logo资料库

APT攻击入门知识.pdf

发布时间:2022-06-06 发布人:admin 分类:说明书 资料大小:10.78M 资料格式:pdf 举报 版权申诉
第1页 / 共7页
第2页 / 共7页
第3页 / 共7页
第4页 / 共7页
第5页 / 共7页
第6页 / 共7页
第7页 / 共7页
资料共7页,全文预览结束
    APT 知识入门 检测潜伏在网络内部的恶意攻击 抗击 APT 和针对性攻击
    人的一个弱点是容易受 到社交网络活动的迷惑, 这些活动包括从放进伪 装的杂务工到打开电子 邮件附件的各种行为。 软件漏洞或设计缺陷都 是系统的弊端,因为这 些漏洞或缺陷可被利用 环境。 来进入企业 什么是 APT 或针对性攻击? 和系统弊端2 高级持续性威胁 (APT) 是指与威胁实施者发起的计算机入侵有关的一类威胁,此类威胁会 侵略性追踪所选目标并危及其安全。APT 通常是在活动(即一系列在某段时间内力求逐步 深入地打入目标网络的失败和成功的攻击尝试)中展开,因此它们并非独立事件。此外, 虽然恶意软件通常用作攻击工具,但操作人员的参与才是真正的威胁所在,因为他们会根 据受害者的防御不断适应、调整以及改进其方法。 鉴于以往受害者遭受的重大影响,企业将针对性攻击视为亟须应对的首要威胁。但他们仍 面临着遭受此类攻击的风险,因为可以导致网络入侵的人性弱点1 永远不可能 得到彻底解决。 当今人们开展业务的方式以及与新技术、平台和实体交互的方式只会进一步扩大攻击范围。 此外,威胁实施者也认识到了公司数据的真正价值,这一点从 2011 年数据泄露攻击的次 数便见分晓。因此,未来将会发生更多的针对性攻击和网络间谍活动。 加深对针对性攻击的了解可以端正企业安全团队应对这些威胁的心态。 针对性攻击如何展开攻击? 情报收集:第一个阶段的目标不仅仅是收集针对预定目标 IT 环境的战略信息,还要收集 其组织结构的相关信息,这一点与军队侦查任务非常相似。收集的信息包罗万象,从企业 使用的业务应用程序和软件到组织中存在的角色和关系,应有尽有。 发现的一些攻击手法 • 社交引擎*:利用人为因素。 • 看似来自目标社交网络的电子邮件 • 来自目标熟知并信任的真实电子邮件帐户(已受攻击的帐户)的电子邮件 *上面只不过列举了社交引擎手法的几个示例。攻击还可能利用近期活动、工作 相关的问题或疑虑以及针对预定目标的其他关注领域。 • “res://” 协议:描绘目标的软件环境。 • 可识别文件共享程序、Web 浏览器、电子邮件客户端、下载管理器以及远程 管理工具等 入口点:组织通常是攻击的目标,因此投递机制会采用最常见的办公通信方式,也即电子 邮件。但请注意,即时通讯和社交网络平台也可用来诱使目标单击链接或下载恶意软件。 最终,建立与目标之间的连接。 发现的一些攻击手法 • 使用个人 Web 邮件帐户或政府等机构的伪冒电子邮件地址 • 随附 PDF、Microsoft Word 文档、Microsoft Excel 电子表格或 Microsoft PowerPoint 演示文稿附件的电子邮件 • 强制从右向左阅读的 (RTLO) Unicode 字符 • 本应以 .exe 结尾的可执行文件显示为简单的文档文件或文件夹图标 • “隐蔽强迫”漏洞 • 包含网页链接的电子邮件,这些网页可利用 Web 浏览器或浏览器 插件中的漏洞 1 2 http://ctoinsights.trendmicro.com/2011/06/the-human-factor-of-targetted-attacks/ http://ctoinsights.trendmicro.com/2010/11/zero-day-vulnerabilities-risk-overblown/ 检测潜伏在网络内部的恶敌 1
    遭遇 受的实际损失 的公司蒙 危及安全:借助情报收集阶段获得的信息,并辅以以往对公司环境攻击积累的了解, 威胁实施者能够选择并确定攻击目标所要利用的漏洞。最终,渗入公司网络。 • 数据窃取 • 品牌形象受损 • 物理损失 发现的一些攻击手法 • 漏洞 • 常用企业应用程序(例如 Adobe Reader、Flash Player 以及 Microsoft Office) 中存在的缺陷 • 零日漏洞或当前未修复漏洞的漏洞代码 • 影响从工作区访问的常用 Web 邮件服务的 Web 邮件漏洞 • MHTML 协议漏洞,其中预览邮件这样的基本操作3 也可危及帐户安全 命令和控制 (c&c) 通信:攻破组织外围防护之后,需要确保受攻击的主机和 c&c 服务 器之间实现连续通信。威胁实施者利用相关技术偷偷保持 c&c 通信流量,通常他们会混 入合法流量或完全利用中间媒介。 发现的一些攻击手法 • 基于云的 c&c • 威胁实施者可能会在其 c&c 通信中利用 Web 邮件。这些通信通常会受到安全套 接层 (SSL) 加密的保护,因此在指向站点的流量为恶意流量时不易识别这些通信。 • 合法站点也有可能受到攻击,变成 c&c 服务器。这会使调查人员误认为尽管已经 检测到恶意流量,但遗憾的是,更深入的调查发现这些流量出自合法网站。 横向移动:确信存在对受攻击网络的持续访问后,攻击实施者将在整个公司网络中横向 移动,伺机寻找存储敏感信息的重要主机。 发现的一些攻击手法 • “Pass the hash”:可将攻击者的权限提升为管理员权限。 • 暴力攻击:可让攻击者访问数据库服务器、Microsoft Exchange 电子邮件服务器或 VPN 凭证。从这些资产中获得的信息可保证攻击者的后续访问,即使他们的工具已经 暴露。 资产/数据发现:识别基础架构中的重要资产,然后进行隔离以便达到将来实现数据隐蔽 泄露的目的。 发现的一些攻击手法 • 返回不同目录中的文件列表,以便攻击者可以识别重要文件。 • 识别电子邮件服务器,以便攻击者可以阅读重要电子邮件以发现重要信息。 数据隐蔽泄露:攻击的最终目标是将目标组织外围内部的信息传输至威胁实施者控制的 位置。数据传输可以快速完成,也可以逐渐完成,在后面这种方式中,信息将进入暂存状 态,之后准备好实现隐蔽泄露。 发现的一些攻击手法 • 内置文件传输:远程访问木马 (RAT) 等工具提供。 • 通过 FTP 或 HTTP • 通过 Tor 匿名网络:可掩盖一个网络的位置和流量,为攻击者提供更加隐蔽的路径。 3 http://blog.trendmicro.com/targeted-attacks-on-popular-web-mail-services-signal-future-attacks/ 检测潜伏在网络内部的恶敌 2
    图 1. 针对性攻击图 企业可采取哪些措施来抗击 APT? 从设计上来讲,APT 能够避开标准外围和端点防御。行业分析人员和专家已明确表示,扩 大并加深安全尽职调查定义是大部分企业和政府机构的当务之急。趋势科技拥有大量解决 方案,使组织可以利用最佳防护和主动检测技术抗击 APT,从而满足这些新要求。 图 2. 安全风险管理图 检测潜伏在网络内部的恶敌 3 检测潜伏在网络内部的恶敌 3
    基础防御 标准外围和端点安全技术是防范多数攻击所不可获取的。在理想状态下,它们还可以检 测或拦截某些 APT 或针对性攻击。这些产品是否凑效的关键因素在于提供商获取新威胁 信息的能力以及“防护时机”,即能以多快的速度将新威胁信息提供给部署的产品。 例如,趋势科技™ 云安全智能防护网络将为趋势科技产品提供最丰富且最新的威胁检测 功能4。云安全智能防护网络每日可处理超过 4 TB 的数据,包括每日分析超过 80 亿个 URL、5000 万个电子邮件样本、43 万个文件样本以及 20 万个 IP 地址。 • 趋势科技防毒墙邮件安全版既具有强大的本地网关软件网关的隐私和控制功能, 又具有基于云的可选预过滤器(可拦截云中的大部分威胁和垃圾邮件)的主动保 护功能。 • 趋势科技 Web 安全套件兼具屡获殊荣的恶意软件扫描、实时 Web 信誉、灵活的 URL 过滤以及集成缓存这些特点,可简化管理和降低总体拥有成本 (TCO)。 • 防毒墙网络版可以最大程度地提高物理和虚拟桌面的安全性和性能,具有行业最强大 的威胁和数据防护功能,内置到单个端点客户端中,并且可以从单个控制台实施部署 和管理。 高级防护 不再满足于基础防御,而是为敏感资源和数据提供更多安全防护,不论这些资源和数据是 物理的还是虚拟的,也不管它们位于企业网络、数据中心还是存储在云环境中。趋势科技 可为已被锁定为攻击目标的服务器和数据提供更坚固的保护。 • Deep Security 提供单个平台来保护服务器安全,以保护物理、虚拟和云服务器以 及虚拟桌面的安全。紧密集成的模块可以轻松扩展以提供深度防御,包括防恶意软 件、完整性监控、入侵检测和防护、Web 应用程序控制、防火墙以及日志检查。 • SecureCloud 旨在对公共云、私有云和混合云中的数据进行加密和保护,同时还要 保护物理和虚拟服务器中存储的数据之安全。基于策略的密钥管理易于使用,可对请 求加密密钥的服务器进行身份和完整性验证,并控制可以访问安全数据的时间和位置。 实时威胁管理 抗击 APT 和针对性攻击的根本方法是不仅要进行保护,还要利用主动检测功能。专业 威胁检测技术可检测“隐蔽的”恶意软件和人类攻击者活动,具体方法是:检查内容、 通信以及所有网络通信行为,然后提供可行的观点,以帮助即时实施抑制和补救措施。 利用漏洞是攻击者的一种主要手段,因此主动进行漏洞检测并及时修复至关重要。系统 化的漏洞管理方法和主动虚拟修复或漏洞屏蔽策略将会最大程度地减少攻击者的入侵点。 “现有的大部分针对性攻击的确 非常顽固,不过它们也有常见的 薄弱环节,也即人们被骗的社交 网络活动。” , — 趋势科技高级威胁 研究员 4 http://www.trendmicro.com/us/technology-innovation/our-technology/smart-protection-network/index.html 检测潜伏在网络内部的恶敌 检测潜伏在网络内部的恶敌 4 4
    利用趋势科技提供的这些解决方案,您可以在应对 APT 和针对性攻击时占据主动位置: • TDA 客户提供降低APT和针对性攻击风险所需的网络范围的可见性、洞察力和控 制权。TDA以独特方式实时检测和识别逃避性威胁,并提供所需的深入分析和行 动情报,以防止、发现以及抑制针对公司数据的攻击。 • 漏洞管理服务提供按需网络发现、资产优先级划分、应用程序及系统漏洞评估。 • TDA 深度数据包检测和入侵防护系统(IPS)功能可扫除漏洞,并可降低修复成本, 这一点可通过提供虚拟修复以快速屏蔽漏洞来实现,而无需等待供应商提供补丁 程序或扰乱标准的修复周期。 TDA:视点聚焦 TDA 提供实时检测和识别针对性攻击所需的网络范围的可见性、洞察力和控制权。它可提 供深度分析和行动情报,以即时对威胁实施补救措施,防止造成进一步的损失。 TDA 的经过证明的方法可跨攻击序列的各个阶段识别恶意内容、通信和行为,从而以最低 的误判率提供最佳检测。通过对高级恶意软件和逃避性攻击者行为的检测和深入分析, TDA可为企业和政府组织提供在不断发展的计算环境中抗击APT和针对性攻击所需的新一 级可见性和情报。 TDA 的工作方式 TDA 利用3级检测方案,首先执行初始检测,然后进行模拟和关联,最后通最终的交叉关 联发现“轻微慢速”的威胁活动以及其他只能通过长期观察才能发现的隐蔽活动。专业的 检测和关联引擎可提供最准确、最新的防护,并辅以由趋势科技云安全智能防护网络和专 业威胁研究人员提供的全球威胁情报。结果是检测率高,误判率低,并提供深入的事件报 告信息,以加快攻击的抑制。 恶意内容 可疑通信 攻击者行为 攻击检测 检测方法 • 包含嵌入式文档漏洞的电子 邮件 • 隐蔽强迫下载 • 零日和已知恶意软件 • 所有恶意软件的 c&c 通信,包括 bot、下载软件、数据窃取蠕虫 以及混合威胁 • 攻击者实施的后门程序活动 • 解码与解压缩嵌入文件 • 沙箱模拟 • 浏览器漏洞套件检测 • 恶意软件扫描(例如签名和启 发式分析) • 通过动态列入黑名单和白名 单进行的目的分析(例如 URL、IP、域、电子邮件、 IRC 通道等) • 云安全智能防护网络 URL 信誉 • 通信指纹识别规则 • 恶意软件活动(例如传播、下 载、发送垃圾邮件) • 攻击者活动(例如扫描、暴力 攻击、服务漏洞利用) • 数据隐蔽泄露 • 基于规则的启发式分析 • 对数百种协议和应用程序 (包括基于 HTTP 的应用 程序)的使用情况进行识别 和分析 检测潜伏在网络内部的恶敌 检测潜伏在网络内部的恶敌 5 5
    趋势科技™ 趋势科技(中国)有限公司(TYO: 4704 ; TSE: 4704 )是云安全领域的全球领军企业,利用其互联网内容安全和威胁管理解决方案,为企业和消费者 打造了一个可安全交换数字信息的平台。趋势科技是服务器安全领域的开拓者,在该领域有 20 余年的经验,可提供顶级的客户端、服务器以及基于云 的安全解决方案,满足客户和合作伙伴的需求、更快速地阻止新威胁并保护物理、虚拟化以及云环境中的数据。趋势科技的产品和服务由行业领先的趋 势科技™ 云安全智能防护网络云计算安全基础架构提供支持,可阻止互联网上出现的任何威胁,并且全球有超过 1,000 名威胁情报专家提供支持。 © 2012 趋势科技(中国)有限公司/Trend Micro, Incorporated 。保留所有权利。Trend Micro 和 Trend Micro t 球徽标是趋势科技(中国)有限公司/Trend Micro, Incorporated 的商标或注册商标。 所有其他产品或公司名称可能是其各自所有者的商标或注册商标。
    分享到:
    收藏

    相关推荐

    资料库

    安全技术

    共收录1285份资料,累计4个分类,关注成员有19位,主要包括:网络攻防,系统安全,其它,网络安全

    热门标签

    网络攻防 系统安全 其它 网络安全

    最新资料