浅谈APT攻击
如今高級(jí)持續(xù)性威脅(Advanced Persistent Threat,APT)已成為人盡皆知的“時(shí)髦術(shù)語”。越來越多的企業(yè)開始對(duì)其高度關(guān)注,政府部門也面臨著遭受APT攻擊的危險(xiǎn),在安全顧問的每一篇分析報(bào)告中都會(huì)提及它的“大名”。
眾多企業(yè)機(jī)構(gòu)慘遭“不測(cè)”的一個(gè)主要原因在于它們沒有發(fā)現(xiàn)真正的漏洞所在并加以修復(fù)。如果用戶還在疲于應(yīng)對(duì)三年前的威脅,毫無疑問,這將于事無補(bǔ)。APT促使企業(yè)和機(jī)構(gòu)必須將重點(diǎn)放到今天存在的真正威脅上。
題主并不是APT專家,只是每個(gè)人在不同時(shí)機(jī)看的東西不一樣,只想在此之際,科普一下,分享一些想法,歡迎指正,批評(píng)。
高持續(xù)性威脅(APT)是以商業(yè)和政治為目的的一個(gè)網(wǎng)絡(luò)犯罪類別。APT需要長期經(jīng)營與策劃,并具備高度的隱蔽性,才可能取得成功。這種攻擊方式往往不會(huì)追求短期的經(jīng)濟(jì)收益和單純的系統(tǒng)破壞,而是專注于步步為營的系統(tǒng)入侵,每一步都要達(dá)到一個(gè)目標(biāo),而不會(huì)做其他多余的事來打草驚蛇。
整個(gè)apt攻擊過程包括定向情報(bào)收集、單點(diǎn)攻擊突破、控制通道構(gòu)建、內(nèi)部橫向滲透和數(shù)據(jù)收集上傳等步驟:
1、定向情報(bào)收集
定向情報(bào)收集,即攻擊者有針對(duì)性的搜集特定組織的網(wǎng)絡(luò)系統(tǒng)和員工信息。信息搜集方法很多,包括網(wǎng)絡(luò)隱蔽掃描和社會(huì)工程學(xué)方法等。
2、單點(diǎn)攻擊突破
單點(diǎn)攻擊突破,即攻擊者收集了足夠的信息后,采用惡意代碼攻擊組織員工的個(gè)人電腦,攻擊方法包括:
1)社會(huì)工程學(xué)方法,如通過email給員工發(fā)送包含惡意代碼的文件附件,當(dāng)員工打開附件時(shí),員工電腦就感染了惡意代碼;
2)遠(yuǎn)程漏洞攻擊方法,比如在員工經(jīng)常訪問的網(wǎng)站上放置網(wǎng)頁木馬,當(dāng)員工訪問該網(wǎng)站時(shí),就遭受到網(wǎng)頁代碼的攻擊,rsa公司去年發(fā)現(xiàn)的水坑攻擊(watering hole)就是采用這種攻擊方法。
3、控制通道構(gòu)建
控制通道構(gòu)建,即攻擊者控制了員工個(gè)人電腦后,需要構(gòu)建某種渠道和攻擊者取得聯(lián)系,以獲得進(jìn)一步攻擊指令。攻擊者會(huì)創(chuàng)建從被控個(gè)人電腦到攻擊者控制服務(wù)器之間的命令控制通道,這個(gè)命令控制通道目前多采用http協(xié)議構(gòu)建,以便突破組織的防火墻,比較高級(jí)的命令控制通道則采用https協(xié)議構(gòu)建。
4、內(nèi)部橫向滲透
內(nèi)部橫向滲透,一般來說,攻擊者首先突破的員工個(gè)人電腦并不是攻擊者感興趣的,它感興趣的是組織內(nèi)部其它包含重要資產(chǎn)的服務(wù)器,因此,攻擊者將以員工個(gè)人電腦為跳板,在系統(tǒng)內(nèi)部進(jìn)行橫向滲透,以攻陷更多的pc和服務(wù)器。攻擊者采取的橫向滲透方法包括口令竊聽和漏洞攻擊等。
5、數(shù)據(jù)收集上傳
數(shù)據(jù)收集上傳,即攻擊者在內(nèi)部橫向滲透和長期潛伏過程中,有意識(shí)地搜集各服務(wù)器上的重要數(shù)據(jù)資產(chǎn),進(jìn)行壓縮、加密和打包,然后通過某個(gè)隱蔽的數(shù)據(jù)通道將數(shù)據(jù)傳回給攻擊者。
轉(zhuǎn)載自:http://netsecurity.51cto.com/art/201406/443332.htm
下面針對(duì)APT攻擊流程以及事前、事中和事后的防御體系分開來說。
事前:信息收集
APT攻擊前的信息收集。信息收集是APT攻擊的第一步,攻擊者通過這個(gè)步驟確定其目標(biāo)以及攻擊方法。
個(gè)人資料:人是最薄弱的環(huán)節(jié)
很多時(shí)候,導(dǎo)致企業(yè)受到攻擊的信息通常是沒有得到足夠重視和保護(hù)的信息。這可能是電話號(hào)碼、電子郵件目錄表、文檔中的元數(shù)據(jù),以及企業(yè)高管的全名以及公司發(fā)展史等。公開的個(gè)人或企業(yè)的信息被稱為開源情報(bào)(OSINT),因?yàn)槿魏稳硕伎梢悦赓M(fèi)公開地獲取這些信息。
很多網(wǎng)絡(luò)罪犯會(huì)鏈接信息,即整合很多小數(shù)據(jù)直到獲得完整信息。黑客組織Anonymous在發(fā)動(dòng)攻擊前,就是利用“dox”來收集關(guān)于個(gè)人或事物的信息,這些“dox”就是信息鏈。然而,不只是黑客和犯罪分子,安全專家也會(huì)采用這種做法,包括執(zhí)法機(jī)構(gòu)。
這些向公眾提供的信息包括:業(yè)務(wù)報(bào)告、新聞報(bào)道、企業(yè)網(wǎng)站、社交媒體賬戶(個(gè)人和專業(yè))以及來自商業(yè)伙伴的相關(guān)信息。
通過這些信息,攻擊者將了解其攻擊目標(biāo)以及原因;更重要的是,他們將知道如何攻擊這些目標(biāo),而不需要進(jìn)行額外的背景研究。
談到?jīng)]有受到保護(hù)的數(shù)據(jù),讓我們先看看元數(shù)據(jù)。
元數(shù)據(jù):進(jìn)入企業(yè)的隱藏的鑰匙
在這里,元數(shù)據(jù)是指嵌入在文檔和圖像中的信息。大多數(shù)人都不知道他們上傳到網(wǎng)上的圖片不僅包含圖像拍攝位置,而且還包含準(zhǔn)確的時(shí)間戳,以及硬件信息。對(duì)于文檔(從PDF到PPT)中的元數(shù)據(jù),攻擊者可以獲取軟件產(chǎn)品名稱和版本、文檔作者的名字、網(wǎng)絡(luò)位置、IP地址等。
了解元數(shù)據(jù)是很重要的,因?yàn)樵趥刹祀A段,攻擊者收集的第一個(gè)信息是可公開獲取的文檔。以下是利用元數(shù)據(jù)的很好的例子。在2011年,有人代表Anonymous上傳了1.2GB torrent文件,讓很多人相信美國商會(huì)、美國立法交流委員會(huì)(ALEC)、公共政策麥基諾中心遭受了數(shù)據(jù)泄露。事后發(fā)現(xiàn),這些機(jī)構(gòu)的文檔并沒有被偷竊,只是使用FOCA收集的文檔信息。
FOCA可以幫助企業(yè)發(fā)現(xiàn)元數(shù)據(jù),還有很多可用資源可幫助企業(yè)管理和刪除元數(shù)據(jù)。
技術(shù)信息:入侵基礎(chǔ)設(shè)施
如前所述,攻擊者能夠知道目標(biāo)企業(yè)使用的軟件類型,還有IP地址、web服務(wù)器規(guī)格(例如平臺(tái)版本)、虛擬主機(jī)信息以及硬件類型。
平臺(tái)版本號(hào)碼可以幫助員工找出存在的漏洞,當(dāng)對(duì)于硬件,這些信息可以用來定位默認(rèn)登錄信息。而對(duì)于腳本和網(wǎng)站開發(fā),攻擊者可以被動(dòng)掃描裸機(jī)漏洞、跨站腳本、SQL注入和其他漏洞。
技術(shù)偵查的另一種途徑是供應(yīng)鏈。
有時(shí)候最好的辦法就是簡單的列出信息,下面是攻擊者在偵察活動(dòng)中可能尋找的信息:
OSINT數(shù)據(jù)
▍可下載文件、員工照片和企業(yè)活動(dòng)照片
·這為攻擊者提供了直接的信息以及收集元數(shù)據(jù)的機(jī)會(huì)
▍人員名單以及領(lǐng)導(dǎo)層信息
·了解誰是誰,并建立企業(yè)內(nèi)部的關(guān)系
▍項(xiàng)目和產(chǎn)品數(shù)據(jù)
·當(dāng)搜索攻擊面和背景信息時(shí)很有用
▍B2B關(guān)系
·這種數(shù)據(jù)被用來建立供應(yīng)鏈關(guān)系和銷售渠道以便之后漏洞利用
▍員工的詳細(xì)信息
·這包括社交媒體的個(gè)人和公共數(shù)據(jù)
▍軟件數(shù)據(jù)
·目標(biāo)企業(yè)內(nèi)使用的軟件類型
構(gòu)建完整的個(gè)人資料
完整個(gè)人資料包括:全名、地址(過去和現(xiàn)在)、電話號(hào)碼(個(gè)人和工作)、出生日期、社會(huì)安全號(hào)碼、 ISP的數(shù)據(jù)(IP地址、提供商)、用戶名、密碼、公共記錄數(shù)據(jù)(稅收、信貸歷史、法律記錄)、愛好、最喜歡的餐館、電影、書籍等等。
信息量越大,攻擊者成功的幾率就越大。
構(gòu)建完整的技術(shù)資料
技術(shù)資料信息包括:網(wǎng)絡(luò)地圖、從元數(shù)據(jù)獲取的技術(shù)詳細(xì)信息、IP地址、可用硬件和軟件信息、操作系統(tǒng)詳細(xì)信息、平臺(tái)開發(fā)數(shù)據(jù)和驗(yàn)證措施。
攻擊者可以利用個(gè)人資料數(shù)據(jù)并瞄準(zhǔn)服務(wù)臺(tái)。知道ID是如何創(chuàng)建的可以幫助攻擊者了解電子郵件地址是如何創(chuàng)建,更方便地進(jìn)行釣魚攻擊、猜測(cè)地址或初步溝通。攻擊者還可以搜尋操作系統(tǒng)、第三方軟件和平臺(tái)數(shù)據(jù)的漏洞或默認(rèn)訪問。
數(shù)據(jù)收集資源:
在偵察階段,這些網(wǎng)站被用來收集個(gè)人資料信息,每個(gè)新信息都會(huì)給攻擊者帶來更多可利用信息。社交媒體信息會(huì)提供名字和圖片。
Google (www.google.com)
個(gè)人/企業(yè)搜索
這些網(wǎng)站提供了對(duì)個(gè)人用戶、企業(yè)以及二者之間聯(lián)系的公共信息。
Zoom Info (www.zoominfo.com)
PIPL (www.pipl.com)
Intelius (www.intelius.com)
Muckety (www.muckety.com)
其他搜索資源
Web Archive (www.archive.org)
GeoIP (www.geoiptool.com )
Robtex (www.robtex.com)
KnowEm (www.knowem.com)
ImageOps (http://imgops.com)
SHODAN (www.shodanhq.com)
整理收集的數(shù)據(jù)
在偵察階段整理所有收集到的各種信息,推薦的工具是Maltego。Maltego是一個(gè)OSINT工具,黑客、執(zhí)法機(jī)構(gòu)和安全專家使用它來管理信息鏈。它提供對(duì)數(shù)據(jù)的可視化概覽,能夠幫助整理用戶、組織、機(jī)構(gòu)、網(wǎng)絡(luò)信息之間的關(guān)聯(lián)。
常見工具和軟件
對(duì)于在偵察階段攻擊者使用的工具,通常很容易獲得且易于操作,包括這些:
SQLMap (http://sqlmap.org)
BackTrack Linux (http://www.backtrack-linux.org)
Metasploit (http://metasploit.org)
總結(jié)
防止偵察幾乎是不可能的。你可以緩解一些攻擊,但互聯(lián)網(wǎng)本身的性質(zhì)意味著信息會(huì)以這種或那種形式存在,并且,最終將被攻擊者發(fā)現(xiàn)。對(duì)于緩解措施,下面是需要考慮的事情。
事前防御解決方案
監(jiān)控日志記錄和分析應(yīng)用程序中異常下載流量高峰。
決不允許內(nèi)部端口(內(nèi)網(wǎng))、文檔或存儲(chǔ)中心從網(wǎng)絡(luò)外部訪問。通過受限制IP或企業(yè)VPN以及ACL政策管理對(duì)這些資源的訪問。此外,良好的IAM(身份和訪問管理)也可以作為不錯(cuò)的防御。啟用多因素身份驗(yàn)證,有效管理過時(shí)的賬戶和密碼。
同樣地,監(jiān)控網(wǎng)絡(luò)中的ICMP流量。此外,觀察對(duì)網(wǎng)絡(luò)子網(wǎng)的掃描。這很罕見,并且相當(dāng)明顯,但這確實(shí)會(huì)發(fā)生。對(duì)看似隨意的端口進(jìn)行檢查。
對(duì)于OSINT,另一個(gè)防御技術(shù)是限制公開顯示的信息量;包括電話簿、員工名單、過于具體的人員和領(lǐng)導(dǎo)介紹、項(xiàng)目計(jì)劃、業(yè)務(wù)和渠道合作伙伴以及客戶名單。
雖然這些數(shù)據(jù)并不是特別重要,但這些數(shù)據(jù)可以提供廣泛的攻擊面。如前所述,過濾元數(shù)據(jù)也是關(guān)鍵的緩解措施。然而,對(duì)這些數(shù)據(jù)的限制需要通過風(fēng)險(xiǎn)評(píng)估來確定,這需要所有業(yè)務(wù)領(lǐng)域的參與。
還要注意標(biāo)語提取,這是攻擊者了解企業(yè)技術(shù)緩解常用的易于使用的技術(shù)。在攻擊者進(jìn)行偵查后,下一個(gè)步驟將是武器化和交付。本系列的第二部分將研究這個(gè)方面以及解決辦法。
轉(zhuǎn)載自:http://netsecurity.51cto.com/art/201402/430076.htm
事前:攻擊時(shí)的武器與手段
我們將繼續(xù)介紹APT攻擊時(shí)使用的武器和手段,這是真正開始發(fā)動(dòng)攻擊的階段,也是攻擊者需要通過的第一道"關(guān)卡"。
一般的攻擊主要依賴于數(shù)量,攻擊者會(huì)成百上千次的發(fā)送相同的鏈接或是惡意軟件,在大多數(shù)情況下,這個(gè)過程是自動(dòng)化的,攻擊者使用機(jī)器人或基于web腳本來推動(dòng)攻擊,如果攻擊了大量的潛在受害者,那么攻擊者可能獲得已經(jīng)獲得了一半的成功。而APT攻擊則會(huì)使用多個(gè)鏈接、不同類型的惡意軟件,并控制攻擊量,因此,APT攻擊很難被傳統(tǒng)的安全防御手段所發(fā)現(xiàn)。
在建立有效載荷、選定攻擊目標(biāo)后,攻擊者需要開始傳送惡意載荷到目標(biāo),他們選擇的傳送方法包括:
任何具有可利用漏洞的網(wǎng)站都可能受這種攻擊的影響。請(qǐng)記住,SQL注入攻擊可用于訪問存儲(chǔ)數(shù)據(jù),也可以訪問感染數(shù)據(jù)庫中的身份驗(yàn)證詳細(xì)信息,進(jìn)一步推動(dòng)攻擊。此外,跨站腳本和文件包含漏洞將讓攻擊蔓延。當(dāng)惡意代碼注入到網(wǎng)站,攻擊者只需要等待受害者。在文件包含漏洞的情況下,如果攻擊者獲取對(duì)web服務(wù)器本身的控制,他們就可以攻擊其他區(qū)域以及服務(wù)器上的數(shù)據(jù)。
注意: 這就是分離和保護(hù)網(wǎng)段的原因。這能夠幫助降低數(shù)據(jù)泄漏期間連帶效應(yīng)的風(fēng)險(xiǎn)。如果對(duì)一個(gè)區(qū)域的訪問允許訪問所有其他區(qū)域,攻擊者的工作就變得更加容易了。
這種攻擊的目標(biāo)可能是開發(fā)人員、QA、IT或銷售人員,因?yàn)檫@些人更可能使用論壇或其他社交環(huán)境來與同行交流或?qū)で髤f(xié)助。 SQL注入、文件包含和跨站腳本漏洞都將是主要切入點(diǎn)。如果攻擊者可以控制直接綁定到目標(biāo)網(wǎng)絡(luò)的服務(wù)器,那么,攻擊員工就成為了次要目標(biāo)。
網(wǎng)絡(luò)釣魚活動(dòng)中使用的電子郵件地址可能來自各種來源,包括在偵察階段收集的數(shù)據(jù),同時(shí)也可能來自數(shù)據(jù)庫泄漏事故公開披露的數(shù)據(jù)。一般網(wǎng)絡(luò)釣魚的目的是玩數(shù)字游戲,如果攻擊者發(fā)送惡意郵件到100萬地址,而安裝了1000個(gè)惡意軟件,那么,這將被視為一個(gè)巨大的成功。
魚叉式網(wǎng)絡(luò)釣魚活動(dòng)很難被發(fā)現(xiàn),特別是對(duì)于被動(dòng)的反垃圾郵件技術(shù)。魚叉式網(wǎng)絡(luò)釣魚獲得成功是因?yàn)?#xff0c;受害者相信郵件中包含的信息,而且大多數(shù)人都認(rèn)為反垃圾郵件保護(hù)會(huì)抵御這種威脅。
總結(jié)
將APT攻擊阻止在萌芽時(shí)期很關(guān)鍵,因?yàn)槿绻隳茉谶@個(gè)階段阻止攻擊,那么,戰(zhàn)斗已經(jīng)贏了。然而,犯罪分子沒有這么容易對(duì)付。除非你部署了分層防御措施,完全阻止這種攻擊,說起來比做起來容易。下面我們看看抵御攻擊的方法:
事前防御解決方案
入侵檢測(cè)系統(tǒng)(IDS)和入侵防御系統(tǒng)(IPS)是很好的保護(hù)層。然而,大多數(shù)只是部署了其中一個(gè),而沒有都部署,最好的辦法就是同時(shí)部署這兩者。
IDS產(chǎn)品提供了可視性,但只有當(dāng)數(shù)據(jù)泄漏事故發(fā)生后才有效。如果企業(yè)能夠即時(shí)對(duì)IDS警報(bào)采取行動(dòng),損失和損害可以得到緩解。在另一方面,IPS產(chǎn)品能夠有效發(fā)現(xiàn)和識(shí)別已知攻擊,但缺乏可視性。這兩個(gè)解決方案的缺點(diǎn)是它們所依賴的簽名。如果沒有更新簽名,你可能無法檢測(cè)攻擊者部署的最新攻擊技術(shù)。
反病毒保護(hù)通常能夠檢測(cè)很多漏洞利用工具包安裝的惡意軟件。但單靠AV簽名并沒什么用,所有AV產(chǎn)品都需要依賴于簽名保護(hù)。雖然AV供應(yīng)商提供各種保護(hù),包括白名單和基于主機(jī)的IDS,但這些功能需要啟用和使用。
垃圾郵件過濾也是檢測(cè)和阻止大部分攻擊必不可少的方法,但企業(yè)不能只依賴反垃圾郵件保護(hù)。它們很容易出現(xiàn)誤報(bào),無法阻擋一切攻擊,特別是當(dāng)攻擊者偽裝成白名單中的域名時(shí)。
補(bǔ)丁管理是另一個(gè)關(guān)鍵保護(hù)層,因?yàn)樗軌驊?yīng)對(duì)攻擊者最強(qiáng)的工具之一—漏洞利用工具包。然而,修復(fù)操作系統(tǒng)并不夠,還需要定期修復(fù)第三方軟件。
最后,還需要安全意識(shí)培訓(xùn)。企業(yè)應(yīng)該對(duì)用戶進(jìn)行培訓(xùn)來抵御最明顯的威脅,包括網(wǎng)絡(luò)釣魚攻擊。安全意識(shí)培訓(xùn)是持續(xù)的舉措,能夠直接解決企業(yè)面臨的風(fēng)險(xiǎn)。
轉(zhuǎn)載自:http://safe.it168.com/a2014/0220/1594/000001594865.shtml
事中:攻擊時(shí)的漏洞利用
在這個(gè)階段情況已經(jīng)急轉(zhuǎn)直下,因?yàn)楣粽咭呀?jīng)成功交付其惡意有效載荷。
毫無疑問,如果讓攻擊者已經(jīng)順利進(jìn)展到了這個(gè)階段,問題已經(jīng)很嚴(yán)重了,但是你仍然有機(jī)會(huì)。現(xiàn)在,攻擊者已經(jīng)傳送了附有惡意附件的電子郵件,如果成功的話,攻擊者將能夠利用你企業(yè)使用的軟件中的漏洞。而如果漏洞利用成功的話,你的系統(tǒng)將受到感染。然而,攻擊者在攻破你的防御后,可能會(huì)制造一些動(dòng)靜。如果是這樣,關(guān)于他們攻擊方法和攻擊類型的證據(jù)可能位于網(wǎng)絡(luò)或系統(tǒng)日志中。另外,你的各種安全事件監(jiān)控器中可能包含攻擊的證據(jù)。
如果攻擊者的漏洞利用沒有被發(fā)現(xiàn),你的勝算就會(huì)變的更小。據(jù)2013年Verizon數(shù)據(jù)泄漏調(diào)查顯示,66%的數(shù)據(jù)泄漏保持幾個(gè)月甚至更長時(shí)間都未被發(fā)現(xiàn)。即使泄漏事故被發(fā)現(xiàn),也主要是因?yàn)闊o關(guān)的第三方曝光。
在漏洞利用后,攻擊者需要建立一個(gè)立足點(diǎn),也就是安裝,也就大多數(shù)端點(diǎn)保護(hù)的關(guān)注點(diǎn)。攻擊者通常是通過在感染主機(jī)上安裝額外的工具來獲得立足點(diǎn)。
攻擊者可能從初始切入點(diǎn)進(jìn)入網(wǎng)絡(luò)中的其他系統(tǒng)或服務(wù)器。這種支點(diǎn)攻擊(Pivoting)能夠幫助攻擊者完成其總體目標(biāo),并確保他們不被發(fā)現(xiàn)。
通常情況下,支點(diǎn)攻擊的成功是因?yàn)閷?duì)網(wǎng)絡(luò)政策的漏洞利用,讓攻擊者能夠直接訪問一些系統(tǒng),這樣,他們就不需要利用另一個(gè)漏洞或惡意軟件。
事件響應(yīng)計(jì)劃主要用來攻擊者活動(dòng)的安裝階段。因?yàn)榉烙胧┮呀?jīng)失敗,所以響應(yīng)是唯一的選擇了。然而,只有在檢測(cè)到攻擊,才可能進(jìn)行事件響應(yīng)。假設(shè)漏洞利用階段沒有被檢測(cè)到,而攻擊者成功安裝惡意軟件后,該怎么辦?如果你幸運(yùn)的話,你可以檢測(cè)到一些攻擊的證據(jù),并利用它們來推動(dòng)事件響應(yīng)過程。
企業(yè)經(jīng)常忽視感染指標(biāo)(Indicators ofCompromise,IOC),因?yàn)樗鼈兺ǔk[藏在海量日志記錄數(shù)據(jù)中。沒有人有時(shí)間讀取數(shù)百或數(shù)千條數(shù)據(jù),這也是為什么經(jīng)常需要幾個(gè)星期或幾個(gè)月檢測(cè)到數(shù)據(jù)泄漏事故的原因。
假設(shè)攻擊者瞄準(zhǔn)一名員工,并攻擊了企業(yè)系統(tǒng),為了檢測(cè)到這種攻擊,關(guān)鍵是尋找異常情況,尋找似乎格格不入的東西。
另一個(gè)例子是尋找隨機(jī)的意想不到的DNS請(qǐng)求。攻擊者往往會(huì)回調(diào)以利用其他工具,或者他們的有效載荷會(huì)發(fā)出外部請(qǐng)求。(1)將DNS請(qǐng)求與已知惡意服務(wù)器、名聲不好的IP地址列表進(jìn)行匹配,這樣做通常能夠檢測(cè)到攻擊,因?yàn)槁┒蠢秒A段是攻擊者可能制造動(dòng)靜的時(shí)期。
那么,對(duì)于水坑攻擊呢?什么算是很好的IOC呢?這也將需要讀取大量日志數(shù)據(jù),但(2)如果Web服務(wù)器日志充斥著500錯(cuò)誤、權(quán)限錯(cuò)誤或路徑錯(cuò)誤,問題就嚴(yán)重了。因?yàn)檫@可能意味著SQL注入和跨站腳本攻擊等。(3)或者,500錯(cuò)誤也可能是良性的。但當(dāng)它們與數(shù)據(jù)庫錯(cuò)誤同時(shí)出現(xiàn),或者來自單個(gè)應(yīng)用程序或資源,則可能意味著攻擊。
(4)同樣地,觀察404錯(cuò)誤,看看這些錯(cuò)誤是如何被觸發(fā)。在很多情況下,web漏洞掃描儀或探測(cè)應(yīng)用程序的機(jī)器人觸發(fā)了這些事件。最后,(5)如果你發(fā)現(xiàn)shell腳本(例如r57或c99),通常是因?yàn)槟阋呀?jīng)注意到了日志中的隨機(jī)GET或POST請(qǐng)求,這是很明顯的IOC。事實(shí)上,web服務(wù)器上的shell是最糟糕的發(fā)現(xiàn),表明已經(jīng)出現(xiàn)數(shù)據(jù)泄漏。因?yàn)閟hell意味著攻擊者已經(jīng)控制著一切。
事中防御解決方案
在緩解措施方面,很多簽名提到的保護(hù)層仍然適用。事實(shí)上,其中一些保護(hù)層很適合于漏洞利用階段。例如,(1)數(shù)據(jù)執(zhí)行保護(hù)(DEP)可以很好地防止惡意軟件在被感染主機(jī)上運(yùn)行。
雖然攻擊者可能能夠傳送惡意軟件,當(dāng)受害者嘗試執(zhí)行它時(shí),DEP將會(huì)阻止它。然而,還有大量惡意軟件變種和軟件漏洞利用會(huì)瞄準(zhǔn)DEP,所以你不能僅僅依靠這種保護(hù)。
(2)白名單是另一個(gè)很好的緩解措施,但這種辦法有可能攔截合法(白名單)應(yīng)用程序,也就是說,白名單也不能作為防止漏洞利用的唯一來源。
(3)反病毒控制(例如針對(duì)IP地址和軟件的聲譽(yù)檢查)是很好的防御措施,因?yàn)榇蠖鄶?shù)AV軟件提供行為檢測(cè)。但AV并不是完美的解決方案,如果漏洞利用階段使用了未知的東西,AV可能會(huì)完全沒用。基于主機(jī)的IDS同樣是如此,但如果沒有部署這些技術(shù),情況會(huì)更糟。
最后,(4)對(duì)操作系統(tǒng)和第三方程序保持軟件更新和補(bǔ)丁修復(fù),能夠很好地防止漏洞利用,(5)并且能夠控制權(quán)限。最小特權(quán)原則是IT內(nèi)經(jīng)常忽視的工具,但這是個(gè)很好的工具。
這些緩解措施的重點(diǎn)是,它們都不能完全阻止漏洞利用和安裝階段,但如果結(jié)合使用,防止嚴(yán)重攻擊的幾率將會(huì)增加。
轉(zhuǎn)載自:http://netsecurity.51cto.com/art/201402/430297.htm
事中:攻擊時(shí)的命令和控制
在這個(gè)階段,攻擊者已經(jīng)侵入了你的網(wǎng)絡(luò),并將開始進(jìn)行最后的攻擊活動(dòng),這個(gè)階段通常被稱為C2。攻擊者已經(jīng)完成了偵察、武器化和傳送以及漏洞利用和安裝階段。
C2階段主要是關(guān)于通信,但要記住,C2階段并不包括數(shù)據(jù)傳輸。C2階段是建立通信通道,允許攻擊者與外部溝通。
被動(dòng)攻擊是自動(dòng)化的。自動(dòng)化可以幫助攻擊者實(shí)現(xiàn)攻擊量,因?yàn)閹缀醪恍枰换ァH欢?#xff0c;這種自動(dòng)化意味著他們可能被發(fā)現(xiàn)。當(dāng)企業(yè)內(nèi)50個(gè)系統(tǒng)與相同未知主機(jī)通信,可能會(huì)被注意到。
有針對(duì)性的攻擊則更具體,幾乎沒有自動(dòng)化。攻擊者將會(huì)發(fā)出命令,并使用特定的工具。有針對(duì)性攻擊的所有活動(dòng)都是有目的的,并會(huì)努力逃避偵察,盡量保持低調(diào)。
當(dāng)你的企業(yè)淪為被動(dòng)攻擊受害者,攻擊者使用的自動(dòng)化工具無法逃避現(xiàn)有安全控制和緩解措施的檢測(cè),因?yàn)樗鼈冎圃炝颂鄤?dòng)靜。因此,企業(yè)應(yīng)該盡快阻止這種攻擊。
需要注意的是,被動(dòng)攻擊采用自動(dòng)化方式是因?yàn)?#xff0c;這些攻擊活動(dòng)背后的操作者更側(cè)重攻擊量,而不是控制。如果他們的惡意軟件或其他有效載荷被發(fā)現(xiàn)和阻止,這并沒什么大不了,他們可以馬上轉(zhuǎn)移到其他受害者。
然而,如果企業(yè)淪為有針對(duì)性攻擊的受害者,這意味著攻擊者將會(huì)在企業(yè)內(nèi)找到立足點(diǎn),并會(huì)繞開安全控制或禁止安全控制來避免被發(fā)現(xiàn)。(1)此外,攻擊者還會(huì)試圖建立后門程序到其他系統(tǒng),創(chuàng)建更多切入點(diǎn),以防其中一個(gè)切入點(diǎn)被發(fā)現(xiàn)。因此,在企業(yè)的事件響應(yīng)計(jì)劃中,一個(gè)很好的經(jīng)驗(yàn)法則是,如果你看到一個(gè)后門程序,這意味著還潛伏著其他后門程序。
“堅(jiān)實(shí)的”C2是指攻擊者可以動(dòng)態(tài)調(diào)整其程序,增加事件響應(yīng)者手動(dòng)檢測(cè)的難度,甚至不可能。這也是數(shù)據(jù)泄漏事故很長時(shí)間才被發(fā)現(xiàn)的原因。
攻擊者往往會(huì)回調(diào)以獲取額外的工具,或使用有效載荷發(fā)出外部請(qǐng)求。這些感染指標(biāo)能夠清楚地揭示C2活動(dòng),因?yàn)榕c正常網(wǎng)絡(luò)流量相比,這些有些異常。
因此,(2)企業(yè)應(yīng)該對(duì)比DNS請(qǐng)求和已知惡意服務(wù)器列表,或者過濾有著不良聲譽(yù)的IP地址,以應(yīng)對(duì)這種類型的流量。在漏洞利用和安裝階段后,C2階段是攻擊者少數(shù)制造動(dòng)靜的時(shí)期。然而,當(dāng)這些流量被自動(dòng)化檢測(cè)標(biāo)記時(shí),則表明是被動(dòng)攻擊。
這樣想,如果攻擊活動(dòng)背后的操作者在使用C2通道或者從已知惡意來源下載有效載荷,你的企業(yè)可能是攻擊者的目標(biāo)之一。在另一方面,有針對(duì)性攻擊活動(dòng)背后的操作者會(huì)謹(jǐn)慎避免被檢測(cè)。他們會(huì)將C2流量隱藏在正常通信通道內(nèi)。
事中防御解決方案
在C2建立后,攻擊者就成功了一半。一般被動(dòng)攻擊是自動(dòng)化的,動(dòng)靜很大,并且會(huì)立即發(fā)動(dòng)攻擊,而有針對(duì)性攻擊則會(huì)潛伏數(shù)天、數(shù)周甚至數(shù)月。因此,(3)在C2階段,流量監(jiān)控是關(guān)鍵防御措施。如果能夠結(jié)合前面提到的防御措施,你就建立了一個(gè)強(qiáng)有力的分層保護(hù)。
(4)只要正確配置和維護(hù)(包括定期更新),IPS和IDS系統(tǒng)可作為第一層防御。然后,(5)企業(yè)需要ACL規(guī)則來通過防火墻限制入站和出站連接。然而,還需要限制防火墻規(guī)則中例外的數(shù)量,并且需要對(duì)這些例外進(jìn)行密切檢測(cè),或者在不需要時(shí)撤銷。在有針對(duì)性攻擊期間,你的安全規(guī)則和政策可能被用來針對(duì)你,特別是當(dāng)它們過時(shí)或不受監(jiān)管時(shí)。
最后,(6)企業(yè)應(yīng)該監(jiān)控網(wǎng)絡(luò)上流量的移動(dòng)情況,更重要的是,監(jiān)控移動(dòng)到外部的流量。同時(shí),(7)關(guān)注紅色標(biāo)記的事件,例如修改HTTP表頭,以及到未知IP地址或域名的連接。(8)加密流量是被動(dòng)攻擊和有針對(duì)性攻擊活動(dòng)使用的常用技巧,在這種情況下,C2可能更難被發(fā)現(xiàn),但也不是沒有可能。(9)你可以查找自簽名證書和未經(jīng)批準(zhǔn)或非標(biāo)準(zhǔn)加密使用。
轉(zhuǎn)載自:http://safe.it168.com/a2014/0226/1596/000001596892.shtml
事后:攻擊后期的數(shù)據(jù)滲出
在這個(gè)階段,也是APT攻擊的最后階段,如果APT攻擊活動(dòng)還沒有被阻止,那么數(shù)據(jù)很可能即將被泄漏出去。
數(shù)據(jù)滲出是APT攻擊的最后一步,如果攻擊者完成這一步,你企業(yè)將面臨巨大損失。在目標(biāo)數(shù)據(jù)被確定后,這些數(shù)據(jù)將被復(fù)制并通過C2通道移出網(wǎng)絡(luò),或者可能被復(fù)制到網(wǎng)絡(luò)中的另一區(qū)域,然后再被移出。從這一點(diǎn)來看,企業(yè)應(yīng)該容易發(fā)現(xiàn)被動(dòng)攻擊和有針對(duì)性攻擊。
被動(dòng)攻擊動(dòng)靜很大,分層防御措施很容易發(fā)現(xiàn)這種攻擊。另一方面,有針對(duì)性攻擊完全相反。
有針對(duì)性攻擊活動(dòng)背后的攻擊者會(huì)盡可能保持低調(diào),所以不可能出現(xiàn)大規(guī)模數(shù)據(jù)轉(zhuǎn)儲(chǔ)。在有針對(duì)性攻擊中,我們會(huì)看到數(shù)據(jù)偽裝成正常流量通過C2通道離開網(wǎng)絡(luò)。
在前面C2中,我們談到了攻擊通常會(huì)利用有著不良聲譽(yù)的通信信道。對(duì)于每個(gè)感染的主機(jī),攻擊者會(huì)使用了相同的容易識(shí)別的通道。
這種攻擊會(huì)將數(shù)據(jù)滲出到其他國家的數(shù)據(jù)中心的服務(wù)器,當(dāng)?shù)胤煽赡軟]有禁止這種數(shù)據(jù)使用。在這些情況下,你不要指望ISP提供幫助。所以,如果你不阻止數(shù)據(jù)離開網(wǎng)絡(luò),即使你發(fā)現(xiàn)數(shù)據(jù)的滲出,這種信息從法律上看也沒多大用處。
有針對(duì)性攻擊會(huì)攻擊合法服務(wù)器來存儲(chǔ)數(shù)據(jù)。在很多情況下,受感染的服務(wù)器管理員可能不知道他們正在托管不屬于自己的數(shù)據(jù),而當(dāng)他們意識(shí)到有什么不對(duì)勁時(shí),攻擊者已經(jīng)早已離去。
事后防御解決方案
在滲出階段,最好的防御措施就是感知。你需要知道哪些數(shù)據(jù)進(jìn)出你的網(wǎng)絡(luò),監(jiān)控出站流量和入站流量都很重要。
DLP解決方案也可以用于應(yīng)對(duì)滲出階段。如果配置得到,DLP產(chǎn)品可以幫助監(jiān)控網(wǎng)絡(luò)流量,并控制流量。它們能夠發(fā)現(xiàn)未經(jīng)授權(quán)的加密,被動(dòng)和有針對(duì)性攻擊會(huì)利用加密來隱藏通信。還能夠發(fā)現(xiàn)異常流量模式。
另外,監(jiān)控用戶賬戶活動(dòng)也可以作為防御措施,有些合法賬戶可能出現(xiàn)異常活動(dòng)。
在C2階段使用的防御措施同樣可用于滲出階段,包括根據(jù)IP地址、IPS和IDS系統(tǒng)(可以調(diào)整為監(jiān)控所有階段的活動(dòng))以及應(yīng)用防火墻規(guī)則(控制哪些程序允許發(fā)送流量到外部)阻止訪問。這些規(guī)則還可以應(yīng)用到工作站或網(wǎng)段。
假設(shè)你捕捉到滲出過程,日志記錄將成為事件響應(yīng)的關(guān)鍵資源,因?yàn)槿罩灸軌虼_定發(fā)生了什么、如何發(fā)生等。通常情況下,在被動(dòng)或有針對(duì)性攻擊中,確定攻擊者是很重要的,但實(shí)際上這是不可能的,這個(gè)問題我們主要是靠猜測(cè)而不是事實(shí)。
無論采用何種防御措施,最好的辦法是在事故發(fā)生前阻止事故。這正是澳大利亞信號(hào)理事會(huì)(ASD)的主要工作,其網(wǎng)絡(luò)不斷有攻擊者試圖訪問敏感信息。ASD采用了四種防御措施,并指定它們作為其網(wǎng)絡(luò)的強(qiáng)制性要求。這四個(gè)強(qiáng)制性措施包括:
應(yīng)用程序白名單
第三方軟件補(bǔ)丁管理
操作系統(tǒng)補(bǔ)丁管理
權(quán)限管理(限制使用域或本地管理員權(quán)限的用戶數(shù)量)
在本系列文章的開始,我們探討了有針對(duì)性攻擊和被動(dòng)攻擊的目的的區(qū)別,以及這些攻擊者的總體目標(biāo)。工具、戰(zhàn)略和程序并不重要。你的企業(yè)更有可能成為機(jī)會(huì)攻擊的受害者,而不是受民族國際資助的有針對(duì)性攻擊的受害者。
應(yīng)對(duì)這兩種攻擊的最好辦法就是分層防御。感知和可視性是快速反應(yīng)以及減少損失的關(guān)鍵。雖然持續(xù)性攻擊活動(dòng)最終會(huì)成功,但我們可以提高攻擊者的難度,以及減少損失。關(guān)鍵是要權(quán)衡風(fēng)險(xiǎn),制定符合企業(yè)需求的安全計(jì)劃,不要恐懼APT。
轉(zhuǎn)載自:http://netsecurity.51cto.com/art/201402/430604.htm
遭受APTs攻擊的五個(gè)信號(hào)
與傳統(tǒng)網(wǎng)絡(luò)攻擊相比,黑客所發(fā)動(dòng)的APTs(高級(jí)持續(xù)性威脅)是一個(gè)新興的攻擊類型。APTs會(huì)給企業(yè)和網(wǎng)絡(luò)帶來持續(xù)不斷的威脅,能夠發(fā)動(dòng)APTs攻擊的黑客,往往是一個(gè)有著良好紀(jì)律性的組織,作為一個(gè)專業(yè)團(tuán)隊(duì)集中進(jìn)行網(wǎng)絡(luò)活動(dòng)。通常情況下,他們將寶貴的知識(shí)產(chǎn)權(quán)、機(jī)密的項(xiàng)目說明、合同與專利信息作為竊取目標(biāo)。
發(fā)動(dòng)APT的黑客在一般情況下所使用的方法便是用網(wǎng)絡(luò)釣魚郵件或其他的技巧來欺騙用戶下載惡意軟件。但其最終目的往往是極其核心的信息。
因?yàn)锳PT黑客與普通黑客所用的技術(shù)不同,所以他們會(huì)留下不同的痕跡。在過去的十年里,我發(fā)現(xiàn)了若是出現(xiàn)下列5種信號(hào)的話,你的企業(yè)很有可能已經(jīng)遭到了APTs攻擊。在一個(gè)企業(yè)中,每個(gè)業(yè)務(wù)都有一個(gè)固定的、合法的活動(dòng)頻率,若其活動(dòng)頻率突然發(fā)生異變,說不定這部分業(yè)務(wù)正在被APT所利用。
APT信號(hào) NO.1:在晚上,日志登錄信息的暴增
APTs首先會(huì)攻陷一臺(tái)電腦,然后會(huì)迅速接管整個(gè)網(wǎng)絡(luò)大環(huán)境。通過讀取數(shù)據(jù)庫的身份認(rèn)證,竊取證書并反復(fù)利用這些權(quán)限,從而達(dá)到接管整個(gè)網(wǎng)絡(luò)的目的。他們了解哪些用戶(或者服務(wù))賬戶擁有更高的權(quán)限,有了這些特權(quán),他們就可以游走于網(wǎng)絡(luò)各方,危及企業(yè)的資產(chǎn)。因?yàn)楣粽叩纳顣r(shí)差與我們相反,所以通常情況下,日志中大量的登錄與注銷記錄的爆發(fā)都會(huì)發(fā)生在夜里。如果你突然發(fā)現(xiàn)日志的登錄注銷記錄突然大量出現(xiàn),而該時(shí)間段里,這些員工應(yīng)該是在家休息的,那么你就需要警惕了!
APT信號(hào) NO.2:廣泛的后門木馬
APT黑客經(jīng)常在開發(fā)環(huán)境中在被感染的電腦里面裝上后門木馬。他們這樣做是為了能夠確保隨時(shí)可以回來,即便是捕獲的日志認(rèn)證發(fā)生了改變,他們也能夠通過此后門得到線索與信息。另一個(gè)相關(guān)的特征:一旦行蹤暴露,APT黑客不會(huì)像普通攻擊者那樣馬上逃走擦凈痕跡,為什么會(huì)如此呢?他們?cè)谄髽I(yè)中操控了計(jì)算機(jī)等相關(guān)設(shè)備,而且只要他們本人不坦白,即使是走了法律流程,這些潛在的威脅也很難被發(fā)現(xiàn)。
這段時(shí)間以來,大多數(shù)被部署了木馬的企業(yè),均是被社會(huì)工程學(xué)的攻擊手段鉆了空子。這種攻擊手段相當(dāng)普遍,它們使APT攻擊的成功率提高了不少。
APT信號(hào) NO.3:意想不到的信息流動(dòng)
我能想到的,檢測(cè)APT活動(dòng)的最好方法是:看到大量意想不到的數(shù)據(jù)流從內(nèi)部計(jì)算機(jī)向外部流動(dòng)。有可能是從服務(wù)器流向服務(wù)器,也有可能是從服務(wù)器流向客戶端或是從網(wǎng)絡(luò)移動(dòng)到網(wǎng)絡(luò)。
這些數(shù)據(jù)流可能是有限的,但是卻具備非常強(qiáng)的針對(duì)性。比如會(huì)有些人專門收取一些國外發(fā)來的郵件。我希望每個(gè)郵件客戶端都能夠顯示最新的用戶登錄地點(diǎn)以及最后訪問的登錄地點(diǎn)。Gmail和其他一些云電子郵件系統(tǒng)已經(jīng)能夠?qū)崿F(xiàn)這一點(diǎn)。
當(dāng)然,為了更準(zhǔn)確地判斷APT攻擊,你必須能夠從數(shù)據(jù)流中判斷是否存有異常,那么現(xiàn)在就開始了解你的數(shù)據(jù)流基準(zhǔn)信息吧。
APT信號(hào) NO.4:發(fā)現(xiàn)意外的大數(shù)據(jù)包
APTs攻擊通常將竊取的信息在內(nèi)部進(jìn)行整合,然后再傳輸?shù)酵獠俊H绻l(fā)現(xiàn)大塊數(shù)據(jù)(這里指的是千兆字節(jié)的數(shù)據(jù))出現(xiàn)在不該出現(xiàn)的地方,特別是那種在企業(yè)內(nèi)部不常出現(xiàn)的壓縮格式,或是不需要壓縮的文件。發(fā)現(xiàn)這些數(shù)據(jù)后,你千萬需要小心了。
APT信號(hào) NO.5:檢測(cè)哈希傳遞(pass-the-hash)黑客工具
雖然APTs攻擊中不是總是使用哈希值傳遞工具,這個(gè)工具卻會(huì)經(jīng)常彈出。奇怪的是,黑客使用這個(gè)工具后,往往會(huì)忘記將其刪除。如果你發(fā)現(xiàn)了一個(gè)孤零零的哈希工具掛在那里,那他們肯定是有一點(diǎn)慌張了,或許至少可以證明他們確實(shí)是有所動(dòng)作,你應(yīng)該進(jìn)一步深入調(diào)查。
如果非要讓我總結(jié)出APT攻擊的第6個(gè)信號(hào)的話,那么我將會(huì)強(qiáng)烈反對(duì)企業(yè)使用變態(tài)的Adobe Acrobat PDF文件,因?yàn)樗且痿~叉式網(wǎng)絡(luò)釣魚活動(dòng)的重點(diǎn)。它是誘發(fā)APT攻擊的根源,我并沒有將其寫進(jìn)上面5個(gè)信號(hào)中,因?yàn)锳dobe Acrobat在任何地方都會(huì)被利用上。但是,如果你發(fā)現(xiàn)了一個(gè)魚叉式網(wǎng)絡(luò)釣魚攻擊,尤其是在一些高管不慎點(diǎn)擊了附加PDF文件后,你一定要開始著手尋找其他的攻擊特征。這很可能是APT攻擊的前奏。
話雖如此,但我希望你永遠(yuǎn)不需要面對(duì)APT攻擊,它是你和你的企業(yè)最難以做到的事情之一。預(yù)防和早期檢測(cè)將會(huì)減輕你的痛苦與壓力。
轉(zhuǎn)載自:http://netsecurity.51cto.com/art/201211/363040.htm
那些應(yīng)對(duì)APT攻擊的最新技術(shù)
網(wǎng)絡(luò)安全,尤其是Internet互聯(lián)網(wǎng)安全正在面臨前所未有的挑戰(zhàn),這主要就是來自于有組織、有特定目標(biāo)、持續(xù)時(shí)間極長的新型攻擊和威脅,國際上有的稱之為APT(Advanced Persistent Threat,高級(jí)持續(xù)性威脅)攻擊,或者稱之為“針對(duì)特定目標(biāo)的攻擊”。這些攻擊統(tǒng)稱為新型威脅。
新型威脅的綜合分析
APT攻擊主要呈現(xiàn)以下技術(shù)特點(diǎn):
1、 攻擊者的誘騙手段往往采用惡意網(wǎng)站,用釣魚的方式誘使目標(biāo)上鉤。而企業(yè)和組織目前的安全防御體系中對(duì)于惡意網(wǎng)站的識(shí)別能力還不夠,缺乏權(quán)威、全面的惡意網(wǎng)址庫,對(duì)于內(nèi)部員工訪問惡意網(wǎng)站的行為無法及時(shí)發(fā)現(xiàn);
2、 攻擊者也經(jīng)常采用惡意郵件的方式攻擊受害者,并且這些郵件都被包裝成合法的發(fā)件人。而企業(yè)和組織現(xiàn)有的郵件過濾系統(tǒng)大部分就是基于垃圾郵件地址庫的,顯然,這些合法郵件不在其列。再者,郵件附件中隱含的惡意代碼往往都是0day漏洞,傳統(tǒng)的郵件內(nèi)容分析也難以奏效;
3、 還有一些攻擊是直接通過對(duì)目標(biāo)公網(wǎng)網(wǎng)站的SQL注入方式實(shí)現(xiàn)的。很多企業(yè)和組織的網(wǎng)站在防范SQL注入攻擊方面缺乏防范;
4、 初始的網(wǎng)絡(luò)滲透往往使用利用0day漏洞的惡意代碼,而企業(yè)和組織目前的安全防御/檢測(cè)設(shè)備無法識(shí)別這些0day漏洞攻擊;
5、 在攻擊者控制受害機(jī)器的過程中,往往使用SSL連接,導(dǎo)致現(xiàn)有的大部分內(nèi)容檢測(cè)系統(tǒng)無法分析傳輸?shù)膬?nèi)容,同時(shí)也缺乏對(duì)于可疑連接的分析能力;
6、 攻擊者在持續(xù)不斷獲取受害企業(yè)和組織網(wǎng)絡(luò)中的重要數(shù)據(jù)的時(shí)候,一定會(huì)向外部傳輸數(shù)據(jù),這些數(shù)據(jù)往往都是壓縮、加密的,沒有明顯的指紋特征,這導(dǎo)致現(xiàn)有絕大部分基于特征庫匹配的檢測(cè)系統(tǒng)都失效了;
7、 還有的企業(yè)部署了內(nèi)網(wǎng)審計(jì)系統(tǒng)、日志分析系統(tǒng),甚至是安管平臺(tái),但是這些更高級(jí)的系統(tǒng)主要是從內(nèi)控與合規(guī)的角度來分析事件,而沒有真正形成對(duì)外部入侵的綜合分析。由于知識(shí)庫的缺乏,客戶無法從多個(gè)角度綜合分析安全事件,無法從攻擊行為的角度進(jìn)行整合,發(fā)現(xiàn)攻擊路徑。
因此,在APT這樣的新型威脅面前,大部分企業(yè)和組織的安全防御體系都失靈了。保障網(wǎng)絡(luò)安全亟需全新的思路和技術(shù)。
新型威脅的最新技術(shù)發(fā)展動(dòng)向
新型威脅自身也在不斷發(fā)展進(jìn)化,以適應(yīng)新的安全監(jiān)測(cè)、檢測(cè)與防御技術(shù)帶來的挑戰(zhàn)。以下簡要分析新型威脅采取的一些新技術(shù)。
精準(zhǔn)釣魚。精準(zhǔn)釣魚是一種精確制導(dǎo)的釣魚式攻擊,比普通的定向釣魚(spearphishing)更聚焦,只有在被攻擊者名單中的人才會(huì)看到這個(gè)釣魚網(wǎng)頁,其他人看到的則是404 error。也就是說,如果你不在名單之列,看不到釣魚網(wǎng)頁。如此一來,一方面攻擊的精準(zhǔn)度更高,另一方面也更加保密,安全專家更難進(jìn)行追蹤。
高級(jí)隱遁技術(shù)。高級(jí)隱遁技術(shù)是一種通過偽裝和/或修飾網(wǎng)絡(luò)攻擊以躲避信息安全系統(tǒng)的檢測(cè)和阻止的手段。高級(jí)隱遁技術(shù)是一系列規(guī)避安全檢測(cè)的技術(shù)的統(tǒng)稱,可以分為網(wǎng)絡(luò)隱遁和主機(jī)隱遁,而網(wǎng)絡(luò)隱遁又包括協(xié)議組合、字符變換、通訊加密、0day漏洞利用等技術(shù)。
沙箱逃避。新型的惡意代碼設(shè)計(jì)越來越精巧,想方設(shè)法逃避沙箱技術(shù)的檢測(cè)。例如有的惡意代碼只有在用戶鼠標(biāo)移動(dòng)的時(shí)候才會(huì)被執(zhí)行,從而使得很多自動(dòng)化執(zhí)行的沙箱沒法檢測(cè)到可疑行為。有的惡意代碼會(huì)設(shè)法欺騙虛擬機(jī),以逃避用虛擬機(jī)方式來執(zhí)行的沙箱。
新型威脅的應(yīng)對(duì)之策
一、總體思路
2012年8月,RSA發(fā)布了著名的報(bào)告——《當(dāng)APT成為主流》。報(bào)告提及了現(xiàn)在組織和企業(yè)中現(xiàn)有的安全防護(hù)體系存在一些缺陷,導(dǎo)致很難識(shí)別APT攻擊。現(xiàn)有的防護(hù)體系包括FW、AV、IDS/IPS、SIEM/SOC、CERT和組織結(jié)構(gòu),以及工作流程等等都存在不足。報(bào)告指出,應(yīng)對(duì)APT需要采取一種與以往不同的信息安全策略及方法。該方法更加注重對(duì)核心資產(chǎn)的保護(hù),以數(shù)據(jù)為中心,從檢測(cè)威脅的角度去分析日志,注重攻擊模式的發(fā)現(xiàn)和描述,從情報(bào)分析的高度來分析威脅。
報(bào)告提出了7條建議:
1、 進(jìn)行高級(jí)情報(bào)收集與分析。讓情報(bào)成為戰(zhàn)略的基石。
2、 建立智能監(jiān)測(cè)機(jī)制。知道要尋找什么,并建立信息安全與網(wǎng)絡(luò)監(jiān)控機(jī)制,以尋找所要尋找之物。
3、 重新分配訪問控制權(quán)。控制特權(quán)用戶的訪問。
4、 認(rèn)真開展有實(shí)效的用戶培訓(xùn)。培訓(xùn)用戶以識(shí)別社會(huì)工程攻擊,并迫使用戶承擔(dān)保證企業(yè)信息安全的個(gè)人責(zé)任。
5、 管理高管預(yù)期。確保最高管理層認(rèn)識(shí)到,抗擊高級(jí)持續(xù)性攻擊的本質(zhì)是與數(shù)字軍備競(jìng)賽戰(zhàn)斗。
6、 重新設(shè)計(jì)IT架構(gòu)。從扁平式網(wǎng)絡(luò)轉(zhuǎn)變?yōu)榉指羰骄W(wǎng)絡(luò),使攻擊者難以在網(wǎng)絡(luò)中四處游蕩,從而難以發(fā)現(xiàn)最寶貴的信息。
7、 參與情報(bào)交換。分享信息安全威脅情報(bào),利用其他企業(yè)積累的知識(shí)。
Verizon發(fā)布的《2013年數(shù)據(jù)破壞調(diào)查報(bào)告》中則更加簡明扼要的概括了應(yīng)對(duì)APT的最高原則——知己,更要知彼,強(qiáng)調(diào)真正的主動(dòng)安全是料敵先機(jī),核心就是對(duì)安全威脅情報(bào)的分析與分享。
二、技術(shù)手段分析
從具體的技術(shù)層面來說,為了應(yīng)對(duì)APT攻擊,新的技術(shù)也是層出不窮。
從監(jiān)測(cè)和檢測(cè)的角度,為了識(shí)別APT,可以從APT攻擊的各個(gè)環(huán)節(jié)進(jìn)行突破,任一環(huán)節(jié)能夠識(shí)別即可斷開整個(gè)鏈條。
根據(jù)APT攻擊過程,我們可以從防范釣魚攻擊、識(shí)別郵件中的惡意代碼、識(shí)別主機(jī)上的惡意代碼、識(shí)別僵尸網(wǎng)絡(luò)(C&C)通訊、監(jiān)測(cè)網(wǎng)絡(luò)數(shù)據(jù)滲出等多個(gè)環(huán)節(jié)入手。
而不論從哪個(gè)環(huán)節(jié)入手,都主要涉及以下幾類新型技術(shù)手段:
基于沙箱的惡意代碼檢測(cè)技術(shù)。要檢測(cè)惡意代碼,最具挑戰(zhàn)性的就是利用0day漏洞的惡意代碼。因?yàn)槭?day,就意味著沒有特征,傳統(tǒng)的惡意代碼檢測(cè)技術(shù)就此失效。沙箱技術(shù)通俗的講就是構(gòu)造一個(gè)模擬的執(zhí)行環(huán)境,讓可疑文件在這個(gè)模擬環(huán)境中運(yùn)行起來,通過可疑文件觸發(fā)的外在行為來判定是否是惡意代碼。
沙箱技術(shù)的模擬環(huán)境可以是真實(shí)的模擬環(huán)境,也可以是一個(gè)虛擬的模擬環(huán)境。而虛擬的模擬環(huán)境可以通過虛擬機(jī)技術(shù)來構(gòu)建,或者通過一個(gè)特制程序來虛擬。
基于異常的流量檢測(cè)技術(shù)。傳統(tǒng)的IDS都是基于特征(簽名)的技術(shù)去進(jìn)行DPI分析,有的也用到了一些簡單DFI分析技術(shù)。面對(duì)新型威脅,DFI技術(shù)的應(yīng)用需要進(jìn)一步深化。基于Flow,出現(xiàn)了一種基于異常的流量檢測(cè)技術(shù),通過建立流量行為輪廓和學(xué)習(xí)模型來識(shí)別流量異常,進(jìn)而識(shí)別0day攻擊、C&C通訊,以及信息滲出。本質(zhì)上,這是一種基于統(tǒng)計(jì)學(xué)和機(jī)器學(xué)習(xí)的技術(shù)。
全包捕獲與分析技術(shù)。應(yīng)對(duì)APT攻擊,需要做好最壞的打算。萬一沒有識(shí)別出攻擊并遭受了損失了怎么辦?對(duì)于某些情況,我們需要全包捕獲及分析技術(shù)(FPI)。借助天量的存儲(chǔ)空間和大數(shù)據(jù)分析(BDA)方法,FPI能夠抓取網(wǎng)絡(luò)中的特定場(chǎng)合下的全量數(shù)據(jù)報(bào)文并存儲(chǔ)起來,進(jìn)行歷史分析或者準(zhǔn)實(shí)時(shí)分析。通過內(nèi)建的高效索引機(jī)制及相關(guān)算法,協(xié)助分析師剖絲抽繭,定位問題。
信譽(yù)技術(shù)。信譽(yù)技術(shù)早已存在,在面對(duì)新型威脅的時(shí)候,它可以助其他檢測(cè)技術(shù)一臂之力。無論是WEB URL信譽(yù)庫、文件MD5碼庫、僵尸網(wǎng)絡(luò)地址庫,還是威脅情報(bào)庫,都是檢測(cè)新型威脅的有力武器。而信譽(yù)技術(shù)的關(guān)鍵在于信譽(yù)庫的構(gòu)建,這需要一個(gè)強(qiáng)有力的技術(shù)團(tuán)隊(duì)來維護(hù)。
綜合分析技術(shù)。所謂綜合分析,就是在前述所有技術(shù)之上的,并且涵蓋傳統(tǒng)檢測(cè)技術(shù)之上的,一個(gè)橫向貫穿的分析。我們已經(jīng)知道APT攻擊是一個(gè)過程,是一個(gè)組合,如果能夠?qū)PT攻擊最多環(huán)節(jié)的信息綜合到一起,有助于確認(rèn)一個(gè)APT攻擊行為。綜合分析技術(shù)要能夠從零散的攻擊事件背后透視出真正的持續(xù)攻擊行為,包括組合攻擊檢測(cè)技術(shù)、大時(shí)間跨度的攻擊行為分析技術(shù)、態(tài)勢(shì)分析技術(shù)、情境分析技術(shù),等等。
人的技能。最后,要實(shí)現(xiàn)對(duì)新型攻擊的防范,除了上述新的監(jiān)測(cè)/檢測(cè)技術(shù)之外,還需要依靠強(qiáng)有力的專業(yè)分析服務(wù)做支撐,通過專家團(tuán)隊(duì)和他們的最佳實(shí)踐,不斷充實(shí)安全知識(shí)庫,進(jìn)行即時(shí)的可疑代碼分析、滲透測(cè)試、漏洞驗(yàn)證,等等。安全專家的技能永遠(yuǎn)是任何技術(shù)都無法完全替代的。
apt檢測(cè)和防御方案分類
縱觀整個(gè)apt攻擊過程發(fā)現(xiàn),有幾個(gè)步驟是apt攻擊實(shí)施的關(guān)鍵,包括攻擊者通過惡意代碼對(duì)員工個(gè)人電腦進(jìn)行單點(diǎn)攻擊突破、攻擊者的內(nèi)部橫向滲透、通過構(gòu)建的控制通道獲取攻擊者指令,以及最后的敏感數(shù)據(jù)外傳等過程。當(dāng)前的apt攻擊檢測(cè)和防御方案其實(shí)都是圍繞這些步驟展開。
我們把本屆rsa大會(huì)上收集到的apt檢測(cè)和防御方案進(jìn)行了整理,根據(jù)它們所覆蓋的apt攻擊階段不同,將它們分為以下四類:
1、惡意代碼檢測(cè)類方案:
該類方案主要覆蓋apt攻擊過程中的單點(diǎn)攻擊突破階段,它是檢測(cè)apt攻擊過程中的惡意代碼傳播過程。大多數(shù)apt攻擊都是通過惡意代碼來攻擊員工個(gè)人電腦,從而來突破目標(biāo)網(wǎng)絡(luò)和系統(tǒng)防御措施的,因此,惡意代碼檢測(cè)對(duì)于檢測(cè)和防御apt攻擊至關(guān)重要。
2、主機(jī)應(yīng)用保護(hù)類方案:
該類方案主要覆蓋apt攻擊過程中的單點(diǎn)攻擊突破和數(shù)據(jù)收集上傳階段。不管攻擊者通過何種渠道向員工個(gè)人電腦發(fā)送惡意代碼,這個(gè)惡意代碼必須在員工個(gè)人電腦上執(zhí)行才能控制整個(gè)電腦。因此,如果能夠加強(qiáng)系統(tǒng)內(nèi)各主機(jī)節(jié)點(diǎn)的安全措施,確保員工個(gè)人電腦以及服務(wù)器的安全,則可以有效防御apt攻擊。
3、網(wǎng)絡(luò)入侵檢測(cè)類方案:
該類方案主要覆蓋apt攻擊過程中的控制通道構(gòu)建階段,通過在網(wǎng)絡(luò)邊界處部署入侵檢測(cè)系統(tǒng)來檢測(cè)apt攻擊的命令和控制通道。安全分析人員發(fā)現(xiàn),雖然apt攻擊所使用的惡意代碼變種多且升級(jí)頻繁,但惡意代碼所構(gòu)建的命令控制通道通信模式并不經(jīng)常變化,因此,可以采用傳統(tǒng)入侵檢測(cè)方法來檢測(cè)apt的命令控制通道。該類方案成功的關(guān)鍵是如何及時(shí)獲取到各apt攻擊手法的命令控制通道的檢測(cè)特征。
4、大數(shù)據(jù)分析檢測(cè)類方案:
該類方案并不重點(diǎn)檢測(cè)apt攻擊中的某個(gè)步驟,它覆蓋了整個(gè)apt攻擊過程。該類方案是一種網(wǎng)絡(luò)取證思路,它全面采集各網(wǎng)絡(luò)設(shè)備的原始流量以及各終端和服務(wù)器上的日志,然后進(jìn)行集中的海量數(shù)據(jù)存儲(chǔ)和深入分析,它可在發(fā)現(xiàn)apt攻擊的一點(diǎn)蛛絲馬跡后,通過全面分析這些海量數(shù)據(jù)來還原整個(gè)apt攻擊場(chǎng)景。大數(shù)據(jù)分析檢測(cè)方案因?yàn)樯婕昂A繑?shù)據(jù)處理,因此需要構(gòu)建大數(shù)據(jù)存儲(chǔ)和分析平臺(tái),比較典型的大數(shù)據(jù)分析平臺(tái)有hadoop
轉(zhuǎn)載自:http://www.youxia.org/2013/11/9946.html總結(jié)
- 上一篇: 堆排序的基本概念和基本思路
- 下一篇: 论文精读:Mask R-CNN