我们很难确切地知道实际发生了多少高级持续威胁攻击,这主要是因为很多受害企业没有被要求报告这些攻击事故,只要没有发生客户数据泄漏,并且出于声誉考虑,很多企业更愿意掩藏这种事故。“大部分企业没有将遭受高级持续攻击报告给执法部门,他们想要试图修复,保持缄默,然后继续工作,”Mandiant公司的顾问Sean Coyne表示,“我们发现攻击者呆在企业网络内几个月甚至几年时间。”
由于这种类型的攻击的目的是为了保持在一段时间内的网络访问不被发现,所以这些攻击者通常都是从使用鱼叉式电子邮件攻击来感染目标企业的工作站或者几个工作站而开始的,“只要他有了外壳保护层,他就能任意访问网络,他可以横向移动,并且获得其他账户的访问权,”Coyne表示。
在攻击者瞄准他想要的数据后,他会建立一个临时区域,通常是一个最终用户工作组,这里也是数据传输的地方,Coyne表示,并且随后数据会被包装成RAR、ZIP或者CAB文件,“一个大型数据传输更难检测,并且更难阻止,当你发现到数据传输时,通常已经为时已晚,”Coyne表示。
工作站更适合充当临时区域是因为他们有很多可用的存储空间,并且通常最终用户也不太可能注意到从他的机器在长时间内25GB到50GB的数据传输。但是另一方面,服务器更容易被管理员监测到,因此并不是理想的临时平台,他表示。
大多数攻击者都会通过出站FTP连接或者HTTP-S来传输窃取的数据或者文件来伪装他们的数据传输,“攻击者需要尽其一切所能来融合,”他表示,并且他们的命令和控制服务器通常都不是他们发送窃取文件的落脚站点。
即使当企业或者企业雇佣的安全专家发现攻击者的落脚站点,那也只是窃取文件的一部分,他表示,“不要认为这些就是所有的窃取文件了,你可能只看到一小部分,”Coyne表示。
有趣的是,大多数攻击者实在设置的时间内取他们的数据,而不是随机的时间,“他们会时不时的回来,按照时间表来取走他们的数据,”就像工作一样,Mandiant公司负责人Ryan Kazanciyan表示。
在Mandiant接受的一个案例中,防御承包商每隔几个月都有超过120千兆字节的文件从他们的网络中被虹吸。这些攻击者使用六个不同的临时工作站来存储、准备和传输这些窃取的数据。
Coyne和Kazansicyan都分享了Mandiant公司三个非机密客户遭受高级持续性威胁攻击的例子,他们知道执法部门发出警告他们才意识到事情的严重性。每个攻击都是从钓鱼邮件开始的,并且在被发现之前都潜伏了几个月或者几年。
一个中型企业有50台主机遭到攻击者的破坏,这些攻击者目的在于找寻企业的电子邮件地址簿。“他们有一个命令行界面工具,能够建立到Hotmail的HTTP-S连接”来传输窃取的数据,Kazanciyan表示,并且伪装成合法流量的样子。
Mandiant调查的另一个攻击是,拥有2000台主机的小型公司遭受基于Poison Ivy的后门攻击,超过150台主机被感染。该企业在清除第一次攻击后才结束再次受到攻击的命运,“他们后来又遭受鱼叉式钓鱼攻击,并且攻击者采取了完全不同的方法来发动攻击。”
“这些数据泄漏事故中,大多数都没有获得操作权或者中断业务操作,攻击者通常是获得对数据的持续访问,”Kazansicyan表示,“这并不是非常高明的技术,但是却十分隐蔽和持续性。”