2013年3月20日下午,韩国受到了大规模的黑客攻击,导致多家大型银行、媒体及公司的电脑瘫痪,业务无法进行。趋势科技通过TDA首先监测到了邮件的恶意软件,并制定防御策略使其在韩国的客户免受这次攻击带来的危害。
近日,趋势科技针对本次大规模的黑客攻击事件在北京举办了媒体交流会。会中,趋势科技(中国)产品经理蒋世琪女士为媒体讲解了趋势科技在此次攻击防护扮演的角色,分析了此次攻击运用的方式,并详细讲解了APT攻击的过程全貌,以及相应的解决方案。
在 会中,蒋世琪介绍说:“在一个趋势科技的客户环境中,我们能够判断至少在一天前,也就是3月19日,他们就已经遭遇了这个威胁。趋势科技在事前通过TDA 的启发式侦测与沙盒分析提示,监测出此次攻击相关的邮件中的恶意附件,并定制防御策略,帮助趋势科技的韩国客户事先发觉并采取防护措施,成功抵挡了此次黑 客攻击,并且没有遭受任何损失。通过趋势科技的TDA搭配定制的防御方案,全球6大银行当中就有三家采用TDA,更有超过80多个政府机构也采用这套解决 方案免于此类攻击。
趋势科技:本次攻击事件的时间轴
在介绍APT攻击手法时,蒋女士谈到:“APT的攻击手法在于隐匿自己,针对特定对象,长期、有组织、有计划的窃取数据,这种发生在数字空间偷窃资料、搜集情报的行为类似于‘网络间谍’。正是由于APT的隐蔽性,把握其中的攻击规律就变得尤为重要。”
攻 击者会锁定的公司和资源采用针对性APT攻击,通常将目标锁定到企业员工的身上作为开端,并通过社交工程攻击开启一连串攻击。而在调查数据中,只 有31%的企业会惩处将公司机密资料贴到社区网站上的员工,这样使得黑客非常容易的就能获取到目标企业的IT环境和组织架构的重要信息。
利用电子邮件、即时通信软件、社交网络或是应用程序漏洞找到进入目标网络的大门。一项研究指出,在87%的组织中,会有网络用户点击黑客安排的网络链接,这些恶意链接都是精心设计的APT社交工程的诱饵。
APT攻击活动首先在目标网络中找出放有敏感信息的重要计算机。然后,APT攻击活动利用网络通信协议来与C&C服务器通讯,并确认入侵成功的计算机和C&C服务器间保持通讯。
在目标网络中找出放有敏感信息的重要计算机,使用包括传递哈希值算法的技巧和工具,将攻击者权限提升到跟管理者一样,让他可以轻松的去访问和控制关键目标.
为确保以后的数据窃取行动中会得到最有价值的数据,APT会长期低调的潜伏。这是APT长期潜伏不容易被发现的特点,来挖掘出最多的资料,而且在这个过程当中,通常不会是重复自动化的过程,而是会有人工的介入对数据做分析,以做最大化的利用。
APT 是一种高级的、狡猾的伎俩,高级黑客可以利用APT入侵网络、逃避“追捕”、悄无声息不被发现、随心所欲对泄露数据进行长期访问,最终挖掘到 攻击者想要的资料信息。数据泄露的代价对公司业务和资金的损失是极其惨重的,比如RSA就花了六千六百万美金来补救因内部网络数据窃取事件所造成的伤害。
趋势科技定制防御解决方案
在谈到趋势科技面对APT攻击的解决方案时,蒋女士谈到:“APT和针对性攻击已证明可避开标准外围、网络和端点安全防御的能力。TDA专门用于检测APT攻击和针对性攻击,在攻击生命周期的各个阶段识别反应高级恶意软件或攻击者活动的恶意内容、通信和行为。
趋势科技TDA主要功能包括高级持续性威胁检测、威胁跟踪、分析和处理措施、实时威胁控制台、重点资产观察名单、专家百科以及灵活的大容量部署。通过趋势科技定制防御的解决方案侦测一般防御体系无法识别的恶意程序、通讯与行为,分析攻击与攻击者的特征及其所带来的风险,加固安全防御体系(IP地址黑 名单、自定义特征码等),响应并洞察针对用户的攻击者活动。
最后,蒋世琪总结趋势科技TDA的关键优势可以降低由APT带来的损害和数据丢失风险,全网范围的可见性,揭示并跟踪真是的安全状况,提供实时的威胁分析和补救信息,以及集成的结果统一改进了企业范围的威胁检测。
