本周二,全球領先的APT防禦企業FireEye透露其系統遭到APT攻擊。作為最早提出APT-1報告的安全廠商,FireEye多次通過報告的形式,針對地區網絡發展、國家網絡戰略、新型APT組織等發聲。該公司表示,黑客利用「新穎技術」竊取了滲透測試工具包,而這可能會在全球範圍內引發新的攻擊。
APT事件並不是新鮮事,就在本月歐盟某國家外交部計算機被發現植入後門,長達5年的APT攻擊行動揭秘。在過去的幾年中,網絡攻擊的數量和複雜性一直在不斷提升,APT攻擊事件的普遍性預示著更不可估計的威脅,現在正是檢測系統是否遭到網絡攻擊的好時機。
了解APT攻擊
對於任何公司而言,保護自己免受攻擊的最佳方法是了解攻擊的運作方式。APT攻擊指的是高級可持續威脅攻擊,也稱為定向威脅攻擊,指某組織對特定對象展開的持續有效的攻擊活動。
典型的APT攻擊通常分為五個階段:
1、初始訪問:APT攻擊者獲得對目標網絡的訪問權限。這是通過網絡釣魚電子郵件,惡意附件或應用程式漏洞來完成的。攻擊者的目標是使用此訪問權限將惡意軟體植入網絡。在此初始階段,網絡受到威脅,但尚未被破壞。
2、惡意軟體部署:植入到系統中的惡意軟體探針可檢測網絡漏洞。它與外部命令和控制(CnC)伺服器通信,以獲取有關如何利用這些漏洞並接收其他惡意軟體的指導。
3、訪問擴展:惡意軟體檢測其他漏洞,這些漏洞可用於在無法訪問現有入口點時查找新入口點。即使安全措施禁用了入口點,這也可以確保攻擊繼續進行。
4、文件探索:在此階段,攻擊者已經建立了可靠的長期網絡訪問。惡意軟體會尋找用戶憑證和敏感數據文件等。
5、數據收集和傳輸:惡意軟體將敏感數據存儲在登錄伺服器上。然後,數據被洩漏到外部伺服器。此時,目標網絡已被破壞。攻擊者將掩蓋自己的足跡,使網絡受到威脅,並在下一次攻擊時重複該過程。
遭受APT攻擊的跡象
即使APT攻擊使用複雜的手段來隱藏活動,也有一些跡象可以幫助識別APT攻擊,如下所示:
1、意外的登錄:在辦公時間之外意外登錄到伺服器可能表明一項APT攻擊正在發生。攻擊者入侵網絡的方法之一是使用其竊取的憑據。攻擊者可能在不同的時區工作,或者嘗試在夜間工作,以減少發現其活動的機會。
2、檢測到的後門木馬數量增加:如果網絡安全工具檢測到的後門木馬數量比平時多,則可能是由於APT攻擊所致。APT攻擊者會安裝後門木馬程序,以確保即使更改了登錄憑據也可以繼續訪問受感染的設備。
3、魚叉式網絡釣魚電子郵件的增加:查找包含只能由入侵者獲取的文檔的魚叉式網絡釣魚電子郵件。這些電子郵件可能會被發送給高級管理人員,以便攻擊者訪問他們的電腦或受限制的數據。
4、無法解釋的數據轉換:APT攻擊策略的一部分是將他們要竊取的數據複製到網絡中的另一個位置,並僅在確信無法檢測到時才將其傳輸到網絡之外。它可以是伺服器到伺服器,伺服器到客戶端或網絡到網絡的信息流。
如何預防APT攻擊?
APT攻擊非常複雜,但是可以通過採取安全措施來進行防禦。以下有幾個方法:
1、提高預防網絡釣魚意識,網絡釣魚詐騙常常被用作APT攻擊的切入點。企業應該對員工進行培訓,以識別網絡釣魚企圖以及遇到的網絡釣魚行為。
2、APT攻擊常常利用應用程式漏洞,通過確保所有應用程式都已更新了最新的安全補丁,可以減少此類漏洞的風險。
3、當前的APT 攻擊愈演愈烈,攻擊手段更加先進、持久、有效,而攻擊者在入侵實施階段往往會用到內存攻擊、無文件攻擊等先進攻擊手段,原因是這些攻擊手段相較於其他手段更容易成功。那麼內存保護具備運行時安全防護能力,提供漏洞防禦、數據保護、威脅防禦三大防禦能力,當攻擊者利用新型攻擊方式,或利用系統、應用漏洞繞過傳統防護手段,將惡意代碼悄無聲息地植入到內存時,內存保護系統會對其進行實時監測與攔截,從而保護客戶數據安全及業務連續性。
參考文獻
[1]https://medium.com/@eddies_47682/apt-attacks-101-what-they-are-and-how-they-work-393c09f55eae
[2]https://www.darkreading.com/how-cyberattacks-work-/a/d-id/1339300
[3]https://threatpost.com/fireeye-cyberattack-red-team-security-tools/162056/