高级可持续攻击(APT)攻防分析
Download
Report
Transcript 高级可持续攻击(APT)攻防分析
高级可持续攻击(APT)攻防分析
杭州安恒-吴卓群
演讲提纲
1、APT攻击介绍
2、APT攻击案例分析
3、APT攻防分析
APT攻击
• 什么是APT
– Advanced Persistent Threat
– APT是指高级的持续性的渗透攻击,是针对特定组织的多方位的攻击;
– APT不是一种新的攻击手法,因此也无法通过阻止一次攻击就让问题消失
APT攻击增长情况
网络犯罪集团与APT攻击的区别
APT攻击的常见流程
6
演讲提纲
1、APT攻击介绍
2、APT攻击案例分析
3、APT攻防分析
APT攻击-韩国大规模MBR攻击
1 FIRST组织和APCERT组织了解到韩国主要广播电视台KBS、MBC、YTN,
以及韩国新韩银行(ShinNan Bank)、农协银行(NongHyup Bank)等部分金
融机构疑似遭受黑客攻击,相关网络与信息系统突然出现瘫痪
2 月中事件调查出炉,报导说朝鲜至少用了 8 个月来策划这次攻击,成
功潜入韩国金融机构 1500 次,以部署攻击程序,受害计算机总数达 48000
台,这次攻击路径涉及韩国 25 个地点、海外 24 个地点,部分地点与朝鲜
之前发动网络攻击所使用的地址相同。黑客所植入的恶意软件共有 76 种,
其中 9 种具有破坏性,其余恶意软件仅负责监视与入侵之用。
• 攻击行为分析
– 邮件植入木马
– 病毒传播
– 病毒在3月20日下午2:00以后激活
– taskkill /F /IM pasvc.exe [AhnLab client]
– taskkill /F /IM Clisvc.exe
– Vista以上系统覆盖文件、其他的破坏引导扇区
– shutdown -r -t 0
对美国无人机厂商的 “Beebus” APT攻击
• 黑客团队利用钓鱼式攻击窃取美国无人机的相关信息,该
行为被命名为“Beebus”
• 在2012年初就在一些国防和航空航天客户系统上发现了一
些可疑行为,在发现的261次攻击行为中,其中有123次是
针对无人机或系统供应商。这些攻击一般通过电子邮件发
送DOC、PDF等文件到客户邮箱,当用户打开附件,恶意软
件立即会感染用户电脑,该恶意软件主要目标是美国和印
度的政府机构、航空航天、国防和电信行业。
对美国无人机厂商的 “Beebus” APT攻击
• 使用包含http代理功能的mutter后门程序
• 和服务器通讯:<Mutter version#>-<campaign
marker?>-<victim hostname>-<victim IP
address>
• 没有使用0day,只使用了一些老的漏洞
利用Twitter进行APT攻击
• 国外安全实验室监测到一例通过Twitter来进
行APT攻击攻击的行为。并且其中用到了
CVE-2013-0634 Adobe Flash SWF exploits
利用Twitter进行APT攻击
• 搜集目标人员Twitter账户
• 使用@的方法使目标人员访问特定页面
• 其中利用了CVE-2013-0634 Flash SWF来加载
漏洞
2011年NASA遭受APT入侵报告
在2011财政年度,美国宇航局(NASA)的报道,这是47个APT攻击的受害
者,其中13成功破坏机构的电脑。在一个成功的攻击,入侵者窃取用户凭据
NASA的员工超过150个,证书可能已被用来获得未经授权的访问NASA系统。
入侵者可以做什么:
(1)修改,复制,或删除敏感文件;
(2)添加,修改,或删除用户帐户的关键任务的喷气推进实验室系统;
(3)上传黑客工具盗取用户的凭据和妥协的NASA系统;
(4)修改系统日志来掩饰他们的行动。
换句话说,袭击者在这些网络的全功能控制。
利用爆炸案热点的新APT攻击
黑客利用民众对波士顿马拉松爆炸案和德州化肥厂爆炸案的关注开展
组合拳式的攻击。攻击方式包括钓鱼、iframe重定向、Redkit漏洞利用
包、僵尸网络攻击诸多手段。黑客的攻击通过Zeus、Kelihot僵尸程序感
染了大量的计算机,偷窃金融账号和个人信息,发送恶意邮件或劫持个
人计算机展开DDoS攻击。
利用爆炸案热点的新APT攻击
• Phish email
邮件以最近发生的波士顿马拉松爆炸事件祈祷作为主题进行定向攻击,
希望别人打开附件文档 对这次爆炸事件进行祈祷。
美国举行“网络风暴III”演习
2010年9月27日至29日,美国国土安全部会同商务部、国防
部、能源部、司法部、交通部和财政部,联合11个州和60家私
营企业,举行了第三次网络风暴演习。与往届类似演习的不同
之处在于,此次演习更多地反映了美国防部最新颁布的《四年
一度防务报告》中提及的“竞争全球公共空间”(包括海洋、
大气层、外太空以及网络空间)的概念,以协调整合一致的方
式,将衡量与判断网络空间安全程度的标准提升到军用标准,
将网络安全提升到国家安全战略核心内容之一的角度进行全行
的策划与设计,综合性应对来自网络空间的挑战。
北约举行“2011网络联盟”演习
北约2011年12月16日发布公报说,13日至15日北约举行
了一场网络防御演习,以检验应对大规模网络攻击的能力。
共有23个北约成员国和6个伙伴国参与这场代号“2011网
络联盟”的演习。演习假设北约和参与国家的信息基础设
施遭到大规模网络攻击,要求各方协调应对。演习目的一
是检验参与方应对网络攻击的技术能力,二是提高北约成
员国之间的协调应对能力。
2011年7月美国国防部发布《网络空间行动
战略》
• 美国国防部2011年7月14日在其网站上发布了首份《网络空间行
动战略》部分内容,新战略包括进一步将网络空间列为与陆、
海、空、太空并列的“行动领域”;变被动防御为主动防御,
从而更加有效地阻止、击败针对美军网络系统的入侵和其他敌
对行为;进一步加强国防部与国土安全部等其他政府部门及私
人部门的合作;通过技术创新能力保持国家的独创性。尽管美
方一再强调新战略重在防御,但从种种迹象来看,美军已经将
网络空间的威慑和攻击能力提升到更加重要的位置。
网络空间战不再是纸上谈兵 成军事强国
战略必争地
• 俄罗斯在2002年的《俄联邦信息安全学说》中将信息网络
战称为未来的“第六代战争”。
• 英国在2009年的《国家网络安全战略》中把网络攻击列为
英国面临的四大威胁之一。
• 日本在2010年5月的《信息安全战略》中要求各部门构建
能够应对大规模网络攻击的体制,确保网络空间安全。
网络空间面临着巨大的安全威胁
网络
犯罪
网络
战争
随着云计算和物联网技
术发展应用,现实世界将与
网络世界融为一体成为我们
赖以生存的生态环境。
网络
恐怖
演讲提纲
1、APT攻击介绍
2、APT攻击案例分析
3、APT攻防分析
APT攻击特点
目标
明确
持续
性
APT
隐蔽
性
0day
漏洞
APT 攻击发现难点
•
•
•
•
如何有效发现0day攻击
如何定义攻击路径及行为
如何定义恶意文件的特征及行为
如何可以更好的了解APT攻击
APT 攻击方式
人工主动
攻击
社会工程
学
利用病毒
木马攻击
0day攻击
APT
攻击
基于异常
流量攻击
基于人工的主动渗透
• 通过人工渗透进入内网,并对关键资源发
动攻击(攻击目标关键资源包括域控、OA
、邮箱、文件服务器、工控系统等)
• 攻击途径:
– WEB服务
– Vpn 服务
– 邮箱系统
– 其他对外开发并可能利用的服务
基于病毒木马攻击
• 通过病毒木马目标实施攻击,可能是很复杂
的网络
– 典型案例:
• Stuxnet 病毒
• Flame 病毒
即使在物理隔离也不安全
基于文件0day的攻击
• 利用收集的邮件进行定向攻击
– 发送带恶意代码的文本格式文件
如:office, pdf 等
基于异常流量的攻击
•
•
•
•
网络扫描嗅探的异常流量
远程溢出数据
内网病毒木马爆发的异常流量
数据回传时的异常流量
攻击
回传
检测手段
主动攻击检测
恶意流量
攻击检测
已知漏洞
检测
综合关联
分析
0day漏洞
检测
发现
APT
动态行为
分析
检测手段
• 基于主动web的攻击检测
– 通过分析web流量定位其中的恶意攻击
• 通用性漏洞检测:
– 如SQL注入、跨站、命令执行等
• 0day的攻击:
– 新型框架漏洞、新型利用手段
• 浏览器攻击:
框架漏
洞
通用漏
洞
浏览器
漏洞
– 浏览器 0day 漏洞
Web攻击
检测手段
• 基于已知病毒木马的检测
– 通过特征匹配的方式定位已知病毒木马
检测手段
• 基于文件的恶意代码分析
– 通过检测文件的溢出漏洞点,和溢出攻击的特
点发现基于文件的0day恶意攻击
通用特
征提取
0day
定位
合规性
分析
检测手段
• 动态行为分析技术
– 通过动态分析的,对目标进行行为特征分析,
发现其中的恶意行为,从而发现攻击
•
•
•
•
文件操作行为
网络行为
进程行为
注册表行为
检测手段
• 基于流量的行为分析
– 通过对流量的变化的行为特征分析,发现网络
中的异常流量,从而发现恶意攻击
• 多维度检测(源目 IP 分布、访问频度、协议类型等
)
• 基于黑域名黑IP检测
• 合规协议的检测
About Me
About Me
• 目前就职于杭州安恒信息技术有限公司,任信息安全服
务部副总监、研究院安全分院
([email protected])负责人、高级安
全研究员。
• 从事多年的web应用安全领域研究。擅长漏洞发掘、代码
审计。
THINK YOU