先认识再防范:如何抵御APT攻击
据或者知识产权信息的威胁。而准确地说,高级持续性威胁(Advanced Persistent Threat)是指组织(特别是政府)或者小团体使用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。 本文中,我们将看看APT(高级持续性威胁)是如何演变的以及你需要如何抵御这种类型的威胁。 哪些人受到威胁? 一些网络管理员看完APT的定义后,得出的结论是他们的网络并没有受到威胁。中小型企业怎么可能成为大型网络犯罪团伙或国家的攻击对象?实际上,APT刚开始主要是政府机构为国防需要采取的攻击手段,后来APT攻击者将他们的范围扩大到了攻击公司,例如谷歌,但并不是只有大型高科技公司才会成为攻击目标。虽然对于APT攻击者而言,政府机构或者涉及国家安全或者国防承包项目的大型跨国企业更具吸引力,但企业规模并不是关键,因为近来,很多小公司也开始负责存储情报片段数据来获得政治或经济利益。还有那些处于一定职位,能够访问情报信息的个人也可能成为攻击目标。 即使是在安全方面投入血本的大型企业仍然可能受到APT攻击,通过各种不同的手段,例如有时候只需要简单地利用尚未修补的已知漏洞。在企业环境中,政策通常会规定新的补丁在部署到生产机器前必须进行全面的测试,这样做无疑可以避免不兼容的问题,但这却让你的系统处于威胁之中。在其他情况下,无线安全漏洞、智能手机桥接,甚至云供应商网络渗透都可能为APT攻击者敞开大门。 任何规模的公司,只要员工可以访问网站、使用电子邮件(尤其是HTML邮件)、传输文件等,就有可能受到APT威胁,这些活动可以被利用来传输APT组件,例如恶意软件可以通过路过式下载、感染附件或文件进行传输。即使是部署了强大的边缘保护的企业仍然无法逃过APT攻击,例如通过内部接入被感染的可移动驱动器(U盘、闪存卡)、其他地方被感染的笔记本电脑等。 APT采取怎样的形式? 高级持续性攻击的“高级”是指,这种攻击形式的攻击者有一个基于特定战略的缜密的计划,即使他们使用的是相对简单的机制来实施。换句话说,APT攻击者不一定是娴熟的黑客,他们可以利用互联网上现成的脚本,和修改别人的恶意软件,或者他们可以创建自定义恶意软件来攻击特定目标。通常,他们使用许多不同攻击类型来攻击同一目标,并且不断来回攻击,也就是所谓的“持续性”。并且,这种攻击通常是以隐形且低调的方式进行的,APT攻击者都是隐形专家,他们采取措施来掩盖他们的踪迹,避免在日志中留下入侵的证据。 APT攻击者也使用社会工程技术和/或招募内部人员来获取有效登录凭证。分支机构通常没有总部那么严格的安全防范措施,因此有时会被利用来通过远程访问向目标系统植入恶意软件。一旦安装了恶意软件,攻击者就能够从任何地方访问和控制你的系统,或者采用自动化程序,这样恶意软件就会将你的重要数据发送给攻击者。 APT攻击者选择使用何种工具主要取决于他们的攻击目标是什么以及其网络配置和安全状况。这里有个简单的比喻:窃贼可能可以使用信用卡打开简单锁的房门,但是如果所有门都是呆锁,他就要找不同的工具来进去了。同样的,APT攻击者通常会尽可能使用最简单的工具来进行攻击。为什么要浪费一个定制的先进工具在不必要的工作上呢?而且这种工具只会给APT攻击者留下马脚。 APT攻击者经常利用僵尸网络,僵尸网络能够给他们提供更多资源来发动攻击,并且很难追踪到攻击的源头。虽然僵尸网络经常与垃圾邮件联系在一起,但它们可以用于多种类型的攻击。一个简单的命令和控制服务器就可以控制位于数百个不同公司的电脑,这些电脑上的恶意软件可以不断更新,一直“领先于”你的检测工具。即使你的公司不是APT攻击的目标,你的网络也可能在你不知情的情况下被用来作为犯罪工具:作为僵尸网络的一部分,用来攻击其他网络。 检测APT 必须明确的是,APT并不是一种特定攻击方法,它描述了“谁、什么和为什么”而没有说明“如何”。市面上并没有商业解决方案可以真正检测或者抵御APT,然而,APT却沦为了众多安全供应商的营销短语和流行用语(虽然他们甚至不知道它的含义)。 针对已知攻击的解决方案可能无法检测先进的APT攻击,因为这种攻击是以“隐形模式”进行的。检测APT需要一个良好的监控解决方案,能够识别和分析服务器和客户端的微妙变化和异常。无论攻击者的犯罪计划多么缜密,他必然会留下点踪迹,也就是刑事调查中的痕迹证据,这种证据并不明显,甚至可能是肉眼看不见的。在数字世界中,APT攻击者为了发动攻击(进入网络、植入恶意软件、复制数据)肯定会在系统的某处留下一些模糊的踪迹。你的安全软件必须能够识别这些标记,将其作为潜在恶意活动的指示。与手动检查文件相比,软件不仅更快而且更有效,因为APT攻击者通常会使用这样的诡计:恶意程序文件名与常见Windows文件类似。软件可以识别文件名的细微区别(例如使用大写I代替小写L等),而肉眼很难识别。 一旦发现了异常行为,就会引发对受感染机器进行更进一步的检查。另一个关键要素是及时通知,这样的话,就可以尽快对机器进行全面检查,而且应该及时保存APT攻击的证据,因为聪明的APT攻击者会尝试删除他们的踪迹以避免被检测到。 软件是检测网络中异常的最好工具,而APT检测的另一方面则需要人为因素,也就是指你可以收集关于网络犯罪的最新情况。正如传统恐怖分子通常会通过 “聊天框”来发出信号,APT攻击者可能会通过不同的通信渠道发出信号,说明攻击正在计划中或者已经取得进展等。但你并不需要安排一个人来拦截和分析这些聊天信息,但是你需要清楚网络犯罪世界发生了什么事情。 保护你的网络 很多抵御APT攻击的防御措施与你可能已经部署的用来抵御一般恶意软件和入侵威胁的措施相同。良好的防病毒和防恶意软件是很重要的,但同样重要的是,你要明白在APT攻击中,渗透者的资源通常要比那些一般攻击者要多得多。这意味着他们可以雇佣专门的程序员随时来创建或者修改恶意软件,根本没有安全供应商创建了定义,也就是零日威胁。 根据定义,APT是一种有针对性的攻击,公司的公共事业和声誉都可能导致公司成为APT攻击目标。因此声誉/品牌监控和管理可以是抵御这种攻击的重要因素。“邪恶公司(Evil corporations)”和那些立场(政治立场、社会立场或其他)不受APT攻击者欢迎的公司很可能成为攻击目标。而在某些情况下,处于某一行业(油公司、银行等)就足以让你成为攻击对象。然而,你可以通过精心培养公司的公众形象来减少风险。
僵尸网络是什么意思?
英文名称叫BotNet),是互联网上受到黑客集中控制的一群计算机,往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等,同时黑客控制的这些计算机所保存的信息也都可被黑客随意“取用”。因此,不论是对网络安全运行还是用户数据安全的保护来说,僵尸网络都是极具威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。然而,发现一个僵尸网络是非常困难的,因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”,这些主机的用户往往并不知情。因此,僵尸网络是目前互联网上黑客最青睐的作案工具。
CNCERT/CC相关负责人介绍说,这次处理的僵尸网络事件最初源于2004年底一起严重的拒绝服务攻击事件,通过分析和监测,CNCERT/CC发现攻击流量来自庞大的被植入某特定恶意程序的计算机群,该机群的数目达到近10万台,来自河北的某黑客通过境内外多台服务器秘密操纵这些计算机。被操纵控制的计算机中,有6万多台位于我国境内,其中还包括一些政府和其他重要部门的计算机。于是CNCERT/CC迅速通过信息产业部向国家信息化办公室和公安部作了汇报。
如何清除僵尸网络威胁
僵尸病毒 僵尸网络病毒,通过连接IRC服务器进行通信从而控制被攻陷的计算机。僵尸网络(英文名称叫BotNet),是互联网上受到黑客集中控制的一群计算机,往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等,同时黑客控制的这些计算机所保存的信息也都可被黑客随意“取用”。因此,不论是对网络安全运行还是用户数据安全的保护来说,僵尸网络都是极具威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。然而,发现一个僵尸网络是非常困难的,因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”,这些主机的用户往往并不知情。因此,僵尸网络是目前互联网上黑客最青睐的作案工具。 此病毒有如下特征: 1、连接IRC服务器; 1)连接IRC服务器的域名、IP、连接端口情况如下: 域名IP 端口 所在国家 0x80 194 64 194 64.202.167.129 TCP/6556,TCP/1023 美国 0x80.my-secure.name 194.109.11.65 TCP/6556,TCP/1023 荷兰 0xff.memzero.info 无法解析 TCP/6556,TCP/1023 2)连接频道:#26#,密码:g3t0u7。 2、扫描随机产生的IP地址,并试图感染这些主机; 3、运行后将自身复制到System\netddesrv.exe; 4、在系统中添加名为NetDDE Server的服务,并受系统进程services.exe保护。 按照以下方法进行清除: 该蠕虫在安全模式下也可以正常运行。但可以通过清除注册表的方式在正常模式下清除蠕虫。手工清除该蠕虫的相关操作如下: 1、断开网络; 2、恢复注册表; 打开注册表编辑器,在左边的面板中打开并删除以下键值: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minmal\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minmal\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minmal\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDEsrv 3、需要重新启动计算机; 4、必须删除蠕虫释放的文件; 删除在system下的netddesrv.exe文件。(system是系统目录,在win2000下为c:\winnt\system32,在winxp下为 c:\windows\system32) 5、运行杀毒软件,对电脑系统进行全面的病毒查杀; 6、安装微软MS04-011、MS04-012、MS04-007漏洞补丁
僵尸网络的工作过程
Botnet的工作过程包括传播、加入和控制三个阶段。
一个Botnet首先需要的是具有一定规模的被控计算机,而这个规模是逐渐地随着采用某种或某几种传播手段的bot程序的扩散而形成的,在这个传播过程中有如下几种手段:
(1)主动攻击漏洞。其原理是通过攻击系统所存在的漏洞获得访问权,并在Shellcode 执行bot程序注入代码,将被攻击系统感染成为僵尸主机。属于此类的最基本的感染途径是攻击者手动地利用一系列黑客工具和脚本进行攻击,获得权限后下载bot程序执行。攻击者还会将僵尸程序和蠕虫技术进行结合,从而使bot程序能够进行自动传播,著名的bot样本AgoBot,就是实现了将bot程序的自动传播。
(2)邮件病毒。bot程序还会通过发送大量的邮件病毒传播自身,通常表现为在邮件附件中携带僵尸程序以及在邮件内容中包含下载执行bot程序的链接,并通过一系列社会工程学的技巧诱使接收者执行附件或点击链接,或是通过利用邮件客户端的漏洞自动执行,从而使得接收者主机被感染成为僵尸主机。
(3)即时通信软件。利用即时通信软件向好友列表中的好友发送执行僵尸程序的链接,并通过社会工程学技巧诱骗其点击,从而进行感染,如2005年年初爆发的MSN性感鸡(Worm.MSNLoveme)采用的就是这种方式。
(4)恶意网站脚本。攻击者在提供Web服务的网站中在HTML页面上绑定恶意的脚本,当访问者访问这些网站时就会执行恶意脚本,使得bot程序下载到主机上,并被自动执行。
(5)特洛伊木马。伪装成有用的软件,在网站、FTP服务器、P2P 网络中提供,诱骗用户下载并执行。
通过以上几种传播手段可以看出,在Botnet的形成中传播方式与蠕虫和病毒以及功能复杂的间谍软件很相近。
在加入阶段,每一个被感染主机都会随着隐藏在自身上的bot程序的发作而加入到Botnet中去,加入的方式根据控制方式和通信协议的不同而有所不同。在基于IRC协议的Botnet中,感染bot程序的主机会登录到指定的服务器和频道中去,在登录成功后,在频道中等待控制者发来的恶意指令。图2为在实际的Botnet中看到的不断有新的bot加入到Botnet中的行为。
在控制阶段,攻击者通过中心服务器发送预先定义好的控制指令,让被感染主机执行恶意行为,如发起DDos攻击、窃取主机敏感信息、更新升级恶意程序等。图3为观测到的在控制阶段向内网传播恶意程序的Botnet行为。
0条大神的评论