近日,一份關于APT攻擊的報告顯示,在所有數據泄漏事件當中,黑客平均潛伏的天數長達 205 天。受害企業通常都有一個同樣的疑惑:“黑客是如何在我的網絡中長期躲藏而不被發現?”。亞信安全通過對APT攻擊長期的追蹤發現,黑客往往會精心選擇隱匿行蹤的技巧,而且擅長通過有組織的行動將攻擊分散開來,以躲避查殺。針對APT攻擊的特征,亞信安全建議企業用戶持續監察網絡內的異常流量,并格外小心“圖片”和“文檔”中的黑色代碼。
APT攻擊黑客團體特別擅長隱匿行蹤
在所有黑客攻擊行為當中,最有能力在企業網絡內部四處隱藏及游走的,就應該是APT攻擊。黑客團體有著組織性犯罪的顯著特征,而且特別擅長隱匿行蹤,他們通常會運用“零時差”漏洞進入網絡。其盜取的核心機密數據能夠在地下黑市為其換得高額回報,巨大的誘惑讓他們長期潛伏下來,并且持續滲透。
黑客團體的成員之間,有著統一的指揮通道并且分工明確,要緝拿這些行動背后的首腦相當困難,尤其是當他們躲藏在國外的時候。事實上,許多APT攻擊團體通常都有政府在背后支持。還有,即使我們可以從攻擊行動所使用的網址來追溯到某個地區,但該網址注冊的 DNS 和 IP 服務廠商通常也不愿配合國外的執法機關。正因如此,那些由政府在背后撐腰的黑客,就能一再發動惡意攻擊而不會遭到任何懲罰。嚴重的是,這些黑客團體還會被一些投機取巧、惡意競爭的企業,甚至是恐怖組織雇傭。在低風險、高報酬的條件下,他們會不斷從過去的失敗當中吸取教訓,并且每一次都比上一次的行動更加小心謹慎。
“如果我們還不能建立起有效的APT攻擊防御架構,任何一個組織都可能遇到數據泄漏的危險。管理員必須要熟悉黑客竊取數據的方法,掌握APT攻擊各個階段的特點,并且能夠針對APT攻擊鏈條建立有效的抑制點,在互聯網入口、內部交換層,都要配備更智能的過濾和分析機制,因為黑客正在把APT攻擊代碼寫進看似正常的圖片和文檔中。”亞信安全APT治理專家徐江明提醒:“企業用戶一定要關注APT攻擊的變化。我們的工程師已經發現了更糟糕的狀況,地下市場上隨處可見的惡意程序,以及卷土重來的宏病毒已經被APT攻擊者廣泛采用。”
APT攻擊“武器”正在升級
亞信安全的研究人員發現,當前地下市場上最精密的惡意軟件之一就是 Stegoloader,它可以將 C&C 通信隱藏在圖片當中。大多數的系統管理員都會被這樣的技巧所騙,因為他們習慣上只會在安全網關上攔截可以執行文件并進行分析,不會攔截圖片文件。但這些圖片一旦進入目標網絡之后,惡意軟件就會幫助黑客發揮“橫向移動”的能力。另外,Stegoloader采用了模塊化的設計可讓它在不同類型的終端之間移動,并且迅速發掘可竊取的數據類型及數量,進而判斷是否值得花時間來發動進一步攻擊。大多數的安全專家都認為 Stegoloader 是一種高級黑客用來從事長期攻擊行動的工具。
能夠騙過管理員和用戶的另外一個伎倆就是Office文檔,而這也是宏病毒藏身的地方。上世紀末最惡名昭彰的梅麗莎病毒(Melissa)出現之后,宏病毒貌似離開了人們的視線。但是,現在宏病毒強勢回歸,并成為了APT攻擊的慣用工具。例如:2014年出現的數據竊取軟件ZeuS,它通過啟用宏的Microsoft Word文件來進行散播。在同年11月還發現了DRIDEX(一個針對網絡銀行用戶的數據竊取軟件)采用相同的感染策略。緊隨其后的是ROVNIX、VAWTRAK、BARTALEX這些后門惡意軟件,黑客還加上自己的防御手段,他們或是對啟用宏的文件加上密碼保護來防止防毒軟件的查殺,或是開辟新方法來通過宏惡意軟件感染用戶。
找出APT攻擊的藏身之處
APT攻擊共有六個階段,這包括:情報收集、單點突破、命令與控制(C&C 通信)、橫向移動、資產/資料發掘、資料竊取。在黑客團體常常分工明確,每一階段由一組專門的黑客負責。另外,需要注意的不僅是在“單點突破”這個階段的惡意代碼,黑客在第四階段的“橫向移動”對于最后資料竊取階段的布局也至關重要。不斷地在不同終端之間移動,可以讓黑客完整掃描整個網絡,并且找到最珍貴的數據。
發現APT攻擊者在企業內部的藏身之處有一定的難度,但不是說企業就束手無策。相反,企業必須不斷提升自己的安全防護,并隨時掌握整個企業網絡的情況。亞信安全服務器深度安全防護系統(Deep Security)產品可提供 360度全方位掌握來偵測 APT,防范黑客竊取企業敏感信息。在今日的大環境下,黑客入侵已經是無可避免的事,因此盡可能降低黑客潛伏的時間,并且妥善保護核心的數字資產,這才是最重要的。
京公網安備 11010502049343號