1、1、APT的定义2、APT的特点3、APT攻击流程4、APT攻击案例5、APT防御6、未来发展趋势n 高级持续性威胁(Advanced Persistent Threat,APT)是指组织(特别是政府)利用先进的攻击手段对特定目标进行长期持续性网络攻击的行为。隐蔽性APT攻击已经与被攻击对象的可信程序与业务系统的漏洞进行了融合,在组织内部,这样的融合很难被发现 潜伏期长,持续性强APT攻击不是为了在短时间内获利,而是把“被控主机”当成跳板,持续搜索,直到充分掌握目标对象的使用行为和敏感数据 目标性强攻击目标是拥有高价值敏感数据的高级用户,特别是可能影响到国家和地区政治、外交、金融稳定的高级别敏
2、感数据持有者。定向情报收集单点攻击突破控制通道构建内部横向渗透数据收集上传确定需要攻击的目标,采用360全方位搜索关于目标的一切情报信息(多采用类似社工的方法),收集内容如下:电子邮件 手机联系人 及时通讯(Tencent、Windows Live Messenger等)社交网站及个人博客(Facebook、weibo等)目标网站(纵向扩展)其它利用掌握的各种软件漏洞(0day漏洞,Nday漏洞)对确定目标进行攻击,主要方法如下:社会工程学:通过Email发送包含恶意代码的邮件附件 远程漏洞攻击:水坑攻击(Watering hole)取得权限后,构建某种渠道和攻击者取得联系,以获得进一步攻击指
3、令。即常说的RAT(Remote Aceess Tool)命令控制通道目前多采用HTTP、HTTPS构建。攻击者将以所控PC机器为跳板,在系统内部进行横向渗透,以攻陷更多的PC和服务器。攻击者采取的横向渗透方法包括口令窃听和漏洞攻击等。数据收集上传攻击者在内部横向渗透和长期潜伏过程中,有意识地搜集各服务器上的重要数据资产,进行压缩、加密和打包,然后通过某个隐蔽的数据通道将数据传回给攻击者。攻击过程回放:2010年 针对伊朗核设施的Stuxnet病毒(奥运会计划)2011年窃取工控系统厂商的设计图纸-Duqu病毒 2012年针对中东地区的Flame病毒 2013年针对中东地区银行系统的Gauss
4、病毒 遵循原则:多点部署集中管控 力争做到:进不来、出不去、看不懂、拿不走、跑不掉定向情报收集单点攻击突破控制通道构建内部横向渗透数据收集上传 大多数APT攻击都是通过恶意代码来攻击员工个人电脑,从而来突破目标网络和系统防御措施的,因此,恶意代码检测对于检测和防御APT攻击至关重要。检测要点:恶意代码传播过程。部署位置:网关 典型代表厂商:FireEyeo FireEye,每年扩张速度达100%,产品在美国国防核心单位覆盖面非常广,以多次发现正在进行攻击的0day闻名,FireEye 自2012年后每年捕获0day漏洞有:java、flash、pdf、IE 多达10个。APT攻击手段无创新是主
5、要原因.o恶意代码所构建的命令控制通道通信模式并不经常变化,因此,可以采用传统入侵检测方法来检测APT的命令控制通道。检测要点:关键是如何及时获取到各APT攻击手法的命令控制通道的特征。部署位置:网关典型代表厂商有Symantec、FireEye等。主机应用保护类方案该类方案主要覆盖APT攻击过程中的单点攻击突破和数据收集上传阶段.检测要点:加强系统内各主机节点的安全措施,确保员工个人电脑以及服务器的安全,则可以有效防御APT攻击。部署位置:PC终端和服务器典型代表厂商:BIT9和趋势科技大数据分析检测类方案该类方案并不重点检测APT攻击中的某个步骤,它覆盖了整个APT攻击过程。检测要点:全面
6、采集各网络设备的原始流量以及各终端和服务器上的日志,然后进行集中的海量数据存储和深入分析,它可在发现APT攻击的一点蛛丝马迹后,通过全面分析这些海量数据来还原整个APT攻击场景。部署位置:网关、PC终端和服务器典型代表厂商:Symantec,RSA大数据分析检测-Symantec从2012年发布的安全报告:elderwood project到2013年发布的安全报告:Hidden Lynx Professional Hackers for Hire WINE计划oSymantecs Worldwide Intelligence Network Environment 数据共享计划,共享syma
7、ntec的数据集,包含:恶意软件库,二进制程序信誉库,URL信誉库,垃圾邮件地址库,A/V病毒引擎特征库。Symantec-Elderwood project具体思路是:以木马为中心线,从其在互联网诞生日期起,参与过哪些网络攻击,使用过哪些软件漏洞,建立一个数据库,然后再对其使用的软件漏洞做同源分析,发现其他的木马,进一步扩大战果,发现APT组织Symantec-WINE数据共享计划APT是互联网高度发展的产物;APT是体现国家意志的国家行为;APT是一场不对称的网络安全能力较量;在敏感数据所涉及到的各个层面寻找新的机会是APT的发展趋势。1欧美从2008年开始,逐步将路由设备攻击方法视为网络战的重要战略高地2NSA 2009年入侵 Pacnet(香港)的骨干路由(EAC-C2C)3关键得分计划(KeyScore)从以上分析可以得出结论,网络安全对抗不再局限于单纯的PC终端领域,而且全方位成体系的对抗,网络战已经悄然展开。谢谢大家
