探索中国CIO人才现状 | 第四季调研报告
走近APT
2015-06-15  来源:techtarget

APT(高级持续性威胁)是黑客以窃取核心资料为目的,针对企业发动的网络攻击和侵袭行为。本文将探讨APT的技术、设计及内部工作机制。此外,文章将不同的攻击阶段与特定攻击关联起来,看攻击者如何渗透企业,获取其内部数据、业务秘密、敏感的业务信息等。

APT的目标是访问企业网络、获取数据,并长期地秘密监视目标计算机系统。许多研究人员认为,所谓的“高级”是指攻击者借助恶意软件和已知漏洞等技术,利用内部系统的漏洞。而“连续”意味着外部的命令和控制系统持续不断地监视特定目标,并窃取数据。

APT使得到授权者获得了网络的访问,并通过建立后门而可以长期访问网络,并不断地收集数据和向外发送知识产权等机密数据。

APT变得日益复杂。它通过绕过或摧毁传统的安全措施而制造成本高昂的数据泄露事件。甚至在成功完成其使命后,APT仍贼心不死,继续驻留,进一步收集信息。而且,这种威胁很难检测和清除,因为它看起来并不象是恶意软件,却深入到企业的计算系统中。此外,APT的设计者和发动者为逃避检测还会不断地改变其代码,从而持续地监视和指引其活动。

零日漏洞和网络攻击

许多APT与零日漏洞一直有千丝万缕的联系,它往往利用零日漏洞对企业实施攻击。去年,曾出现过一种可以利用IE的零日漏洞的攻击,攻击者将钓鱼邮件发送给在国防、航天、能源、研究机构中的目标人员。这些钓鱼邮件包含一个可以指向恶意网站(此网站管理着利用零日漏洞的代码)的连接。

钓鱼邮件的发送者还会将更多的消息发送给更广泛的目标,试图在补丁可用之前感染尽可能多的终端。攻击者还会更新其电子邮件的模板和主题,保持其伎俩的“新鲜”,并借以逃避企业已经部署的垃圾邮件检测规则的检查。

深入解剖APT

攻击者对APT中的每一步可谓用心良苦,精心计划和研究,其中的步骤包括:构建企业IT基础架构的内部设计图、恶意软件工程、社交工程攻击、难以检测的数据泄露等。

1.目标选择

高级持续威胁的首要一步是选择目标企业,然后通过企业网站、雇员简历、网站数据等,查找公司使用的可能存在漏洞的(或易于攻击的)软件和基础架构。还有的攻击者会寻找“意外的受害者”,比如,黑客疯狂查找Wi-Fi网络有漏洞的企业,并发现其攻击目标。

2.信息收集

知彼知己,百战不殆。攻击者全面地研究攻击目标的配置信息,构建其IT系统的内部设计图,并查找可利用的漏洞,进行全面渗透。他会搜集关于网站、网络拓扑、域、内部DNS和DHCP服务器、内部IP地址的范围以及任何可利用其漏洞的端口或服务的细节。根据目标不同,该过程可能会花费不同的时间。大型企业可能在安全方面进行更多投资,并建立多层防御。知识即力量,攻击者获得的目标网站的信息越多,他实施渗透和部署恶意软件的成功机率就越大。

3.确定侵入点

在收集了发动攻击的足够信息后,攻击者会缩小其利用漏洞的入侵范围,并研究目标企业的安全方案的防御机制,了解企业可能拥有的攻击签名。在多数情况下,攻击者会向目标公司的雇员发送邮件,诱骗其打开恶意附件,或单击一个伪造的URL,希望利用常见软件(如Java或微软的办公软件)中的零日漏洞,交付其恶意代码。当然,攻击者还可以利用雇员使用的任何软件的零日漏洞。

4.将恶意软件植入到被控制的机器上

在攻击者利用了雇员机器的漏洞之后,就会将恶意代码植入到机器上,安装后门,实现对机器的完全访问,例如,攻击者最常安装的就是远程管理工具。这些远程管理工具是以反向连接模式建立的,其目的就是允许从外部控制雇员电脑或服务器,即这些工具从位于中心的命令和控制服务器接受命令,然后执行命令,而不是远程得到命令。这种连接方法使其更难以检测,因为雇员的机器是主动与命令和控制服务器通信而不是相反。

5.提升特权

攻击者首先从受到损害的雇员电脑或用户那里获得访问凭据,然后对目标系统中的非管理用户执行特权提升,进而访问关键的重要目标(其中包括IT和非IT的特定服务器管理员)。

为获得登录凭据,攻击者会使用键盘记录器、ARP欺骗、钩子工具等。钩子工具基本上都可以劫持与口令认证有关的功能,而ARP欺骗工具会监听数据包中两个或多个系统之间的会话。例如中,Pwdump就是从Windows注册表中获得口令哈希的另一个工具。此外,攻击者还可以利用其它的工具,如WCE(Windows凭据编辑器)、Mapiget、 Lslsass、 Gsecdump、 CacheDump等。

攻击者还可以利用一种称为“哈希传递”的技术,其中涉及使用哈希而不是明文口令,目的是为了进行身份验证并取得更高级的访问。攻击者还可以利用蛮力攻击,即通过预定义的口令简单地猜测口令。

6.命令和控制通信

在进入目标企业之后,APT一般还会通过被感染系统和攻击者的“远程命令和控制”通信来进行远程配合。在整个攻击过程中,攻击者还会使用这个通道来打开并操纵后门网络的访问,其目标是发现并泄露其需要的数据。

命令和控制通信与僵尸网络的通信不一样,后者有海量的通信量到达成千上万的僵尸电脑,而前者的通信量很少,这使其更难以被发现。攻击者还可以通过不断地变换IP地址、通过代理服务器重定向通信等手段来使其无法被检测到。命令和控制通信与正常的Web通信混合在一起,使用或欺骗合法的应用或网站,如果没有高级的本地网络监视,这种内部命令和控制通信服务器是无法被检测到的。

7.横向迁移

如果攻击者认为自己可以在环境中驻留而不被检测到,就会继续以秘密方式存在。如果他们认为自己面临着被检测到的风险,“狡兔三窟”,就会快速移动。横向迁移往往伴随着与侦察、凭据窃取、渗透其它计算机等有关的活动。

远程控制工具可以使攻击者访问网络中的其它桌面,并在其它系统上实施诸如执行程序、制定计划任务、管理数据的收集等操作。用于此目的的工具和技术包括远程桌面工具、PsExec、WMI等。攻击者通过这些操作和工具可以进一步访问包含机密信息的企业服务器。

8.资源的发现和保持

有些技术(如端口扫描和网络分析)可用于确认重要的保存机密数据的服务器和服务。这种活动中的有些工具包括netstat(一个通过活动连接和开放端口而获得网络连接信息的命令行工具)。这类工具可用于确认正在运行的服务,或者被控制的计算机能够访问的内部服务器。端口扫描工具可以检查开放的网络端口,使攻击者能够在受控制的系统和攻击者系统之间的建立一个隧道连接。端口扫描工具(如ZXPortMap和 ZXProxy 等)可用于创建隧道连接并绕过防火墙的保护。

9.数据偷运

也就是将敏感数据从被攻击的网络非法传输到由攻击者控制的外部系统。在发现有价值的数据后,APT攻击者往往要将数据收集到一个文档中,然后压缩并加密该文档。此操作可以使其隐藏内容,防止遭受深度的数据包检查和DLP技术的检测和阻止,下一步骤就是要将数据从受害系统偷运出去。

由于数据看似正常在进出企业网络,数据的偷运非常类似于正常的网络通信,这就使得IT安全团队对偷运数据的检测非常困难。在攻击者收集了敏感信息后,数据就被传输到一台内部的临时服务器,并进行压缩和加密,然后传输到由攻击者控制的外部。攻击者使用的工具包括多种类型,如Lz77用于进行压缩以便于偷运数据,ZXProxy可用于重定向HTTP或HTTPS连接,LSB-Steganography可以将将文件嵌入到镜像中,ZXPortMap(通信重定向工具,帮助攻击者制造连接源头的混乱),还有ZXHttpServer(一种易于部署的小巧的HTTP服务器)。所有这些工具都被复制到被控制的电脑上。

10.消灭罪证

在攻击者完成其目标后,就要关心如何消除其秘密操作的踪迹。但攻击者经常会留下后门,借以多次进入系统并窃取机密数据。

如果攻击目标有了新的客户记录或最新的业务计划,对攻击者来说将有很大的吸引力,其数据偷运过程也会持续更长的时间。

最后,攻击者会停手,其原因往往是他完成了目标,或者受害者发现并切断了攻击。在窃取数据后,APT攻击者会出卖数据、威胁被攻击的公司、要求受害者支付赎金等。

结论

针对性攻击可以成功地绕过传统的安全防御,而许多IT专业人士相信其企业已经成为了靶子。如今的APT采取了一种难以检测的低姿态的慢速方法,但其成功的可能性却更高了。攻击者只需欺骗一个雇员打开一个利用零日漏洞的恶意软件,就不仅可以访问雇员的电脑,还有可能访问整个公司的网络。

由上文的分析可以看出,应对APT的强健防御机制必须拥有深度的检测和分析功能。最后强调三点:网络管理者必须实施应用程序的白名单功能,防止恶意软件在雇员电脑上的安装和使用。企业还必须利用SIEM工具来分析网络日志,如果将来发生了数据泄露,管理员还可以借助工具进行取证分析。