高级持续性攻击:商战中的“极限特工”

恶意软件只是高级持续性攻击的一小部分,传统网络攻击者也变得越来越“持续性”。有针对性的攻击发展速度非常快,受害者根本无法检测得到,而且这种攻击不再只是网络间谍了:受利益驱使的攻击者还开始使用高级持续性攻击方法来更长期地隐蔽在网络中以获得更多利益。

根据Mandiant、HBGary和Trustwave Spider Labs的最新研究显示高级持续性攻击正变得越来越难以控制。

安全专家表示,虽然大多数企业都依赖于安全工具来检测恶意软件,但恶意软件只是高级持续性攻击的一小部分,“现在存在太多高级持续攻击了,”HBGary公司首席执行官Greg Hoglund(其公司正在追踪约18个不同的高级持续攻击团伙)表示,“你不能只是去查找恶意软件,你需要去追踪网络行为,攻击者会留下取证证据,也就是你的员工不会做的事情。”

Mandiant公司在其高级持续性威胁报告中也表示,查找来自高级持续攻击的恶意软件只是冰山一角。根据Mandiant在对其客户的调查中收集的数据显示,被恶意软件感染的机器只代表了54%受到高级持续攻击的系统。在所有情况下,攻击者使用偷来的合法用户登录凭证来在网络中移动。

并且这些攻击者并不总是使用零日攻击,在Mandiant调查的案例中有77%的案例攻击者使用了网络上公开的恶意软件。

Mandiant和其他安全公司还发现通常被用于窃取知识产权的这种持续的隐蔽技术现在也开始被攻击者用于谋取利益。

Trustwave Spider Labs的研究人员也注意到了这个趋势。Trustwave Spider Labs的高级副总裁Nicholas Percoco最近在谈论该公司最新2011全球安全报告时提到了这种转变,“攻击者正变得越来越复杂,并且无法被检测,”他表示,“很难抓住这种攻击,这种攻击具有绝对的持久性:你一定听说过很多关于间谍和高级持续攻击的故事。那些想要谋取利益的犯罪团伙没有理由不会想到使用这种相同的技术。”

Mandiant的报告也呼应了这种趋势。虽然这些受利益驱使的攻击者经常使用简单的工具实施“砸窗抢劫”的办法,但现在一切都改变了。 Mandiant表示:“有组织的犯罪团伙开始采用由高级持续攻击者采用的持续性攻击机制。长期采用这种技术能够让攻击者在较长时间内获取更多数据,并确保他们的数据是最新的。”

Mandiant发现,在他们的“武器库”中,能够让他们尽可能久地不被发现地待在网络中的方法就是定制后门、公开提供的后门、webshell、Metasploit Meterpreter和远程访问工具。

Hoglund表示,攻击者在目标企业内的横向运动几乎无法被察觉,并且能够对企业造成最严重的损害。“一个企业可能拥有5万个节点,你会发现100台机器出现某些行为,有些行为看起来很正常,而有些行为则让人质疑,例如用户打开进程间通信端口。”

Mandiant表示,在他们接触的企业中,只有6%的受害企业发现了企业中的攻击。大多数企业是从外部信息来源才知道自己企业受到攻击,例如执法部门。并且这些攻击在被发现之前,通常会潜伏一年以上。

安全专家表示,关键在于发现和分析网络行为,而不只是查找恶意软件。并且不要以为你不会受到攻击,因为这些攻击在各个行业蔓延。根据 Mandiant的报告,23%的攻击瞄准了通信行业;18%,航空航天和国防;14%,计算机硬件和软件;10%,电子产品;10%,能源和石油及天然气,还有另外25%则在其他各种行业。

“我碰到很多首席安全官再说,‘我只关心高级持续攻击,’”BT Counterpane公司首席技术官Bruce Schneier表示,“一切都是关于灵敏的安全和检测。”