企业现有防御体系缺陷APT攻击实例与研究分析.docVIP

企业现有防御体系缺陷与APT攻击实例研究分析 Internet互联网安全目前正在面临前所未有的挑战，这主要就来自于有组织、有特定目标、持续时间极长的新型攻击和威胁，国际上有的称之为APT（Advanced Persistent Threat）攻击，或者称之为“针对特定目标的攻击”。 APT攻击利用了多种攻击手段，包括各种最先进的手段和社会工程学方法，一步一步的获取进入组织内部的权限。一般认为，APT攻击就是一类特定的攻击，为了获取某个组织甚至是国家的重要信息，有针对性的进行的一系列攻击行为的整个过程。APT往往利用组织内部的人员作为攻击跳板。有时候，攻击者会针对被攻击对象编写专门的攻击程序，而非使用一些通用的攻击代码。 此外，APT攻击具有持续性，甚至长达数年。这种持续体现在攻击者不断尝试各种攻击手段，以及在渗透到网络内部后长期蛰伏，不断收集各种信息，直到收集到重要情报。 更加危险的是，这些新型的攻击和威胁主要就针对国家重要的基础设施和单位进行，包括能源、电力、金融、国防等关系到国计民生，或者是国家核心利益的网络基础设施。 对于这些单位而言，尽管已经部署了相对完备的纵深安全防御体系，可能既包括针对某个安全威胁的安全设备，也包括了将各种单一安全设备串联起来的管理平台，而防御体系也可能已经涵盖了事前、事中和事后等各个阶段。但是，这样的防御体系仍然难以有效防止来自互联网的入侵和攻击，以及信息窃取，尤其是新型攻击（如APT攻击，以及各类利用0day漏洞的攻击）。 列举几个典型的APT攻击实例，以便展开进一步分析。 1、 夜龙攻击 夜龙攻击是McAfee在2011年2月份发现并命名的针对全球主要能源公司的攻击行为。该攻击的攻击过程是： 1） 外网主机如Web服务器遭攻击成功，多半是被SQL注入攻击； 2） 被黑的Web服务器被作为跳板，对内网的其他服务器或PC进行扫描； 3） 内网机器如AD服务器或开发人员电脑遭攻击成功，多半是被密码暴力破解； 4） 被黑机器被植入恶意代码，多半被安装远端控制工具（RAT），传回大量机敏文件（WORD、PPT、PDF等等），包括所有会议记录与组织人事架构图； 5） 更多内网机器遭入侵成功，多半为高阶主管点击了看似正常的邮件附件，却不知其中含有恶意代码。 2、 Google极光攻击 2010年的Google Aurora（极光）攻击是一个十分著名的APT攻击。Google的一名雇员点击即时消息中的一条恶意链接，引发了一系列事件导致这个搜索引擎巨人的网络被渗入数月，并且造成各种系统的数据被窃取。这次攻击以Google和其它大约20家公司为目标，它是由一个有组织的网络犯罪团体精心策划的，目的是长时间地渗入这些企业的网络并窃取数据。该攻击过程大致如下： 1） 对Google的APT行动开始于刺探工作，特定的Google员工成为攻击者的目标。攻击者尽可能地收集信息，搜集该员工在Facebook、Twitter、LinkedIn和其它社交网站上发布的信息。 2） 接着攻击者利用一个动态DNS供应商来建立一个托管伪造照片网站的Web服务器。该Google员工收到来自信任的人发来的网络链接并且点击它，就进入了恶意网站。该恶意网站页面载入含有shellcode的JavaScript程序码造成IE浏览器溢出，进而执行FTP下载程序，并从远端进一步抓了更多新的程序来执行（由于其中部分程序的编译环境路径名称带有Aurora字样，该攻击故此得名）。 3） 接下来，攻击者通过SSL安全隧道与受害人机器建立了连接，持续监听并最终获得了该雇员访问Google服务器的帐号密码等信息。 4） 最后，攻击者就使用该雇员的凭证成功渗透进入Google的邮件服务器，进而不断的获取特定Gmail账户的邮件内容信息。 3、 RSA SecurID窃取攻击 2011年3月，EMC公司下属的RSA公司遭受入侵，部分SecurID技术及客户资料被窃取。其后果导致很多使用SecurID作为认证凭据建立VPN网络的公司——包括洛克希德马丁公司、诺斯罗普公司等美国国防外包商——受到攻击，重要资料被窃取。在RSA SecurID攻击事件中，攻击方没有使用大规模SQL注入，也没有使用网站挂马或钓鱼网站，而是以最原始的网络通讯方式，直接寄送电子邮件给特定人士，并附带防毒软件无法识别的恶意文件附件。其攻击过程大体如下： 1） RSA有两组同仁们在两天之中分别收到标题为“2011 Recruitment Plan”的恶意邮件，附件是名为“2011 Recruitment plan.xls”的电子表格； 2） 很不幸，其中一位同仁对此邮件感