网络安全攻防:APT攻击特点

一次性付费进群,长期免费索取资料。

回复公众号:微信群 可查看进群流程。

微信公众号:计算机与网络安全

ID:Computer-network

01 什么是APT攻击

APT(Advanced Persistent Threat)即高级持续性威胁,是一种周期较长、隐蔽性极强的攻击模式。攻击者精心策划,长期潜伏在目标网络中,搜集攻击目标的各种信息,如业务流程、系统运行状况等,伺机发动攻击,窃取目标核心资料。其中,攻击与被攻击方多数为政府、企业等组织,通常是出于商业或政治动机,目的是窃取商业机密,破坏竞争甚至是国家间的网络战争。
2010年6月,一种新型、复杂、特殊的网络攻击病毒——震网病毒(Stuxnet)在伊朗核电设施中被检测到,揭开了国家关键信息基础设施多年来被黑客攻击的谜团。震网病毒就是一个典型的APT例子。
APT的特点可用A、P、T这3个首字母来阐释。
A:Advanced(高级)APT攻击的方式较一般的黑客攻击要高明得多。攻击前一般会花费大量时间去搜集情报,如业务流程、系统的运行情况、系统的安全机制、使用的硬件和软件、停机维护的时间等。
P:Persistent(持续性)APT通常是一种蓄谋已久的攻击,和传统的黑客攻击不同,传统的黑客攻击通常是持续几个小时或几天,而APT攻击通常是以年计的,潜伏期可能就花费一年甚至更长的时间。
T:Threat(威胁)APT攻击针对的是特定对象,目的性非常明确,多数是大企业或政府组织,一般是为达到获取敏感信息的目的,但对被攻击者来说是一种巨大的威胁。
APT攻击生命周期较长,一般包括如下过程:
(1)确定攻击目标。
(2)试图入侵目标所在的系统环境(如发送钓鱼邮件)。
(3)搜集目标的相关信息。
(4)利用入侵的系统来访问目标网络。
(5)部署实现目标攻击所需的特定工具。
(6)隐藏攻击踪迹。
02 APT攻击危害
我国是APT攻击的重灾区,最严重的是北京和广州等地,攻击目标以科研教育、政府机构、能源企业为主。APT攻击关注的领域还包括军事系统、工业系统、商业系统、航天系统、交通系统等关键信息基础设施。
APT攻击的危害性极大,主要体现在以下两方面。
第一,APT攻击最终通常窃取目标的敏感信息和机密信息。它利用最先进的网络技术和社会工程学等方法,一步步入侵目标系统,不断搜集目标的敏感信息。同时,APT攻击的隐蔽性较好,窃取敏感数据的过程一般是长期的,攻击过程甚至可以持续多年,一旦APT攻击病毒被发现时其目标往往已被成功入侵。
第二,APT攻击的目标影响巨大。APT攻击的发起者一般都是政府组织或大企业,攻击目标也是同类对象。攻击主要针对国家重要基础设施和组织进行,包括能源、电力、金融、国防等关系到国计民生或国家核心利益的网络基础设施或相关领域的大型企业。因此,APT攻击的后果和影响通常是巨大的,伊朗的震网病毒就是一个典型的例子。
03 APT常用攻击手段
事实上,APT 并不聚焦新的攻击手法,而更像是一个网络攻击的活动。它不是单一类型的威胁,而是一种威胁的过程。因此,APT是长期、多阶段的攻击,下面介绍几种常用的攻击手段。
1. 水坑攻击(Watering Hole)
水坑攻击,顾名思义,就是在您每天的必经之路挖几个坑,等您踩下去。水坑攻击是APT常用的手段之一,通常以攻击低安全性目标来接近高安全性目标。攻击者会在攻击前搜集大量目标的信息,分析其网络活动的规律,寻找其经常访问的网站弱点,并事先攻击该网站,等待目标来访,伺机进行攻击。由于目标使用的系统环境多样、漏洞较多(如Flash、JRE、IE 等),使水坑攻击较易得手,且水坑攻击的隐蔽性较好,不易被发现。水坑攻击的一般过程如图1所示。
图1  水坑攻击一般过程
2. 路过式下载(Drive-by Download)
路过式下载就是在用户不知情的情况下,下载间谍软件、计算机病毒或任何恶意软件。被攻击的目标在访问一个网站、浏览电子邮件或是在单击一些欺骗性的弹出窗口时,可能就被安装了恶意软件。攻击过程如图2所示。
图2  路过式下载攻击过程
3. 网络钓鱼和鱼叉式网络钓鱼(Phishing and Spear Phishing)
钓鱼式攻击是指攻击者企图通过网络通信,伪装成一些知名的社交网站(如 Facebook和Weibo等)、政府组织(如法院和公安等)、机构(银行、保险、证券等)等来获取用户的敏感信息。在APT攻击中,攻击者为了入侵目标所在的系统,可能会对目标系统的员工进行钓鱼攻击,引导用户到 URL和页面布局与源头网站看起来几乎一样的钓鱼网站,欺骗用户输入敏感信息,达到信息窃取的目的。攻击过程如图3所示。
图3  钓鱼式攻击过程
鱼叉式网络钓鱼则是指专门针对特定对象的钓鱼式攻击。鱼叉式网络钓鱼通常会锁定一个目标,可能是某一个组织的某个员工。一般而言,攻击者首先会制作一封附带恶意代码的电子邮件,一旦攻击目标单击邮件,恶意代码就会被执行,攻击者相当于暗自建立了一条到达目标网络的链路,以便实施下一步攻击。普通钓鱼的终极目的一般就是获取用户的用户名和登录口令等敏感信息,但获取用户登入凭证等信息对鱼叉式网络钓鱼而言只是第一步,仅仅是攻击者进入目标网络的一种手段,随后将想方设法实施更大规模、更深层次、更具危害的攻击。因而,鱼叉式网络钓鱼常被应用于APT高级入侵。
4. 零日漏洞(Zero-day Exploit)
零日漏洞就是指还没有补丁的安全漏洞。攻击者在进入目标网络后,可轻易利用零日漏洞对目标进行攻击,轻松获取敏感数据。由于此漏洞较新,不易发现,并且没有补丁,所以危险性极高。APT攻击前期会搜集目标的各种信息,包括使用的软件环境,如JRE、Structs开发等,以便更有针对性地聚焦寻找零日漏洞,绕过系统部署的各种安全防护体系发动有效的破坏性攻击。
5. 社会工程学攻击
社会工程学通常是利用的处在社会环境中的人性弱点,以顺从被攻击者的意愿和满足被攻击者的欲望的方式,让人上当受骗的一些方法。上述提到的水坑攻击和网络钓鱼,以及电脑蠕虫、垃圾邮件等威胁得逞的前提条件,都是社会工程学在计算机安全领域的典型应用。随着人类生活物理环境和网络空间变得越来越交错融合,再加之人性的弱点无法避免,网络社会工程学攻击的危害也将越来越大。
04 APT攻击案例简析
1. 超级工厂病毒(Stuxnet)
超级工厂病毒,也就是我们熟知的震网病毒Stuxnet,于2009年6月首次被曝光,是首个针对工业控制系统的蠕虫病毒。2010年,震网病毒感染了伊朗核电站的主机并破坏了伊朗纳坦兹的核设施,最终迫使伊朗推迟了布什尔核电站的启动工作。Stuxnet 成功利用了Windows操作系统中至少4个漏洞(3个零日漏洞),为衍生的驱动程序伪造了有效的数字签名,通过一套完整的入侵步骤和传播流程,突破了工业局域网的安全隔离机制,最终可利用WinCC系统的2个漏洞,实施破坏性攻击。
Stuxnet攻击过程大致如下。
(1)感染工控系统外部主机。
(2)通过感染可移动存储设备对工控系统内部网络实现“摆渡”攻击,利用快捷方式文件解析漏洞(MS10-046),将病毒传播到内部网络。
(3)在内部网络中,通过快捷方式解析漏洞、RPC远程执行漏洞(MS08-067)、打印机后台程序服务漏洞(MS10-061),实现联网主机之间的传播。
(4)最终传播到安装WinCC系统的主机,实施进一步攻击。
2. 极光行动(Operation Aurora)
2009年12月,Google在内的20多家知名企业公开声称遭受了“精心策划且目标明确”的恶意网络攻击。该次攻击代号为“Aurora”(因部分恶意程序的编译环境路径名称带有Aurora字样),是一场典型的APT攻击。Aurora攻击者利用了IE的零日漏洞,攻击十分巧妙且难以觉察,并且还对恶意代码中采用的堆喷射技术应用了 JavaScript 混淆技术,攻击代码也有多个变种,使安全检测更困难。
Aurora攻击者使用了大量零日漏洞和鱼叉式网络钓鱼,并使用不同的二级域名作为跳板远程控制木马,攻击过程大致如下。
(1)信息搜集阶段。攻击者选择特定的Google员工作为入侵目标,尽可能地搜集信息,搜集该员工在网络中的具体操作,如在不同的社交网络中发布的信息等。
(2)钓鱼攻击阶段。攻击者利用一个动态 DNS 供应商建立了一个托管伪造照片的恶意网站。目标Google员工通过社工邮件单击链接,进入了该恶意网站。恶意网站页面载入包含Shellocode的JavaScript代码,造成IE浏览器溢出,进而执行FTP下载程序,以及执行其他远程服务器下载的程序。
(3)持续威胁阶段。攻击者通过SSL协议与目标主机建立安全连接,持续监听并最终获得了目标雇员访问Google服务器的账号密码等关键信息。
(4)渗透攻击阶段。攻击者使用目标雇员的凭证成功渗透进入Google邮件服务器,进一步攻破并不断获取特定Gmail账户的邮件内容信息。
(0)

相关推荐