們將探討APT攻擊中的命令和控制,在這個(gè)階段,攻擊者已經(jīng)侵入了你的網(wǎng)絡(luò),并將開(kāi)始進(jìn)行最后的攻擊活動(dòng),這個(gè)階段通常被稱為C2。
攻擊者已經(jīng)完成了偵察、武器化和傳送以及漏洞利用和安裝階段,現(xiàn)在的問(wèn)題是,你是直接攻擊目標(biāo)還是為攻擊者提供攻擊機(jī)會(huì)?這個(gè)問(wèn)題的答案將決定你如何應(yīng)對(duì)C2階段。
正如前面提到的,被動(dòng)攻擊(即你不是直接攻擊目標(biāo))很被動(dòng)。因此,當(dāng)終端因?yàn)槁愤^(guò)式下載攻擊或惡意郵件附件被感染時(shí),安裝過(guò)程非常容易檢測(cè)。但有時(shí)候路過(guò)式攻擊會(huì)利用漏洞利用工具包,而這只需要很少的用戶交付,也可能無(wú)法被檢測(cè)。
前面的文章中也提到過(guò),被動(dòng)攻擊活動(dòng)主要取決于攻擊量。當(dāng)攻擊者收集了身份驗(yàn)證和財(cái)務(wù)信息(一般攻擊的主要目標(biāo))后,攻擊者需要為每臺(tái)感染主機(jī)建立一個(gè)C2通道。在這種情況下,沒(méi)有變種和流量限制,只有對(duì)數(shù)千臺(tái)感染主機(jī)的一個(gè)聯(lián)系點(diǎn)。
C2階段主要是關(guān)于通信,但要記住,C2階段并不包括數(shù)據(jù)傳輸。C2階段是建立通信通道,允許攻擊者與外部溝通。
被動(dòng)攻擊是自動(dòng)化的。自動(dòng)化可以幫助攻擊者實(shí)現(xiàn)攻擊量,因?yàn)閹缀醪恍枰换ァH欢@種自動(dòng)化意味著他們可能被發(fā)現(xiàn)。當(dāng)企業(yè)內(nèi)50個(gè)系統(tǒng)與相同未知主機(jī)通信,可能會(huì)被注意到。
有針對(duì)性的攻擊則更具體,幾乎沒(méi)有自動(dòng)化。攻擊者將會(huì)發(fā)出命令,并使用特定的工具。有針對(duì)性攻擊的所有活動(dòng)都是有目的的,并會(huì)努力逃避偵察,盡量保持低調(diào)。
當(dāng)你的企業(yè)淪為被動(dòng)攻擊受害者,攻擊者使用的自動(dòng)化工具無(wú)法逃避現(xiàn)有安全控制和緩解措施的檢測(cè),因?yàn)樗鼈冎圃炝颂鄤?dòng)靜。因此,企業(yè)應(yīng)該盡快阻止這種攻擊。
需要注意的是,被動(dòng)攻擊采用自動(dòng)化方式是因?yàn)椋@些攻擊活動(dòng)背后的操作者更側(cè)重攻擊量,而不是控制。如果他們的惡意軟件或其他有效載荷被發(fā)現(xiàn)和阻止,這并沒(méi)什么大不了,他們可以馬上轉(zhuǎn)移到其他受害者。
然而,如果企業(yè)淪為有針對(duì)性攻擊的受害者,這意味著攻擊者將會(huì)在企業(yè)內(nèi)找到立足點(diǎn),并會(huì)繞開(kāi)安全控制或禁止安全控制來(lái)避免被發(fā)現(xiàn)。此外,攻擊者還會(huì)試圖建立后門程序到其他系統(tǒng),創(chuàng)建更多切入點(diǎn),以防其中一個(gè)切入點(diǎn)被發(fā)現(xiàn)。因此,在企業(yè)的事件響應(yīng)計(jì)劃中,一個(gè)很好的經(jīng)驗(yàn)法則是,如果你看到一個(gè)后門程序,這意味著還潛伏著其他后門程序。
“堅(jiān)實(shí)的”C2是指攻擊者可以動(dòng)態(tài)調(diào)整其程序,增加事件響應(yīng)者手動(dòng)檢測(cè)的難度,甚至不可能。這也是數(shù)據(jù)泄漏事故很長(zhǎng)時(shí)間才被發(fā)現(xiàn)的原因。
正如第三篇文章中所述,攻擊者往往會(huì)回調(diào)以獲取額外的工具,或使用有效載荷發(fā)出外部請(qǐng)求。這些感染指標(biāo)能夠清楚地揭示C2活動(dòng),因?yàn)榕c正常網(wǎng)絡(luò)流量相比,這些有些異常。
因此,企業(yè)應(yīng)該對(duì)比DNS請(qǐng)求和已知惡意服務(wù)器列表,或者過(guò)濾有著不良聲譽(yù)的IP地址,以應(yīng)對(duì)這種類型的流量。在漏洞利用和安裝階段后,C2階段是攻擊者少數(shù)制造動(dòng)靜的時(shí)期。然而,當(dāng)這些流量被自動(dòng)化檢測(cè)標(biāo)記時(shí),則表明是被動(dòng)攻擊。
這樣想,如果攻擊活動(dòng)背后的操作者在使用C2通道或者從已知惡意來(lái)源下載有效載荷,你的企業(yè)可能是攻擊者的目標(biāo)之一。在另一方面,有針對(duì)性攻擊活動(dòng)背后的操作者會(huì)謹(jǐn)慎避免被檢測(cè)。他們會(huì)將C2流量隱藏在正常通信通道內(nèi)。
在C2建立后,攻擊者就成功了一半。一般被動(dòng)攻擊是自動(dòng)化的,動(dòng)靜很大,并且會(huì)立即發(fā)動(dòng)攻擊,而有針對(duì)性攻擊則會(huì)潛伏數(shù)天、數(shù)周甚至數(shù)月。因此,在C2階段,流量監(jiān)控是關(guān)鍵防御措施。如果能夠結(jié)合前面提到的防御措施,你就建立了一個(gè)強(qiáng)有力的分層保護(hù)。
只要正確配置和維護(hù)(包括定期更新),IPS和IDS系統(tǒng)可作為第一層防御。然后,企業(yè)需要ACL規(guī)則來(lái)通過(guò)防火墻限制入站和出站連接。然而,還需要限制防火墻規(guī)則中例外的數(shù)量,并且需要對(duì)這些例外進(jìn)行密切檢測(cè),或者在不需要時(shí)撤銷。在有針對(duì)性攻擊期間,你的安全規(guī)則和政策可能被用來(lái)針對(duì)你,特別是當(dāng)它們過(guò)時(shí)或不受監(jiān)管時(shí)。
最后,企業(yè)應(yīng)該監(jiān)控網(wǎng)絡(luò)上流量的移動(dòng)情況,更重要的是,監(jiān)控移動(dòng)到外部的流量。同時(shí),關(guān)注紅色標(biāo)記的事件,例如修改HTTP表頭,以及到未知IP地址或域名的連接。加密流量是被動(dòng)攻擊和有針對(duì)性攻擊活動(dòng)使用的常用技巧,在這種情況下,C2可能更難被發(fā)現(xiàn),但也不是沒(méi)有可能。你可以查找自簽名證書(shū)和未經(jīng)批準(zhǔn)或非標(biāo)準(zhǔn)加密使用。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開(kāi)啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書(shū)
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧