APT攻击技术与思考天融信.docx
《APT攻击技术与思考天融信.docx》由会员分享,可在线阅读,更多相关《APT攻击技术与思考天融信.docx(9页珍藏版)》请在冰豆网上搜索。
APT攻击技术与思考天融信
封面
作者:
PanHongliang
仅供个人学习
APT技术分析与思考-阳光
1什么是APT
1.1概述
IT技术的突飞猛进促使着云计算、物联网、移动互联网等成为ICT当前最重的要业务,深刻地普惠着人们的生活。
但与此同时,各种信息安全问题也随之而来,困扰甚至危及个人、企业及国家安全,使得信息安全产业“身份倍增”。
其中,近期的APT(AdvancedPersistentThreat)问题更是将信息安全产业推到风口浪尖上,“APT”也成为业界内的“时髦名词”。
究其原因,近几年世界各地发生了多起名噪一时的APT攻击事件,主要有:
Ø2010年1月,极光行动(OperationAurora)攻击GMail。
Ø2010年7月,震网(Stuxnet)攻击伊朗布什尔核电站。
Ø2011年3月,Comodo的数字签名被窃。
Ø2011年3月,EMC的RSASecurID技术数据遭窃。
Ø2011年4月,SonyPSN用户资料外泄。
Ø2011年5月,美国军火大厂洛克希德马丁(LockheedMartin)的被入侵。
Ø2011年5月,Gmail大量账号被入侵。
Ø2011年6月,CIA被入侵。
Ø2011年6月,Sega游戏公司被入侵,用户资料外泄。
Ø2011年6月,国际货币基金(IMF)被入侵。
Ø2011年7月,苹果公司(Apple)被入侵。
Ø2011年11月,日本总务省发现计算机遭木马入侵已三个月。
Ø2012年1月,亚马逊旗下美国电子商务网站Zappos遭到黑客网络攻击,2400万用户的电子邮件和密码等信息被窃取。
Ø2012年3月,东软集团被曝商业秘密外泄,约20名员工因涉嫌侵犯公司商业秘密被警方抓捕。
此次商业秘密外泄造成东软公司损失高达4000余万元人民币。
Ø2012年3月,央视3.15晚会曝光招商银行、中国工商银行、中国农业银行员工以一份十元到几十元的价格大肆兜售个人征信报告、银行卡信息,导致部分用户银行卡账号被盗。
Ø2012年5月,1号店90万用户信息被500元叫卖。
有媒体从90万全字段的用户信息资料上进行了用户信息验证,结果表明大部分用户数据属真实信息。
个人信息的泄露将会导致诈骗、勒索甚至威胁人身安全的事件发生频率增高,让人心悸。
Ø2012年7月,京东、雅虎、Linkedin和安卓论坛累计超过800万用户信息泄密,而且让人堪忧的是,部分网站的密码和用户名称是以未加密的方式储存在纯文字档案内,意味着所有人都可使用这些信息。
Ø2012年7月,三星电子员工向LGD泄密AMOLED技术被起诉。
Ø2012年8月,银行外包后台成泄密重灾区,江苏银行1个月卖千份客户资料。
同月,上海数十万条新生儿信息遭倒卖,出自市卫生局数据库外包维护工作人员。
Ø2012年9月,美国媒体报道:
有黑客组织声称破解了联邦调查局(FBI)主管的笔记本电脑,获得了1200万苹果iOS用户UDID、用户名、设备名称、设备类型、苹果推送通知服务记录、电话号码、地址、等重要内容。
Ø2012年11月,“三通一达”等多家快递公司客户信息遭贩卖。
快递单号的信息被大面积泄露,甚至衍生出多个专门交易快递单号信息的网站。
这些交易网站显示,被交易的快递单号来自包括申通、圆通、中通、韵达在内的多个快递公司,“淘单114”还写着“单号来源于各地快递员”。
要分析APT首先必须了解APT攻击与普通攻击有什么区别,其实在两者并无本质的区别,都是网络攻击行为,都包含攻击三要素即攻击目标、攻击目的、攻击过程,而前者相对于后者的特点体现在攻击三要素的总结就是“APT”,但不是“AdvancedPersistentThreat”而是“AdvancedPersistentTargeted”,即针对性地、高级地、持续性地攻击。
T:
攻击目标明确、攻击目的明确
攻击目标通常都具有深厚背景,包括可政治、经济、安全技术等,攻击目的通常都是窃取、控制、破坏攻击目标所掌握的重要资源,而这些资源肯定是攻击目标所重点保护的对象,因此决定了攻击过程的高难度性,体现在难以突破、难以隐蔽、难以定位。
P:
攻击过程时间长
由于攻击过程的高难度性决定了需要寻找机会进行纵向突破进入攻击目标网络,再进行横向摸索渗透,为了避免暴露攻击行为需隐匿在目标网络正常行为中,整个过程需要经历数月甚至数年。
A:
攻击手段高级
由于攻击过程的高难度性决定攻击手段的高级性,主要体现在人力、物力、财力以及技术代价。
例如,耗费大量人力、物力、财力进行情报搜集;利用社会工程学诱骗、利用0day漏洞或特种木马攻击、利用物理摆渡直接从内部发起攻击等;利用合法网络通道建立隐蔽信道。
1.2APT攻击典型案例
极光行动(2009-2010)
针对GOOGLE等三十多个高科技公司的极光攻击。
攻击者通过FACEBOOK上的好友分析,锁定了GOOGLE公司的一个员工和他的一个喜欢摄影的电脑小白好友。
攻击者入侵并控制了电脑小白好友的电脑,然后伪造了一个照片服务器,上面放置了IE的0DAY攻击代码,以电脑小白的身份给GOOGLE员工发送IM消息邀请他来看最新的照片,其实URL指向了这个IE0DAY的页面。
GOOGLE的员工相信之后打开了这个页面然后中招,攻击者利用GOOGLE这个员工的身份在内网内持续渗透,直到获得了GMAIL系统中很多敏感用户的访问权限。
窃取了MAIL系统中的敏感信息后,攻击者通过合法加密信道将数据传出。
事后调查,不止是GOOGLE中招了,三十多家美国高科技公司都被这一APT攻击搞定,甚至包括赛门铁克这样的安全厂商。
1.3APT攻击过程
1.定向情报搜集
所谓知己知彼百战不殆,攻击过程的首要步骤就是了解攻击目标,主要对象为攻击目组织的网络系统和员工信息、主要途径是现实生活世界和虚拟网络世界、主要方法包括网络隐蔽扫描和社会工程学方法等。
从目前所发现的APT攻击手法来看,大多数APT攻击都是从组织员工入手,因此攻击者非常注意搜集组织员工的信息,包括员工的微博、博客等,以便了解他们的社会关系及其爱好,然后通过社会工程方法来攻击该员工电脑,从而进入目标组织网络。
2.纵向攻击突破
攻击者在掌握了攻击目标的足够情报之后,就开始尝试找到突破口进入目标组织网络。
突破的途径包括外部(外部渗透攻击或者外部诱骗攻击)和内部(间谍攻击或物理摆渡攻击)突破。
攻击方法包括:
1)社会工程学方法
假冒员工的信任者给员工发送包含恶意代码的文件附件或恶意URL的Email,当员工打开附件或点击URL时,员工电脑就感染了恶意代码;在员工经常访问的网站上放置网页木马,当员工访问该网站时,就遭受到网页木马的攻击。
2)远程漏洞攻击方法
对目标组织的开发服务进行远程漏洞攻击,获取控制权后再进行内部渗透。
3)物理摆渡攻击
通过感染目标组织员工的移动存储设备再传播到内部网络电脑,从而控制该电脑。
4)间谍攻击
通过收买目标组织员工进行配合攻击或直接攻击。
3.隐蔽信道构建
攻击者控制了员工电脑后,需要构建某种隐蔽信道长期保持和攻击者联系,以获得攻击指令及后期数据回传。
为了避免被发现,攻击者通常会采用目标网络的合法网络协议搭建隐蔽信道,目前常用的包括HTTP、HTTPS、DNS、ICMP协议等。
4.横向摸索渗透
通常攻击者首先突破的员工电脑只是跳板,通过跳板进行横向渗透最终找到此次攻击目的的重要资源。
5.完成最终攻击目的
攻击者在通过长期渗透得到目标组织的重要资源的控制权后,就可以执行此次攻击的最终目的,包括操控资源、完成破坏资源、窃取资源以达到某种利益。
2APT攻击防范四大策略
在APT防范领域,国内外很多厂商都提出了自己的防范策略和解决方案,可以概括为四类。
2.1主机文件保护类
纵观当前发现的APT攻击行为,多数都是以攻击目标内部员工的电脑为跳板,因此如果能够确保终端电脑的安全则可以有效防止APT攻击。
主要思路是监控终端电脑上应用程序加载和执行情况,采用白名单机制防止恶意代码程序的加载和运行。
目前已有很多终端安全厂商从这个思路着手制定APT攻击防御方案,典型代表厂商包括金山网络、Bit9、趋势科技等。
2.2恶意代码检测类
恶意代码类APT解决方案主要思路是网络进/出口处设置关卡,对所经过的邮件附件、URL、共享文件进行恶意代码扫描及分析,试图防止恶意代码特别是未知恶意代码进行内部网络,最终阻止APT攻击者从外至内的纵向突破。
典型代表厂商包括FireEye和GFISoftware等。
2.3网络入侵检测类
APT攻击者在实现了纵向攻击突破后,紧接着就要建立隐蔽信息用于长期控制及实施横向渗透步骤。
虽然APT攻击中的恶意代码变种很多,但是隐蔽信道通信模式并不经常变化,通常利用HTTP、HTTPS、DNS、ICMP协议来实现,所以可以采用传统入侵检测方法来检测。
典型代表厂商有启明星辰、飞塔等。
2.4大数据分析检测类
前文三大APT攻击防范方案都是以APT攻击全过程中的具体某个阶段为切入点的单点方案,重点在于防御,而大数据分析检测类方案覆盖了整个APT攻击过程,是一种网络取证方案,重点在于事后分析。
该类方案通过全面采集网络设备的原始流量以及终端和服务器上的日志,进行集中的海量数据存储,在一旦发现APT攻击的蛛丝马迹后,对这些海量存储数据进行关联分析,最终还原整个APT攻击场景。
典型代表厂商包括RSA和SOLERA等。
3APT攻击典型防范产品
3.1FireEye恶意代码防御系统
FireEye的恶意代码防御系统包括MPS(MalwareprotectionSystem)和CMS(CentralManagementSystem)两个组件。
其中MPS是一个基于高性能沙箱的恶意代码防护引擎,可直接采集网络流量并抽取其中所携带文件放到沙箱中进行安全检测;CMS是集中管理系统模块,负责集中管理系统中各个MPS引擎以及威胁情报的收集和及时分发。
FireEye的MPS引擎有以下特点:
1.针对性地对Web、邮件、文件共享三类网络协议的原始流量进行恶意代码检测;
2.为了提高恶意代码检测性能和准确性,对以上三类网络协议的原始流量,采用专门MPS硬件进行处理;
3.MPS支持除可执行文件之外的多达20种文件类型的恶意代码检测;
4.MPS支持旁路和串联部署,以实现恶意代码的检测和实时防护;
5.MPS可实时学习恶意代码的命令和控制信道特征,在串联部署模式可以实时阻断APT攻击的命令控制通道。
CMS除了对系统中多个MPS引擎进行集中管理外,还可以连接到云端的全球威胁情报网络来获取威胁情报,并支持将检测到的新型恶意代码情报上传到云端,以实现威胁情报的广泛共享。
此外,FireEye还可以和其它日志分析产品结合起来,形成功能更强大的信息安全解决方案。
FireEye被认为是APT安全解决方案的佼佼者,其产品被很多500强企业采购。
3.2Bit9可信安全平台
Bit9可信安全平台(Trust-basedsecurityPlatform)使用了软件可信、实时检测审计和安全云三大技术,为企业网络提供网络可视、实时检测、安全保护和事后取证等四大安全功能,从而可以检测和抵御各种高级威胁和恶意代码。
Bit9解决方案核心是一个基于策略的可信引擎,管理员可以通过安全策略来定义哪些软件是可信的。
Bit9可信安全平台默认假设所有软件都是可疑和禁止加载执行的,只有那些符合安全策略定义的软件才被认为可信和允许执行。
Bit9可以基于软件发布商和可信软件分发源等信息来定义软件的可信策略,同时还使用安全云中的软件信誉服务来度量软件可信度,从而允许用户下载和安装可信度较高的自由软件。
这种基于安全策略的可信软件定义方案其实是实现了一个软件白名单,只有那些在软件白名单中的应用软件才可以在企业计算环境中执行,其它则是禁止执行的,从而保护企业的计算环境安全。
Bit9解决方案还包括一个可安装在每个终端和服务器上的轻量级实时检测和审计模块,它是实现实时检测、安全防护和事后取证的关键部件。
Bit9的实时检测和审计模块将帮助你获得对整个网络和计算环境的全面可视性,通过它你可以实时了解到各终端和服务器的设备状态和关键系统资源状态,可以看到各终端上的文件操作和软件加载执行情况;同时,实时检测和审计模块还审计终端上的文件进入渠道、文件执行、内存攻击,进程行为、注册表、外设挂载情况等等。
Bit9解决方案还包括一个基于云的软件信誉服务,它通过主动抓取发布于互联网上的软件,基于软件发布时间、流行程度、软件发布商、软件来源以及AV扫描结果计算各软件信誉度。
Bit9解决方案还支持从其它恶意代码检测厂商(比如FireEye)处获取文件哈希列表,从而可以识别更多的恶意代码和可疑文件。
3.3趋势科技DeepDiscovery
趋势科技的DeepDiscovery专门为APT攻击检测而设计,它采用网络入侵检测技术来检测APT攻击的命令控制通道,同时,还可以通过在入侵检测引擎上部署恶意代码检测沙箱来弥补传统特征攻击检测的不足。
DeepDiscovery方案包括检测、分析、调整、响应四个步骤。
产品形态上包括Inspector和Advisor两个组件。
Inspector是个网络入侵检测引擎,依据获取的威胁情报信息来检测APT攻击过程中的命令控制通道,Inspector可以通过Advisor及时获取到趋势科技的全球威胁情报信息,以便及时检测到各种新型的APT攻击命令控制通道;同时,Inspector还包括一个VirtualAnalyzer组件,它是一个智能沙箱,用来分析捕获的恶意代码。
Adivsor为一个管理组件,可以实现对各Inspector引擎的集中管理。
同时,它还包括一个可选的恶意代码分析引擎,可以接收来自检测引擎的恶意代码,从而实现恶意代码的集中分析;此外,Advisor还承担了威胁情报的实时收集和分发工作,以实现各Inspector引擎之间威胁情报的广泛共享。
3.4RSA的NetWitness
RSANetWitness是一款革命性的网络安全监控平台,它可为企业提供发生在网络中任何时间的网络安全态势,从而协助企业解决多种类型的信息安全挑战。
RSANetWitness主要由Spectrum、Panorama和Live三大套件集合实现。
Spectrum是一款安全分析软件,专门用来识别和分析企业网络中是否存在恶意软件威胁,并确定安全威胁的优先级;Panorama通过融合成百上千种日志数据源与外部安全威胁情报,从而可以实现创新性信息安全分析;Live是一种高级威胁情报服务,通过利用来自全球信息安全界的集体智慧和分析技能,可以及时获得各APT攻击的威胁情报信息,极大缩短了针对潜在安全威胁的响应时间。
RSANetWitness具有以下特点:
1.可对所有网络流量和各网络服务对象的离散事件进行集中分析,实现对网络的全面可视性,从而获得整个网络的安全态势;
2.可以识别各种内部威胁、检测零日漏洞攻击、检测各种定向设计的恶意代码和检测各种APT攻击事件和数据泄密事件;
3.可对所捕获的网络和日志数据进行实时上下文智能分析,从而为企业提供可行动的安全情报信息;
4.可以借助NetWitness监控平台的可扩展性和强大分析能力来实现过程自动化,从而减少安全事件响应时间,并对变化的安全威胁做出及时调整。
4思考
目前各厂家所推出的APT检测防御方法都具有一定的局限性,主要表现为:
很多APT攻击检测和防御方案都只能覆盖到APT攻击的某个阶段,从而可能导致漏报。
于是我们在思考一种综合的解决方案,包括三部分内容,如下图所示:
1.安全网关
安全网关负责网络行为数据采集、分析、控制。
具体包括:
Ø入侵检测
基于传统的入侵检测技术,对已知网络攻击进行检测。
Ø流量审计
基于传统的FlOW技术对网络进/出流量进行审计。
Ø协议审计
对网络传输中所使用的应用协议进行识别审计。
Ø深度分析
在协议审计的基础上,对特定应用协议进行深度解读和分析。
Ø黑白名单
系统内置域名、IP地址、URL、代码样本的黑名单和白名单库,用于快速判断网络行为是否存在异常,当遇到无法判断的情况时则将提交给安全中心进行深入分析。
2.安全中心
安全中心主要完成三个主要功能:
Ø大数据的采集、存储、集成分析;
Ø未知恶意代码分析;
Ø知识库的存储与分享。
3.安全终端
安全终端主要实现对终端主机行为进行监控,具体包括:
Ø黑白名单
负责与安全中心的黑白名单库交互。
Ø进程监控
结合黑白白名单对系统进程的执行、调用过程进行监控。
Ø网络审计
对系统进程的网络行为进行监控。
版权申明
本文部分内容,包括文字、图片、以及设计等在网上搜集整理。
版权为潘宏亮个人所有
Thisarticleincludessomeparts,includingtext,pictures,anddesign.CopyrightisPanHongliang'spersonalownership.
用户可将本文的内容或服务用于个人学习、研究或欣赏,以及其他非商业性或非盈利性用途,但同时应遵守著作权法及其他相关法律的规定,不得侵犯本网站及相关权利人的合法权利。
除此以外,将本文任何内容或服务用于其他用途时,须征得本人及相关权利人的书面许可,并支付报酬。
Usersmayusethecontentsorservicesofthisarticleforpersonalstudy,researchorappreciation,andothernon-commercialornon-profitpurposes,butatthesametime,theyshallabidebytheprovisionsofcopyrightlawandotherrelevantlaws,andshallnotinfringeuponthelegitimaterightsofthiswebsiteanditsrelevantobligees.Inaddition,whenanycontentorserviceofthisarticleisusedforotherpurposes,writtenpermissionandremunerationshallbeobtainedfromthepersonconcernedandtherelevantobligee.
转载或引用本文内容必须是以新闻性或资料性公共免费信息为使用目的的合理、善意引用,不得对本文内容原意进行曲解、修改,并自负版权等法律责任。
Reproductionorquotationofthecontentofthisarticlemustbereasonableandgood-faithcitationfortheuseofnewsorinformativepublicfreeinformation.Itshallnotmisinterpretormodifytheoriginalintentionofthecontentofthisarticle,andshallbearlegalliabilitysuchascopyright.
升级会员 