飛速發展的IT技術使得信息安全業站在產業發展的風口浪尖,無論是云計算、物聯網,還是3G、移動互聯,IT技術在推動產品創新與變革的同時,各種安全問題也隨之而來。近日,與某友商技術大牛關于APT攻防的話題進行了一番爭論,故撰文一篇,科普關于APT攻擊的那些事。
自2010年Google承認遭受嚴重黑客攻擊之后,APT高級持續性威脅便成為信息安全圈子人盡皆知的“時髦名詞”,當然對于像Google、RSA、Comodo等深受其害的公司而言APT無疑是一場噩夢,噩夢的結果便是對現有安全防御體系的深入思考。
何為APT攻擊
APT(Advanced Persistent Threat)高級持續性威脅顧名思義,這種攻擊行為首先具有極強的隱蔽能力,通常是利用企業或機構網絡中受信的應用程序漏洞來形成攻擊者所需C&C網絡;其次APT攻擊具有很強的針對性,攻擊觸發之前通常需要收集大量關于用戶業務流程和目標系統使用情況的精確信息,情報收集的過程更是社工藝術的完美展現;當然針對被攻擊環境的各類0day收集更是必不可少的環節。
在已經發生的典型的APT攻擊中,攻擊者經常會針對性的進行為期幾個月甚至更長時間的潛心準備,熟悉用戶網絡壞境,搜集應用程序與業務流程中的安全隱患,定位關鍵信息的存儲位置與通信方式,整個驚心動魄的過程絕不遜于好萊塢巨制《偷天換日》。當一切的準備就緒,攻擊者所鎖定的重要信息便會從這條秘密通道悄無聲息的轉移。例如,在某臺服務器端成功部署Rootkit后,攻擊者便會通過精心構造的C&C網絡定期回送目標文件進行審查。
也許很多IT管理者認為APT攻擊這種長期而復雜的攻擊方式不可能幸運的發生在您所負責網絡中,但在西方先進國家APT攻擊已經成為國家網絡安全防御戰略的重要環節。例如,美國國防部的High Level網絡作戰原則中,明確指出針對APT攻擊行為的檢測與防御是整個風險管理鏈條中至關重要也是最基礎的組成部分。
對于APT攻擊我們需要高度重視,正如看似固若金湯的馬奇諾防線,德軍只是改變的作戰策略,法國人的整條防線便淪落成擺設,至于APT攻擊,任何疏忽大意都可能為信息系統帶來災難性的破壞。相信您迫切想了解傳統的網絡犯罪集團與APT攻擊行為到底有哪些異同,下面的表格或許能讓您找到答案。
不難看出APT攻擊更像一支配備了精良武器的特種部隊,這些尖端武器會讓用戶網絡環境中傳統的IPS/IDS、防火墻等安全網關失去應有的防御能力。無論是0day或者精心構造的惡意程序,傳統的機遇特征庫的被動防御體系都無法抵御定向攻擊的入侵。即便是業界熱議的NGFW,利用CA證書自身的缺陷也可讓受信的應用成為網絡入侵的短板。
典型的APT攻擊,通常會通過如下途徑入侵到您的網絡當中:
通過SQL注入等攻擊手段突破面向外網的Web Server;
通過被入侵的Web Server做跳板,對內網的其他服務器或桌面終端進行掃描,并為進一步入侵做準備;
通過密碼爆破或者發送欺詐郵件,獲取管理員帳號,并最終突破AD服務器或核心開發環境;
被攻擊者的私人郵箱自動發送郵件副本給攻擊者;
通過植入惡意軟件,如木馬、后門、Downloader等惡意軟件,回傳大量的敏感文件(WORD、PPT、PDF、CAD文件等);
通過高層主管郵件,發送帶有惡意程序的附件,誘騙員工點擊并入侵內網終端。
典型的APT攻擊流程
為什么Web Server會成為攻擊者發起APT攻擊起點?通常這里是公司郵件網絡的集散地,這也驗證了EMAIL電子郵件已淪為APT攻擊最重要的途徑之一,而且EMAIL中包含的各類重要信息更可能帶來意想不到的收獲。前面我們說到,攻擊者攻擊Web Server的主要目的是為了充當進一步入侵的跳板,因此針對EMAIL的攻擊行為通常會執行如下工作:
發送釣魚郵件:竊取用戶ID與密碼;
執行惡意腳本:掃描終端用戶使用環境,發掘可利用的攻擊資源;
植入惡意軟件:針對用戶環境中應用程序漏洞,注入惡意代碼,構建僵尸網絡。
在針對郵件系統的APT攻擊的過程中,攻擊者通常會利用各種辦公系統所支持的各類文檔0day,例如WORD、PDF、PPT等,越是頻繁使用的文檔,越有可能降低用戶安全意識。
如何防御APT攻擊
現在,相信博學淵博的您已經對APT攻擊有了基礎的認知,面對這種隨時隨地都可能發生的威脅,如何在長期的持續的威脅中實現滿足企業安全生產所必需的IT生產環境呢?下面我們就來看看如何有效抵御APT攻擊。
電影《角斗士》中,Maximus攻防兼備驍勇善戰,無論是面對野蠻兇殘的迦太基勇士,還是饑餓強壯的獅虎猛獸,Maximus總能憑借敏銳的洞察力和豐富的作戰經驗一一化解。對于APT攻擊的防范同樣需要深思熟慮,任何疏忽都可能讓您的安全壁壘坍塌。
對于傳統的攻擊行為,安全專家僅需關注惡意程序的樣本提取并做分析,便可以掌握攻擊者的動機及傳播渠道,但對于APT攻擊以點概面的安全檢測手段已顯得不合時宜。面對APT攻擊威脅,我們應當有一套更完善更主動更智能的安全防御體系。
必須承認APT攻擊的發起者有著超群的智慧和豐富的經驗,因此檢測APT攻擊就必須密切關注攻擊者所釋放的惡意代碼的每一個細節,包括功能、0day信息、命令與控制、社工手法、受害人、攻擊活動頻率等信息。理論上針對單一攻擊事件,安全人員可以快速定位攻擊源頭,并作出對應的安全防御策略,然而這些卻無法準確提取APT攻擊屬性與特征。因此,針對APT攻擊行為的檢測,需要構建一個多維度的安全模型,這里既有技術層面的檢測手段,也有包含深入產業鏈的動態分析追蹤。為此,金山在針對APT攻擊行為檢測方面注重從三方面入手:
靜態檢測方式
從攻擊樣本中提取攻擊特征與功能特性;
對攻擊樣本逆向分析;
動態檢測方式
模擬用戶環境,執行APT代碼段,捕獲并記錄APT攻擊的所有行為;
審計網絡中應用程序的帶寬占用情況;
APT攻擊溯源;
產業鏈跟蹤
實時跟蹤分析網絡犯罪團伙的最新動向。
多維度的安全防御體系,正如中醫理論中倡導的防患于未然思想,在威脅沒有發生前,為企業IT生產環境進行全面的安全體檢,充分掌握企業所面臨的安全風險。為實現針對APT攻擊防御的多維分析與審計模型,金山安全研發團隊從如下幾方面著手:
動態的安全分析
提取并審核執行文件體、Shellcode以及PE文件頭;
分析文件中的對象和異常結構
動態的安全分析
模擬系統環境安裝各類執行文件體;
實施掃描系統內存與CPU中資源異常調要;
檢測關鍵位置的代碼注入或各類API鉤子;
檢測任意已知的代碼分片;
檢測Rootkit、KeyLogger、Anti-AV等惡意程序;
檢測郵件、域、IP地址、URL中可疑的字符串。
APT防御利器,KingCloud私有云安全平臺
再好的解決方案,最終需要落地為產品和服務。金山KingCloud私有云安全系統著重實時掌控企業IT生產環境變化。豐富的終端運維經驗,金山能夠幫助IT運維管理人員構建滿足企業運維需求的終端安全基線,實現干凈可用的初始化環境,簡單方便的網絡環境檢測過程,無需管理員干預即可掌握整個網絡應用環境,一旦確認應用類型即可下發靈活的權限控制策略,極大的降低了管理員的管理門檻。
作為全新的企業IT運維級安全解決方案,金山私有云充分考慮終端資源濫用問題,細粒度的應用控制策略和低于10M的內存資源占用,確保了在現有的IT環境中最大限度的優化終端系統可用性。強大的云防御功能可以精確抵御各種非授權行為對網絡的破壞,管理員可根據用戶業務類型嚴格限定用戶的訪問權限和文件操作權限,無論是企業文件服務器、終端工作站、瘦客戶端、移動PC或者智能終端,金山KingCloud私有云安全系統都可發揮極佳的安全防御效果。
獨有的云修復功能,可在企業內網終端發生異常宕機或藍屏時,快速恢復系統初始狀態,為企業IT信息系統的安全穩定運營提供強大的運維保障。值得注意的是,金山KingCloud私有云可以幫助IT管理者實時掌控企業IT生產環境點滴變化,無論是受信軟件還是未知應用,企業生產環境關鍵位置上所產生的任意微笑變化都將第一時間上報企業IT管理。,之前提到的受害者郵箱自動轉發副本郵件給攻擊者,惡意腳本對用戶境的自動檢測等行為,都逃不脫金山私有云安全平臺的掌控,管理員只需針對惡意行為或文件進行統一策略下發,便可瞬間切斷隱藏在企業機構背后的黑手。
當然,今天的信息安全已不再是只靠產品解決方案便可衣食無憂的年代,企業機構內部員工安全意識培訓同樣必不可少。對于APT攻擊行為,控制用戶終端使用習慣提升安全操作意識,制定明確的信譽評估,甚是網內傳出數據與流量,了解安全威脅趨勢和合理的終端設備管理,都會幫助用有效降低APT攻擊的發生。在殺毒軟件已經成為企業安全防御的基本武器的同時,終端應用與事件的精確管控同樣必不可少。
今天當IT與日常生活工作結合的愈發緊密之時,安全的邊界已經從傳統的網關、終端延續到任何應用及業務可能到達的每一個節點,此時APT攻擊很可能就潛伏在您的身邊。,僅2011年就有多起嚴重的APT攻擊事件被媒體曝光,曾經可靠的CA證書隨時可能成為擺設,Comodo、DigiNotar、RSA、洛克希德馬丁每一起事件的發生都足以引起整個信息安全業界的思考,還有什么理由疏忽任何看似細小的威脅?
可以預見APT攻擊行為將在未來成為威脅政府、企業等重要信息系統的致命威脅,然而值得慶幸的是矛與盾的較量始終還在繼續,我們有理由相信正義終將戰勝邪惡。最后讓我們見證APT攻擊給今天信息安全帶來的改變:
西方先進國家已將APT防御議題提升到國家安全層級,這絕不僅僅造成數據泄露;
APT攻擊時代的來臨預示著定向攻擊將成為惡意軟件發展的新趨勢,傳統的蜜罐或蜜網將難以捕捉APT樣本;
針對APT攻擊防御手段,需要對整個信息安全環境有清晰的認知,只有形成及時的產業鏈情報收集,甚至全球安全動態跟蹤方有可能真正做到防患于未然;
落實信息安全管理策略,例如嚴格按照等級保護規范實施嚴格的系統隔離策略,制定嚴格的移動設備管理策略。
京公網安備 11010502049343號