1.整理国内外2个影响较大的APT攻击案例,简述其步骤和过程:
Google极光攻击
2010年的Google Aurora(极光)攻击是一个十分著名的APT攻击。Google的一名雇员点击即时消息中的一条恶意链接,引发了一系列事件导致这个搜索引擎巨人的网络被渗入数月,并且造成各种系统的数据被窃取。这次攻击以Google和其它大约20家公司为目标,它是由一个有组织的网络犯罪团体精心策划的,目的是长时间地渗入这些企业的网络并窃取数据。
该攻击过程大致如下:
- 对Google的APT行动开始于刺探工作,特定的Google员工成为攻击者的目标。攻击者尽可能地收集信息,搜集该员工在Facebook、Twitter、linkedIn和其它社交网站上发布的信息。
- 接着攻击者利用一个动态DNS供应商来建立一个托管伪造照片网站的Web服务器。该Google员工收到来自信任的人发来的网络链接并且点击它,就进入了恶意网站。该恶意网站页面载入含有shellcode的Javascript程序码造成IE浏览器溢出,进而执行FTP下载程序,并从远端进一步抓了更多新的程序来执行(由于其中部分程序的编译环境路径名称带有Aurora字样,该攻击故此得名)。
- 接下来,攻击者通过SSL安全隧道与受害人机器建立了连接,持续监听并最终获得了该雇员访问Google服务器的帐号密码等信息。
- 最后,攻击者就使用该雇员的凭证成功渗透进入Google的邮件服务器,进而不断的获取特定Gmail账户的邮件内容信息。
夜龙攻击
夜龙攻击:McAfee在2011年2月发现一个针对全球能源公司的攻击行为。发表的报告称,5家西方跨国能源公司遭到来自中国黑客的有组织,有纪律切有针对性的攻击。超过千兆的字节的敏感文件被窃取,McAfee的报告称这次行动代号为“夜龙行动(Night Dragon)”,最早开始于2007年。
该攻击的攻击过程是:
- 外网主机如Web服务器遭攻击成功,多半是被SQL注入攻击;
- 被黑的Web服务器被作为跳板,对内网的其他服务器或PC进行扫描;
- 内网机器如AD服务器或开发人员电脑遭攻击成功,多半是被密码暴力破解;
- 被黑机器被植入恶意代码,多半被安装远端控制工具(RAT),传回大量机敏文件(WORD、PPT、PDF等等),包括所有会议记录与组织人事架构图;
- 更多内网机器遭入侵成功,多半为高阶主管点击了看似正常的邮件附件,却不知其中含有恶意代码。
2.总结现有主流的APT攻击检测和防御方法:
2.1 APT攻击检测方法
2.1.1恶意代码检测
识别攻击者发送的恶意代码,是识别APT攻击关键的一步。
(1)基于签名特征
了解攻击特征,提取攻击特征签名。对网络传输的数据包进行匹配后,可以准确、快速的检测到此类恶意文件的传输。
(2)基于漏洞特征
了解漏洞触发原理,提取漏洞触发的关键代码。一个漏洞特征可以识别所有利用该漏洞进行攻击的恶意代码。
(3)基于行为特征
上面两种检测方法是基于已知(Nday)攻击/漏洞的前提条件下进行针对性的防御。但攻击者利用未知(0day)漏洞开发恶意代码,则可以轻易绕过这些方法。
沙箱技术就是应对0day恶意代码提出的检测方法。它的原理就是构造一个模拟的执行环境,让可疑文件在这个模拟环境运行,通过观察文件行为来判定是否为恶意代码。
2.1.2异常流量检测
传统IDS是基于攻击特征签名的技术进行监控分析,它把流量与特征库签名进行比对,“匹配成功为非法,否则为正常”。面对APT攻击,IDS可以做一些优化。我们选择基于Netflow的流量监测技术来采集网络流量,建立流量行为和流量分布的数学模型,学习企业网络的“正常流量”,从而鉴别出“异常流量”,发现APT的攻击痕迹。
2.1.3信誉技术检测
在面对APT攻击的时候,可以借助信誉技术进行检测。建立恶意WEBURL库,C&C地址库,僵尸网络地址库,文件MD5代码库,都是识别APT攻击的有效辅助手段。
2.1.4关联分析检测
无论是恶意代码检测、异常流量检测、或是木马病毒告警,都只是单一安全设备的告警。APT攻击者会尝试多种路径和方法进行不断渗透入侵,单一设备的告警都是管中窥豹,无法判定是次普通攻击还是APT攻击。
我们必须建立一套覆盖传统检测技术,可以横向贯穿分析的系统。通过收集所有安全告警信息并进行关联分析,还原APT攻击的所有或者大部分入侵环节,有效区分普通攻击和APT攻击。
关联分析首先需要全面地收集安全信息(例如网络入侵检测、网络防火墙、WEB应用防火墙、内网审计系统、服务器日志、防病毒等);其次需要安全人员具有从零散的安全告警中拼凑出APT攻击链路的方法和经验,包括识别组合攻击、长时间跨度攻击、态势分析等技能,要求比较高。
2.2 APT攻击的防御
2.2.1 APT检测防御体系
目前,国内外研究者针对APT攻击特点,从不同视角提出了各具特色的APT攻击检测防御体系。趋势科技提出了演化的APT治理战略方案:1个中心、4个过程和6个抑制点,即以监控为中心,实现威胁可视化、策略下发、以及威胁情报共享;以侦测、分析、响应、阻止为4个治理过程,贯穿整个APT治理的生命周期;对应APT攻击过程的6个阶段分别建立抑制点,实现针对性极强的防御。
纵观现有APT攻击检测防御方案,可将其归纳为3类:1)基于攻击周期的防御方案;2)基于攻击源的防御方案;3)基于攻击载体的防御方案。
2.2.1.1 基于攻击周期的防御方案
由APT攻击周期可知,攻击是分阶段、按计划隐蔽地、逐步地推进。从攻防博弈的视角来看,如能围绕APT攻击周期建立多重防御体系,覆盖攻击的主要环节,则能有效地拦截攻击行为。
针对攻击前奏环节,通常使用诸如网络漏洞扫描、社工钓鱼电邮等技术,需要有针对性地在网络边界识别、检测此类攻击行为。
针对入侵实施环节所涉及的漏洞利用载体、木马病毒、敏感数据外泄等行为,需要在网络内部进行有针对性地识别与检测。
针对后续攻击环节所使用的主要技术,需要采用反Rootkit、日志对比等检测技术。
2.2.1.2 基于攻击信息源的防御方案
APT攻击的复杂性源于攻击路径、攻击载体、攻击类型和攻击信息的多源性。如果能从这4方面建立覆盖广泛的APT攻击检测防御体系,那么攻击者将无处下手。
从攻击路径的角度,在攻击前奏环节和入侵实施环节所产生的网络流量主要是从网络外部进入内部;而在植入恶意代码、命令与控制、提取渗透和后续攻击环节则包含双向网络流量。因此,如果能监测内部到外部的网络流量,则可发现入侵成功信息和可疑的被入侵主机等攻击信息。
从攻击载体的角度,攻击者所使用的攻击载体主要包括可执行代码、网址、社工邮件、即时通信等。如果能针对此类攻击载体进行特征码扫描检测,则可有效发现APT攻击信息。
从攻击类型的角度,攻击者所发起的攻击类型主要包括基于软件漏洞利用攻击和基于网络协议漏洞利用攻击。如果能覆盖这些攻击类型的检测,则可有效预警APT攻击。
从攻击信息的角度,攻击者会利用网络流量、隐遁技术、日志擦除等方法发起APT攻击。如果能检测此类攻击信息,则可发现更多可疑攻击点,及时预警APT攻击。
2.2.1.3 基于攻击载体的防御方案
APT攻击是利用先进的攻击手段对特定目标进行长期持续性网络攻击,是由一系列阶段与环节组成,且前呼后应、环环相扣,极具严密逻辑性和强大威胁性。因此,从攻防博弈角度,需要针对每个具体攻击载体点,采用基于数字签名、内容、行为、事件关联、全局数据等检测方法,建立多维度的防御机制,确保防御网络无死角。
基于数字签名的检测技术能快速识别已知威胁。基于内容的检测技术能发现导致威胁的内容或者可疑的内容。基于虚拟行为的检测技术可有效分析和判定相关威胁。基于事件关联的检测技术将有助于判定可疑内容事件与异常行为事件的威胁准确性和关联性。基于全局数据分析的检测技术能获取攻击的全局信息。
总之,全面而有效的APT攻击检测防御体系应该是由攻击周期、攻击信息源、攻击载体等所构成的多层次、全方位、立体的检测防御体系,从而能快速发现攻击特征、准确获取攻击痕迹、及时定位攻击源、有效阻止APT攻击对目标系统的渗透破坏。
2.2.1防御思路
传统安全技术对于APT攻击显得无能为力,当前对于APT攻击的主要解决思路如下:
1)基于未知文件行为检测的方法,这种方法一般通过使用沙箱技术对恶意程序进行模拟执行,通过对程序的行为分析和评估来判断未知文件是否存在恶意威胁l。
2)基于终端应用监控的方法,一般采用文件信誉与黑白名单技术在终端上检测应用和进程。
3)基于大数据分析的方法,通过网络取证,将大数据分析技术结合沙箱技术全面分析APT攻击。
2.2.2防御手段
在攻击准备阶段,通过IDS、IPS、Web应用防火墙等安全设备识别攻击者对企业外围设备、系统、应用的扫描行为;定期对企业系统、应用程序加固,对员工进行安全意识培训。在攻击阶段,合理配置内网安全设备安全策略,在不同区域间设置防火墙,在服务器、终端安装防病毒软件并及时更新特征库,加强系统的安全审计、系统账号管理等,提高攻击者渗透入侵难度。对重要信息、敏感信息,使用高强度加密算法,让攻击者无法识别和判断攻击目标。
在攻击收获阶段,对异常流量、加密流量加强监控,特别对于传出流量的识别和分析是检测APT攻击行为的有效途径。总体来说,合理利用安全设备,建立关联分析模型,实时分析安全告警,对APT攻击的每个关键环节都给予高度重视,主动发现和及时处理,是APT防御的关键所在。
2.2.3团队建设
要实现APT攻击的防御,必须培养专业的安全团队。通过借助厂商的最佳实践,不断完善安全知识库,进行实时代码分析、渗透测试、漏洞验证、系统修补、安全应急等等工作,建立一套完整的安全防御体系和专业团队。经验丰富的安全团队是任何技术无法取代的。
参考文献
[1]陆余良,张永,刘克胜,等.ARP协议在局域网类型探测中的应用.计算机工程,2004,30(1):199-201.
[2]王坚,梁海军.ARP欺骗原理及其防范策略的探讨.计算机与现代化,2008(2):99-101.
[3]李新明. ARP攻击的原理及解决方法.益阳职业技术学院学报,2006(4):18-19.
[4]秦丰林,段海新,郭汝廷. ARP欺骗的监测与防范技术综述.计算机应用研究, 2009:
[5]ISSAC B, MOHAMMED L A. Secure unicast address resolution protocol (S2UARP) by extending DHCP [ C ] / /Proc of the 13 th IEEE International Conference on Networks. 2005.
[6]陈伟斌,薛芳,任勤生. ARP欺骗攻击的整网解决方案研究[J].厦门大学学报:自然科学版, 2007, 46(S22): 1002103.
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)