【IT168 评论】近几年来,APT攻击已经成为业界研究和热议的话题。APT攻击以其独特的攻击方式和手段,使得传统的安全防御工具已无法进行有效的防御。那么,APT攻击的发展趋势是怎样的?业界对于防御APT攻击的研究又是怎样的进展?为此,我们采访了启明星辰威胁与技术研究中心安全研究部部门经理陈亘。
▲启明星辰威胁与技术研究中心安全研究部部门经理陈亘
APT攻击的六个步骤
APT攻击全称是高级可持续性威胁。这种攻击行为首先具有极强的隐蔽能力,通常是利用企业或机构网络中受信的应用程序漏洞来形成攻击者所需C&C网络;其次APT攻击具有很强的针对性,攻击触发之前通常需要收集大量关于用户业务流程和目标系统使用情况的精确信息,当然针对被攻击环境的各类0day收集更是必不可少的环节。陈亘表示,通常APT攻击的过程大概可以分为六个步骤:
1) 包括情报的收集,也叫侦查,就是黑客有针对性的搜集某个组织网络和系统情况,以及员工联系信息情况,比如email地址。信息搜集的方法也很多,由于APT攻击一般是从组织的员工入手,因此,它非常注意搜集组织员工的信息,他们可以查看员工的微博、博客,了解它的社会关系以及爱好,然后通过社会工程方法来攻击该员工,从而进入组织网络。
2) 攻击组织员工的个人电脑,采取的方法包括:1)社会工程学方法,比如,通过email发送恶意代码附件;2)远程漏洞攻击方法,比如在员工经常访问的网站上放置网页木马,最终的结果是,这些恶意代码或网页木马会在员工个人电脑上执行,从而感染了恶意代码,控制员工的电脑。
3) 命令和控制通道,被控制的员工电脑需要通过各种渠道和黑客控制者取得联系,以获得进一步的攻击指令。这点也是和僵尸网络的组织方式是一样的。这个命令控制通道目前多采用HTTP协议,以便于突破组织的防火墙网络,比较高级的恶意代码则采取HTTPS协议来传输数据。
4) 横向移动,就是说,攻击者首先攻陷的员工个人电脑并不是攻击者感兴趣的,它感兴趣的是组织中包含重要资产的服务器,因此,它将在攻击者的指令下进行横向移动,以攻陷更多的PC和服务器。采用的方法包括窃听获取口令、或者通过漏洞攻击获得权限。
5) 则是收集重要服务器上的数据资产,并打包,加密。
6) APT攻击最后一步,就是将打包好的数据通过某个数据泄密通道传输到外面。
由以上APT相关的攻击步骤,目前业界逐渐衍生出了集中检测思路:
1) 恶意代码检测思路,它是检测APT攻击的第二步,就是入口点,攻击者必须向员工发送恶意代码来攻击员工电脑,因此,恶意代码检测至关重要。很多做恶意代码检测的厂商就是从检测和防御恶意代码来制定APT攻击检测和防御方案的。
2) 主机应用保护思路,攻击者通过各种渠道发送给组织员工的恶意代码必须在员工的电脑上执行,因此,控制员工个人电脑的安全至关重要。主要思路是采用白名单方法控制主机上的应用程序的加载和执行情况,从而防止恶意代码在员工电脑上执行。
3)网络入侵检测思路,就是通过网络边界处的入侵检测系统来检测APT攻击网络的命令和控制通道。虽然APT攻击中的恶意代码变种很多,但是,恶意代码和攻击者网络通信的命令和控制通道的通信模式是不经常变化的,可以采用传统的基于特征的入侵检测方法来检测到这种APT通信通道。这种检测方法中,至关重要的一步是如何及时获得各种APT攻击的命令和控制通道的特征。
4) 数据防泄密思路,因为APT攻击最终的目标是要获取组织内部重要数据,因此,DLP技术应该也是一种很好的抵御APT攻击的额思路。
5) 大数据分析思路,并不集中检测APT攻击中的某一步,而是收集系统的所有终端、网络和服务器上的日志信息,进行集中分析,从而发现APT攻击,这是一种网络取证的思路,由于它可以覆盖APT攻击的各个阶段。
陈亘表示,“目前,前四个思路是APT检测中比较流行的,也谈不上哪种检测手段更好更有效,黑猫白猫抓到耗子就是好猫。不过个人感觉最后一个大数据分析思路应该是以后APT检测的发展趋势,因为它关注的是APT攻击的整个生命周期。”
陈亘谈到,“一个完整的APT攻击防护方案应该涵盖我上面说的APT攻击的各个阶段,在各个点都应该有所拦截,从最初的攻击个人员工PC,再到后面的与黑客服务器C&C连接,即使黑客攻击成功,也要保证最终敏感数据不会泄漏。”
企业如何抗击APT攻击?
对于企业防范类似的APT攻击,要力争做到“进不来、出不去、看不懂、拿不走、跑不掉”。首先努力使恶意代码和非授权访问无法进入内部网络,即使主机被攻陷那也使得被攻陷主机无法与外界联系,攻击者获取的数据都是加密的,即使取得数据的访问权限也无法输送到外网,还要对攻击行为进行审计,可以追溯到攻击源。陈亘总结了防范APT攻击企业应该注意的几点:
1.防范社会工程,社会工程是利用人性的弱点针对人员进行的渗透过程。在企业的信息安全工程中,往往人是最大的弱点,因此提高人员的信息安全意识,是防止社工攻击的最基本的方法。比如可以定期对企业的员工进行安全培训,更要不定时对员工进行社会工程的测试。另外还要从制度上禁止企业员工个人信息以及与工作相关的信息被公布到社交网站上。
2.主机安全,比如员工PC的杀毒软件一定要统一管理,及时更新,另外一定要打全所有软件的补丁,包括各种文档类软件的补丁。
3.对垃圾邮件进行彻底检查,对可疑邮件中的URL 链接和附件应该做细致认真的检测。由于APT攻击很多都是利用0day漏洞,因此有些附件可能可以通过杀毒软件的扫描,但这不代表文件100%没有问题,对于垃圾邮件中的附件以及URL链接,最好的方法是在沙箱或者虚拟机中查看。防范可能的0day攻击。
4.数据层安全,对于企业内部的敏感数据来说一是要作权限管理,并且,重要机器上的用户认证必须经常更改。二是要做信息的加密,包括数据在端点上的加密以及数据在网络传输过程中的加密。
企业APT防护方案选型
陈亘表示,企业APT防护选型,要从以下两个方面入手:
1、管理手段:加强安全基础知识培训,如补丁、口令等知识。完善管理制度,并确定可执行的策略。
2、技术手段(产品部署):采用整合型产品,在保证检测率与检测性能的同时,减少故障点。对主机、网络、应用层的APT进行全方位防护。例如可以有一下几个方面:
▎恶意代码检测引擎:部署在互联网出口和核心交换机之间,实时监测有关恶意代码的威胁攻击。
▎终端安全管理系统:文件操作审计、打印管理、光驱刻录管理、IP地址管理、非法接入控制、非法外联管理、移动存储介质管理、资产管理、软硬件安装管理、文档加密。
▎安全管理平台系统:Windows/Linux服务器日志收集与分析;路由器、交换机、防火墙、IDS、IPS日志收集与分析;数据库操作日志收集与分析。
▎安全审计系统:telnet、SSH、Windows远程桌面、FTP、Oracle、MS SQL、MySQL、Informix、DB/2、Sybase等应用协议的认证、授权、审计、账号管理。
▎漏洞扫描系统:对网络设备、应用系统、Windows、Linux等的定期漏洞扫描。
▎网络入侵检测系统:采用旁路抓包方式,对整网流量进行监控,对内网的蠕虫、木马、病毒等攻击行为进行有效监控。
最后,陈亘谈到,“APT作为目前业界关注的热点,世界各国都已经将其提到了国家安全的层面,比如美国政府现在就在花大力气支持APT研究相关的公司(FireEye)。我们国家也成立了国家安全委员会,我相信类似的攻击防护也会列为国家安全的一个重要部分。我相信未来APT攻击防护市场前景是很广阔的,而且攻击防护技术也会更加全面。”