APT(高級(jí)持續(xù)性威脅)是黑客以竊取核心資料為目的,針對(duì)企業(yè)發(fā)動(dòng)的網(wǎng)絡(luò)攻擊和侵襲行為。本文將探討APT的技術(shù)、設(shè)計(jì)及內(nèi)部工作機(jī)制。此外,文章將不同的攻擊階段與特定攻擊關(guān)聯(lián)起來(lái),看攻擊者如何滲透企業(yè),獲取其內(nèi)部數(shù)據(jù)、業(yè)務(wù)秘密、敏感的業(yè)務(wù)信息等。
APT的目標(biāo)是訪(fǎng)問(wèn)企業(yè)網(wǎng)絡(luò)、獲取數(shù)據(jù),并長(zhǎng)期地秘密監(jiān)視目標(biāo)計(jì)算機(jī)系統(tǒng)。許多研究人員認(rèn)為,所謂的“高級(jí)”是指攻擊者借助惡意軟件和已知漏洞等技術(shù),利用內(nèi)部系統(tǒng)的漏洞。而“連續(xù)”意味著外部的命令和控制系統(tǒng)持續(xù)不斷地監(jiān)視特定目標(biāo),并竊取數(shù)據(jù)。
APT使得到授權(quán)者獲得了網(wǎng)絡(luò)的訪(fǎng)問(wèn),并通過(guò)建立后門(mén)而可以長(zhǎng)期訪(fǎng)問(wèn)網(wǎng)絡(luò),并不斷地收集數(shù)據(jù)和向外發(fā)送知識(shí)產(chǎn)權(quán)等機(jī)密數(shù)據(jù)。
APT變得日益復(fù)雜。它通過(guò)繞過(guò)或摧毀傳統(tǒng)的安全措施而制造成本高昂的數(shù)據(jù)泄露事件。甚至在成功完成其使命后,APT仍賊心不死,繼續(xù)駐留,進(jìn)一步收集信息。而且,這種威脅很難檢測(cè)和清除,因?yàn)樗雌饋?lái)并不象是惡意軟件,卻深入到企業(yè)的計(jì)算系統(tǒng)中。此外,APT的設(shè)計(jì)者和發(fā)動(dòng)者為逃避檢測(cè)還會(huì)不斷地改變其代碼,從而持續(xù)地監(jiān)視和指引其活動(dòng)。
零日漏洞和網(wǎng)絡(luò)攻擊
許多APT與零日漏洞一直有千絲萬(wàn)縷的聯(lián)系,它往往利用零日漏洞對(duì)企業(yè)實(shí)施攻擊。去年,曾出現(xiàn)過(guò)一種可以利用IE的零日漏洞的攻擊,攻擊者將釣魚(yú)郵件發(fā)送給在國(guó)防、航天、能源、研究機(jī)構(gòu)中的目標(biāo)人員。這些釣魚(yú)郵件包含一個(gè)可以指向惡意網(wǎng)站(此網(wǎng)站管理著利用零日漏洞的代碼)的連接。
釣魚(yú)郵件的發(fā)送者還會(huì)將更多的消息發(fā)送給更廣泛的目標(biāo),試圖在補(bǔ)丁可用之前感染盡可能多的終端。攻擊者還會(huì)更新其電子郵件的模板和主題,保持其伎倆的“新鮮”,并借以逃避企業(yè)已經(jīng)部署的垃圾郵件檢測(cè)規(guī)則的檢查。
深入解剖APT
攻擊者對(duì)APT中的每一步可謂用心良苦,精心計(jì)劃和研究,其中的步驟包括:構(gòu)建企業(yè)IT基礎(chǔ)架構(gòu)的內(nèi)部設(shè)計(jì)圖、惡意軟件工程、社交工程攻擊、難以檢測(cè)的數(shù)據(jù)泄露等。
1.目標(biāo)選擇
高級(jí)持續(xù)威脅的首要一步是選擇目標(biāo)企業(yè),然后通過(guò)企業(yè)網(wǎng)站、雇員簡(jiǎn)歷、網(wǎng)站數(shù)據(jù)等,查找公司使用的可能存在漏洞的(或易于攻擊的)軟件和基礎(chǔ)架構(gòu)。還有的攻擊者會(huì)尋找“意外的受害者”,比如,黑客瘋狂查找Wi-Fi網(wǎng)絡(luò)有漏洞的企業(yè),并發(fā)現(xiàn)其攻擊目標(biāo)。
2.信息收集
知彼知己,百戰(zhàn)不殆。攻擊者全面地研究攻擊目標(biāo)的配置信息,構(gòu)建其IT系統(tǒng)的內(nèi)部設(shè)計(jì)圖,并查找可利用的漏洞,進(jìn)行全面滲透。他會(huì)搜集關(guān)于網(wǎng)站、網(wǎng)絡(luò)拓?fù)洹⒂颉?nèi)部DNS和DHCP服務(wù)器、內(nèi)部IP地址的范圍以及任何可利用其漏洞的端口或服務(wù)的細(xì)節(jié)。根據(jù)目標(biāo)不同,該過(guò)程可能會(huì)花費(fèi)不同的時(shí)間。大型企業(yè)可能在安全方面進(jìn)行更多投資,并建立多層防御。知識(shí)即力量,攻擊者獲得的目標(biāo)網(wǎng)站的信息越多,他實(shí)施滲透和部署惡意軟件的成功機(jī)率就越大。
3.確定侵入點(diǎn)
在收集了發(fā)動(dòng)攻擊的足夠信息后,攻擊者會(huì)縮小其利用漏洞的入侵范圍,并研究目標(biāo)企業(yè)的安全方案的防御機(jī)制,了解企業(yè)可能擁有的攻擊簽名。在多數(shù)情況下,攻擊者會(huì)向目標(biāo)公司的雇員發(fā)送郵件,誘騙其打開(kāi)惡意附件,或單擊一個(gè)偽造的URL,希望利用常見(jiàn)軟件(如Java或微軟的辦公軟件)中的零日漏洞,交付其惡意代碼。當(dāng)然,攻擊者還可以利用雇員使用的任何軟件的零日漏洞。
4.將惡意軟件植入到被控制的機(jī)器上
在攻擊者利用了雇員機(jī)器的漏洞之后,就會(huì)將惡意代碼植入到機(jī)器上,安裝后門(mén),實(shí)現(xiàn)對(duì)機(jī)器的完全訪(fǎng)問(wèn),例如,攻擊者最常安裝的就是遠(yuǎn)程管理工具。這些遠(yuǎn)程管理工具是以反向連接模式建立的,其目的就是允許從外部控制雇員電腦或服務(wù)器,即這些工具從位于中心的命令和控制服務(wù)器接受命令,然后執(zhí)行命令,而不是遠(yuǎn)程得到命令。這種連接方法使其更難以檢測(cè),因?yàn)楣蛦T的機(jī)器是主動(dòng)與命令和控制服務(wù)器通信而不是相反。
5.提升特權(quán)
攻擊者首先從受到損害的雇員電腦或用戶(hù)那里獲得訪(fǎng)問(wèn)憑據(jù),然后對(duì)目標(biāo)系統(tǒng)中的非管理用戶(hù)執(zhí)行特權(quán)提升,進(jìn)而訪(fǎng)問(wèn)關(guān)鍵的重要目標(biāo)(其中包括IT和非IT的特定服務(wù)器管理員)。
為獲得登錄憑據(jù),攻擊者會(huì)使用鍵盤(pán)記錄器、ARP欺騙、鉤子工具等。鉤子工具基本上都可以劫持與口令認(rèn)證有關(guān)的功能,而ARP欺騙工具會(huì)監(jiān)聽(tīng)數(shù)據(jù)包中兩個(gè)或多個(gè)系統(tǒng)之間的會(huì)話(huà)。例如中,Pwdump就是從Windows注冊(cè)表中獲得口令哈希的另一個(gè)工具。此外,攻擊者還可以利用其它的工具,如WCE(Windows憑據(jù)編輯器)、Mapiget、 Lslsass、 Gsecdump、 CacheDump等。
攻擊者還可以利用一種稱(chēng)為“哈希傳遞”的技術(shù),其中涉及使用哈希而不是明文口令,目的是為了進(jìn)行身份驗(yàn)證并取得更高級(jí)的訪(fǎng)問(wèn)。攻擊者還可以利用蠻力攻擊,即通過(guò)預(yù)定義的口令簡(jiǎn)單地猜測(cè)口令。
6.命令和控制通信
在進(jìn)入目標(biāo)企業(yè)之后,APT一般還會(huì)通過(guò)被感染系統(tǒng)和攻擊者的“遠(yuǎn)程命令和控制”通信來(lái)進(jìn)行遠(yuǎn)程配合。在整個(gè)攻擊過(guò)程中,攻擊者還會(huì)使用這個(gè)通道來(lái)打開(kāi)并操縱后門(mén)網(wǎng)絡(luò)的訪(fǎng)問(wèn),其目標(biāo)是發(fā)現(xiàn)并泄露其需要的數(shù)據(jù)。
命令和控制通信與僵尸網(wǎng)絡(luò)的通信不一樣,后者有海量的通信量到達(dá)成千上萬(wàn)的僵尸電腦,而前者的通信量很少,這使其更難以被發(fā)現(xiàn)。攻擊者還可以通過(guò)不斷地變換IP地址、通過(guò)代理服務(wù)器重定向通信等手段來(lái)使其無(wú)法被檢測(cè)到。命令和控制通信與正常的Web通信混合在一起,使用或欺騙合法的應(yīng)用或網(wǎng)站,如果沒(méi)有高級(jí)的本地網(wǎng)絡(luò)監(jiān)視,這種內(nèi)部命令和控制通信服務(wù)器是無(wú)法被檢測(cè)到的。
7.橫向遷移
如果攻擊者認(rèn)為自己可以在環(huán)境中駐留而不被檢測(cè)到,就會(huì)繼續(xù)以秘密方式存在。如果他們認(rèn)為自己面臨著被檢測(cè)到的風(fēng)險(xiǎn),“狡兔三窟”,就會(huì)快速移動(dòng)。橫向遷移往往伴隨著與偵察、憑據(jù)竊取、滲透其它計(jì)算機(jī)等有關(guān)的活動(dòng)。
遠(yuǎn)程控制工具可以使攻擊者訪(fǎng)問(wèn)網(wǎng)絡(luò)中的其它桌面,并在其它系統(tǒng)上實(shí)施諸如執(zhí)行程序、制定計(jì)劃任務(wù)、管理數(shù)據(jù)的收集等操作。用于此目的的工具和技術(shù)包括遠(yuǎn)程桌面工具、PsExec、WMI等。攻擊者通過(guò)這些操作和工具可以進(jìn)一步訪(fǎng)問(wèn)包含機(jī)密信息的企業(yè)服務(wù)器。
8.資源的發(fā)現(xiàn)和保持
有些技術(shù)(如端口掃描和網(wǎng)絡(luò)分析)可用于確認(rèn)重要的保存機(jī)密數(shù)據(jù)的服務(wù)器和服務(wù)。這種活動(dòng)中的有些工具包括netstat(一個(gè)通過(guò)活動(dòng)連接和開(kāi)放端口而獲得網(wǎng)絡(luò)連接信息的命令行工具)。這類(lèi)工具可用于確認(rèn)正在運(yùn)行的服務(wù),或者被控制的計(jì)算機(jī)能夠訪(fǎng)問(wèn)的內(nèi)部服務(wù)器。端口掃描工具可以檢查開(kāi)放的網(wǎng)絡(luò)端口,使攻擊者能夠在受控制的系統(tǒng)和攻擊者系統(tǒng)之間的建立一個(gè)隧道連接。端口掃描工具(如ZXPortMap和 ZXProxy 等)可用于創(chuàng)建隧道連接并繞過(guò)防火墻的保護(hù)。
9.數(shù)據(jù)偷運(yùn)
也就是將敏感數(shù)據(jù)從被攻擊的網(wǎng)絡(luò)非法傳輸?shù)接晒粽呖刂频耐獠肯到y(tǒng)。在發(fā)現(xiàn)有價(jià)值的數(shù)據(jù)后,APT攻擊者往往要將數(shù)據(jù)收集到一個(gè)文檔中,然后壓縮并加密該文檔。此操作可以使其隱藏內(nèi)容,防止遭受深度的數(shù)據(jù)包檢查和DLP技術(shù)的檢測(cè)和阻止,下一步驟就是要將數(shù)據(jù)從受害系統(tǒng)偷運(yùn)出去。
由于數(shù)據(jù)看似正常在進(jìn)出企業(yè)網(wǎng)絡(luò),數(shù)據(jù)的偷運(yùn)非常類(lèi)似于正常的網(wǎng)絡(luò)通信,這就使得IT安全團(tuán)隊(duì)對(duì)偷運(yùn)數(shù)據(jù)的檢測(cè)非常困難。在攻擊者收集了敏感信息后,數(shù)據(jù)就被傳輸?shù)揭慌_(tái)內(nèi)部的臨時(shí)服務(wù)器,并進(jìn)行壓縮和加密,然后傳輸?shù)接晒粽呖刂频耐獠俊9粽呤褂玫墓ぞ甙ǘ喾N類(lèi)型,如Lz77用于進(jìn)行壓縮以便于偷運(yùn)數(shù)據(jù),ZXProxy可用于重定向HTTP或HTTPS連接,LSB-Steganography可以將將文件嵌入到鏡像中,ZXPortMap(通信重定向工具,幫助攻擊者制造連接源頭的混亂),還有ZXHttpServer(一種易于部署的小巧的HTTP服務(wù)器)。所有這些工具都被復(fù)制到被控制的電腦上。
10.消滅罪證
在攻擊者完成其目標(biāo)后,就要關(guān)心如何消除其秘密操作的蹤跡。但攻擊者經(jīng)常會(huì)留下后門(mén),借以多次進(jìn)入系統(tǒng)并竊取機(jī)密數(shù)據(jù)。
如果攻擊目標(biāo)有了新的客戶(hù)記錄或最新的業(yè)務(wù)計(jì)劃,對(duì)攻擊者來(lái)說(shuō)將有很大的吸引力,其數(shù)據(jù)偷運(yùn)過(guò)程也會(huì)持續(xù)更長(zhǎng)的時(shí)間。
最后,攻擊者會(huì)停手,其原因往往是他完成了目標(biāo),或者受害者發(fā)現(xiàn)并切斷了攻擊。在竊取數(shù)據(jù)后,APT攻擊者會(huì)出賣(mài)數(shù)據(jù)、威脅被攻擊的公司、要求受害者支付贖金等。
結(jié)論
針對(duì)性攻擊可以成功地繞過(guò)傳統(tǒng)的安全防御,而許多IT專(zhuān)業(yè)人士相信其企業(yè)已經(jīng)成為了靶子。如今的APT采取了一種難以檢測(cè)的低姿態(tài)的慢速方法,但其成功的可能性卻更高了。攻擊者只需欺騙一個(gè)雇員打開(kāi)一個(gè)利用零日漏洞的惡意軟件,就不僅可以訪(fǎng)問(wèn)雇員的電腦,還有可能訪(fǎng)問(wèn)整個(gè)公司的網(wǎng)絡(luò)。
由上文的分析可以看出,應(yīng)對(duì)APT的強(qiáng)健防御機(jī)制必須擁有深度的檢測(cè)和分析功能。最后強(qiáng)調(diào)三點(diǎn):網(wǎng)絡(luò)管理者必須實(shí)施應(yīng)用程序的白名單功能,防止惡意軟件在雇員電腦上的安裝和使用。企業(yè)還必須利用SIEM工具來(lái)分析網(wǎng)絡(luò)日志,如果將來(lái)發(fā)生了數(shù)據(jù)泄露,管理員還可以借助工具進(jìn)行取證分析。
京公網(wǎng)安備 11010502049343號(hào)