步步分解APT攻擊 淺析四大檢測防御方案
責編:admin |2014-06-24 19:28:07apt攻擊是近幾年來出現的一種高級攻擊,具有難檢測、持續時間長和攻擊目標明確等特征。傳統基于攻擊特征的入侵檢測和防御方法在檢測和防御apt方面效果很不理想,因此,各安全廠商都在研究新的方法并提出了多種多樣的解決方案。
針對APT逐步滲透攻擊的特點,我們提出了一個針對工控 APT 攻擊的檢測與防護方案,針對 APT 攻擊的五個階段分別討論了相應的應對策略。
(1) 全方位抵御水坑攻擊基于“水坑+網站掛馬方式”的突破防線技術愈演愈烈,并出現了單漏洞多水坑的新攻擊方法。針對這種趨勢,一方面寄希望于網站管理員重視并做好網站漏洞檢測和掛馬檢測;另一方面要求用戶(尤其是能接觸到工業控制設備的雇員)盡量使用相對較安全的Web瀏覽器,及時安裝安全補丁,最好能夠部署成熟的主機入侵防御系統。
(2) 防范社會工程攻擊、阻斷 C&C 通道 在工業控制系統運行的各個環節和參與者中,人往往是其中最薄弱的環節,故非常有必要通過周期性的安全培訓課程努力提高員工的安全意識。另外,也應該加強從技術上阻斷攻擊者通過社會工程突破防線后建立C&C通道的行為,建議部署值得信賴的網絡入侵防御系統。
(3) 工業控制系統組件漏洞與后門檢測與防護工業控制系統行業使用的任何工業控制系統組件均應假定為不安全或存在惡意的,上線前必需經過嚴格的漏洞、后門檢測以及配置核查,盡可能避免工業控制系統中存在2014 工業控制系統的安全研究與實踐的各種已知或未知的安全缺陷。其中針對未知安全缺陷(后門或系統未聲明功能)的檢測相對困難,目前多采用系統代碼的靜態分析方法或基于系統虛擬執行的動態分析方法相結合的方式。
(4) 異常行為的檢測與審計上述列舉出的 APT 突破防線和完成任務階段采用的各種新技術和方法,以及其他已經出現或者即將出現的新技術和方法,直觀上均表現為一種異常行為。建議部署工控審計系統, 全面采集工業控制系統相關網絡設備的原始流量以及各終端和服務器上的日志;結合基于行為的業務審計模型對采集到的信息進行綜合分析,識別發現業務中可能存在的異常流量與異常操作行為,發現 APT 攻擊的一些蛛絲馬跡,甚至可能還原整個 APT攻擊場景。鑒于工業控制系統業務場景比較穩定、操作行為比較規范的實際情況,在實施異常行為審計的同時,也可以考慮引入基于白環境的異常檢測模型,對工業控制系統中的異常操作行為進行實時檢測與發現。
apt攻擊過程分解
整個apt攻擊過程包括定向情報收集、單點攻擊突破、控制通道構建、內部橫向滲透和數據收集上傳等步驟:
1、定向情報收集
定向情報收集,即攻擊者有針對性的搜集特定組織的網絡系統和員工信息。信息搜集方法很多,包括網絡隱蔽掃描和社會工程學方法等。從目前所發現的apt攻擊手法來看,大多數apt攻擊都是從組織員工入手,因此,攻擊者非常注意搜集組織員工的信息,包括員工的微博、博客等,以便了解他們的社會關系及其愛好,然后通過社會工程方法來攻擊該員工電腦,從而進入組織網絡。
2、單點攻擊突破
單點攻擊突破,即攻擊者收集了足夠的信息后,采用惡意代碼攻擊組織員工的個人電腦,攻擊方法包括:
1)社會工程學方法,如通過email給員工發送包含惡意代碼的文件附件,當員工打開附件時,員工電腦就感染了惡意代碼;
2)遠程漏洞攻擊方法,比如在員工經常訪問的網站上放置網頁木馬,當員工訪問該網站時,就遭受到網頁代碼的攻擊,rsa公司去年發現的水坑攻擊(watering hole)就是采用這種攻擊方法。
這些惡意代碼往往攻擊的是系統未知漏洞,現有殺毒和個人防火墻安全工具無法察覺,最終結果是,員工個人電腦感染惡意代碼,從而被攻擊者完全控制。
3、控制通道構建
控制通道構建,即攻擊者控制了員工個人電腦后,需要構建某種渠道和攻擊者取得聯系,以獲得進一步攻擊指令。攻擊者會創建從被控個人電腦到攻擊者控制服務器之間的命令控制通道,這個命令控制通道目前多采用http協議構建,以便突破組織的防火墻,比較高級的命令控制通道則采用https協議構建。
4、內部橫向滲透
內部橫向滲透,一般來說,攻擊者首先突破的員工個人電腦并不是攻擊者感興趣的,它感興趣的是組織內部其它包含重要資產的服務器,因此,攻擊者將以員工個人電腦為跳板,在系統內部進行橫向滲透,以攻陷更多的pc和服務器。攻擊者采取的橫向滲透方法包括口令竊聽和漏洞攻擊等。
5、數據收集上傳
數據收集上傳,即攻擊者在內部橫向滲透和長期潛伏過程中,有意識地搜集各服務器上的重要數據資產,進行壓縮、加密和打包,然后通過某個隱蔽的數據通道將數據傳回給攻擊者。
apt檢測和防御方案分類
縱觀整個apt攻擊過程發現,有幾個步驟是apt攻擊實施的關鍵,包括攻擊者通過惡意代碼對員工個人電腦進行單點攻擊突破、攻擊者的內部橫向滲透、通過構建的控制通道獲取攻擊者指令,以及最后的敏感數據外傳等過程。當前的apt攻擊檢測和防御方案其實都是圍繞這些步驟展開。
我們把本屆rsa大會上收集到的apt檢測和防御方案進行了整理,根據它們所覆蓋的apt攻擊階段不同,將它們分為以下四類:
1、惡意代碼檢測類方案:
該類方案主要覆蓋apt攻擊過程中的單點攻擊突破階段,它是檢測apt攻擊過程中的惡意代碼傳播過程。大多數apt攻擊都是通過惡意代碼來攻擊員工個人電腦,從而來突破目標網絡和系統防御措施的,因此,惡意代碼檢測對于檢測和防御apt攻擊至關重要。
2、主機應用保護類方案:
該類方案主要覆蓋apt攻擊過程中的單點攻擊突破和數據收集上傳階段。不管攻擊者通過何種渠道向員工個人電腦發送惡意代碼,這個惡意代碼必須在員工個人電腦上執行才能控制整個電腦。因此,如果能夠加強系統內各主機節點的安全措施,確保員工個人電腦以及服務器的安全,則可以有效防御apt攻擊。
3、網絡入侵檢測類方案:
該類方案主要覆蓋apt攻擊過程中的控制通道構建階段,通過在網絡邊界處部署入侵檢測系統來檢測apt攻擊的命令和控制通道。安全分析人員發現,雖然apt攻擊所使用的惡意代碼變種多且升級頻繁,但惡意代碼所構建的命令控制通道通信模式并不經常變化,因此,可以采用傳統入侵檢測方法來檢測apt的命令控制通道。該類方案成功的關鍵是如何及時獲取到各apt攻擊手法的命令控制通道的檢測特征。
4、大數據分析檢測類方案:
該類方案并不重點檢測apt攻擊中的某個步驟,它覆蓋了整個apt攻擊過程。該類方案是一種網絡取證思路,它全面采集各網絡設備的原始流量以及各終端和服務器上的日志,然后進行集中的海量數據存儲和深入分析,它可在發現apt攻擊的一點蛛絲馬跡后,通過全面分析這些海量數據來還原整個apt攻擊場景。大數據分析檢測方案因為涉及海量數據處理,因此需要構建大數據存儲和分析平臺,比較典型的大數據分析平臺有hadoop
下一篇:安全數據交換平臺建設解決方案