【IT168 评论】近几年来,APT攻击已经成为业界研究和热议的话题。APT攻击以其独特的攻击方式和手段,使得传统的安全防御工具已无法进行有效的防御。那么,APT攻击的发展趋势是怎样的?业界对于防御APT攻击的研究又是怎样的进展?为此,我们采访了启明星辰威胁与技术研究中心安全研究部部门经理陈亘。
▲启明星辰威胁与技术研究中心安全研究部部门经理陈亘
APT攻击的六个步骤
APT攻击全称是高级可持续性威胁。这种攻击行为首先具有极强的隐蔽能力,通常是利用企业或机构网络中受信的应用程序漏洞来形成攻击者所需C&C网络;其次APT攻击具有很强的针对性,攻击触发之前通常需要收集大量关于用户业务流程和目标系统使用情况的精确信息,当然针对被攻击环境的各类0day收集更是必不可少的环节。陈亘表示,通常APT攻击的过程大概可以分为六个步骤:
1) 包括情报的收集,也叫侦查,就是黑客有针对性的搜集某个组织网络和系统情况,以及员工联系信息情况,比如email地址。信息搜集的方法也很多,由于APT攻击一般是从组织的员工入手,因此,它非常注意搜集组织员工的信息,他们可以查看员工的微博、博客,了解它的社会关系以及爱好,然后通过社会工程方法来攻击该员工,从而进入组织网络。
2) 攻击组织员工的个人电脑,采取的方法包括:1)社会工程学方法,比如,通过email发送恶意代码附件;2)远程漏洞攻击方法,比如在员工经常访问的网站上放置网页木马,最终的结果是,这些恶意代码或网页木马会在员工个人电脑上执行,从而感染了恶意代码,控制员工的电脑。
3) 命令和控制通道,被控制的员工电脑需要通过各种渠道和黑客控制者取得联系,以获得进一步的攻击指令。这点也是和僵尸网络的组织方式是一样的。这个命令控制通道目前多采用HTTP协议,以便于突破组织的防火墙网络,比较高级的恶意代码则采取HTTPS协议来传输数据。
4) 横向移动,就是说,攻击者首先攻陷的员工个人电脑并不是攻击者感兴趣的,它感兴趣的是组织中包含重要资产的服务器,因此,它将在攻击者的指令下进行横向移动,以攻陷更多的PC和服务器。采用的方法包括窃听获取口令、或者通过漏洞攻击获得权限。
5) 则是收集重要服务器上的数据资产,并打包,加密。
6) APT攻击最后一步,就是将打包好的数据通过某个数据泄密通道传输到外面。
由以上APT相关的攻击步骤,目前业界逐渐衍生出了集中检测思路:
1) 恶意代码检测思路,它是检测APT攻击的第二步,就是入口点,攻击者必须向员工发送恶意代码来攻击员工电脑,因此,恶意代码检测至关重要。很多做恶意代码检测的厂商就是从检测和防御恶意代码来制定APT攻击检测和防御方案的。
2) 主机应用保护思路,攻击者通过各种渠道发送给组织员工的恶意代码必须在员工的电脑上执行,因此,控制员工个人电脑的安全至关重要。主要思路是采用白名单方法控制主机上的应用程序的加载和执行情况,从而防止恶意代码在员工电脑上执行。
3)网络入侵检测思路,就是通过网络边界处的入侵检测系统来检测APT攻击网络的命令和控制通道。虽然APT攻击中的恶意代码变种很多,但是,恶意代码和攻击者网络通信的命令和控制通道的通信模式是不经常变化的,可以采用传统的基于特征的入侵检测方法来检测到这种APT通信通道。这种检测方法中,至关重要的一步是如何及时获得各种APT攻击的命令和控制通道的特征。
4) 数据防泄密思路,因为APT攻击最终的目标是要获取组织内部重要数据,因此,DLP技术应该也是一种很好的抵御APT攻击的额思路。
5) 大数据分析思路,并不集中检测APT攻击中的某一步,而是收集系统的所有终端、网络和服务器上的日志信息,进行集中分析,从而发现APT攻击,这是一种网络取证的思路,由于它可以覆盖APT攻击的各个阶段。
陈亘表示,“目前,前四个思路是APT检测中比较流行的,也谈不上哪种检测手段更好更有效,黑猫白猫抓到耗子就是好猫。不过个人感觉最后一个大数据分析思路应该是以后APT检测的发展趋势,因为它关注的是APT攻击的整个生命周期。”
陈亘谈到,“一个完整的APT攻击防护方案应该涵盖我上面说的APT攻击的各个阶段,在各个点都应该有所拦截,从最初的攻击个人员工PC,再到后面的与黑客服务器C&C连接,即使黑客攻击成功,也要保证最终敏感数据不会泄漏。”