APT攻击与企业现有防御体系缺陷分析.PDF

APT 攻击与企业现有防御体系缺陷分析 摘要：APT 攻击利用了多种攻击手段，包括各种最先进的手段和社会工程学方法，一步一 步的获取进入组织内部的权限。APT 往往利用组织内部的人员作为攻击跳板。有时候，攻 击者会针对被攻击对象编写专门的攻击程序，而非使用一些通用的攻击代码。... - 　　网络安全，尤其是Internet 互联网安全正在面临前所未有的挑战，这主要就来自于有 组织、有特定目标、持续时间极长的新型攻击和威胁，国际上有的称之为APT(Advanced Persistent Threat)攻击，或者称之为“针对特定目标的攻击”。 　　一般认为，APT 攻击就是一类特定的攻击，为了获取某个组织甚至是国家的重要信息， 有针对性的进行的一系列攻击行为的整个过程。APT 攻击利用 了多种攻击手段，包括各种 最先进的手段和社会工程学方法，一步一步的获取进入组织内部的权限。APT 往往利用组 织内部的人员作为攻击跳板。有时候，攻击者 会针对被攻击对象编写专门的攻击程序，而 非使用一些通用的攻击代码。 　　此外，APT 攻击具有持续性，甚至长达数年。这种持续体现在攻击者不断尝试各种攻 击手段，以及在渗透到网络内部后长期蛰伏，不断收集各种信息，直到收集到重要情报。 　　更加危险的是，这些新型的攻击和威胁主要就针对国家重要的基础设施和单位进行， 包括能源、电力、金融、国防等关系到国计民生，或者是国家核心利益的网络基础设施。 　　对于这些单位而言，尽管已经部署了相对完备的纵深安全防御体系，可能既包括针对 某个安全威胁的安全设备，也包括了将各种单一安全设备串联起来的 管理平台，而防御体 系也可能已经涵盖了事前、事中和事后等各个阶段。但是，这样的防御体系仍然难以有效 防止来自互联网的入侵和攻击，以及信息窃取，尤其是 新型攻击(例如APT 攻击，以及各 类利用0day 漏洞的攻击) 。 　　下面列举几个典型的APT 攻击实例，以便展开进一步分析。 　　1、Google 极光攻击 　　2010 年的Google Aurora(极光)攻击是一个十分著名的APT 攻击。Google 的一名雇员点 击即时消息中的一条恶意链接，引发了一系列事件导致这个有哪些信誉好的足球投注网站引擎巨人的网 络被渗入数 月，并且造成各种系统的数据被窃取。这次攻击以Google 和其它大约20 家公司为目标， 它是由一个有组织的网络犯罪团体精心策划的，目的是长 时间地渗入这些企业的网络并窃 取数据。该攻击过程大致如下： 　　1)对Google 的APT 行动开始于刺探工作，特定的Google 员工成为攻击者的目标。攻 击者尽可能地收集信息，搜集该员工在Facebook、Twitter 、LinkedIn 和其它社交网站上发 布的信息。 　　2)接着攻击者利用一个动态DNS 供应商来建立一个托管伪造照片网站的Web 服务器。 该Google 员工收到来自信任的人发来的网络链接并且点 击它，就进入了恶意网站。该恶 意网站页面载入含有shellcode 的JavaScript 程序码造成IE 浏览器溢出，进而执行FTP 下载 程序，并从远端进一步抓了更多新的程序来执行( 由于其中部分程序的编译环境路径名称带 有Aurora 字样，该攻击故此得名) 。 　　3)接下来，攻击者通过SSL 安全隧道与受害人机器建立了连接，持续监听并最终获得 了该雇员访问Google 服务器的帐号密码等信息。 　　4)最后，攻击者就使用该雇员的凭证成功渗透进入Google 的邮件服务器，进而不断的 获取特定Gmail 账户的邮件内容信息。 　　2、夜龙攻击 　　夜龙攻击是McAfee 在2011 年2 月份发现并命名的针对全球主要能源公司的攻击行为。 该攻击的攻击过程是： 　　1) 外网主机如Web 服务器遭攻击成功，黑客采用的是SQL 注入攻击; 　　2) 被黑的Web 服务器被作为跳板，对内网的其他服务器或PC 进行扫描; 　　3) 内网机器如AD 服务器或开发人员电脑遭攻击成功，多半是被密码暴力破解; 　　4) 被黑机器被植入恶意代码，并被安装远端控制工具(RAT)，并禁用掉被黑机器IE 的代 理设置，建立起直连的通道，传回大量机敏文件(WORD、PPT、PDF 等等)，包括所有会议 记录与组织人事架构图; 　　5) 更多内网机器遭入侵成功，多半为高阶主管点击了看似正常的邮件附件，却不知其 中含有恶意代码。 　3、RSA SecurID 窃取攻击 　　2011 年3 月，EMC 公司下属的RSA 公司遭受入侵，部分SecurID 技术及客户资料被窃 取。其后果导致很多使用Sec