《APT攻击介绍》课件

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2020/11/6 Friday,#,APT,攻击,介绍,APT攻击介绍,1,目录,什么是,APT,APT,攻击阶段的划分,APT,防御的建议,典型,APT,事件介绍,目录什么是APT,2,什么是,APT,高级持续性威胁,(AdvancedPersistentThreat,，,APT),，,APT,（高级持续性渗透攻击）是一种以商业和政治为目的的网络犯罪类别，通常使用先进的攻击手段对特定目标进行长期持续性的网络攻击，具有长期经营与策划、高度隐蔽等特性。这种攻击不会追求短期的收益或单纯的破坏，而是以步步为营的渗透入侵策略，低调隐蔽的攻击每一个特定目标，不做其他多余的活动来打草惊蛇。,什么是APT高级持续性威胁(AdvancedPersist,3,目录,什么是,APT,APT,攻击阶段的划分,APT,防御的建议,典型,APT,事件介绍,目录什么是APT,4,APT,攻击,阶段划分,APT,攻击可划分为以下,6,个阶段,:,情报搜集,首次突破防线,幕后操纵通讯,横向,移动,资产,/,资料发掘,资料外传,APT攻击阶段划分APT攻击可划分为以下6个阶段:,5,情报收集,黑客透过一些公开的数据源,(LinkedIn,、,Facebook,等等,),搜寻和锁定特定人员并加以研究，然后开发出客制化攻击,。,这个阶段 是黑客信息收集阶段，其可以通过搜索引擎，配合诸如爬网系统，在网上搜索需要的信息，并通过过滤方式筛选自己所需要的信息；,信息的来源很多，包括社交网站，博客，公司网站，甚至通过一些渠道购买相关信息（如公司通讯录等）,情报收集黑客透过一些公开的数据源(LinkedIn、Fac,6,首次突破防线,黑客在确定好攻击目标后，将会通过各种方式来试图突破攻击目标的防线,.,常见的渗透突破的方法包括：,电子邮件；,即时,通讯；,网站挂马；,通过社会工程学手段欺骗企业内部员工下载或执行包含零日漏洞的恶意软件（一般安全软件还无法检测），软件运行之后即建立了后门，等待黑客下一步操作。,首次突破防线黑客在确定好攻击目标后，将会通过各种方式来试图突,7,幕后操纵,通讯,黑客在感染或控制一定数量的计算机之后，为了保证程序能够不被安全软件检测和查杀，会建立命令，控制及更新服务器（,C&C,服务器），对自身的恶意软件进行版本升级，以达到免杀效果；同时一旦时机成熟，还可以通过这些服务器，下达指令。,采用,http/https,标准协议来建立沟通，突破防火墙等安全设备；,C&C,服务器会采用动态迁移方式来规避企业的封锁,黑客会定期对程序进行检查，确认是否免杀，只有当程序被安全软件检测到时，才会进行版本更新，降低被,IDS/IPS,发现的概率；,幕后操纵通讯黑客在感染或控制一定数量的计算机之后，为了保证程,8,横向移动,黑客入侵之后，会尝试通过各种手段进一步入侵企业内部的其他计算机，同时尽量提高自己的权限。,黑客入侵主要利用系统漏洞方式进行；,企业在部署漏洞防御补丁过程存在时差，甚至部分系统由于稳定性考虑，无法部署相关漏洞补丁,在入侵过程中可能会留下一些审计报错信息，但是这些信息一般会被忽略。,横向移动黑客入侵之后，会尝试通过各种手段进一步入侵企业内部的,9,资产,/,资料,发掘,在入侵进行到一定程度后，黑客就可以接触到一些敏感信息，可通过,C&C,服务器下发资料发掘指令：,采用端口扫描方式获取有价值的服务器或设备；,通过列表命令，获取计算机上的文档列表或程序列表；,资产/资料发掘在入侵进行到一定程度后，黑客就可以接触到一,10,资料外传,一旦,搜集到敏感信息，这些数据就会汇集到内部的一个暂存服务器，然后再整理、压缩，通常并经过加密，然后外传,。,资料外传同样会采用标准协议,(http/https,，,SMTP,等）,信息泄露后黑客再更具信息进行分析识别，来判断是否可以进行交易或者破坏。,对企业和国家造成较大影响。,资料外传一旦搜集到敏感信息，这些数据就会汇集到内部的一个暂存,11,目录,什么是,APT,APT,攻击阶段的划分,APT,防御的建议,典型,APT,事件介绍,目录什么是APT,12,APT,防御的建议,情报,收集阶段：在这个阶段主要通过加强员工安全意识以及建议相应信息防护规章制度来进行。,内部教育：教育,员工有关在社交网络上公开太多信息的风险，尤其是工作相关的信息,。,小心谨慎,切勿在公开的个人网页上透露自己的个人和工作信息,。,保持警戒,社交网络缺乏面对面接触的特性，很容易让人卸下心防，因而透露一些平常不会透露给陌生人的讯息,。,提防小人,因特网上遇到的人，很可能不是他们看起来的样子,。,公司政策：,封锁社交网站或许不是解决此问题的最佳办法。不过，订定一些有关社交网络使用方式的公司政策并加强倡导，将有助于大幅降低锁定目标攻击的风险,。,APT防御的建议情报收集阶段：在这个阶段主要通过加强员工安全,13,首次突破防线防御,针对黑客的首次突破，可采用以下方式进行防御,寻找遭到渗透的,迹象,大多数,APT,攻击都是使用鱼叉式网络钓鱼。因此，检查看看是否有遭到窜改和注入恶意代码的电子邮件附件。检查一下这些邮件，就能看出黑客是否正尝试进行渗透,。可通过安全邮件网关来对外来邮件进行检查和识别。,安全弱点,评估,发掘并修补对外网站应用程序和服务的漏洞。,内部,教育,教育员工有关鱼叉式网络钓鱼的攻击手法，要员工小心可疑电子邮件、小心电子邮件内随附的链接与附件档案。,首次突破防线防御针对黑客的首次突破，可采用以下方式进行防御,14,幕后操纵通讯防御,针对存在的幕后操纵通讯，可采用以下措施进行检测和防御,监控网络流量是否出现幕后操纵,通讯,建置一些可掌握恶意软件与幕后操纵服务器通讯的网络安全控管措施，有助于企业发掘遭到入侵的主机，并且切断这类通讯。,识别判断攻击,者幕后操纵服务器的,通讯,企业可在沙盒隔离环境,(sandbox),当中分析内嵌恶意软件的文件,(,如鱼叉式网络钓鱼电子邮件的附件,),来判断幕后操纵服务器的,IP,地址和网域。,更新网关安全,政策截幕后通讯,一旦,找出幕后操纵服务器的网域和,IP,地址，就可更新网关的安全政策来拦截后续的幕后操纵通讯。,幕后操纵通讯防御针对存在的幕后操纵通讯，可采用以下措施进行检,15,横向移动防护,针对,APT,攻击的横向移动，可采取以下措施进行防护,漏洞,防护,漏洞防护是一种主机式技术，能侦测任何针对主机漏洞的攻击并加以拦截，进而保护未修补的主机。这类解决方案可保护未套用修补程序的主机，防止已知和零时差,(zero-day),漏洞攻击。,档案,/,系统一致性,监控,黑客有可能留下一些蛛丝马迹，如果系统安装了能够侦测可疑与异常系统与组态变更的一致性监控软件，黑客有可能也会触动一些警示。,限制并监控使用者存取与权限的,使用,黑客常用的一种手法是，搜集技术支持系统管理员的登入信息，因为他们经常要权限较高的账号来登入出现问题的端点系统,/,主机。将系统管理员的访问权限与关键系统,/,数据的访问权限分开，能有效预防黑客透过端点上的键盘侧录程序搜集高权限的账号登入信息。,运用安全信息与事件管理,(Security Information&Events Management,，简称,SIEM),工具来,辅助记录文件,/,事件,分析,对网络上的事件进行交叉关联分析，有助于企业发掘潜在的黑客渗透与横向移动行为。单一事件或个案本身虽不具太大意义。但如果数量一多，就可能是问题的征兆。,横向移动防护针对APT攻击的横向移动，可采取以下措施进行防护,16,资产,/,资料,发掘防御,针对,APT,对内部资料进行挖掘和探测的防御，可采用以下防护措施：,运用安全信息与事件管理,(Security Information&Events Management,，简称,SIEM),工具来,辅助记录文件,/,事件,分析,对网络上的事件进行交叉关联分析，有助于企业发掘潜在的黑客渗透与横向移动行为。单一事件或个案本身虽不具太大意义。但如果数量一多，就可能是问题的征兆。,漏洞,防护,漏洞防护是一种主机式技术，能侦测任何针对主机漏洞的攻击并加以拦截，进而保护未修补的主机。这类解决方案可保护未套用修补程序的主机，防止已知和零时差,(zero-day),漏洞攻击。,档案,/,系统一致性,监控,黑客有可能留下一些蛛丝马迹，如果系统安装了能够侦测可疑与异常系统与组态变更的一致性监控软件，黑客有可能也会触动一些警示。,资产/资料发掘防御针对APT对内部资料进行挖掘和探测的防,17,资料外传防护,针对资料外传的风险，一般可采用以下措施进行防护：,加密和资料外泄防护,(DLP,),将关键、敏感、机密的数据加密，是降低数据外泄风险的一种,方法,DLP,可提供一层额外的防护来防止数据外泄。然而，这类工具通常很复杂，而且有些部署条件，例如：数据要分类，要定义政策和规则。,事件,管理制度建立,制定一套事件管理计划来处理,APT,相关攻击。针对,APT,的每一个攻击阶段清楚定义并实行因应计划，包括：评估、监控与矫正。,资料外传防护针对资料外传的风险，一般可采用以下措施进行防护：,18,目录,什么是,APT,APT,攻击阶段的划分,APT,防御的建议,典型,APT,事件介绍,目录什么是APT,19,典型案例,Google,极光攻击,：,2010,年的,Google Aurora,（极光）攻击是一个十分著名的,APT,攻击。,Google,内部终端被未知恶意程序渗入数月，攻击者持续监听并最终获成功渗透进入,Google,的邮件服务器，进而不断的获取特定,Gmail,账户的邮件内容信息，并且造成各种系统的数据被窃取。,RSA,SecurID,窃取攻击：,2011,年,3,月，,EMC,公司下属的,RSA,公司遭受入侵，公司关键技术及客户资料被窃取。而此次,APT,攻击就是利用了,Adobe,的,0day,漏洞植入臭名昭著的,Poison Ivy,远端控制工具在受感染客户端，并开始自僵尸网络的命令控制服务器下载指令进行任务,。,超级工厂病毒攻击（震网攻击）：,超级工厂病毒的攻击者并没有广泛的去传播病毒，通过特别定制的未知恶意程序感染相关人员的,U,盘，病毒以,U,盘为桥梁进入,“,堡垒,”,内部，随即潜伏下来。病毒很有耐心的逐步扩散，利用多种,0 day,一点一点的进行破坏。,韩国黑客入侵事件,：,201,3,年,3,月,20,，,韩国多家银行与其国内三大电视台大量计算机出现无法开机的问题，受影响计算机超过,3,万台，韩国花费超过,3,天以上时间才恢复正常运行。,典型案例Google极光攻击：2010年的Google Au,20,Google,极光攻击,1.,搜集,Google,员工在,Facebook,、,Twitter,等社交网站上发布的信息,；,2.,利用动态,DNS,供应商建立托管伪造照片网站的,Web,服务器，,Google,员工收到来自信任的人发来的网络链接并且点击，含有,shellcode,的,JavaScript,造成,IE,浏览器溢出，远程下载并运行程序,；,3.,通过,SSL,安全隧道与受害人机器建立连接，持续监听并最终获得该雇员访问,Google,服务器的帐号密码等信息,；,4.,使用该雇员的凭证成功渗透进入,Google,邮件服务器，进而不断获取特定,Gmail,账户的邮件内容信息。,Google极光攻击1.搜集Google员工在Faceboo,21,RSA SecurID,窃取攻击,1.,攻击者给,RSA,的母公司,EMC,的,4,名员工发送了两组恶意邮件，附件名为“,2011 Recruitment plan.xls”,；,2.,在拿到,SecurID,信息后，攻击者开始对使用,SecurID,的公司展开进一步攻击。,3.,其中一位员工将其从垃圾邮件中取出来阅读，被当时最新的,Adobe,Flash,的,0day,漏洞（,CVE-2011-0609,）命中；,4.,该员工电脑