公司新闻
APT是如何窃取你的信息?
从技术本身上说,APT攻击并无太多新鲜之处,漏洞利用、攻击工具等都是一直以来黑客惯用的手段。但它最可怕的地方在于APT攻击往往是有计划、有组织、有目标、受利益驱动,其背后的操作者为达目的可以采取各种方法,利用任何资源,它的攻击周期可以设定得很长,长期潜伏。
从技术本身上说,APT攻击并无太多新鲜之处,漏洞利用、攻击工具等都是一直以来黑客惯用的手段。但它最可怕的地方在于APT攻击往往是有计划、有组织、有目标、受利益驱动,其背后的操作者为达目的可以采取各种方法,利用任何资源,它的攻击周期可以设定得很长,长期潜伏。高级持续性威胁也很少仅利用单个病毒或单个恶意代码、漏洞,它通常会综合利用所有的资源,自制适合于攻击目标的工具,计划整个攻击路线,构成一个完整的闭环。
要细致了解高级持续性威胁,需要通过典型案例分析其常用的攻击手段,摸索其发展的趋势,进而研发适合于当下的APT防御技术:
2011年3月,由于RSA的一名员工打开了嵌有漏洞的文件,导致他的主机被植入Poison Ivy远端控制工具,并被该工具上层的命令服务器所控制,随后,RSA发现开发用服务器遭入侵,攻击方随即进行撤离,加密并压缩所有资料,并以FTP传送至远端主机,又迅速再次搬离该主机,清除任何踪迹。在拿到了SecurID的信息后,攻击者就开始对使用SecurID的公司——如洛克希德马丁公司、诺斯罗普公司等美国国防外包商进行攻击,重要的资料被窃取。
通过这个案例我们可以发现,攻击者通过社会工程学的方法收集被攻击目标的信息,之后会给攻击目标公司的某个特定人——通常是普通员工或管理层发送一些极具诱惑性的、带有附件的邮件,例如邀请他参加某个他所在行业的会议,以他同事或者HR部门的名义告知他更新通讯录,请他审阅某个真实存在的项目的预算,等等。
当受害人打开这些邮件,查看附件时,受害人的附件中嵌入的漏洞被利用,从而主机被植入控制工具或被植入木马,然后木马或工具远程连接服务器,下载恶意代码——通常这些恶意代码可绕过传统的反病毒产品,借助恶意代码,受害人机器与远程计算机建立了远程Shell连接,从而导致攻击者可以任意控制受害人的机器,攻击目的达成或攻击行为被发现后,攻击者会迅速撤离并消除痕迹。
