概念
高級持續性威脅(Advanced Persistent Threat,APT),威脅著企業的數據安全。APT是黑客以竊取核心資料為目的,針對客戶所發動的網路攻擊和侵襲行為,是一種蓄謀已久的“惡意商業間諜威脅”。這種行為往往經過長期的經營與策劃,並具備高度的隱蔽性。APT的攻擊手法,在於隱匿自己,針對特定對象,長期、有計畫性和組織性地竊取數據,這種發生在數字空間的偷竊資料、蒐集情報的行為,就是一種“網路間諜”的行為。
入侵方式
APT入侵客戶的途徑多種多樣,主要包括以下幾個方面。
——以智慧型手機、平板電腦和USB等移動設備為目標和攻擊對象繼而入侵企業信息系統的方式。
——社交工程的惡意郵件是許多APT攻擊成功的關鍵因素之一,隨著社交工程攻擊手法的日益成熟,郵件幾乎真假難辨。從一些受到APT攻擊的大型企業可以發現,這些企業受到威脅的關鍵因素都與普通員工遭遇社交工程的惡意郵件有關。黑客剛一開始,就是針對某些特定員工傳送釣魚郵件,以此作為使用APT手法進行攻擊的源頭。
——利用防火牆、伺服器等系統漏洞繼而獲取訪問企業網路的有效憑證信息是使用APT攻擊的另一重要手段。
總之,高級持續性威脅(APT)正在通過一切方式,繞過基於代碼的傳統安全方案(如防病毒軟體、防火牆、IPS等),並更長時間地潛伏在系統中,讓傳統防禦體系難以偵測。
主要特徵
“潛伏性和持續性”是APT攻擊最大的威脅,其主要特徵包括以下內容。
——潛伏性:這些新型的攻擊和威脅可能在用戶環境中存在一年以上或更久,他們不斷收集各種信息,直到收集到重要情報。而這些發動APT攻擊的黑客目的往往不是為了在短時間內獲利,而是把“被控主機”當成跳板,持續搜尋,直到能徹底掌握所針對的目標人、事、物,所以這種APT攻擊模式, 實質上是一種“惡意商業間諜威脅”。
——持續性:由於APT攻擊具有持續性甚至長達數年的特徵,這讓企業的管理人員無從察覺。在此期間,這種“持續性”體現在攻擊者不斷嘗試的各種攻擊手段,以及滲透到網路內部後長期蟄伏。
——鎖定特定目標:針對特定政府或企業,長期進行有計畫性、組織性的竊取情報行為,針對被鎖定對象寄送幾可亂真的社交工程惡意郵件,如冒充客戶的來信,取得在計算機植入惡意軟體的第一個機會。
——安裝遠程控制工具:攻擊者建立一個類似殭屍網路Botnet的遠程控制架構,攻擊者會定期傳送有潛在價值檔案的副本給命令和控制伺服器(C&C Server)審查。將過濾後的敏感機密數據,利用加密的方式外傳。
攻擊方式
初始感染
初始感染:初始感染可以有以下三種方式:
1. 攻擊者傳送惡意軟體電子郵件給一個組織內部的收件人。例如,Cryptolocker就是一種感染方式,它也稱為勒索軟體,其攻擊目標是Windows個人電腦,會在看似正常的電子郵件附屬檔案中偽裝。一旦收件人打開附屬檔案,Cryptolocker就會在本地磁碟上加密檔案和映射網路磁碟。如果你不乖乖地交贖金,惡意軟體就會刪除加密密鑰,從而使你無法訪問自己的數據。
2. 攻擊者會感染一個組織中用戶經常通過DNS訪問的網站。著名的端到端戰網Gameover Zeus就是一個例子,一旦進入網路,它就能使用P2P通信去控制受感染的設備。
3. 攻擊者會通過一個直連物理連線感染網路,如感染病毒的隨身碟。
下載真實的APT
下載真實的APT:一旦進入組織內部,幾乎在所有的攻擊案例中,惡意軟體執行的第一個重要操作就是使用DNS從一個遠程伺服器上下載真實的APT。在成功實現惡意目標方面,真實的APT比初始感染要強大許多。
傳播和連回攻擊源
傳播和連回攻擊源:一旦下載和安裝之後,APT會禁用運行在已感染計算機上的反病毒軟體或類似軟體。不幸的是,這個操作並不難。然後,APT通常會收集一些基礎數據,然後使用DNS連線一個命令與控制伺服器,接收下一步的指令。
數據盜取
數據盜取:攻擊者可能在一次成功的APT中發現數量達到TB級的數據。在一些案例中,APT會通過接收指令的相同命令與控制伺服器接收數據。然而,通常這些中介伺服器的頻寬和存儲容量不足以在有限的時間範圍內傳輸完數據。此外,傳統數據還需要更多的步驟,而步驟越多就越容易被人發現。因此,APT通常會直接連線另一個伺服器,將它作為數據存儲伺服器,將所有盜取的數據上傳到這個伺服器中。最後這個階段一樣會使用DNS。
防範方式
使用威脅情報。這包括APT操作者的最新信息;從分析惡意軟體獲取的威脅情報;已知的C2網站;已知的不良域名、電子郵件地址、惡意電子郵件附屬檔案、電子郵件主題行;以及惡意連結和網站。威脅情報在進行商業銷售,並由行業網路安全組共享。企業必須確保情報的相關性和及時性。威脅情報被用來建立“絆網”來提醒你網路中的活動。
建立強大的出口規則。除網路流量(必須通過代理伺服器)外,阻止企業的所有出站流量,阻止所有數據共享。阻止SSH、FTP、Telnet或其他連線埠和協定離開網路。這可以打破惡意軟體到C2主機的通信信道,阻止未經授權的數據滲出網路。
收集強大的日誌分析。企業應該收集和分析對關鍵網路和主機的詳細日誌記錄以檢查異常行為。日誌應保留一段時間以便進行調查。還應該建立與威脅情報匹配的警報。
聘請安全分析師。安全分析師的作用是配合威脅情報、日誌分析以及提醒對APT的積極防禦。這個職位的關鍵是經驗。