近日,一份關(guān)于APT攻擊的報(bào)告顯示,在所有數(shù)據(jù)泄漏事件當(dāng)中,黑客平均潛伏的天數(shù)長達(dá) 205 天。受害企業(yè)通常都有一個(gè)同樣的疑惑:“黑客是如何在我的網(wǎng)絡(luò)中長期躲藏而不被發(fā)現(xiàn)?”。亞信安全通過對APT攻擊長期的追蹤發(fā)現(xiàn),黑客往往會(huì)精心選擇隱匿行蹤的技巧,而且擅長通過有組織的行動(dòng)將攻擊分散開來,以躲避查殺。針對APT攻擊的特征,亞信安全建議企業(yè)用戶持續(xù)監(jiān)察網(wǎng)絡(luò)內(nèi)的異常流量,并格外小心“圖片”和“文檔”中的黑色代碼。
APT攻擊黑客團(tuán)體特別擅長隱匿行蹤
在所有黑客攻擊行為當(dāng)中,最有能力在企業(yè)網(wǎng)絡(luò)內(nèi)部四處隱藏及游走的,就應(yīng)該是APT攻擊。黑客團(tuán)體有著組織性犯罪的顯著特征,而且特別擅長隱匿行蹤,他們通常會(huì)運(yùn)用“零時(shí)差”漏洞進(jìn)入網(wǎng)絡(luò)。其盜取的核心機(jī)密數(shù)據(jù)能夠在地下黑市為其換得高額回報(bào),巨大的誘惑讓他們長期潛伏下來,并且持續(xù)滲透。
黑客團(tuán)體的成員之間,有著統(tǒng)一的指揮通道并且分工明確,要緝拿這些行動(dòng)背后的首腦相當(dāng)困難,尤其是當(dāng)他們躲藏在國外的時(shí)候。事實(shí)上,許多APT攻擊團(tuán)體通常都有政府在背后支持。還有,即使我們可以從攻擊行動(dòng)所使用的網(wǎng)址來追溯到某個(gè)地區(qū),但該網(wǎng)址注冊的 DNS 和 IP 服務(wù)廠商通常也不愿配合國外的執(zhí)法機(jī)關(guān)。正因如此,那些由政府在背后撐腰的黑客,就能一再發(fā)動(dòng)惡意攻擊而不會(huì)遭到任何懲罰。嚴(yán)重的是,這些黑客團(tuán)體還會(huì)被一些投機(jī)取巧、惡意競爭的企業(yè),甚至是恐怖組織雇傭。在低風(fēng)險(xiǎn)、高報(bào)酬的條件下,他們會(huì)不斷從過去的失敗當(dāng)中吸取教訓(xùn),并且每一次都比上一次的行動(dòng)更加小心謹(jǐn)慎。
“如果我們還不能建立起有效的APT攻擊防御架構(gòu),任何一個(gè)組織都可能遇到數(shù)據(jù)泄漏的危險(xiǎn)。管理員必須要熟悉黑客竊取數(shù)據(jù)的方法,掌握APT攻擊各個(gè)階段的特點(diǎn),并且能夠針對APT攻擊鏈條建立有效的抑制點(diǎn),在互聯(lián)網(wǎng)入口、內(nèi)部交換層,都要配備更智能的過濾和分析機(jī)制,因?yàn)楹诳驼诎袮PT攻擊代碼寫進(jìn)看似正常的圖片和文檔中。”亞信安全APT治理專家徐江明提醒:“企業(yè)用戶一定要關(guān)注APT攻擊的變化。我們的工程師已經(jīng)發(fā)現(xiàn)了更糟糕的狀況,地下市場上隨處可見的惡意程序,以及卷土重來的宏病毒已經(jīng)被APT攻擊者廣泛采用。”
APT攻擊“武器”正在升級
亞信安全的研究人員發(fā)現(xiàn),當(dāng)前地下市場上最精密的惡意軟件之一就是 Stegoloader,它可以將 C&C 通信隱藏在圖片當(dāng)中。大多數(shù)的系統(tǒng)管理員都會(huì)被這樣的技巧所騙,因?yàn)樗麄兞?xí)慣上只會(huì)在安全網(wǎng)關(guān)上攔截可以執(zhí)行文件并進(jìn)行分析,不會(huì)攔截圖片文件。但這些圖片一旦進(jìn)入目標(biāo)網(wǎng)絡(luò)之后,惡意軟件就會(huì)幫助黑客發(fā)揮“橫向移動(dòng)”的能力。另外,Stegoloader采用了模塊化的設(shè)計(jì)可讓它在不同類型的終端之間移動(dòng),并且迅速發(fā)掘可竊取的數(shù)據(jù)類型及數(shù)量,進(jìn)而判斷是否值得花時(shí)間來發(fā)動(dòng)進(jìn)一步攻擊。大多數(shù)的安全專家都認(rèn)為 Stegoloader 是一種高級黑客用來從事長期攻擊行動(dòng)的工具。
能夠騙過管理員和用戶的另外一個(gè)伎倆就是Office文檔,而這也是宏病毒藏身的地方。上世紀(jì)末最惡名昭彰的梅麗莎病毒(Melissa)出現(xiàn)之后,宏病毒貌似離開了人們的視線。但是,現(xiàn)在宏病毒強(qiáng)勢回歸,并成為了APT攻擊的慣用工具。例如:2014年出現(xiàn)的數(shù)據(jù)竊取軟件ZeuS,它通過啟用宏的Microsoft Word文件來進(jìn)行散播。在同年11月還發(fā)現(xiàn)了DRIDEX(一個(gè)針對網(wǎng)絡(luò)銀行用戶的數(shù)據(jù)竊取軟件)采用相同的感染策略。緊隨其后的是ROVNIX、VAWTRAK、BARTALEX這些后門惡意軟件,黑客還加上自己的防御手段,他們或是對啟用宏的文件加上密碼保護(hù)來防止防毒軟件的查殺,或是開辟新方法來通過宏惡意軟件感染用戶。
找出APT攻擊的藏身之處
APT攻擊共有六個(gè)階段,這包括:情報(bào)收集、單點(diǎn)突破、命令與控制(C&C 通信)、橫向移動(dòng)、資產(chǎn)/資料發(fā)掘、資料竊取。在黑客團(tuán)體常常分工明確,每一階段由一組專門的黑客負(fù)責(zé)。另外,需要注意的不僅是在“單點(diǎn)突破”這個(gè)階段的惡意代碼,黑客在第四階段的“橫向移動(dòng)”對于最后資料竊取階段的布局也至關(guān)重要。不斷地在不同終端之間移動(dòng),可以讓黑客完整掃描整個(gè)網(wǎng)絡(luò),并且找到最珍貴的數(shù)據(jù)。
發(fā)現(xiàn)APT攻擊者在企業(yè)內(nèi)部的藏身之處有一定的難度,但不是說企業(yè)就束手無策。相反,企業(yè)必須不斷提升自己的安全防護(hù),并隨時(shí)掌握整個(gè)企業(yè)網(wǎng)絡(luò)的情況。亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)(Deep Security)產(chǎn)品可提供 360度全方位掌握來偵測 APT,防范黑客竊取企業(yè)敏感信息。在今日的大環(huán)境下,黑客入侵已經(jīng)是無可避免的事,因此盡可能降低黑客潛伏的時(shí)間,并且妥善保護(hù)核心的數(shù)字資產(chǎn),這才是最重要的。