公司新闻
别人安全不代表你安全,ATP让你随时躺枪揭秘持续定向攻击(APT)的前世今生
随着网络的飞速发展,五花八门的应用程序,不断更新的办公系统,与关键数据有关的一切,都可能成为攻击者窥视的猎物。如今攻击者已将目标锁定在更精确的范围,并随之出现了新的网络安全威胁:APT(Advanced Persistent Threat)——定向攻击这一高级持续性威胁。威胁不再是爆发性的“虫虫危机”,而是随时可能的躺枪。
这种威胁曾经使得传统安全技术提供商束手无策,更进一步的可能破坏国家的电信、金融、电力、交通,甚至安全防护达到最高级别的军用设施,既然APT攻击如此可怕,那么了解它的攻击原理,研究它的攻击形式必然能够为解决APT提供借鉴。
什么是APT?
APT(Advanced Persistent Threat),高级持续威胁,它是组织(特别是政府)或者小团体利用先进的计算机网络攻击手段对特定高价值数据目标进行长期持续性网络侵害的攻击形式。APT攻击的原理相对于其他常见的网络攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前,需要对攻击对象的业务流程和目标系统进行精确的情报收集,在收集过程中,攻击者会主动挖掘被攻击对象受信系统和应用程序的漏洞,在这些漏洞的基础上形成攻击者所需的C&C网络,此种行为没有采取任何可能触发警报或者引起怀疑的行动,因此更接近于融入被攻击者的系统或程序。有人甚至认为;APT 攻击是各种社会工程学攻击与各类0day 利用的综合体。下图说明了一次常见的APT 攻击的过程:
典型的APT攻击流程
APT攻击的操纵者经常会针对性的进行为期几个月甚至更长时间的潜心准备,熟悉用户网络坏境,搜集应用程序与业务流程中的安全隐患,定位关键信息的存储位置与通信方式。当一切的准备就绪,攻击者所锁定的重要信息便会从这条秘密通道悄无声息的转移。从APT攻击的原理和形式来看,APT攻击呈现出鲜明的特征,这些特征,和传统的木马、病毒、蠕虫等侵害网络系统的安全方式截然不同。
首先, APT 攻击具有极强的隐蔽能力和破坏性。APT 攻击通常是利用机构网络中,应用程序漏洞来形成攻击者所需C&C 网络;不同于普通病毒,APT 不会广泛散播,启动和激活的条件也非常复杂,其破坏的突然性和破坏力之大,从某种程度上讲,相当于IT领域的精确制导武器。
其次, APT 攻击具有很强的环境突破能力。APT 攻击触发之前通常需要收集大量关于用户业务流程和目标系统使用情况的精确信息,情报收集的过程更是社会工程学的完美展现;当然针对被攻击环境的各类0day 漏洞收集更是必不可少的环节。
第三, APT 攻击只针对高价值数据目标。不同于以往的常规病毒,APT 制作者掌握高 级漏洞发掘和超强的网络攻击技术。发起APT 攻击所需的技术壁垒和资源壁垒,要远高于 普通攻击行为。其针对的攻击目标也不是普通个人用户,而是拥有高价值敏感数据的高级用 户,特别是可能影响到国家和地区政治、外交、金融稳定的高级别敏感数据持有者,APT攻击的复杂性和高级性,使其成为了企业间,甚至国与国之间恶意竞争的高级技术手段,一些被证实的APT攻击案例表明,在当前形势下,APT逐渐成为了网络攻击的新武器。
安全形势不容乐观,APT攻击尤为突出
最新一次的APT攻击效果技术试验中,一组研究人员收集并分析了82 种新电脑病毒, 并在40种杀毒软件产品中进行了测试。尽管这些产品多数都来自业内知名厂商,但这些传统模式的杀毒引擎,对于收集到的82种电脑病毒初始探测率却不足5%,问题的产生源于两方面:一方面是以代码特征为基础的,传统恶意软件探测方式已经无法顺应时代的发展,而另一方面则是以蠕虫、木马、0Day漏洞为手段的攻击形式正在向复杂性更高的APT形式过渡。
而另据某网络安全技术厂商的“最新网络攻击现状”报告显示 ,在发生APT攻击活动的亚洲和东欧,有184个国家都拥有内部通信枢纽或数控服务器。攻击期间,数控服务器以回调的方式与被感染的服务器保持联通并被大量运行,使得攻击者的恶意软件下载和修改能够躲过安全监测,从而窃取更多的数据,扩大目标组织攻击面。
2010年的伊朗核设施事故,2013年美国政府对于中国政府在信息攻击方面无端的指责,美国军费削减而网军军费增加等一系列事实表明,APT攻击的时代真的已经到来,APT攻击理应得到政府和大型企业的高度重视。在这种形势的驱使下,中国国内的安全厂商不能再无视网络安全环境所提出的挑战,一定要有所作为,用己所长来狙击APT。
全球APT防范策略扫描
在2013年的全球RSA大会上,APT防范再次成为热点议题。在APT防范领域,国内外厂商也展出了最优秀的APT解决方案,他们的防范策略和解决方案可以概括为四类:
1、主机文件保护类:不管攻击者通过何种渠道执行攻击文件,必须在员工的个人电脑上执行。因此,能够确保终端电脑的安全则可以有效防止APT攻击。主要思路是采用白名单方法来控制个人主机上应用程序的加载和执行情况,从而防止恶意代码在员工电脑上执行。很多做终端安全的厂商就是从这个角度入手来制定APT攻击防御方案,典型代表厂商包括国内的金山安全和国外的Bit9。
2、大数据分析检测APT类:该类APT攻击检测方案并不重点检测APT攻击中的某个步骤,而是通过搭建企业内部的可信文件知识库,全面收集重要终端和服务器上的文件信息,在发现APT攻击的蛛丝马迹后,通过全面分析海量数据,杜绝APT攻击的发生,采用这类技术的典型厂商,国外有RSA,国内有金山。
3、恶意代码检测类:该类APT解决方案其实就是检测APT攻击过程中的恶意代码传播步骤,因为大多数APT攻击都是采用恶意代码来攻击员工个人电脑以进入目标网络,因此,恶意代码的检测至关重要。很多做恶意代码检测的安全厂商就是从恶意代码检测入手来制定APT攻击检测和防御方案的,典型代表厂商包括FireEye。
4、网络入侵检测类:就是通过网络边界处的入侵检测系统来检测APT攻击的命令和控制通道。虽然APT攻击中的恶意代码变种很多,但是,恶意代码网络通信的命令和控制通信模式并不经常变化,因此,可以采用传统入侵检测方法来检测APT通信通道。典型代表厂商有飞塔。
通过笔者向金山安全的研发工程师咨询到,其专门针对APT攻击研发的解决方案—金山 私有云安全系统已经推出市场,并且已经在某些大型跨国企业成功部署。该系统将企业内部主机上的所有文件划分为:可信的(白名单)+ 恶意的(黑名单)+ 未知的(灰名单),并且能够定制针对灰名单文件的处置方案,例如禁止未知文件执行,未知文件上报,对未知文件的执行日志记录或者审计等,以便在未知文件安全性尚未确认时,确保重要主机的安全性,通过控制终端中所有的文件杜绝APT的启动和执行。
金山私有云安全系统运行逻辑
APT攻击固然复杂,但随着云技术不断深入,以及对于文件安全属性动态认知能力的进一步加强,金山私有云安全系统,可实时防御未知的高级威胁,有望成为中国计算机安全防御市场上捕捉APT的利器。
