在最近的一項調(diào)查研究中,Vectra公司對40家企業(yè)中的25萬臺終端設備進行了調(diào)查,結(jié)果顯示,每家企業(yè)的網(wǎng)絡都經(jīng)歷了針對性入侵,但大多數(shù)入侵活動沒有達到最關(guān)鍵的階段:數(shù)據(jù)泄露。
“在各種規(guī)模的企業(yè)網(wǎng)絡、各種行業(yè)中,我們都發(fā)現(xiàn)了一些針對性攻擊的跡象。”
Vectra公司提供網(wǎng)絡監(jiān)控技術(shù),以追蹤網(wǎng)絡上的可疑活動。這份報告是Vectra發(fā)布的第 二份后入侵報告了,其中包含的企業(yè)數(shù)量大概是上個版本的兩倍。分析的企業(yè)類型包括雇員數(shù)量少于1千人的小企業(yè),以及雇員數(shù)量超過5萬人的大企業(yè);企業(yè)的范圍則包括Vectra的老客戶和那些想要獲得第一手信息安全評估的公司。
威廉姆森表示,從報告的結(jié)果上看,每個網(wǎng)絡中都存在一些繞過了邊界防御的威脅。
Vectra通過行為模式將這些威脅做了分類。
第一個部分占了全部探測到威脅數(shù)量的32%,它代表著命令控制服務器(C2)階段。在這個階段中,攻擊者們剛剛開始建立自己的橋頭堡,并通過感染點將數(shù)據(jù)傳回幕后服務器。
在這個階段,并不是所有活動都是自動化的。很多時候,在不斷深挖網(wǎng)絡中數(shù)據(jù)的過程中,攻擊者需要通過鍵盤發(fā)出指令來引導攻擊。比如利用獲取的用戶信息,選擇訪問哪個系統(tǒng)。
過了這個階段,攻擊就可以向不同的方向發(fā)展了。
其中之一是建立僵尸網(wǎng)絡。根據(jù)Vectra的報告,18%的威脅與這類行為有關(guān)。其中,絕大多數(shù)(85%)被用于實現(xiàn)點擊欺詐(Click Fraud),5%被用來實施針對其它目標的暴力破解,4%用被用于對其它網(wǎng)絡進行DDOS攻擊。
另一種可能性是更深一步地侵入目標公司,進行偵查,這種可能性大約是13%。然后則是多種角度的一些活動,占威脅總量的34%。其中包括,56%的暴力破解攻擊,然后是自動復制和Kerberos協(xié)議攻擊,分別占比22%和16%。Kerberos是利用失竊個人信息和賬戶信息的一種攻擊方式。
隨著研究的樣本數(shù)量增加,與僵尸網(wǎng)絡有關(guān)的威脅會同比增加,而窺探行為的數(shù)量則會增長四倍,其它深入行為的增長量甚至會增長七倍。
最后一個步驟是數(shù)據(jù)竊取,這對于一家公司而言是最危險的,但只占到全部檢測到威脅的3%。
這個很小的數(shù)字給了公司在威脅產(chǎn)生破壞之前檢測并清除它們的機會,但也解釋了為什么攻擊者在被抓住前往往能潛伏幾個月時間。
值得關(guān)注的是,不能因為此次調(diào)查結(jié)果中只有3%的攻擊面向竊取數(shù)據(jù),而得出市面上大部分攻擊行為都對數(shù)據(jù)竊取漠不關(guān)心的結(jié)論。因為,兩者并不成比。一旦攻擊者得以建立一個數(shù)據(jù)泄露的渠道,就可以在很長的一段時間內(nèi)利用這個渠道竊取數(shù)據(jù)。
Vectra同時分析了攻擊者隱藏自己的方式。
最常見的隱藏方法是將惡意流量偽造成瀏覽器活動,這樣的方式占總量的36%;使用新注冊的域名進行通信占25%;使用TOR匿名網(wǎng)絡的占14%;使用外部遠程訪問的占13%。
使用頻率最少的技術(shù)包括拉扯指令、隱藏的HTTP Post、隱藏的HTTPS隧道、惡意軟件升級、P2P網(wǎng)絡、隱藏的HTTP隧道。
隱藏隧道是特別難以檢測的,因為攻擊者可以將代碼嵌入進文本字段、Headers或其它在正常通訊中會出現(xiàn)的會話參數(shù)。為了讓檢測更加困難,攻擊者可以利用流量加密。
“我們能夠識別加密通訊中的隱藏隧道,而不需要將它們解密”。
Vectra通過分析行為模式實現(xiàn)這一點。分析結(jié)果顯示,攻擊者喜歡劫持加密通道。
例如,在傳輸與幕后服務器的通訊數(shù)據(jù)時,加密的HTTPS信道要比一兩條未加密的HTTP信道更誘人。
原文地址:http://www.aqniu.com/neo-points/8550.html