【IT168 编译】对企业的管理者和CSO们而言,高级可持续性威胁(APT)是他们的噩梦。对于APT攻击,企业很难做到阻止,应对这种攻击通常需要明确的响应和恢复计划,这样做的目的是减少损害和损失。因为一旦发现APT活动,这通常意味着已经为时已晚。在本文中,我们将和大家探讨APT攻击的全过程,让大家了解APT攻击,不在对它畏惧。
然而,安全专业人士知道当应对有针对性攻击时,需要使用不同的技术和战略,对于他们而言,这里还有战斗的机会。
攻击性质及特征分析
对于很多企业领导而言,APT侧重于单个攻击,使用高级攻击方法,以获取敏感信息或核心数据。攻击者获取信息后,就可以出售或使用这些信息来获得某种类型的(经济、社会、军事等方面)好处。在这种事件背后的参与者可能是进行间谍活动的国家,或者在重大产品发布会或并购之前想要占上风的商业竞争对手。
需要注意的是,在这种情况下商业竞争对手或是国家并不会直接攻击你,这些攻击者会攻击第三方,并利用他们来发起攻击和管理攻击活动。这也是APT攻击很难阻止的原因,企业可以抓到进行直接攻击的黑客并阻止他们,但找到攻击根源完全是另一回事。
另外,一些普通的网络罪犯也在使用这些用来发动APT攻击的方法,所以在大多数情况下,称他们为高级攻击并不恰当。此外,经常被人们用来描述APT攻击的零日漏洞利用能力,也不应该作为APT的明显特征。各种网络罪犯都在利用零日漏洞,因为这种工具能够带领他们实现更高程度的成功。
有针对性APT攻击和普通网络攻击之间的区别在于目的或是整体目标,而不是他们使用的工具、战略或程序。安全供应商可能不会苟同,但当你看看那些APT攻击和导致敏感记录或企业机密丢失而没有归类为APT的事件,区别在哪里?
APT活动背后的攻击者并不会使用网络巫术来实现他们的目标。他们利用基本攻击方法(例如社会工程、恶意软件、软件漏洞、web漏洞和公开课用的工具)来完成其攻击。他们与一般攻击者的区别是,他们有资金支持,并且有明确的任务目标。他们会尽一切力量来实现其目标,无论花多长时间。问题是,当涉及到安全性和防御部署时,很多企业没有太过重视,使他们轻松被命中。
APT相关的活动并不是攻击,它们是有针对性的持续活动。这些活动背后的操作者会花费大量时间和经历并制定详细计划,让他们不仅能够访问企业网络和数据,还能够保持其访问权限达数年之久。
在2009年,Lockheed Martin公司发布了一份关于APT防御的白皮书,其中介绍了这些高级攻击活动的特征,以及如何利用现有基础设施来打击这些活动。这份白皮书中写道:“由于传统的基于漏洞的做法并不够好,我们需要了解这种威胁本身、它的意图、能力以及操作模式。”
攻击前的"敌情"侦察
1、个人资料:人是最薄弱的环节
很多时候,导致企业受到攻击的信息通常是没有得到足够重视和保护的信息。这可能是电话号码、电子邮件目录表、文档中的元数据,以及企业高管的全名以及公司发展史等。
其中有些信息可以通过公共记录和网络搜索找到,但有时事实并非如此。公开的个人或企业的信息被称为开源情报(OSINT),因为任何人都可以免费公开地获取这些信息。问题是,对于大多数来说,来自单一来源的可用OSINT数量通常非常少。
由于这种稀缺性,很多网络罪犯会链接信息,即整合很多小数据直到获得完整信息。黑客组织Anonymous在发动攻击前,就是利用“dox”来收集关于个人或事物的信息,这些“dox”就是信息链。然而,不只是黑客和犯罪分子,安全专家也会采用这种做法,包括执法机构。
这些向公众提供的信息包括:业务报告、新闻报道、企业网站、社交媒体账户(个人和专业)以及来自商业伙伴的相关信息。
通过这些信息,攻击者将了解其攻击目标以及原因;更重要的是,他们将知道如何攻击这些目标,而不需要进行额外的背景研究。
谈到没有受到保护的数据,让我们先看看元数据。
2、元数据:进入企业的隐藏的钥匙
在这里,元数据是指嵌入在文档和图像中的信息。我们并不是在谈论美国国家安全局收集的元数据。大多数人都不知道他们上传到网上的图片不仅包含图像拍摄位置,而且还包含准确的时间戳,以及硬件信息。对于文档(从PDF到PPT)中的元数据,攻击者可以获取软件产品名称和版本、文档作者的名字、网络位置、IP地址等。
了解元数据是很重要的,因为在侦察阶段,攻击者收集的第一个信息是可公开获取的文档。以下是利用元数据的很好的例子。在2011年,有人代表Anonymous上传了1.2GB torrent文件,让很多人相信美国商会、美国立法交流委员会(ALEC)、公共政策麦基诺中心遭受了数据泄露。事后发现,这些机构的文档并没有被偷窃,只是使用FOCA收集的文档信息。
在属于美国商会的文档集中,有194个Word文档(.doc和.docx)、724个PDF文档、59个PPT文档(.ppt和.pptx)以及12个Excel文档(.xls 和 .xlsx)。 通过检查其中的元数据,发现了293个名称,其中大部分是网络ID。虽然只有23个电子邮件地址泄露,但其实攻击者可以轻松获取其他地址,因为很多美国商会人员的信息可以通过OSINT发现。这些元数据还包括文件夹路径以及本地系统路径和web服务器路径。还有共享网络打印器的位置和名称。
在软件方面,美国商会的数据中列出了超过100个软件名称。虽然很多软件产品是在创建文档时记录的名称,但鉴于很多企业仍然在使用传统软件,这也是攻击者的宝贵数据。
同样重要的是IP地址,以及确定企业在运行Windows XP、Windows Server 2000和Windows Server 2003。虽然有些数据没有更新,但大量这种信息可以作为攻击企业的起点。
FOCA可以帮助企业发现元数据,还有很多可用资源可帮助企业管理和删除元数据。
3、技术信息:入侵基础设施
虽然攻击者会使用OSINT来寻找潜在的线索,他们也会查看目标企业网站使用的应用程序和脚本。攻击者会探测目标企业的整个网络中的漏洞,应用程序和脚本并不是唯一的攻击面,它们只是最容易获取的线索。
如前所述,攻击者能够知道目标企业使用的软件类型,还有IP地址、web服务器规格(例如平台版本)、虚拟主机信息以及硬件类型。
平台版本号码可以帮助员工找出存在的漏洞,当对于硬件,这些信息可以用来定位默认登录信息。而对于脚本和网站开发,攻击者可以被动扫描裸机漏洞、跨站脚本、SQL注入和其他漏洞。
技术侦查的另一种途径是供应链。很多企业经常会公开其业务合作伙伴,这给攻击者提供了另一个可利用的线索。试想一下:如果代理商的账户被攻破,这将对你的企业有何影响?
有时候最好的办法就是简单的列出信息,下面是攻击者在侦察活动中可能寻找的信息:
OSINT数据
▍可下载文件
·这为攻击者提供了直接的信息以及收集元数据的机会
▍员工照片和企业活动照片
·这为攻击者提供了直接的信息以及收集元数据的机会
▍人员名单以及领导层信息
·了解谁是谁,并建立企业内部的关系
▍项目和产品数据
·当搜索攻击面和背景信息时很有用
▍B2B关系
·这种数据被用来建立供应链关系和销售渠道以便之后漏洞利用
▍员工的详细信息
·这包括社交媒体的个人和公共数据
▍软件数据
·目标企业内使用的软件类型
构建完整的个人资料
完整个人资料包括:全名、地址(过去和现在)、电话号码(个人和工作)、出生日期、社会安全号码、 ISP的数据(IP地址、提供商)、用户名、密码、公共记录数据(税收、信贷历史、法律记录)、爱好、最喜欢的餐馆、电影、书籍等等。
攻击者会试图收集所有这些信息,每次攻击活动需要的信息量都不同。然而,信息量越大,攻击者成功的几率就越大。
构建完整的技术资料
技术资料信息包括:网络地图、从元数据获取的技术详细信息、IP地址、可用硬件和软件信息、操作系统详细信息、平台开发数据和验证措施。
有了这些信息,攻击者可以利用个人资料数据并瞄准服务台。知道ID是如何创建的可以帮助攻击者了解电子邮件地址是如何创建,更方便地进行钓鱼攻击、猜测地址或初步沟通。攻击者还可以搜寻操作系统、第三方软件和平台数据的漏洞或默认访问。
数据收集资源:
在侦察阶段,这些网站被用来收集个人资料信息,每个新信息都会给攻击者带来更多可利用信息。社交媒体信息会提供名字和图片。
攻击者知道去哪里寻找数据。根据不同目标,攻击者会为信息或信息服务付款。然而,请注意,这并不是全面的资源清单,只是经常会提到的资源。
Google (www.google.com)
个人/企业搜索
这些网站提供了对个人用户、企业以及二者之间联系的公共信息。
Zoom Info (www.zoominfo.com)
PIPL (www.pipl.com)
Intelius (www.intelius.com)
Muckety (www.muckety.com)
其他搜索资源
Web Archive (www.archive.org)
GeoIP (www.geoiptool.com )
Robtex (www.robtex.com)
KnowEm (www.knowem.com)
ImageOps (http://imgops.com)
SHODAN (www.shodanhq.com)
整理收集的数据
在侦察阶段整理所有收集到的各种信息,推荐的工具是Maltego。Maltego是一个OSINT工具,黑客、执法机构和安全专家使用它来管理信息链。它提供对数据的可视化概览,能够帮助整理用户、组织、机构、网络信息之间的关联。
常见工具和软件
对于在侦察阶段攻击者使用的工具,通常很容易获得且易于操作,包括这些:
SQLMap (http://sqlmap.org)
BackTrack Linux (http://www.backtrack-linux.org)
Metasploit (http://metasploit.org)
4、总结
防止侦察几乎是不可能的。你可以缓解一些攻击,但互联网本身的性质意味着信息会以这种或那种形式存在,并且,最终将被攻击者发现。对于缓解措施,下面是需要考虑的事情。
监控日志记录和分析应用程序中异常下载流量高峰。
决不允许内部端口(内网)、文档或存储中心从网络外部访问。通过受限制IP或企业VPN以及ACL政策管理对这些资源的访问。此外,良好的IAM(身份和访问管理)也可以作为不错的防御。启用多因素身份验证,有效管理过时的账户和密码。
同样地,监控网络中的ICMP流量。此外,观察对网络子网的扫描。这很罕见,并且相当明显,但这确实会发生。对看似随意的端口进行检查。
对于OSINT,另一个防御技术是限制公开显示的信息量;包括电话簿、员工名单、过于具体的人员和领导介绍、项目计划、业务和渠道合作伙伴以及客户名单。
虽然这些数据并不是特别重要,但这些数据可以提供广泛的攻击面。如前所述,过滤元数据也是关键的缓解措施。然而,对这些数据的限制需要通过风险评估来确定,这需要所有业务领域的参与。
还要注意标语提取,这是攻击者了解企业技术缓解常用的易于使用的技术。在攻击者进行侦查后,下一个步骤将是武器化和交付。本系列的第二部分将研究这个方面以及解决办法。
攻击时的武器与手段
正如前面我们提到的,APT攻击和普通攻击之间的区别是目的,或者说背后操作者的具体目标,而不是工具、策略或流程。
一般的攻击主要依赖于数量,攻击者会成百上千次的发送相同的链接或是恶意软件,在大多数情况下,这个过程是自动化的,攻击者使用机器人或基于web脚本来推动攻击,如果攻击了大量的潜在受害者,那么攻击者可能获得已经获得了一半的成功。而APT攻击则会使用多个链接、不同类型的恶意软件,并控制攻击量,因此,APT攻击很难被传统的安全防御手段所发现。
1、启动攻击
在侦察阶段,攻击者会收集尽可能多的关于目标的信息,这些信息在攻击开始阶段将发挥重要作用。这些信息可以让攻击者能够设计和开发一个恶意有效载荷,并选择最好的方法来传送。
对于攻击工具包,有很多低成本的选择,并且还可以随后添加自定义模块或功能。这些工具可以托管在任何位置,但攻击者通常会将它们放在有着良好声誉的合法域名,利用路过式下载攻击。
水坑攻击通常采用两种攻击方式。一种方式是通过网络钓鱼电子邮件将目标带到攻击者的利用工具包。
另一种方式是瞄准共享资源。这些资源通常对于目标有着一定价值,并有良好的声誉。对于这种这种方式来说,攻击者没有直接瞄准目标,而是感染目标将要访问的网站,等着目标被感染。
我们需要了解水坑攻击和路过式下载攻击的区别,其中一种可用于发起一般攻击,而这种攻击很容易被发现,另一种则更加隐蔽。
攻击者还会利用零日漏洞,但并非总是如此。当使用零日漏洞时,主要原因是攻击者攻击目标实现概率增加。这些目标可能是安装Paid-Per-Install恶意软件、信息窃取、构建僵尸网络或间谍活动。然而,利用现有漏洞要比零日漏洞更加容易,因为企业和个人用户经常没有修复系统和第三方软件的漏洞。
回顾在侦察阶段,还有一些其他信息可能帮助攻击者展开攻击。假设攻击者发现可信业务合作伙伴网站中的漏洞,或者目标企业的漏洞,攻击将变得更加容易,因为攻击者既可以利用水坑攻击,也可以利用单一的可信资源。在这种情况下,SQL注入、跨站脚本(XSS)等常见漏洞都可以攻击者的切入点,默认或有漏洞的服务器配置同样如此。
此外,攻击者会将精力集中在容易实现的目标上,因此,内部开发的有漏洞的应用程序或添加到公司博客或内网的第三方脚本,都可能用来发动攻击。最后,如果目标企业使用的CMS或主机平台已经过时或未修复,这也会成为攻击的关注点。
2、选择目标
一旦攻击者确定了攻击向量(其中包括有漏洞的平台和攻击类型),他们将需要选择一个受害者。在很多情况下,受害者其实已经确定。但有时候,受害者是谁并不重要,攻击者会攻击尽可能多的目标以提高其成功率。假设受害者还没有选定,整体目标是一个企业,那么,来自侦察阶段的数据再次会变得有用。
请记住,攻击者首先会瞄准容易攻击的目标,企业内最容易的目标是服务台工作人员,或者提供支付服务的员工,例如客户服务代表或行政助理。因为这些人能够访问或联系企业内的其他人。在侦察阶段,攻击者能够获得这些人的信息,包括他们正在使用的软件和硬件类型、社交网络信息、公开的报告或其他工作、爱好或他们的个人信息。
企业内的其他人也可能成为目标,这主要是因为他们在企业内的访问权限和影响力。这些包括:首席执行官、首席财务官、IT部门、QA和开发团队、销售、营销和公共关系团队。
3、传送有效载荷
在建立有效载荷、选定攻击目标后,攻击者需要开始传送恶意载荷到目标,他们选择的传送方法包括:
1. 路过式下载攻击: 这种传送方法让攻击者可以瞄准更广泛的受害者。这是一般犯罪的常用方法,例如信息窃取恶意软件或僵尸网络构建恶意软件。犯罪工具包是典型的传送工具,因为它们可以利用多个漏洞。
任何具有可利用漏洞的网站都可能受这种攻击的影响。请记住,SQL注入攻击可用于访问存储数据,也可以访问感染数据库中的身份验证详细信息,进一步推动攻击。此外,跨站脚本和文件包含漏洞将让攻击蔓延。当恶意代码注入到网站,攻击者只需要等待受害者。在文件包含漏洞的情况下,如果攻击者获取对web服务器本身的控制,他们就可以攻击其他区域以及服务器上的数据。
注意: 这就是分离和保护网段的原因。这能够帮助降低数据泄漏期间连带效应的风险。如果对一个区域的访问允许访问所有其他区域,攻击者的工作就变得更加容易了。
2. 水坑攻击: 细粒度水坑攻击不同于一般攻击。虽然整个攻击活动可能让其他不相关的人成为受害者,攻击者对选定的一组人或特定人更感兴趣。
这种攻击的目标可能是开发人员、QA、IT或销售人员,因为这些人更可能使用论坛或其他社交环境来与同行交流或寻求协助。 SQL注入、文件包含和跨站脚本漏洞都将是主要切入点。如果攻击者可以控制直接绑定到目标网络的服务器,那么,攻击员工就成为了次要目标。
3. 网络钓鱼(一般): 一般网络钓鱼攻击会瞄准广泛受害者。攻击者可以通过这种方式散布大量恶意软件,既快速又便宜,而且不需要太费功夫。如果潜在受害者打开邮件附件,或者点击恶意链接,在有效载荷安装后,就说明攻击成功了。网络钓鱼被用来传播财务恶意软件,而一般恶意软件被用来窃取数据和构建僵尸网络,而这又被用来发送更多的垃圾邮件。
网络钓鱼活动中使用的电子邮件地址可能来自各种来源,包括在侦察阶段收集的数据,同时也可能来自数据库泄漏事故公开披露的数据。一般网络钓鱼的目的是玩数字游戏,如果攻击者发送恶意邮件到100万地址,而安装了1000个恶意软件,那么,这将被视为一个巨大的成功。
4. 网络钓鱼(重点): 重点网络钓鱼攻击,或者说鱼叉式网络钓鱼,工作原理与一般网络钓鱼攻击差不多,只是潜在受害者范围小得多。鱼叉式钓鱼攻击很适合于攻击一个人或者一个小组,因为在侦察阶段收集的数据能说服受害者做一些操作,例如打开恶意附件或点击链接。
鱼叉式网络钓鱼活动很难被发现,特别是对于被动的反垃圾邮件技术。鱼叉式网络钓鱼获得成功是因为,受害者相信邮件中包含的信息,而且大多数人都认为反垃圾邮件保护会抵御这种威胁。
4、总结
将APT攻击阻止在萌芽时期很关键,因为如果你能在这个阶段阻止攻击,那么,战斗已经赢了。然而,犯罪分子没有这么容易对付。除非你部署了分层防御措施,完全阻止这种攻击,说起来比做起来容易。下面我们看看抵御攻击的方法:
入侵检测系统(IDS)和入侵防御系统(IPS)是很好的保护层。然而,大多数只是部署了其中一个,而没有都部署,最好的办法就是同时部署这两者。
IDS产品提供了可视性,但只有当数据泄漏事故发生后才有效。如果企业能够即时对IDS警报采取行动,损失和损害可以得到缓解。在另一方面,IPS产品能够有效发现和识别已知攻击,但缺乏可视性。这两个解决方案的缺点是它们所依赖的签名。如果没有更新签名,你可能无法检测攻击者部署的最新攻击技术。
反病毒保护通常能够检测很多漏洞利用工具包安装的恶意软件。但单靠AV签名并没什么用,所有AV产品都需要依赖于签名保护。虽然AV供应商提供各种保护,包括白名单和基于主机的IDS,但这些功能需要启用和使用。
垃圾邮件过滤也是检测和阻止大部分攻击必不可少的方法,但企业不能只依赖反垃圾邮件保护。它们很容易出现误报,无法阻挡一切攻击,特别是当攻击者伪装成白名单中的域名时。
补丁管理是另一个关键保护层,因为它能够应对攻击者最强的工具之一—漏洞利用工具包。然而,修复操作系统并不够,还需要定期修复第三方软件。
最后,还需要安全意识培训。企业应该对用户进行培训来抵御最明显的威胁,包括网络钓鱼攻击。安全意识培训是持续的举措,能够直接解决企业面临的风险。
攻击时的漏洞利用
毫无疑问,如果让攻击者已经顺利进展到了这个阶段,问题已经很严重了,但是你仍然有机会。现在,攻击者已经传送了附有恶意附件的电子邮件,如果成功的话,攻击者将能够利用你企业使用的软件中的漏洞。而如果漏洞利用成功的话,你的系统将受到感染。然而,攻击者在攻破你的防御后,可能会制造一些动静。如果是这样,关于他们攻击方法和攻击类型的证据可能位于网络或系统日志中。另外,你的各种安全事件监控器中可能包含攻击的证据。
如果攻击者的漏洞利用没有被发现,你的胜算就会变的更小。据2013年Verizon数据泄漏调查显示,66%的数据泄漏保持几个月甚至更长时间都未被发现。即使泄漏事故被发现,也主要是因为无关的第三方曝光。
在漏洞利用后,攻击者需要建立一个立足点,也就是安装,也就大多数端点保护的关注点。攻击者通常是通过在感染主机上安装额外的工具来获得立足点。
攻击者可能从初始切入点进入网络中的其他系统或服务器。这种支点攻击(Pivoting)能够帮助攻击者完成其总体目标,并确保他们不被发现。
通常情况下,支点攻击的成功是因为对网络政策的漏洞利用,让攻击者能够直接访问一些系统,这样,他们就不需要利用另一个漏洞或恶意软件。
事件响应计划主要用来攻击者活动的安装阶段。因为防御措施已经失败,所以响应是唯一的选择了。然而,只有在检测到攻击,才可能进行事件响应。假设漏洞利用阶段没有被检测到,而攻击者成功安装恶意软件后,该怎么办?如果你幸运的话,你可以检测到一些攻击的证据,并利用它们来推动事件响应过程。
企业经常忽视感染指标(Indicators of Compromise,IOC),因为它们通常隐藏在海量日志记录数据中。没有人有时间读取数百或数千条数据,这也是为什么经常需要几个星期或几个月检测到数据泄漏事故的原因。
假设攻击者瞄准一名员工,并攻击了企业系统,为了检测到这种攻击,关键是寻找异常情况,寻找似乎格格不入的东西。
另一个例子是寻找随机的意想不到的DNS请求。攻击者往往会回调以利用其他工具,或者他们的有效载荷会发出外部请求。将DNS请求与已知恶意服务器、名声不好的IP地址列表进行匹配,这样做通常能够检测到攻击,因为漏洞利用阶段是攻击者可能制造动静的时期。
那么,对于水坑攻击呢?什么算是很好的IOC呢?这也将需要读取大量日志数据,但如果Web服务器日志充斥着500错误、权限错误或路径错误,问题就严重了。因为这可能意味着SQL注入和跨站脚本攻击等。或者,500错误也可能是良性的。但当它们与数据库错误同时出现,或者来自单个应用程序或资源,则可能意味着攻击。
同样地,观察404错误,看看这些错误是如何被触发。在很多情况下,web漏洞扫描仪或探测应用程序的机器人触发了这些事件。最后,如果你发现shell脚本(例如r57或c99),通常是因为你已经注意到了日志中的随机GET或POST请求,这是很明显的IOC。事实上,web服务器上的shell是最糟糕的发现,表明已经出现数据泄漏。因为shell意味着攻击者已经控制着一切。
在缓解措施方面,很多签名提到的保护层仍然适用。事实上,其中一些保护层很适合于漏洞利用阶段。例如,数据执行保护(DEP)可以很好地防止恶意软件在被感染主机上运行。
虽然攻击者可能能够传送恶意软件,当受害者尝试执行它时,DEP将会阻止它。然而,还有大量恶意软件变种和软件漏洞利用会瞄准DEP,所以你不能仅仅依靠这种保护。
白名单是另一个很好的缓解措施,但这种办法有可能拦截合法(白名单)应用程序,也就是说,白名单也不能作为防止漏洞利用的唯一来源。
反病毒控制(例如针对IP地址和软件的声誉检查)是很好的防御措施,因为大多数AV软件提供行为检测。但AV并不是完美的解决方案,如果漏洞利用阶段使用了未知的东西,AV可能会完全没用。基于主机的IDS同样是如此,但如果没有部署这些技术,情况会更糟。
最后,对操作系统和第三方程序保持软件更新和补丁修复,能够很好地防止漏洞利用,并且能够控制权限。最小特权原则是IT内经常忽视的工具,但这是个很好的工具。
这些缓解措施的重点是,它们都不能完全阻止漏洞利用和安装阶段,但如果结合使用,防止严重攻击的几率将会增加。
攻击时的命令和控制
攻击者已经完成了侦察、武器化和传送以及漏洞利用和安装阶段,现在的问题是,你是直接攻击目标还是为攻击者提供攻击机会?这个问题的答案将决定你如何应对C2阶段。
正如前面提到的,被动攻击(即你不是直接攻击目标)很被动。因此,当终端因为路过式下载攻击或恶意邮件附件被感染时,安装过程非常容易检测。但有时候路过式攻击会利用漏洞利用工具包,而这只需要很少的用户交付,也可能无法被检测。
前面的文章中也提到过,被动攻击活动主要取决于攻击量。当攻击者收集了身份验证和财务信息(一般攻击的主要目标)后,攻击者需要为每台感染主机建立一个C2通道。在这种情况下,没有变种和流量限制,只有对数千台感染主机的一个联系点。
C2阶段主要是关于通信,但要记住,C2阶段并不包括数据传输。C2阶段是建立通信通道,允许攻击者与外部沟通。
被动攻击是自动化的。自动化可以帮助攻击者实现攻击量,因为几乎不需要交互。然而,这种自动化意味着他们可能被发现。当企业内50个系统与相同未知主机通信,可能会被注意到。
有针对性的攻击则更具体,几乎没有自动化。攻击者将会发出命令,并使用特定的工具。有针对性攻击的所有活动都是有目的的,并会努力逃避侦察,尽量保持低调。
当你的企业沦为被动攻击受害者,攻击者使用的自动化工具无法逃避现有安全控制和缓解措施的检测,因为它们制造了太多动静。因此,企业应该尽快阻止这种攻击。
需要注意的是,被动攻击采用自动化方式是因为,这些攻击活动背后的操作者更侧重攻击量,而不是控制。如果他们的恶意软件或其他有效载荷被发现和阻止,这并没什么大不了,他们可以马上转移到其他受害者。
然而,如果企业沦为有针对性攻击的受害者,这意味着攻击者将会在企业内找到立足点,并会绕开安全控制或禁止安全控制来避免被发现。此外,攻击者还会试图建立后门程序到其他系统,创建更多切入点,以防其中一个切入点被发现。因此,在企业的事件响应计划中,一个很好的经验法则是,如果你看到一个后门程序,这意味着还潜伏着其他后门程序。
“坚实的”C2是指攻击者可以动态调整其程序,增加事件响应者手动检测的难度,甚至不可能。这也是数据泄漏事故很长时间才被发现的原因。
正如第三篇文章中所述,攻击者往往会回调以获取额外的工具,或使用有效载荷发出外部请求。这些感染指标能够清楚地揭示C2活动,因为与正常网络流量相比,这些有些异常。
因此,企业应该对比DNS请求和已知恶意服务器列表,或者过滤有着不良声誉的IP地址,以应对这种类型的流量。在漏洞利用和安装阶段后,C2阶段是攻击者少数制造动静的时期。然而,当这些流量被自动化检测标记时,则表明是被动攻击。
这样想,如果攻击活动背后的操作者在使用C2通道或者从已知恶意来源下载有效载荷,你的企业可能是攻击者的目标之一。在另一方面,有针对性攻击活动背后的操作者会谨慎避免被检测。他们会将C2流量隐藏在正常通信通道内。
在C2建立后,攻击者就成功了一半。一般被动攻击是自动化的,动静很大,并且会立即发动攻击,而有针对性攻击则会潜伏数天、数周甚至数月。因此,在C2阶段,流量监控是关键防御措施。如果能够结合前面提到的防御措施,你就建立了一个强有力的分层保护。
只要正确配置和维护(包括定期更新),IPS和IDS系统可作为第一层防御。然后,企业需要ACL规则来通过防火墙限制入站和出站连接。然而,还需要限制防火墙规则中例外的数量,并且需要对这些例外进行密切检测,或者在不需要时撤销。在有针对性攻击期间,你的安全规则和政策可能被用来针对你,特别是当它们过时或不受监管时。
最后,企业应该监控网络上流量的移动情况,更重要的是,监控移动到外部的流量。同时,关注红色标记的事件,例如修改HTTP表头,以及到未知IP地址或域名的连接。加密流量是被动攻击和有针对性攻击活动使用的常用技巧,在这种情况下,C2可能更难被发现,但也不是没有可能。你可以查找自签名证书和未经批准或非标准加密使用。
攻击后期的数据渗出
数据渗出是APT攻击的最后一步,如果攻击者完成这一步,你企业将面临巨大损失。在目标数据被确定后,这些数据将被复制并通过C2通道移出网络,或者可能被复制到网络中的另一区域,然后再被移出。从这一点来看,企业应该容易发现被动攻击和有针对性攻击。
正如前面提到的,被动攻击动静很大,分层防御措施很容易发现这种攻击。另一方面,有针对性攻击完全相反。
有针对性攻击活动背后的攻击者会尽可能保持低调,所以不可能出现大规模数据转储。在有针对性攻击中,我们会看到数据伪装成正常流量通过C2通道离开网络。
在前面C2文章中,我们谈到了机会攻击通常会利用有着不良声誉的通信信道。对于每个感染的主机,攻击者会使用了相同的容易识别的通道。
这种机会攻击会将数据渗出到其他国家的数据中心的服务器,当地法律可能没有禁止这种数据使用。在这些情况下,你不要指望ISP提供帮助。所以,如果你不阻止数据离开网络,即使你发现数据的渗出,这种信息从法律上看也没多大用处。
有针对性攻击会攻击合法服务器来存储数据。在很多情况下,受感染的服务器管理员可能不知道他们正在托管不属于自己的数据,而当他们意识到有什么不对劲时,攻击者已经早已离去。
在渗出阶段,最好的防御措施就是感知。你需要知道哪些数据进出你的网络,监控出站流量和入站流量都很重要。
DLP解决方案也可以用于应对渗出阶段。如果配置得到,DLP产品可以帮助监控网络流量,并控制流量。它们能够发现未经授权的加密,被动和有针对性攻击会利用加密来隐藏通信。还能够发现异常流量模式。
另外,监控用户账户活动也可以作为防御措施,有些合法账户可能出现异常活动。
在C2阶段使用的防御措施同样可用于渗出阶段,包括根据IP地址、IPS和IDS系统(可以调整为监控所有阶段的活动)以及应用防火墙规则(控制哪些程序允许发送流量到外部)阻止访问。这些规则还可以应用到工作站或网段。
假设你捕捉到渗出过程,日志记录将成为事件响应的关键资源,因为日志能够确定发生了什么、如何发生等。通常情况下,在被动或有针对性攻击中,确定攻击者是很重要的,但实际上这是不可能的,这个问题我们主要是靠猜测而不是事实。
无论采用何种防御措施,最好的办法是在事故发生前阻止事故。这正是澳大利亚信号理事会(ASD)的主要工作,其网络不断有攻击者试图访问敏感信息。ASD采用了四种防御措施,并指定它们作为其网络的强制性要求。这四个强制性措施包括:
1. 应用程序白名单
2. 第三方软件补丁管理
3. 操作系统补丁管理
4. 权限管理(限制使用域或本地管理员权限的用户数量)
在本系列文章的开始,我们探讨了有针对性攻击和被动攻击的目的的区别,以及这些攻击者的总体目标。工具、战略和程序并不重要。你的企业更有可能成为机会攻击的受害者,而不是受民族国际资助的有针对性攻击的受害者。
应对这两种攻击的最好办法就是分层防御。感知和可视性是快速反应以及减少损失的关键。虽然持续性攻击活动最终会成功,但我们可以提高攻击者的难度,以及减少损失。关键是要权衡风险,制定符合企业需求的安全计划,不要恐惧APT。
