神刀安全网

探寻APT的化学本质与破解之术

高级持续性威胁(Advanced Persistent Threat)简称APT,从无到有不过十年时间。而在去年年底,卡巴斯基在预测2016年安全发展趋势时表示:APT将死。

我们反观过去的三个多月,却发现APT攻击行为并未下降, BlackEnergy APT组织仍在 通过Word文档进行针对乌克兰的APT攻击Darkhotel APT组织强势回归 的第一个目标便是中国电信……事实胜于雄辩,APT确实没有走远。

APT的诞生

回溯至2005年,西方一些计算机应急响应组织(曾)发布报告,提醒人们注意某些针对性的钓鱼电子邮件会释放木马,小心敏感信息泄露,但那时“APT”一词尚未被发明出来。

直到2006年,美国空军(USAF)分析师 格雷格·拉特雷上校创造了APT一词 ,用它来解释情况不明的平民入侵活动,这样就能在不泄露机密的情况下对攻击活动的特征进行讨论。

APT混沌的定义

虽然安全从业者经常会关注到APT这个词,事实上APT并没有一个的完整定义,这也为安全研究者的测试带来了不小的麻烦。这里整理了几种解释。

维基百科 :APT高级持续性威胁,是指隐匿而持久的电脑入侵过程,通常由某些人员精心策划,针对特定的目标。其通常是出于商业或政治动机,针对特定组织或国家,并要求在长时间内保持高隐蔽性。

NSS实验室 :NSS采用了另一种解释,有针对性的持续攻击TPA(Targeted Persistent Attack),强调了攻击是“有针对性”的这一属性。

Gartner :(攻击者)通过已有的防御手段并造成持续性伤害,而未被发现的任何攻击都可以称为APT。

这里出现了怪圈,Gartner将“未被发现”视为APT的重要属性。这个定义的核心是“已有的防御措施”和“未发现的攻击的无用测试”。

RSA :APT指针对目标为高价值财产或物理系统的攻击活动。

Damballa :APT是一个针对商业和政治活动的网络犯罪类型。为了长期存在于操作系统当中,APT需要具备高度的隐匿性……

以上是APT的几种不同定义,对于安全人员进行测试场景的分类几乎没有任何帮助。因此,为了明确APT检测的实际目的,我们采用了这样的定义:

APT是一种有针对性的攻击活动,有选择性地针对高价值资产或者物理系统进行带有明确目的的破坏或窃取数据。

APT攻击目标有哪些?

网络攻防中数据盗窃与目标性攻击并不鲜见,那为什么APT产生的影响如此巨大?

APT攻击集成了多种攻击手段,有黑客团队经过精心策划,对攻击目标进行长期持续的攻击行为。很多时候,APT有国家背景、为政治目的服务,当然不排除为了商业、知识产权以及经济目的的APT攻击。

APT攻击除了国家级的军事政治目标之外,便是针对能源、公共服务、科研、大型企业、金融等重要信息资产部门。

近几年,APT攻击技术更加复杂、攻击手段更加隐蔽,而且攻击已经不局限于传统的信息系统,而是逐渐把目标扩散到工业控制等系统,例如针对工业控制系统编写的破坏性病毒:震网(stuxnet)、duqu等。

APT到底是什么样的?

我们知道APT都是出于某种现实目的,我们仍旧要扒一下这种目标性攻击的真实样貌。根据美国安全公司曼迪昂特(Mandiant)在一份APT报告中描述的“ APT攻击是一系列攻击行为,大致遵循如下周期活动 ”:

1、侦查

在发动攻击行动之前,必要的信息收集作为社工的一部分,大部分的APT是以组织员工为切入口,因此攻击者非常注意收集员工的个人信息、社会关系以及爱好等。

2、初始入侵

攻击者收集了足够的信息后,采用恶意代码攻击组织员工的个人电脑,攻击方法包括:1)社会工程学方法,如通过email给员工发送包含恶意代码的文件附件,当员工打开附件时,员工电脑就感染了恶意代码;2)远程漏洞攻击方法,比如在员工经常访问的网站上放置网页木马,当员工访问该网站时,就遭受到网页代码的攻击。

这些恶意代码往往是系统位置未知漏洞,因此安全防御工具无法察觉。

3、站稳脚跟

在网络中植入远程访问工具,从而帮助攻击者开启网络后门,实现隐蔽访问。

4、提权

攻击者将员工电脑当做跳板,通过利用漏洞和破解密码,获得受害者电脑的管理员权限,可能还会试图获取Windows域管理员特权权限。

5、内部勘察

攻击者在内部渗透和长期潜伏的过程中,有意识的收集周遭设施、安全信任关系、域结构的信息。

6、横向发展

攻击者将控制权扩展到其他工作站、服务器及设施,收集数据。

7、保持现状

巩固之前获取的访问权限及登录凭证。

8、任务完成

此时,受害者网络中成功盗取数据。

APT检测及防御

目前,APT攻击检测大致围绕三个方面:恶意代码检测、主机应用保护、网络入侵检测。

这些单一模式对防御APT攻击来说,略显捉襟见肘。孤立地进行恶意代码检测和主机应用保护难以解决根本问题。

中国科学院计算技术研究所副总工程学旗曾撰文阐述了利用大数据进行APT分析,认为大数据通常具有4个特征:体量大、速度快、数据格式和类型不同、数据真实精确(volume、velocity、variety和veracity)。这给数据存储带来一系列难点。

“对于APT而言,更多的是针对网络空间,而网络空间本身具有数据类型和数据格式不一样,日志信息的行为、内容、结构化各异的特点。”

不难看出,利用大数据进行有效地监测,不仅可以用来解决APT攻击问题,也可以应用到其它相关领域。

APT安全产品解析

FireEye无疑是对抗APT中的佼佼者,推出了基于恶意代码防御系统(Malware Protection System)和集中管理系统(Central Management System)两个模块的解决方案。而CMS除了集中管理系统中的多个MPS引擎外,还可以获取云中的全球威胁情报,同时支持将检测到的恶意代码传到云,实现威胁情报共享。

趋势科技Deep Discovery解决方案采用的是网络入侵检测技术来检测APT攻击的命令通道,还通过在入侵检测引擎上部署沙箱。整个方案包括检测、分析、调整、响应四个步骤。和FireEye相似,也实现了不同引擎之间威胁情报的广泛共享机制。

华为自适应APT防御解决方案分为恶意代码检测与大数据分析两个思路。以华为沙箱为基础,通过关联分析准确测得APT中恶意软件的感染范围,只对APT中关键的恶意软件、对外通道进行深度检测和拦截;以CIS大数据安全分析平台为基础,采用机器学习快速检测各种异常行为,多维度的分析有助于快速发现APT并及时进行预警。

总结

鉴于APT高昂的时间、金钱及人力成本,它断然不是网络黑色产业的良选,但无论APT还是网络黑色产业的攻击行为,都带有攻击的本质,二者的攻击行为也有很多相似之处。

APT攻击善于打“游击战”,喜欢另辟蹊径,一旦从目标身上撕开了一个口子,便可以趁虚而入。所以针对APT的防御思维必然先要从“面”来思考,进而将“点,线,面”结合,形成一个 “防御体”。因此,未来以华为为代表的基于大数据分析建立的APT防御平台会实现更为有效的APT对抗及溯源等防御。

对抗APT是场“持久战”,攻与防的对抗永远不会停止,APT 也不会就此消失,网络安全的攻防技术就是在攻与防的对立统一中在寻求突破。因此,APT攻击还在继续,未来,政府、企业以及个人都仍将面临着重重考验。

*FreeBuf小编综合整理,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 探寻APT的化学本质与破解之术

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
分享按钮