APT格局發生變化:國家力量的參與和技術能力的提升
責編:gltian |2019-04-19 14:27:06網絡犯罪分子現在可以使用更多的民族國家技術,發動更復雜高級的持續性攻擊。這對防御者來說是個壞消息。
在過去的幾年里,越來越多的網絡犯罪團伙開始使用曾經通常由國家資助的團隊才使用的技術和程序。這種趨勢讓許多組織機構措手不及,尤其是那些過去專注于防范普通惡意軟件的中小型企業。
高級持續威脅(advanced persistent threat, APT)這個術語通常用來描述有針對性的攻擊,在這種攻擊中黑客會使用定制或難以監測的工具入侵系統,然后使用隱形技術(通常需要手動入侵)進行橫向移動。在歷史上,對間諜活動感興趣的團隊一直使用這種類型的方法,他們的目標是能長時間不被發現,以便能夠觀察和竊取盡可能多的秘密。
與此同時,網絡犯罪團伙會從黑市購買惡意軟件,利用已知的漏洞,發動大規模攻擊,他們通常專注于迅速獲得投資回報,而不是關注隱身。網絡犯罪團伙與間諜團伙重要區別在于,他們有財務動機,比如直接從受害者的賬戶中竊取資金,盜取具有金錢價值的數據,迫使受害者支付贖金和偽造的罰款,等等。
然而,卡巴斯基實驗室(Kaspersky Lab)全球研究與分析團隊負責人Costin Raiu表示,最近發現的大多數重大網絡犯罪攻擊都使用了APT技術,因此技術邊界正在消失,而且這些犯罪分子正在相互學習。
現在一些網絡間諜人員經常使用商業和公開的惡意軟件,使鑒定工作變得困難。對一些網絡犯罪團伙來說,隱身和手動入侵已經成為他們行動的重要組成部分。例如,朝鮮的拉撒路集團(Lazarus group)是一個不尋常的APT集團,它曾從事間諜活動和破壞活動,但現在已轉向發動以金錢為導向的攻擊。過去幾年,該組織襲擊了世界各地的中央銀行和加密貨幣交易所,可能是為了給長期遭受全球經濟制裁的朝鮮政府竊取資金。
同時像Carbanak這樣的網絡犯罪集團通過APT式攻擊,從世界各地的銀行和其他金融機構竊取了數億美元。這些新的、更難以對付的網絡犯罪集團潛伏在受害者的網絡中長達數周或數月,以獲得足夠的訪問權限,并在發動攻擊之前就了解了該組織機構的工作流程。
為什么APT格局會發生變化?
《網絡雇傭兵:國家、黑客和權力》一書的作者、卡耐基國際和平基金會網絡政策倡議主管,外交政策專家Tim Maurer表示:
我認為有兩個大趨勢正在導致這種變化。首先,一些國家實際上會允許犯罪分子從事某些類型的活動,只要是為了國家的利益。
長期以來,安全領域一直有傳言稱,俄羅斯等國的情報機構正在直接或通過中間人與網絡犯罪分子達成有關情報行動的協議。2017年曝光的一個例子中,美國司法部起訴俄羅斯聯邦安全局(FSB)的兩名官員雇傭了一個臭名昭著的黑客入侵雅虎的網絡。
招募網絡犯罪分子參與情報活動,顯然會使雙方交換更復雜的技術、戰術和程序(TTPs)。之后他們可以將這些學到的東西用于犯罪活動中。然而,Maurer認為,這兩類群體之間的技術融合更能說明他認為更令人擔憂的第二個趨勢,那就是網絡能力的提升和攻擊者的激增。
我認為人們會不斷向最好的東西學習。有時犯罪分子在某些方面可能比他們所在的國家做的更好,有時國家的表現更好,而他們會互相學習。這是因為大量信息變得公開和全球化。
根據Maurer的說法,現在有更多的國家擁有比10年前更具攻擊性的網絡能力。為了獲得這些能力,一些州從網絡犯罪分子那里借用了惡意軟件工具,他們要么想變強,要么想掩蓋自己的活動。同樣,當Shadow Brokers放出據信是NSA工具一部分的永恒之藍漏洞時,國家的和犯罪集團都將其整合到自己的行動中。
Maurer表示,隨著越來越多的州正在開發這些工具,就像永恒之藍一樣,犯罪分子會使用并復制這些工具。
然后犯罪分子會變得更先進,而一些剛剛加入這場游戲的州會開始使用更復雜的犯罪工具。這是一種惡性循環,只有具備足夠資源的公司才能應對這種不斷進化的威脅。
網絡犯罪分子使用了怎樣的APT技術
現在很多網絡犯罪攻擊默認使用PowerShell和Windows系統上的其他應用程序。在安全行業,這種策略也被賽門鐵克稱為 “就地取材” 式的攻擊(living off the land)。由于和傳統的惡意軟件程序不同,這些工具本身并不是惡意軟件,因此檢測起來更加困難。PowerShell被廣泛用于自動化系統管理任務中,盡管微軟已經添加了限制其使用的選項,但是IT團隊不能完全禁用它,因為這會使他們的工作更加困難。
PowerShell的濫用還與近年來流行的另一種策略有關:無文件攻擊 (fileless attacks)。在這些攻擊中,黑客使用各種技術,如遠程線程注入、APC、Atom Bombing、進程挖空、本地shell代碼注入或反射加載,將惡意代碼注入在系統上運行的合法進程的內存中。目標是避免在磁盤上創建可能被殺毒軟件檢測到的二進制文件。
除了當做初始負載之外,PowerShell還經常用于實現持續感染,方法是將流氓腳本添加到系統注冊表中,或者添加到計劃的任務中,以便在重啟之后重新感染系統。這是因為當系統關閉時,注入到其他進程內存中的代碼會被清除。
FIN7是那些幾乎只通過無文件技術進行攻擊的網絡犯罪團伙之一,它可能是Carbanak集團的一個分支。雖然Carbanak以攻擊銀行和其他金融機構而聞名,但其實FIN7的目標主要是餐飲業和酒店業的零售商和公司。FIN7的攻擊目的是入侵銷售點系統(point-of-sale system),竊取付款卡支付數據。美國司法部今年8月起訴了三名疑似FIN7高層人員的嫌犯,并表示該組織已經攻擊了全美3600多個營業點中6500多個銷售點終端,竊取了超過1500萬的付款卡支付記錄。
網絡犯罪分子和國家資助的團隊還濫用免費工具和開源工具,這些工具本來是為了滲透測試等合法目的而設計的。這些工具包括Metasploit框架、PowerSploit框架、Empire PowerShell、Cobalt Strike框架和很多其他用于憑證轉儲、清除文件和其他操作的免費實用程序。
Raiu表示安全公司和惡意軟件研究人員面臨的最大問題之一是越來越多的群體正在濫用PowerShell,他們使用的很多腳本都是從GitHub和其他公共資源中復制的,因此很難找出發起攻擊的具體對象。
通過命令和控制服務器的注冊數據、與以往攻擊比較技術相似性、偶爾使用自定義工具(如鍵盤記錄程序、截屏軟件和漏洞利用程序等),可以將攻擊與特定團體聯系起來,但總的來說,攻擊來源變得越來越難以確定。
網絡犯罪集團發起的ATP攻擊會對企業產生什么樣的影響?
在制定IT安全策略和決定如何使用有限的安全預算時,商業上會使用威脅模型。這意味著他們要確定什么樣的威脅和攻擊者對他們的行業和系統構成最大的風險,并優先安排資源來應對這些風險。因此,很多不是典型的網絡間諜活動目標的公司,可能沒有針對APT制定有力的防御措施,因此現在面對新一輪的混合網絡犯罪攻擊存在盲點。
要監測APT式攻擊,企業需要的不僅僅是端點殺毒軟件和防火墻。這些企業需要安全信息和事件管理(SIEM)以及高級端點檢測和響應(EDR)解決方案。這些產品會監視系統,網絡活動和記錄來監控潛在的可疑行為并向安全團隊發出警報。
這意味著他們需要更多受過專門培訓的員工,這對中小型企業來說可能是一個嚴重的問題,因為預算限制和網絡安全技能普遍不足。即使對能夠負擔得起這種解決方案的大型組織機構來說,他們也常常難以處理大量的警報。這可能導致積壓和警報疲勞效應,安全人員很容易因為警報的數量和頻率而忽略潛在的重要警報。
Raiu表示,不幸的是,公司經常購買含有數百萬個威脅指標的服務,每天生成數千個警報,而不是訂閱那些能捕捉真實威脅的小型服務。此外這些工具使用的服務的質量,以及用于調查警報的資源也很重要。當然,將所有這些任務外包給安全服務供應商也是一種選擇,很多安全公司都向中小型企業提供此類服務。
根據Raiu的說法,企業應該想到他們可能無法阻止復雜的持久性入侵,因此他們應該關注那些能夠減少監測和響應此類入侵所需時間的解決方案。這需要完整的監控解決方案,可以檢測網絡和Internet流量或端點行為中的異常。Raiu表示:即使是沒有大量預算的小型企業也可以這樣做。
Tim Maurer認為,對于中小型企業來說,遷移到云也可能是保護自己免受此類復雜攻擊的良好解決方案。因為他們能夠從從云計算供應商的大型安全團隊具備的專業知識和技術中獲益。