312      京東網上商城

專訪趨勢科技：全麵解析APT攻擊過程

本文講的是 :  專訪趨勢科技：全麵解析APT攻擊過程  ,  【IT168 評論】4月3日消息　日前，韓國多家大型銀行及數家媒體相繼受到黑客攻擊，32000台計算機與服務器未能幸免，出現丟失畫麵的情況，有些電腦的顯示屏上甚至出現骷髏頭的圖像以及來自名為“WhoIs”團體的警告信息，繼而無法啟動。然而，此攻擊僅僅是韓國在同一時間遭受的多起攻擊之一，甚至還導致很多企業業務運行出現中斷，最終這些企業耗費4~5天時間才完全恢複業務。

▲趨勢科技(中國區)產品經理蔣世琪

　　針對此次典型的APT攻擊事件，我們采訪了趨勢科技(中國區)產品經理蔣世琪。分析此次黑客攻擊的手法，蔣世琪介紹到，“黑客首先利用社交工程郵件假冒銀行發送主題為‘三月份信用卡交易明細’的釣魚郵件傳送惡意程序，從而侵入目標企業；第二步典型的水坑攻擊(water hole attack)，攻擊者侵入攻擊對象經常訪問的合法網站或服務器後植入惡意程序，當用戶訪問了這些網站，就會遭受感染。在此次攻擊，攻擊者入侵了客戶內部的安博士更新服務器，利用更新服務器下發惡意程序到終端，其中包括MBR修改木馬；第三步就是自我毀滅，黑客設定該惡意程序在 2013 年3月20日同步爆發，當設定的時間到達之後，“TROJ_KILLMBR.SM”會複寫MBR並且自動重啟係統，讓此次破壞行動生效。惡意程序會利用保存的登錄信息嚐試連接SunOS、AIX、HP-UX與其他Linux服務器，然後刪除服務器上的MBR與文件。一旦爆發，企業電腦係統會完全癱瘓，必須逐一重裝係統才能恢複。”

▲APT攻擊流程圖

　　APT攻擊過程全貌

　　根據APT攻擊行為的特點分析，趨勢科技的研究人員將APT攻擊分為如下幾個階段，它們是：情報收集、進入點、命令和控製（C＆C）通訊、橫向擴展、資產/數據發掘和數據竊取。

　　通過對APT各階段攻擊的分析，IT團隊可以了解到黑客對自己網絡發動攻擊時用到的戰術和操作。這種分析有助於觀察黑客從特定網絡所發動攻擊的行為，並結合內部係統存在的安全隱患，建立本地威脅防禦體係和動態的安全策略，這是消除由同一夥黑客或是同一類型APT攻擊的關鍵。

　　第1階段，情報收集：攻擊者會鎖定的公司和資源采用針對性APT攻擊，通常將目標鎖定到企業員工的身上作為開端，並通過社交工程攻擊開啟一連串攻擊。而在調查數據中，隻有31%的企業會懲處將公司機密資料貼到社區網站上的員工，這樣使得黑客非常容易的就能獲取到目標企業的IT環境和組織架構的重要信息。

　　第2階段，進入點：利用電子郵件、即時通信軟件、社交網絡或是應用程序漏洞找到進入目標網絡的大門。一項研究指出，在87%的組織中，會有網絡用戶點擊黑客安排的網絡鏈接,這些惡意鏈接都是精心設計的APT社交工程的誘餌。

　　第3階段，命令與控製 （C&C 通信）：APT攻擊活動首先在目標網絡中找出放有敏感信息的重要計算機。然後，APT攻擊活動利用網絡通信協議來與C&C服務器通訊，並確認入侵成功的計算機和C&C服務器間保持通訊。

　　第4階段，橫向擴展：在目標網絡中找出放有敏感信息的重要計算機,使用包括傳遞哈希值算法的技巧和工具，將攻擊者權限提升到跟管理者一樣，讓他可以輕鬆的去訪問和控製關鍵目標（如：公司的郵件服務器）。

　　第5階段，資產/資料發掘：為確保以後的數據竊取行動中會得到最有價值的數據，APT會長期低調的潛伏。這是APT長期潛伏不容易被發現的特點，來挖掘出最多的資料，而且在這個過程當中，通常不會是重複自動化的過程，而是會有人工的介入對數據做分析，以做最大化的利用。

　　第6階段，資料竊取：APT是一種高級的、狡猾的伎倆，高級黑客可以利用APT入侵網絡、逃避“追捕”、悄無聲息不被發現、隨心所欲對泄露數據進行長期訪問，最終挖掘到攻擊者想要的資料信息。數據泄露的代價對公司業務和資金的損失是極其慘重的，比如RSA就花了六千六百萬美金來補救因內部網絡數據竊取事件所造成的傷害。

　　蔣世琪談到：“APT的攻擊手法在於隱匿自己，針對特定對象，長期、有組織、有計劃的竊取數據，這種發生在數字空間偷竊資料、搜集情報的行為類似於‘網絡間諜’。正是由於APT的隱蔽性，把握其中的攻擊規律就變得尤為重要。”

　　2013年APT攻擊趨勢預測

　　APT攻擊是一個在時間上具備連續性的行為，其在2012年表現出來的特征會反映在我們對於2013年的預測中。基於這種判斷，蔣世琪表示，在2013年，APT攻擊將會變得越來越複雜，這並不僅僅表示攻擊技術越來越強大，也意味著部署攻擊的方式越來越靈活。以後，這類攻擊將會具備更大的破壞能力，使得我們更難進行屬性分析。

　　第一、攻擊將會更有針對性：越來越多的APT攻擊將會針對特定的地區、特定的用戶群體進行攻擊。在此類攻擊中，除非目標在語言設定、網段等條件上符合一定的標準，否則惡意軟件不會運行。因此，在2013年我們將會看到越來越多的本地化攻擊。

　　第二、APT攻擊將更有破壞性：在2013年，APT攻擊將帶有更多的破壞性質，無論這是它的主要目的，或是作為清理攻擊者總計的手段，都很有可能成為時間性攻擊的一部分，被運用在明確的目標上。

　　第三、對攻擊的判斷將越來越困難：在APT攻擊防範中，我們通常用簡單的技術指標來判斷攻擊的動機和地理位置。但是到了2013年，我們將需要綜合社會、政治、經濟、技術等多重指標進行判斷，以充分評估和分析目標攻擊。但是，多重指標很容易導致判斷出現失誤，而且，攻擊者還可能利用偽造技術指標來將懷疑對象轉嫁到別人身上，大大提升了判斷的難度。

董建偉

最後更新：2017-10-11 14:33:42

  上一篇：  Juniper推出基於雲的全球攻擊者數據庫

  下一篇：  利用OTTER實現準實時ETL