APT邮件和数据库泄密过程.docxVIP

APT攻击与检测目录一概述3二具体描述32.1 针对性42.2 持续性42.3 隐蔽性42.4 攻击流程4三举例说明53.1 通用流程63.2 通过IMAP攻击或获取信息73.3 通过pop3获取邮件内容83.4 连接ORACLE数据库操作9一概述APT全称是高级持续性威胁(Advanced Persistent Threat)。APT攻击是一类特定的攻击，为了获取特定的重要信息，有针对性的进行的一系列攻击行为的整个过程。APT攻击利用了多种攻击手段，包括各种最先进的手段和社会工程学方法，一步一步的获取进入组织内部的权限。APT往往利用组织内部的人员作为攻击跳板。有时候，攻击者会针对被攻击对象编写专门的攻击程序，而非使用一些通用的攻击代码。此外，APT攻击具有持续性，甚至长达1年。这种持续体现在攻击者不断尝试各种攻击手段，以及在渗透到网络内部后长期蛰伏，不断收集各种信息，直到收集到重要情报。总之，APT攻击具有很强的特定性，特指有明确目的的攻击，而非随意的攻击。概括一下APT攻击的特点：针对性，目标明确持续性，获取更多信息隐蔽性，不容易被发现二具体描述我们当前目的是针对APT攻击，利用我们的IDS系统事件和泰合分析引擎。找到一个可行的办法来针对此种类型攻击进行检测。这就需要针对APT的攻击特点来进行。2.1 针对性APT攻击目标明确，针对性很强。所以要防护的重要目标也要明确。这里我们当前制定的目标为针对邮件和数据库进行防护和检测。这也是往往攻击者最感兴趣的内容。2.2 持续性攻击者为了获取更多有价值信息，会对系统进行持续性攻击或入侵后长时间的潜伏。当获取到感兴趣信息后进行窃取。传统IDS可能只对单一事件进行检测。这里对此种攻击方式就必须通过针对IDS事件进行综合性关联，才可能检测一系列有关联的攻击行为。因为是持续性行为，所以时间轴的概念很重要。比如针对特定目标的同一时间的不同攻击探测行为。或对特定目标长时间持续性的攻击探测行为等。还有当侵入目标后长时间潜伏获取信息后回传等特定事件。这些行为的单体事件IDS系统都可以进行检测，我们的目的就是看是否能分析一系列的关联行为，对整个过程进行完整性检测。2.3 隐蔽性APT攻击往往目的都是为了获取重要信息，所以攻击者一般都会注意隐藏自己行为。使攻击不容易被发现。比如0day攻击、跳板攻击、入侵后潜伏等手段。在检测时候对这些方面也要进行考虑。2.4 攻击流程若要对攻击进行检测和防范，那么就需要清楚整个攻击的流程。一般说来APT攻击大致攻击过程如下：踩点、探测这是常规攻击过程的第一步。也就是获取目标信息的过程。通过扫描、搜索引擎、ping、traceroute、以至于社会工程等手段获取信息。这里我们能采用的方法就是对网络行为的记录和分析。比如ping收到的icmp包探测，或端口扫描等信息。入侵当攻击者收集到足够的信息后，对系统发起的攻击行为。针对我们制定的邮件和数据库的重点保护目标。这里面攻击可能包括缓冲区溢出、SQL注入、账号暴力破解等。检测手段可以通过对我们保护目标的这些攻击行为进行分析。扩大战果当攻击者成功侵入系统后，会进行的一系列动作。比如建立后门，获取账号信息，提升权限，隐藏自身等。这个步骤从IDS事件检测角度看，可能会根据攻击者上传具有特定特征的木马后门等程序的记录来判断。潜伏、持续性渗透攻击者侵入系统后，会潜伏起来。并以为侵入的目标为跳板对内部网络进一步渗透。入侵其他系统后重复这些过程。最终目的是获取其感兴趣的信息。这里从检测角度看。可能我们更值得关注的是外联方向的数据。因为若是攻击者成功入侵并能潜伏，说明攻击没有被发现。那么当攻击者获取到感兴趣的信息，比如邮件信息和数据库内容等。必定有个回传的过程，如果能对此数据进行监控，也可以发现问题。三举例说明前面描述了APT攻击的特点和相应攻击的检测点。因为很难一下就得出个完善的办法来应对。所以这里就只针对我们的IDS相关的事件描述一些特定的攻击过程。通过IDS的事件关联分析针对邮件和数据库的APT类型攻击的检测。作为个引子，后续逐步完善。我们的IDS事件库中关于邮件和数据库的条目共232条。邮件包括IMAP，SMTP，POP3三种类型的协议。其中IMAP相关事件35条，SMTP 98条，POP3 57条。数据库内容包括TDS(MSSQLSERVER)，TNS(ORACLE)两种协议类型。其中TDS 14条，TNS 28条。还有其他相关部分这里没有列举。比如探测信息的icmp协议，udp和tcp端口扫描，针对开放webmail的web扫描，SQL注入等web攻击。下面就针对具体攻击场景列举一些例子：3.1 通用流程实际上每一步并不是孤立存在的，也并不是不可或缺的。比如上图中踩点的步骤IDS事件没报警的话，后续步骤存在也可以判定攻击发生。