网络安全 频道

专访趋势科技:全面解析APT攻击过程

  【IT168 评论】4月3日消息 日前,韩国多家大型银行及数家媒体相继受到黑客攻击,32000台计算机与服务器未能幸免,出现丢失画面的情况,有些电脑的显示屏上甚至出现骷髅头的图像以及来自名为“WhoIs”团体的警告信息,继而无法启动。然而,此攻击仅仅是韩国在同一时间遭受的多起攻击之一,甚至还导致很多企业业务运行出现中断,最终这些企业耗费4~5天时间才完全恢复业务。

专访趋势科技:全面解析APT攻击过程
▲趋势科技(中国区)产品经理蒋世琪

  针对此次典型的APT攻击事件,我们采访了趋势科技(中国区)产品经理蒋世琪。分析此次黑客攻击的手法,蒋世琪介绍到,“黑客首先利用社交工程邮件假冒银行发送主题为‘三月份信用卡交易明细’的钓鱼邮件传送恶意程序,从而侵入目标企业;第二步典型的水坑攻击(water hole attack),攻击者侵入攻击对象经常访问的合法网站或服务器后植入恶意程序,当用户访问了这些网站,就会遭受感染。在此次攻击,攻击者入侵了客户内部的安博士更新服务器,利用更新服务器下发恶意程序到终端,其中包括MBR修改木马;第三步就是自我毁灭,黑客设定该恶意程序在 2013 年3月20日同步爆发,当设定的时间到达之后,“TROJ_KILLMBR.SM”会复写MBR并且自动重启系统,让此次破坏行动生效。恶意程序会利用保存的登录信息尝试连接SunOS、AIX、HP-UX与其他Linux服务器,然后删除服务器上的MBR与文件。一旦爆发,企业电脑系统会完全瘫痪,必须逐一重装系统才能恢复。”

专访趋势科技:全面解析APT攻击过程
▲APT攻击流程图

  APT攻击过程全貌

  根据APT攻击行为的特点分析,趋势科技的研究人员将APT攻击分为如下几个阶段,它们是:情报收集、进入点、命令和控制(C&C)通讯、横向扩展、资产/数据发掘和数据窃取。

  通过对APT各阶段攻击的分析,IT团队可以了解到黑客对自己网络发动攻击时用到的战术和操作。这种分析有助于观察黑客从特定网络所发动攻击的行为,并结合内部系统存在的安全隐患,建立本地威胁防御体系和动态的安全策略,这是消除由同一伙黑客或是同一类型APT攻击的关键。

  第1阶段,情报收集:攻击者会锁定的公司和资源采用针对性APT攻击,通常将目标锁定到企业员工的身上作为开端,并通过社交工程攻击开启一连串攻击。而在调查数据中,只有31%的企业会惩处将公司机密资料贴到社区网站上的员工,这样使得黑客非常容易的就能获取到目标企业的IT环境和组织架构的重要信息。

  第2阶段,进入点:利用电子邮件、即时通信软件、社交网络或是应用程序漏洞找到进入目标网络的大门。一项研究指出,在87%的组织中,会有网络用户点击黑客安排的网络链接,这些恶意链接都是精心设计的APT社交工程的诱饵。

  第3阶段,命令与控制 (C&C 通信):APT攻击活动首先在目标网络中找出放有敏感信息的重要计算机。然后,APT攻击活动利用网络通信协议来与C&C服务器通讯,并确认入侵成功的计算机和C&C服务器间保持通讯。

  第4阶段,横向扩展:在目标网络中找出放有敏感信息的重要计算机,使用包括传递哈希值算法的技巧和工具,将攻击者权限提升到跟管理者一样,让他可以轻松的去访问和控制关键目标(如:公司的邮件服务器)。

  第5阶段,资产/资料发掘:为确保以后的数据窃取行动中会得到最有价值的数据,APT会长期低调的潜伏。这是APT长期潜伏不容易被发现的特点,来挖掘出最多的资料,而且在这个过程当中,通常不会是重复自动化的过程,而是会有人工的介入对数据做分析,以做最大化的利用。

  第6阶段,资料窃取:APT是一种高级的、狡猾的伎俩,高级黑客可以利用APT入侵网络、逃避“追捕”、悄无声息不被发现、随心所欲对泄露数据进行长期访问,最终挖掘到攻击者想要的资料信息。数据泄露的代价对公司业务和资金的损失是极其惨重的,比如RSA就花了六千六百万美金来补救因内部网络数据窃取事件所造成的伤害。

  蒋世琪谈到:“APT的攻击手法在于隐匿自己,针对特定对象,长期、有组织、有计划的窃取数据,这种发生在数字空间偷窃资料、搜集情报的行为类似于‘网络间谍’。正是由于APT的隐蔽性,把握其中的攻击规律就变得尤为重要。”

  2013年APT攻击趋势预测

  APT攻击是一个在时间上具备连续性的行为,其在2012年表现出来的特征会反映在我们对于2013年的预测中。基于这种判断,蒋世琪表示,在2013年,APT攻击将会变得越来越复杂,这并不仅仅表示攻击技术越来越强大,也意味着部署攻击的方式越来越灵活。以后,这类攻击将会具备更大的破坏能力,使得我们更难进行属性分析。

  第一、攻击将会更有针对性:越来越多的APT攻击将会针对特定的地区、特定的用户群体进行攻击。在此类攻击中,除非目标在语言设定、网段等条件上符合一定的标准,否则恶意软件不会运行。因此,在2013年我们将会看到越来越多的本地化攻击。

  第二、APT攻击将更有破坏性:在2013年,APT攻击将带有更多的破坏性质,无论这是它的主要目的,或是作为清理攻击者总计的手段,都很有可能成为时间性攻击的一部分,被运用在明确的目标上。

  第三、对攻击的判断将越来越困难:在APT攻击防范中,我们通常用简单的技术指标来判断攻击的动机和地理位置。但是到了2013年,我们将需要综合社会、政治、经济、技术等多重指标进行判断,以充分评估和分析目标攻击。但是,多重指标很容易导致判断出现失误,而且,攻击者还可能利用伪造技术指标来将怀疑对象转嫁到别人身上,大大提升了判断的难度。

2
相关文章