高級持續性威脅
高級持續性威脅
APT(Advanced Persistent Threat)--------高級持續性威脅。是指組織(特別是政府)或者小團體利用先進的攻擊手段對特定目標進行長期持續性網路攻擊的攻擊形式。
高級持續性威脅(Advanced Persistent Threat,APT),威脅企業數據安全。APT是黑客以竊取核心資料為目的,針對客戶所發動的網路攻擊和侵襲行為,是一種蓄謀已久的“惡意商業間諜威脅”。APT的攻擊手法,在於隱匿自己,針對特定對象,長期、有計劃性和組織性地竊取數據,這種發生在數字空間的偷竊資料、搜集情報的行為,就是一種“網路間諜”的行為。此類攻擊行為是傳統安全檢測系統無法有效檢測發現,前沿防禦方法是利用非商業化虛擬機分析技術,對各種郵件附件、文件進行深度的動態行為分析,發現利用系統漏洞等高級技術專門構造的惡意文件,從而發現和確認APT攻擊行為。
APT攻擊的原理相對於其他攻擊形式更為高級和先進,其高級性主要體現於APT在發動攻擊之前需要對攻擊對象的業務流程和目標系統進行精確的收集,在此收集的過程中,此攻擊會主動挖掘被攻擊對象受信系統和應用程序的漏洞,在這些漏洞的基礎上形成攻擊者所需的C&C網路,此種行為沒有採取任何可能觸發警報或者引起懷疑的行動,因此更接近於融入被攻擊者的系統或程序。
1.攻擊者發送惡意軟體電子郵件給一個組織內部的收件人。例如,Cryptolocker就是一種感染方式,它也稱為勒索軟體,其攻擊目標是Windows個人電腦,會在看似正常的電子郵件附件中偽裝。一旦收件人打開附件,Cryptolocker就會在本地磁碟上加密文件和映射網路磁碟。如果你不乖乖地交贖金,惡意軟體就會刪除加密密鑰,從而使你無法訪問自己的數據。
2.攻擊者會感染一個組織中用戶經常通過DNS訪問的網站。著名的端到端戰網Gameover Zeus就是一個例子,一旦進入網路,它就能使用P2P通信去控制受感染的設備。
3.攻擊者會通過一個直連物理連接感染網路,如感染病毒的U盤。
1.隱蔽性強
對此可這樣理解,APT攻擊已經與被攻擊對象的可信程序漏洞與業務系統漏洞進行了融合,在組織內部,這樣的融合很難被發現。例如,2012年最火的APT攻擊“火焰(Flame)”就是利用了MD5的碰撞漏洞,偽造了合法的數字證書,冒充正規軟體實現了欺騙攻擊。
2.潛伏期長,持續性強
APT攻擊是一種很有耐心的攻擊形式,攻擊和威脅可能在用戶環境中存在一年以上,他們不斷收集用戶信息,直到收集到重要情報。他們往往不是為了在短時間內獲利,而是把“被控主機”當成跳板,持續搜索,直到充分掌握目標對象的使用行為。所以這種攻擊模式,本質上是一種“惡意商業間諜威脅”,因此具有很長的潛伏期和持續性。
3.目標性強
不同於以往的常規病毒,APT製作者掌握高級漏洞發掘和超強的網路攻擊技術。發起APT攻擊所需的技術壁壘和資源壁壘,要遠高於普通攻擊行為。其針對的攻擊目標也不是普通個人用戶,而是擁有高價值敏感數據的高級用戶,特別是可能影響到國家和地區政治、外交、金融穩定的高級別敏感數據持有者。
一般認為,APT攻擊就是一類特定的攻擊,為了獲取某個組織甚至是國家的重要信息,有針對性的進行的一系列攻擊行為的整個過程。APT攻擊利用了多種攻擊手段,包括各種最先進的手段和社會工程學方法,一步一步的獲取進入組織內部的許可權。APT往往利用組織內部的人員作為攻擊跳板。有時候,攻擊者會針對被攻擊對象編寫專門的攻擊程序,而非使用一些通用的攻擊代碼。
此外,APT攻擊具有持續性,甚至長達數年。這種持續體現於攻擊者不斷嘗試各種攻擊手段,以及在滲透到網路內部后長期蟄伏,不斷收集各種信息,直到收集到重要情報。
更加危險的是,這些新型的攻擊和威脅主要就針對國家重要的基礎設施和單位進行,包括能源、電力、金融、國防等關係到國計民生,或者是國家核心利益的網路基礎設施。
對於這些單位而言,儘管已經部署了相對完備的縱深安全防禦體系,可能既包括針對某個安全威脅的安全設備,也包括了將各種單一安全設備串聯起來的管理平台,而防禦體系也可能已經涵蓋了事前、事中和事後等各個階段。但是,這樣的防禦體系仍然難以有效防止來自網際網路的入侵和攻擊,以及信息竊取,尤其是新型攻擊(例如APT攻擊,以及各類利用0day漏洞的攻擊)。
下面是一個典型的APT攻擊實例。
Google極光攻擊
2010年的Google Aurora(極光)攻擊是一個十分著名的APT攻擊。Google的一名僱員點擊即時消息中的一條惡意鏈接,引發了一系列事件導致這個搜索引擎巨人的網路被滲入數月,並且造成各種系統的數據被竊取。這次攻擊以Google和其它大約20家公司為目標,它是由一個有組織的網路犯罪團體精心策劃的,目的是長時間地滲入這些企業的網路並竊取數據。該攻擊過程大致如下:
1)對Google的APT行動開始於刺探工作,特定的Google員工成為攻擊者的目標。攻擊者儘可能地收集信息,搜集該員工在Facebook、Twitter、LinkedIn和其它社交網站上發布的信息。
2)接著攻擊者利用一個動態DNS供應商來建立一個託管偽造照片網站的Web伺服器。該Google員工收到來自信任的人發來的網路鏈接並且點擊它,就進入了惡意網站。該惡意網站頁面載入含有shellcode的JavaScript程序碼造成IE瀏覽器溢出,進而執行FTP下載程序,並從遠端進一步抓了更多新的程序來執行(由於其中部分程序的編譯環境路徑名稱帶有Aurora字樣,該攻擊故此得名)。
3)接下來,攻擊者通過SSL安全隧道與受害人機器建立了連接,持續監聽並最終獲得了該僱員訪問Google伺服器的帳號密碼等信息。
4)最後,攻擊者就使用該僱員的憑證成功滲透進入Google的郵件伺服器,進而不斷的獲取特定Gmail賬戶的郵件內容信息。
APT攻擊的主要威脅是在“潛伏性”和“持續性”。
實際上,從技術上看,APT攻擊技術並無太多新鮮之處。它最可怕的地方在於:有計劃、有組織、有目標、利益驅動,APT的發動者是人,其目的是為了獲利。對付APT更有賴於決策者的意識。應對高級網路威脅最困難之處並不是在技術層面,而是在前期企業對APT攻擊或網路威脅的重視程度和理解程度。
針對APT的產品和解決方案有很多,但用戶往往很難做到事前防禦。
安全人員的經驗在這個時候顯得至關重要。理論上,APT的事前防禦並不是不能實現。但由於絕大多數用戶企業都缺乏擁有豐富經驗的安全人員,所以大部分用戶企業只能在事中(也就是攻擊發生時)開始實施防禦,在防禦APT時並不能做到足夠主動。