网络威胁格局已经改变。我们以前面对的是传统意义上的黑客,从系统探险者到脚本小子,脚本小子使用的是新型自动化利用工具,即通过利用黑客技术知识并将其封装开发而来的工具。在这个背景下还潜伏着地下组织和其他犯罪类型,只要有足够的时间,他们能够窃取到任何内容。
这些早期罪犯的作案手法与现在很多企业所遇到的情况没有太多不同。这涉及网络钓鱼活动,试图诱骗人们登录到自己的网上银行账户,并在此过程中,泄露其登录凭证。攻击者还开发了病毒和僵尸程序来提供对受害者电脑的远程访问和管理工具,允许僵尸程序主人获取受害者的所有数据。现在国家情报部门开始利用这些早期罪犯开发的这些工具,以使用互联网作为提高其情报收集能力的渠道。
在过去没有什么像这样发生得如此之快,或者具有这么深远的影响和依存关系。关键网络、公共事业和其他基础设施都与企业及政府的网络交织在一起,并且,我们构建、设计和制造的一切事物都在互联网上。如果互联网停止运行,全球经济将会崩溃。从这点来看,这又引出了国家安全问题。各国政府已经意识到在电磁领域具有防御和进攻能力的战略性和战术性优势。
这种模式的转变为高级网络威胁奠定了基础。基于网络罪犯的早期技术,很多国家的安全服务已经具有为其国家利益进行攻击和窃取的能力。随着这些组织被其政府要求获取情报信息,全新类型的“威胁”出现在网络中。
2006年美国空军上校Greg Rattray创造的高级持续威胁(APT)术语描述了自20世纪90年代末和21世纪初在政府网络中发现的强大的网络攻击。对于美国政府而言,APT就是中国;而对于中国来说,APT则是美国。这始终是个角度问题。
情报收集方法
APT攻击如何发生以及原因?想要了解APT攻击的构造和生理机能,我们需要知道世界各地安全机构使用的情报收集方法。所有这些机构(包括美国中情局、军情六处和俄罗斯联邦安全局)有着管理程序来接收政府的情报产品和信息请求。他们会优先这些请求,并传递到各个部门或者组织,然后这些组织负责获取信息或产品。
请求可能从何而来?例如,内部收集周期可能源自于参加巴黎航展的商务代表团,在这个重要活动中,数以百计的航空航天和国防公司会展示其产品和创新。该代表团(其中包括情报人员)拿着“购物清单”,花很长时间来寻找特定技术和系统。他们可能会发现一家国防承包商在“禁止的”国家出售新的创新雷达系统,而该制造商出售该技术给代表团属于违法行为,所以他们不能简单地购买技术并进行逆向工程。于是,该代表团会拍摄销售展示的照片,并尽可能获取信息。当该代表团回国后,他们会将对这个雷达技术的情报或收集的正式请求提交给其国家的情报机构。该情报请求会被优先处理,当执行该请求时,它会被分配到网络情报部门,该部门的专长是获取他人网络的访问权,以获取非常具体的信息。
APT是在美国中情局网站上介绍的经典情报周期的收集部分:
· 规划与方向
· 收集
· 处理
· 分析和生产
· 传播
接着,有针对性的APT“活动”开始了。在这种情况下,这是A国的军事部门向其情报部门发出的情报请求,其目的是找出在B国生产的雷达系统的所有信息。
该情报部门或其承包商首先会对目标组织进行全面的搜索。这种信息搜索包括关于该公司的基本信息,例如设施的物理位置;企业和供应链关系;合同、产品和服务;领导层和董事会;申请报告和财务报告;及其是否为上市公司。
该组织还会着眼于该公司的互联网足迹:
· 域名、DNS记录、MX邮件记录
· 注册的IP范围以及该信息的扫描
· 电子邮件命名约定(名字.姓氏@公司.com)
· 电信关系以及主机托管的使用
· 云使用
· 面向公众的服务或网站
· 双因素身份验证的使用
他们将会建立对具体部门或计划内或领导层或企业共享服务内的员工的信息档案。这些信息的收集来自于LinkedIn和Facebook搜索、学术论文、公共网站、公开演讲记录以及行业协会和论坛等。在编译好这些数据后,他们将会制定行动计划来渗透网络一集窃取目标的信息。
APT活动的进攻方面是从攻击者执行其计划开始。在这个例子中,最开始是通过社会工程。在确定生产目标数据的设施的物理位置后,APT在社交媒体撒网来“链接”与该项目有关或者接近该项目的个人--基于他们的LinkedIn资料。攻击者创建虚假的人物角色,使用LinkedIn、Facebok页面和其他社交媒体。然后他们试图与这些个人“交朋友”以发现电子邮件地址(工作和个人邮箱)、其他朋友或关联、地址、他们拥有的技能以及他们从事的其他项目。
根据这些社交媒体信息,APT创建了目标人物清单,这些人与目标项目有着直接或间接的关系,或者能够间接参与到项目,或者为目标提供下一步信息。这个社会工程学确定了鱼叉式钓鱼攻击活动的目标。几乎所有APT攻击都包括某种形式的鱼叉式钓鱼攻击,或者使用恶意信息,其目的是感染受害者的计算机。 APT工具集
APT为了执行这些活动,他们需要准备基础设施和工具。大型APT活动有来自国家政府的大量资助,用于研发工作,例如针对大多数商业安全工具创建漏洞利用或测试代码。APT工具集通常包括以下:
云服务提供商出租的命令控制(C2)计算机主机,或者作为C2主机的目的而被感染的主机。这些主机会间接与攻击者通信。使用由A国政府拥有的C2主机,或者间接与A国通信的C2主机,都不是明智的做法。相反,这些主机应该通过主机层和代理服务器进行通信,以掩盖流量的目的地。通过这些C2主机网络,恶意软件通过鱼叉式钓鱼攻击进行通信,以建立通道到受感染主机,然后下载工具集和远程管理工具(RAT)。
· 包含水坑或路过式漏洞利用(电子邮件中网址链接到的地方)的网站,可感染主机
· 用于保存渗出数据的互联网文件共享,这些文件共享可能包括Google Docs或者Dropbox账户。
· 广泛的恶意软件库,以在网络获取立足点来下载RAT和工具集。该恶意软件将会尝试利用近零日或零日漏洞。零日漏洞通常用于高价值目标,因为当这些漏洞在互联网时,可能会开发补丁和签名。
· 在域名和主机配置方面具有丰富技能的Windows管理员。这些技术人员将会推动受感染主机继续在被感染网络获取主机,找到数据并渗出数据。
基于对目标最初的搜索,该活动的模板被选定为从目标获取数据。这些模板或者运作模式是基于目标公司部署的技术、目标的网络安全状况以及目标的价值。
在模板被选定和批准后,资源也准备就绪,鱼叉式钓鱼电子邮件被发送到目标。邮件被发送,并隐藏在目标的防火墙背后。如果恶意软件信标进入C2主机(其地址在利用代码中),就会成功。
几年前,大多数公司对这种威胁都手足无措,攻击者很容易得手。这些早期攻击活动的作案手法还在延续,并根据防御的改进作出了调整。随着大家对APT认识的提高,针对它的主动防御也在提高,这意味着,APT操作者需要调整其MO来抵御企业部署的新兴防御技术。
主动防御
了解了APT操作者如何攻击可以帮助企业构建抵御APT的主动防御。传统基于签名的防火墙和IDS无法对抗APT攻击。APT操作者具有所有商业安全设备和软件的副本,并构建其模板来轻松抵御防病毒和反恶意软件工具等系统。
这里还有一些方法来防止APT攻击:
使用威胁情报。这包括APT操作者的最新信息;从分析恶意软件获取的威胁情报;已知的C2网站;已知的不良域名、电子邮件地址、恶意电子邮件附件、电子邮件主题行;以及恶意链接和网站。威胁情报在进行商业销售,并由行业网络安全组共享。企业必须确保情报的相关性和及时性。威胁情报被用来建立“绊网”来提醒你网络中的活动。
建立强大的出口规则。除网络流量(必须通过代理服务器)外,阻止企业的所有出站流量,阻止所有数据共享、诶网站和未分类网站。阻止SSH、FTP、Telnet或其他端口和协议离开网络。这可以打破恶意软件到C2主机的通信信道,阻止未经授权的数据渗出网络。
收集强大的日志分析。企业应该收集和分析对关键网络和主机的详细日志记录以检查异常行为。日志应保留一段时间以便进行调查。还应该建立与威胁情报匹配的警报。
聘请安全分析师。安全分析师的作用是配合威胁情报、日志分析以及提醒对APT的积极防御。这个职位的关键是经验。
你的企业是否面临APT威胁?你的公司是否存在吸引APT攻击者愿意花时间和金钱试图窃取的东西?企业可以询问美国联邦调查局他们是否可能受到APT攻击。如果答案是否定的,那么,花钱在抵御APT的防御工作并不是很好的投资。但可能成为潜在“目标”的企业必须考虑进行防御。