AD
大数据时代的“网络炸弹”:谈APT攻击的隐秘力量TechWeb报道9月25日消息,在中国互联网安全大会(ISC2014)上,来自国家信息技术安全研究中心、特种技术检测处队长曹岳,以及360攻防实验室资深研究员刘健皓等安全专家,深度透析APT攻击,针对APT与国家间对抗、移动互联网中的APT攻击等内容发表主题演讲。
APT攻击的原理相对于其他攻击形式更为先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。
APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。
APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。
2010年,Google的一名雇员点击即时消息中的一条恶意链接,引发了一系列事件导致这个搜索引擎巨人的网络被渗入数月,并且造成各种系统的数据被窃取。这次攻击以Google和其它大约20家公司为目标,它是由一个有组织的网络犯罪团体精心策划的,目的是长时间地渗入这些企业的网络并窃取数据。
此次APT攻击,首先寻找特定的Google员工成为攻击者的目标。攻击者尽可能地收集信息,搜集该员工在Facebook、Twitter、LinkedIn和其它社交网站上发布的信息。接着攻击者利用一个动态DNS供应商来建立一个托管伪造照片网站的Web服务器。
利用这个伪造的web服务器,攻击者伪造成这位google员工所信任的人,并向他发送了恶意链接。Google员工点击这个未知的网络链接,就进入了恶意网站。该恶意网站页面载入含有shellcode的t程序码造成IE浏览器溢出,进而执行FTP下载程序,并从远端进一步抓了更多新的程序来执行下载。
攻击者通过SSL安全隧道与受害人机器建立了连接,持续监听并最终获得了该雇员访问Google服务器的帐号密码等信息。最后,攻击者就使用该雇员的凭证成功渗透进入Google的邮件服务器,进而不断的获取特定Gmail账户的邮件内容信息。
由以上的案列可以看出,APT攻击有极强的隐蔽性,对此可这样理解,APT攻击已经与被攻击对象的可信程序漏洞与业务系统漏洞进行了融合,在组织内部,这样的融合很难被发现。例如,对google的APT攻击中,攻击者利用一个动态DNS供应商来建立一个托管伪造照片网站的Web服务器,该Google员工收到来自信任的人发来的网络链接并且点击它,就进入了恶意网站。
此外,APT攻击是一种很有耐心的攻击形式,攻击和威胁可能在用户环境中存在一年以上,他们不断收集用户信息,直到收集到重要情报。他们往往不是为了在短时间内获利,而是把“被控主机”当成跳板,持续搜索,直到充分掌握目标对象的使用行为。所以这种攻击模式,本质上是一种“恶意商业间谍威胁”,因此具有很长的潜伏期和持续性。
纵观整个APT攻击过程发现,有几个步骤是APT攻击实施的关键,包括攻击者通过恶意代码对员工个人电脑进行单点攻击突破、攻击者的内部横向渗透、通过构建的控制通道获取攻击者指令,以及最后的敏感数据外传等过程。当前的APT攻击检测和防御方案其实都是围绕这些步骤展开。
例如,恶意代码检测类方案主要覆盖APT攻击过程中的单点攻击突破阶段,它是检测APT攻击过程中的恶意代码传播过程。大多数APT攻击都是通过恶意代码来攻击员工个人电脑,从而来突破目标网络和系统防御措施的,因此,恶意代码检测对于检测和防御APT攻击至关重要。
而主机应用保护类方案主要覆盖APT攻击过程中的单点攻击突破和数据收集上传阶段。不管攻击者通过何种渠道向员工个人电脑发送恶意代码,这个恶意代码必须在员工个人电脑上执行才能控制整个电脑。因此,如果能够加强系统内各主机节点的安全措施,确保员工个人电脑以及服务器的安全,则可以有效防御APT攻击。
目前,随着信息化和智能化的发展,APT攻击目标也呈现多元化趋势,涉及汽车、电器、家居等诸多行业。更加危险的是,这些新型的攻击和威胁主要就针对国家重要的基础设施和单位进行,包括能源、电力、金融、国防等关系到国计民生,或者是国家核心利益的网络基础设施。(然雨)
