深度剖析高級網絡攻擊
責編:admin |2014-10-17 13:49:52網絡威脅格局已經改變。我們以前面對的是傳統意義上的黑客,從系統探險者到腳本小子,腳本小子使用的是新型自動化利用工具,即通過利用黑客技術知識并將其封裝開發而來的工具。在這個背景下還潛伏著地下組織和其他犯罪類型,只要有足夠的時間,他們能夠竊取到任何內容。
這些早期罪犯的作案手法與現在很多企業所遇到的情況沒有太多不同。這涉及網絡釣魚活動,試圖誘騙人們登錄到自己的網上銀行賬戶,并在此過程中,泄露其登錄憑證。攻擊者還開發了病毒和僵尸程序來提供對受害者電腦的遠程訪問和管理工具,允許僵尸程序主人獲取受害者的所有數據。現在國家情報部門開始利用這些早期罪犯開發的這些工具,以使用互聯網作為提高其情報收集能力的渠道。
在過去沒有什么像這樣發生得如此之快,或者具有這么深遠的影響和依存關系。關鍵網絡、公共事業和其他基礎設施都與企業及政府的網絡交織在一起,并且,我們構建、設計和制造的一切事物都在互聯網上。如果互聯網停止運行,全球經濟將會崩潰。從這點來看,這又引出了國家安全問題。各國政府已經意識到在電磁領域具有防御和進攻能力的戰略性和戰術性優勢。
這種模式的轉變為高級網絡威脅奠定了基礎。基于網絡罪犯的早期技術,很多國家的安全服務已經具有為其國家利益進行攻擊和竊取的能力。隨著這些組織被其政府要求獲取情報信息,全新類型的“威脅”出現在網絡中。
2006年美國空軍上校Greg Rattray創造的高級持續威脅(APT)術語描述了自20世紀90年代末和21世紀初在政府網絡中發現的強大的網絡攻擊。對于美國政府而言,APT就是中國;而對于中國來說,APT則是美國。這始終是個角度問題。
情報收集方法
APT攻擊如何發生以及原因?想要了解APT攻擊的構造和生理機能,我們需要知道世界各地安全機構使用的情報收集方法。所有這些機構(包括美國中情局、軍情六處和俄羅斯聯邦安全局)有著管理程序來接收政府的情報產品和信息請求。他們會優先這些請求,并傳遞到各個部門或者組織,然后這些組織負責獲取信息或產品。
請求可能從何而來?例如,內部收集周期可能源自于參加巴黎航展的商務代表團,在這個重要活動中,數以百計的航空航天和國防公司會展示其產品和創新。該代表團(其中包括情報人員)拿著“購物清單”,花很長時間來尋找特定技術和系統。他們可能會發現一家國防承包商在“禁止的”國家出售新的創新雷達系統,而該制造商出售該技術給代表團屬于違法行為,所以他們不能簡單地購買技術并進行逆向工程。于是,該代表團會拍攝銷售展示的照片,并盡可能獲取信息。當該代表團回國后,他們會將對這個雷達技術的情報或收集的正式請求提交給其國家的情報機構。該情報請求會被優先處理,當執行該請求時,它會被分配到網絡情報部門,該部門的專長是獲取他人網絡的訪問權,以獲取非常具體的信息。
APT是在美國中情局網站上介紹的經典情報周期的收集部分:
· 規劃與方向
· 收集
· 處理
· 分析和生產
· 傳播
接著,有針對性的APT“活動”開始了。在這種情況下,這是A國的軍事部門向其情報部門發出的情報請求,其目的是找出在B國生產的雷達系統的所有信息。
該情報部門或其承包商首先會對目標組織進行全面的搜索。這種信息搜索包括關于該公司的基本信息,例如設施的物理位置;企業和供應鏈關系;合同、產品和服務;領導層和董事會;申請報告和財務報告;及其是否為上市公司。
該組織還會著眼于該公司的互聯網足跡:
· 域名、DNS記錄、MX郵件記錄
· 注冊的IP范圍以及該信息的掃描
· 電子郵件命名約定(名字.姓氏@公司.com)
· 電信關系以及主機托管的使用
· 云使用
· 面向公眾的服務或網站
· 雙因素身份驗證的使用
他們將會建立對具體部門或計劃內或領導層或企業共享服務內的員工的信息檔案。這些信息的收集來自于LinkedIn和Facebook搜索、學術論文、公共網站、公開演講記錄以及行業協會和論壇等。在編譯好這些數據后,他們將會制定行動計劃來滲透網絡一集竊取目標的信息。
APT活動的進攻方面是從攻擊者執行其計劃開始。在這個例子中,最開始是通過社會工程。在確定生產目標數據的設施的物理位置后,APT在社交媒體撒網來“鏈接”與該項目有關或者接近該項目的個人–基于他們的LinkedIn資料。攻擊者創建虛假的人物角色,使用LinkedIn、Facebok頁面和其他社交媒體。然后他們試圖與這些個人“交朋友”以發現電子郵件地址(工作和個人郵箱)、其他朋友或關聯、地址、他們擁有的技能以及他們從事的其他項目。
根據這些社交媒體信息,APT創建了目標人物清單,這些人與目標項目有著直接或間接的關系,或者能夠間接參與到項目,或者為目標提供下一步信息。這個社會工程學確定了魚叉式釣魚攻擊活動的目標。幾乎所有APT攻擊都包括某種形式的魚叉式釣魚攻擊,或者使用惡意信息,其目的是感染受害者的計算機。
APT工具集
APT為了執行這些活動,他們需要準備基礎設施和工具。大型APT活動有來自國家政府的大量資助,用于研發工作,例如針對大多數商業安全工具創建漏洞利用或測試代碼。APT工具集通常包括以下:
云服務提供商出租的命令控制(C2)計算機主機,或者作為C2主機的目的而被感染的主機。這些主機會間接與攻擊者通信。使用由A國政府擁有的C2主機,或者間接與A國通信的C2主機,都不是明智的做法。相反,這些主機應該通過主機層和代理服務器進行通信,以掩蓋流量的目的地。通過這些C2主機網絡,惡意軟件通過魚叉式釣魚攻擊進行通信,以建立通道到受感染主機,然后下載工具集和遠程管理工具(RAT)。
· 包含水坑或路過式漏洞利用(電子郵件中網址鏈接到的地方)的網站,可感染主機
· 用于保存滲出數據的互聯網文件共享,這些文件共享可能包括Google Docs或者Dropbox賬戶。
· 廣泛的惡意軟件庫,以在網絡獲取立足點來下載RAT和工具集。該惡意軟件將會嘗試利用近零日或零日漏洞。零日漏洞通常用于高價值目標,因為當這些漏洞在互聯網時,可能會開發補丁和簽名。
· 在域名和主機配置方面具有豐富技能的Windows管理員。這些技術人員將會推動受感染主機繼續在被感染網絡獲取主機,找到數據并滲出數據。
基于對目標最初的搜索,該活動的模板被選定為從目標獲取數據。這些模板或者運作模式是基于目標公司部署的技術、目標的網絡安全狀況以及目標的價值。
在模板被選定和批準后,資源也準備就緒,魚叉式釣魚電子郵件被發送到目標。郵件被發送,并隱藏在目標的防火墻背后。如果惡意軟件信標進入C2主機(其地址在利用代碼中),就會成功。
幾年前,大多數公司對這種威脅都手足無措,攻擊者很容易得手。這些早期攻擊活動的作案手法還在延續,并根據防御的改進作出了調整。隨著大家對APT認識的提高,針對它的主動防御也在提高,這意味著,APT操作者需要調整其MO來抵御企業部署的新興防御技術。
主動防御
了解了APT操作者如何攻擊可以幫助企業構建抵御APT的主動防御。傳統基于簽名的防火墻和IDS無法對抗APT攻擊。APT操作者具有所有商業安全設備和軟件的副本,并構建其模板來輕松抵御防病毒和反惡意軟件工具等系統。
這里還有一些方法來防止APT攻擊:
使用威脅情報。這包括APT操作者的最新信息;從分析惡意軟件獲取的威脅情報;已知的C2網站;已知的不良域名、電子郵件地址、惡意電子郵件附件、電子郵件主題行;以及惡意鏈接和網站。威脅情報在進行商業銷售,并由行業網絡安全組共享。企業必須確保情報的相關性和及時性。威脅情報被用來建立“絆網”來提醒你網絡中的活動。
建立強大的出口規則。除網絡流量(必須通過代理服務器)外,阻止企業的所有出站流量,阻止所有數據共享、誒網站和未分類網站。阻止SSH、FTP、Telnet或其他端口和協議離開網絡。這可以打破惡意軟件到C2主機的通信信道,阻止未經授權的數據滲出網絡。
收集強大的日志分析。企業應該收集和分析對關鍵網絡和主機的詳細日志記錄以檢查異常行為。日志應保留一段時間以便進行調查。還應該建立與威脅情報匹配的警報。
聘請安全分析師。安全分析師的作用是配合威脅情報、日志分析以及提醒對APT的積極防御。這個職位的關鍵是經驗。
你的企業是否面臨APT威脅?你的公司是否存在吸引APT攻擊者愿意花時間和金錢試圖竊取的東西?企業可以詢問美國聯邦調查局他們是否可能受到APT攻擊。如果答案是否定的,那么,花錢在抵御APT的防御工作并不是很好的投資。但可能成為潛在“目標”的企業必須考慮進行防御。