自2010年Google承认遭受严重黑客攻击之后,APT高级持续性威胁便成为信息安全圈子人尽皆知的“时髦名词”,
当然对于像Google、RSA、Comodo等深受其害的公司而言APT无疑是一场噩梦,噩梦的结果便是对现有安全防御体系的深入思考。
何为APT攻击
APT(Advanced Persistent Threat)高级持续性威胁顾名思义,这种攻击行为首先具有极强的隐蔽能力,通常是利用企业或机构网络中受信的应用程序漏洞来形成攻击者所需 C&C网络;其次APT攻击具有很强的针对性,攻击触发之前通常需要收集大量关于用户业务流程和目标系统使用情况的精确信息,情报收集的过程更是社工艺术的完美展现;当然针对被攻击环境的各类0day收集更是必不可少的环节。
在已经发生的典型的APT攻击中,攻击者经常会针对性的进行为期几个月甚至更长时间的潜心准备,熟悉用户网络坏境,搜集应用程序与业务流程中的安全隐患,定位关键信息的存储位置与通信方式,整个惊心动魄的过程绝不逊于好莱坞巨制《偷天换日》。当一切的准备就绪,攻击者所锁定的重要信息便会从这条秘密通道悄无声息的转移。例如,在某台服务器端成功部署Rootkit后,攻击者便会通过精心构造的C&C网络定期回送目标文件进行审查。
也许很多IT管理者认为APT攻击这种长期而复杂的攻击方式不可能幸运的发生在您所负责网络中,但在西方先进国家APT攻击已经成为国家网络安全防御战略的重要环节。例如,美国国防部的High Level网络作战原则中,明确指出针对APT攻击行为的检测与防御是整个风险管理链条中至关重要也是最基础的组成部分。
对于APT攻击我们需要高度重视,正如看似固若金汤的马奇诺防线,德军只是改变的作战策略,法国人的整条防线便沦落成摆设,至于APT攻击,任何疏忽大意都可能为信息系统带来灾难性的破坏。相信您迫切想了解传统的网络犯罪集团与APT攻击行为到底有哪些异同,下面的表格或许能让您找到答案。
不难看出APT攻击更像一支配备了精良武器的特种部队,这些尖端武器会让用户网络环境中传统的IPS/IDS、防火墙等安全网关失去应有的防御能力。无论是0day或者精心构造的恶意程序,传统的机遇特征库的被动防御体系都无法抵御定向攻击的入侵。即便是业界热议的NGFW,利用CA证书自身的缺陷也可让受信的应用成为网络入侵的短板。
典型的APT攻击,通常会通过如下途径入侵到您的网络当中:
通过SQL注入等攻击手段突破面向外网的Web Server;
通过被入侵的Web Server做跳板,对内网的其他服务器或桌面终端进行扫描,并为进一步入侵做准备;
通过密码爆破或者发送欺诈邮件,获取管理员帐号,并最终突破AD服务器或核心开发环境;
被攻击者的私人邮箱自动发送邮件副本给攻击者;
通过植入恶意软件,如木马、后门、Downloader等恶意软件,回传大量的敏感文件(WORD、PPT、PDF、CAD文件等);
通过高层主管邮件,发送带有恶意程序的附件,诱骗员工点击并入侵内网终端。
典型的APT攻击流程
为什么Web Server会成为攻击者发起APT攻击起点?通常这里是公司邮件网络的集散地,这也验证了EMAIL电子邮件已沦为APT攻击最重要的途径之一,而且 EMAIL中包含的各类重要信息更可能带来意想不到的收获。前面我们说到,攻击者攻击Web Server的主要目的是为了充当进一步入侵的跳板,因此针对EMAIL的攻击行为通常会执行如下工作:
发送钓鱼邮件:窃取用户ID与密码;
执行恶意脚本:扫描终端用户使用环境,发掘可利用的攻击资源;
植入恶意软件:针对用户环境中应用程序漏洞,注入恶意代码,构建僵尸网络。
在针对邮件系统的APT攻击的过程中,攻击者通常会利用各种办公系统所支持的各类文档0day,例如WORD、PDF、PPT等,越是频繁使用的文档,越有可能降低用户安全意识。
如何防御APT攻击
现在,相信博学渊博的您已经对APT攻击有了基础的认知,面对这种随时随地都可能发生的威胁,如何在长期的持续的威胁中实现满足企业安全生产所必需的IT生产环境呢?下面我们就来看看如何有效抵御APT攻击。
电影《角斗士》中,Maximus攻防兼备骁勇善战,无论是面对野蛮凶残的迦太基勇士,还是饥饿强壮的狮虎猛兽,Maximus总能凭借敏锐的洞察力和丰富的作战经验一一化解。对于APT攻击的防范同样需要深思熟虑,任何疏忽都可能让您的安全壁垒坍塌。
对于传统的攻击行为,安全专家仅需关注恶意程序的样本提取并做分析,便可以掌握攻击者的动机及传播渠道,但对于APT攻击以点概面的安全检测手段已显得不合时宜。面对APT攻击威胁,我们应当有一套更完善更主动更智能的安全防御体系。
必须承认APT攻击的发起者有着超群的智慧和丰富的经验,因此检测APT攻击就必须密切关注攻击者所释放的恶意代码的每一个细节,包括功能、 0day信息、命令与控制、社工手法、受害人、攻击活动频率等信息。理论上针对单一攻击事件,安全人员可以快速定位攻击源头,并作出对应的安全防御策略,然而这些却无法准确提取APT攻击属性与特征。因此,针对APT攻击行为的检测,需要构建一个多维度的安全模型,这里既有技术层面的检测手段,也有包含深入产业链的动态分析追踪。为此,金山在针对APT攻击行为检测方面注重从三方面入手:
静态检测方式
从攻击样本中提取攻击特征与功能特性;
对攻击样本逆向分析;
动态检测方式
模拟用户环境,执行APT代码段,捕获并记录APT攻击的所有行为;
审计网络中应用程序的带宽占用情况;
APT攻击溯源;
产业链跟踪
实时跟踪分析网络犯罪团伙的最新动向。
多维度的安全防御体系,正如中医理论中倡导的防患于未然思想,在威胁没有发生前,为企业IT生产环境进行全面的安全体检,充分掌握企业所面临的安全风险。为实现针对APT攻击防御的多维分析与审计模型,金山安全研发团队从如下几方面着手:
动态的安全分析
提取并审核执行文件体、Shellcode以及PE文件头;
分析文件中的对象和异常结构
动态的安全分析
模拟系统环境安装各类执行文件体;
实施扫描系统内存与CPU中资源异常调要;
检测关键位置的代码注入或各类API钩子;
检测任意已知的代码分片;
检测Rootkit、KeyLogger、Anti-AV等恶意程序;
检测邮件、域、IP地址、URL中可疑的字符串。
APT防御利器,KingCloud私有云安全平台
再好的解决方案,最终需要落地为产品和服务。金山KingCloud私有云安全系统着重实时掌控企业IT生产环境变化。丰富的终端运维经验,金山能够帮助IT运维管理人员构建满足企业运维需求的终端安全基线,实现干净可用的初始化环境,简单方便的网络环境检测过程,无需管理员干预即可掌握整个网络应用环境,一旦确认应用类型即可下发灵活的权限控制策略,极大的降低了管理员的管理门槛。
作为全新的企业IT运维级安全解决方案,金山私有云充分考虑终端资源滥用问题,细粒度的应用控制策略和低于10M的内存资源占用,确保了在现有的IT环境中最大限度的优化终端系统可用性。强大的云防御功能可以精确抵御各种非授权行为对网络的破坏,管理员可根据用户业务类型严格限定用户的访问权限和文件操作权限,无论是企业文件服务器、终端工作站、瘦客户端、移动PC或者智能终端,金山KingCloud私有云安全系统都可发挥极佳的安全防御效果。
独有的云修复功能,可在企业内网终端发生异常宕机或蓝屏时,快速恢复系统初始状态,为企业IT信息系统的安全稳定运营提供强大的运维保障。值得注意的是,金山KingCloud私有云可以帮助IT管理者实时掌控企业IT生产环境点滴变化,无论是受信软件还是未知应用,企业生产环境关键位置上所产生的任意微笑变化都将第一时间上报企业IT管理。,之前提到的受害者邮箱自动转发副本邮件给攻击者,恶意脚本对用户境的自动检测等行为,都逃不脱金山私有云安全平台的掌控,管理员只需针对恶意行为或文件进行统一策略下发,便可瞬间切断隐藏在企业机构背后的黑手。
当然,今天的信息安全已不再是只靠产品解决方案便可衣食无忧的年代,企业机构内部员工安全意识培训同样必不可少。对于APT攻击行为,控制用户终端使用习惯提升安全操作意识,制定明确的信誉评估,甚是网内传出数据与流量,了解安全威胁趋势和合理的终端设备管理,都会帮助用有效降低APT攻击的发生。在杀毒软件已经成为企业安全防御的基本武器的同时,终端应用与事件的精确管控同样必不可少。
今天当IT与日常生活工作结合的愈发紧密之时,安全的边界已经从传统的网关、终端延续到任何应用及业务可能到达的每一个节点,此时APT攻击很可能就潜伏在您的身边。,仅2011年就有多起严重的APT攻击事件被媒体曝光,曾经可靠的CA证书随时可能成为摆设,Comodo、 DigiNotar、RSA、洛克希德马丁每一起事件的发生都足以引起整个信息安全业界的思考,还有什么理由疏忽任何看似细小的威胁?
可以预见APT攻击行为将在未来成为威胁政府、企业等重要信息系统的致命威胁,然而值得庆幸的是矛与盾的较量始终还在继续,我们有理由相信正义终将战胜邪恶。最后让我们见证APT攻击给今天信息安全带来的改变:
西方先进国家已将APT防御议题提升到国家安全层级,这绝不仅仅造成数据泄露;
APT攻击时代的来临预示着定向攻击将成为恶意软件发展的新趋势,传统的蜜罐或蜜网将难以捕捉APT样本;
针对APT攻击防御手段,需要对整个信息安全环境有清晰的认知,只有形成及时的产业链情报收集,甚至全球安全动态跟踪方有可能真正做到防患于未然;
落实信息安全管理策略,例如严格按照等级保护规范实施严格的系统隔离策略,制定严格的移动设备管理策略。