一、什么是APT攻击
当今,网络系统面临着越来越严重的安全挑战,在众多的安全挑战中,一种具有组织性、特定目标以及长时间持续性的新型网络攻击日益猖獗,国际上常称之为APT(Advanced Persistent Threat高级持续性威胁)攻击。
APT攻击是一种以商业或者政治目的为前提的特定攻击,其通过一系列具有针对性的攻击行为以获取某个组织甚至国家的重要信息,特别是针对国家重要的基础设施和单位开展攻击,包括能源、电力、金融、国防等等。APT攻击常常采用多种攻击技术手段,包括一些最为先进的手段和社会工程学方法,并通过长时间持续性的网络渗透,一步步的获取内部网络权限,此后便长期潜伏在内部网络,不断地收集各种信息,直至窃取到重要情报。
对于APT攻击比较权威的定义是由美国国家标准与技术研究所( NIST)提出的,该定义给出了APT攻击的4个要素,具体如下。
(1)攻击者:拥有高水平专业知识和丰富资源的敌对方。
(2)攻击目的:破坏某组织的关键设施,或阻碍某项任务的正常进行。
(3)攻击手段:利用多种攻击方式,通过在目标基础设施上建立并扩展立足点来获取信息。
(4)攻击过程:在一个很长的时间段内潜伏并反复对目标进行攻击,同时适应安全系统的防御措施,通过保持高水平的交互来达到攻击目的。
二、APT攻击过程
一般APT攻击过程可概括为3个阶段:攻击前准备阶段、攻击入侵阶段和持续攻击阶段,又可细分为5个步骤:情报收集、防线突破、通道建立、横向渗透、信息收集及外传。
1.情报收集
在实施攻击之前,攻击者会针对特定组织的网络系统和相关员工展开大量的信息搜集。信息搜集方法多种多样,通常包括搜索引擎、爬网系统、网络隐蔽扫描、社会工程学方法等方式。信息来源包括相关员工的微博、博客、社交网站、公司网站,甚至通过某些渠道购买相关信息(如公司通讯录等)。攻击者通过对这些信息的分析,可以清晰地了解攻击目标所使用的应用、防御软件,组织内部架构和人员关系,核心资产存放情况等等。于是,攻击者针对特定目标(一般是内部员工)所使用的应用软件寻找漏洞,并结合特定目标所使用的杀毒软件、防火墙等设计特定木马/恶意代码以绕过防御。同时,攻击者搭建好入侵服务器,开展技术准备工作。
2.防线突破
攻击者在完成情报收集和技术准备后,开始采用木马/恶意代码攻击特定员工的个人电脑,攻击方法主要有:①社会工程学方法,如电子邮件攻击,攻击者窃取与特定员工有关系的人员(如领导、同事、朋友等)电子邮箱,冒充发件人给该员工发送带有恶意代码附件的邮件,一旦该员 工打开附件,员工电脑便感染了恶意软件。②远程漏洞攻击方法,如网站挂马攻击,攻击者在员工常访问的网站上放置木马,当员工再次访问该网站时,个人电脑便受到网页代码攻击。由于这些恶意软件针对的是系统未知漏洞并被特殊处理,因此现有的杀毒软件和防火墙均无法察觉,攻击者便能逐渐获取个人电脑权限,最后直至控制个人电脑。
3.通道建立
攻击者在突破防线并控制员工电脑后,在员工电脑与入侵服务器之间开始建立命令控制通道。通常,命令控制通道采用HTTP/HTTPS等协议构建,以突破电脑系统防火墙等安全设备。一旦攻击者完成通道建立,攻击者通过发送控制命令检查植入的恶意软件是否遭受查杀,并在恶意软件被安全软件检测到前,对恶意软件进行版本升级,以降低被发现的概率。
4.横向渗透
入侵和控制员工个人电脑并不是攻击者的最终目的,攻击者会采用口令窃听、漏洞攻击等多种渗透方法尝试进一步入侵组织内部更多的个人电脑和服务器,同时不断地提升自己的权限,以求控制更多的电脑和服务器,直至获得核心电脑和服务器的控制权。
5.信息收集及外传
攻击者常常长期潜伏,并不断实行网络内部横向渗透,通过端口扫描等方式获取服务器或设备上有价值的信息,针对个人电脑通过列表命令等方式获取文档列表信息等。攻击者会将内部某个服务器作为资料暂存的服务器,然后通过整理、压缩、加密、打包的方式,利用建立的隐蔽通信通道将信息进行外传。在获取这些信息后,攻击者会对这些信息数据进行分析识别,并做出最终的判断,甚至实施网络攻击破坏。
三、APT攻击和传统攻击的区别
APT攻击具有不同于传统网络攻击的5个显著特征:针对性强、组织严密、持续时间长、高隐蔽性和间接攻击。
1.针对性强
APT攻击的目标明确,多数为拥有丰富数据/知识产权的目标,所获取的数据通常为商业机密、国家安全数据、知识产权等。
相对于传统攻击的盗取个人信息,APT攻击只关注预先指定的目标,所有的攻击方法都只针对特定目标和特定系统,针对性较强。
2.组织严密
APT攻击成功可带来巨大的商业利益,因此攻击者通常以组织形式存在,由熟练黑客形成团体,分工协作,长期预谋策划后进行攻击。他们在经济和技术上都拥有充足的资源,具备长时间专注APT研究的条件和能力。
3.持续时间长
APT攻击具有较强的持续性,经过长期的准备与策划,攻击者通常在目标网络中潜伏几个月甚至几年,通过反复渗透,不断改进攻击路径和方法,发动持续攻击,如零日漏洞攻击等。
4.高隐蔽性
APT攻击根据目标的特点,能绕过目标所在网络的防御系统,极其隐藏地盗取数据或进行破坏。在信息收集阶段,攻击者常利用搜索引擎、高级爬虫和数据泄漏等持续渗透,使被攻击者很难察觉;在攻击阶段,基于对目标嗅探的结果,设计开发极具针对性的木马等恶意软件,绕过目标网络防御系统,隐蔽攻击。
5.间接攻击
APT攻击不同于传统网络攻击的直接攻击方式,通常利用第三方网站或服务器作跳板,布设恶意程序或木马向目标进行渗透攻击。恶意程序或木马潜伏于目标网络中,可由攻击者在远端进行遥控攻击,也可由被攻击者无意触发启动攻击。
对比内容 | 传统攻击 | APT攻击 |
---|---|---|
攻击者特征 | 个体或小组织网络犯罪分子 | 全球性、有组织、有纪律的不法团体、公司、敌对者 |
攻击目标 | 随机性选择攻击,通常以个体为主,以达到获取金钱、盗窃身份、欺诈等 | 特定攻击目标,通常针对国家安全信息、重要行业商业机密信息等 |
攻击手段 | 攻击手段比较单一,常基于已有的恶意软件展开攻击 | 攻击手段复杂,形式多样,结合0day攻击、特种木马攻击、社会工程学等展开攻击 |
攻击时间 | 攻击时间较短,以一次性、大范围攻击为主 | 攻击时间较长,长期潜伏、多次渗透攻击 |
攻击痕迹 | 攻击特性很强,容易在较短时间内被检测和捕获 | 攻击特征弱,比较隐蔽,缺少样本数据,很难被检测和捕获 |
四、如何防范APT攻击
随着人们对APT攻击的研究不断深入,已经出现一些有效的防御技术来对抗APT攻击,其核心思想大多是针对APT“攻击链”的某一步骤展开防御。这些技术主要包括:沙箱技术、信誉技术、异常流量分析技术、大数据分析技术等等。
1.沙箱技术
沙箱,又叫做沙盘,被认为是当前防御APT攻击的最有效技术之一。沙箱即是通过虚拟化技术形成一个模拟化的环境,同时将本地系统中的进程对象、内存、注册表等与模拟环境相互隔离,以便在这个虚拟化环境中测试和观察文件、访问等运行行为。沙箱通过重定向技术,将测试过程中生成和修改的文件定向到特定文件夹中,避免了对真是注册表、本地核心数据等的修改。当APT攻击在改虚拟环境发生时,可以及时地观察并分析其特征码,进一步防御其深入攻击。
2.信誉技术
安全信誉是对互联网资源和服务相关实体安全可信性的评估和看法。信誉技术是应用于APT攻击检测具有较好辅助功能的一项技术,通过建立信誉库,包括WEB URL信誉库、文件MD5码库、僵尸网络地址库、威胁情报库等,可以为新型病毒、木马等APT攻击的检测提供强有力的技术辅助支撑,实现网络安全设备对不良信誉资源的阻断或过滤。信誉库的充分利用,将进一步提高安全新品的安全防护能力。
3.主机漏洞防护技术
针对横向移动与内部资料进行挖掘和探测的防御,可采用主机漏洞防护技术,能侦测任何针对主机漏洞的攻击并加以拦截,进而保护未修补的主机。这类解决方案可实现档案 / 系统一致性监控,保护未套用修补程序的主机,防止已知和0day 漏洞攻击。
4.异常流量分析技术
这是一种流量检测及分析技术,其采用旁路接入方式提取流量信息,可以针对帧数、帧长、协议、端口、标识位、IP路由、物理路径、CPU/RAM消耗、宽带占用等进行监测,并基于时间、拓扑、节点等多种统计分析手段,建立流量行为轮廓和学习模型来识别流量异常情况,进而判断并识别0Day漏洞攻击等。
5.数据防泄漏技术(DLP)
针对资料外传的风险,一般可采用加密和资料外泄防护 (DLP)技术,将关键、敏感、机密的数据加密,是降低数据外泄风险的一种方法,DLP 可提供一层额外的防护来防止数据外泄。然而,这类工具通常很复杂,而且有些部署条件,例如:数据要分类,要定义政策和规则等。
6、大数据分析技术
APT攻击防御离不开大数据分析技术,无论是网络系统本身产生的大量日志数据,还是SOC安管平台产生的大量日志信息,均可以利用大数据分析技术进行大数据再分析,运用数据统计、数据挖掘、关联分析、态势分析等从记录的历史数据中发现APT攻击的痕迹,以弥补传统安全防御技术的不足。
我们熟知的APT防御产品主要针对的都是APT攻击链上的某个环节来展开防御,目前来说这是远远不够的。APT攻击防御应该是覆盖APT攻击所有环节,未来发展的趋势,是需要构建基于APT攻击链的多层次、多维度、多角度的纵深防御体系,如态势感知平台等。
博客:http://xiejava.ishareread.com/
关注微信公众号,一起学习、成长!