在之前的两篇文章中《APT攻击背后的秘密:攻击前的"敌情"侦察》《APT攻击背后的秘密:攻击性质及特征分析》,我们介绍了APT攻击的性质、特征,以及攻击前的"敌情"侦察。本篇文章,我们将继续介绍APT攻击时使用的武器和手段,这是真正开始发动攻击的阶段,也是攻击者需要通过的第一道"关卡"。
正如在前面文章我们提到的,APT攻击和普通攻击之间的区别是目的,或者说背后操作者的具体目标,而不是工具、策略或流程。
一般的攻击主要依赖于数量,攻击者会成百上千次的发送相同的链接或是恶意软件,在大多数情况下,这个过程是自动化的,攻击者使用机器人或基于web脚本来推动攻击,如果攻击了大量的潜在受害者,那么攻击者可能获得已经获得了一半的成功。而APT攻击则会使用多个链接、不同类型的恶意软件,并控制攻击量,因此,APT攻击很难被传统的安全防御手段所发现。
启动攻击
在侦察阶段,攻击者会收集尽可能多的关于目标的信息,这些信息在攻击开始阶段将发挥重要作用。这些信息可以让攻击者能够设计和开发一个恶意有效载荷,并选择最好的方法来传送。
对于攻击工具包,有很多低成本的选择,并且还可以随后添加自定义模块或功能。这些工具可以托管在任何位置,但攻击者通常会将它们放在有着良好声誉的合法域名,利用路过式下载攻击。
水坑攻击通常采用两种攻击方式。一种方式是通过网络钓鱼电子邮件将目标带到攻击者的利用工具包。
另一种方式是瞄准共享资源。这些资源通常对于目标有着一定价值,并有良好的声誉。对于这种这种方式来说,攻击者没有直接瞄准目标,而是感染目标将要访问的网站,等着目标被感染。
我们需要了解水坑攻击和路过式下载攻击的区别,其中一种可用于发起一般攻击,而这种攻击很容易被发现,另一种则更加隐蔽。
攻击者还会利用零日漏洞,但并非总是如此。当使用零日漏洞时,主要原因是攻击者攻击目标实现概率增加。这些目标可能是安装Paid-Per-Install恶意软件、信息窃取、构建僵尸网络或间谍活动。然而,利用现有漏洞要比零日漏洞更加容易,因为企业和个人用户经常没有修复系统和第三方软件的漏洞。
回顾在侦察阶段,还有一些其他信息可能帮助攻击者展开攻击。假设攻击者发现可信业务合作伙伴网站中的漏洞,或者目标企业的漏洞,攻击将变得更加容易,因为攻击者既可以利用水坑攻击,也可以利用单一的可信资源。在这种情况下,SQL注入、跨站脚本(XSS)等常见漏洞都可以攻击者的切入点,默认或有漏洞的服务器配置同样如此。
此外,攻击者会将精力集中在容易实现的目标上,因此,内部开发的有漏洞的应用程序或添加到公司博客或内网的第三方脚本,都可能用来发动攻击。最后,如果目标企业使用的CMS或主机平台已经过时或未修复,这也会成为攻击的关注点。
选择目标
一旦攻击者确定了攻击向量(其中包括有漏洞的平台和攻击类型),他们将需要选择一个受害者。在很多情况下,受害者其实已经确定。但有时候,受害者是谁并不重要,攻击者会攻击尽可能多的目标以提高其成功率。假设受害者还没有选定,整体目标是一个企业,那么,来自侦察阶段的数据再次会变得有用。
请记住,攻击者首先会瞄准容易攻击的目标,企业内最容易的目标是服务台工作人员,或者提供支付服务的员工,例如客户服务代表或行政助理。因为这些人能够访问或联系企业内的其他人。在侦察阶段,攻击者能够获得这些人的信息,包括他们正在使用的软件和硬件类型、社交网络信息、公开的报告或其他工作、爱好或他们的个人信息。
企业内的其他人也可能成为目标,这主要是因为他们在企业内的访问权限和影响力。这些包括:首席执行官、首席财务官、IT部门、QA和开发团队、销售、营销和公共关系团队。
传送有效载荷
在建立有效载荷、选定攻击目标后,攻击者需要开始传送恶意载荷到目标,他们选择的传送方法包括:
1. 路过式下载攻击: 这种传送方法让攻击者可以瞄准更广泛的受害者。这是一般犯罪的常用方法,例如信息窃取恶意软件或僵尸网络构建恶意软件。犯罪工具包是典型的传送工具,因为它们可以利用多个漏洞。
任何具有可利用漏洞的网站都可能受这种攻击的影响。请记住,SQL注入攻击可用于访问存储数据,也可以访问感染数据库中的身份验证详细信息,进一步推动攻击。此外,跨站脚本和文件包含漏洞将让攻击蔓延。当恶意代码注入到网站,攻击者只需要等待受害者。在文件包含漏洞的情况下,如果攻击者获取对web服务器本身的控制,他们就可以攻击其他区域以及服务器上的数据。
注意: 这就是分离和保护网段的原因。这能够帮助降低数据泄漏期间连带效应的风险。如果对一个区域的访问允许访问所有其他区域,攻击者的工作就变得更加容易了。
2. 水坑攻击: 细粒度水坑攻击不同于一般攻击。虽然整个攻击活动可能让其他不相关的人成为受害者,攻击者对选定的一组人或特定人更感兴趣。
这种攻击的目标可能是开发人员、QA、IT或销售人员,因为这些人更可能使用论坛或其他社交环境来与同行交流或寻求协助。 SQL注入、文件包含和跨站脚本漏洞都将是主要切入点。如果攻击者可以控制直接绑定到目标网络的服务器,那么,攻击员工就成为了次要目标。
3. 网络钓鱼(一般): 一般网络钓鱼攻击会瞄准广泛受害者。攻击者可以通过这种方式散布大量恶意软件,既快速又便宜,而且不需要太费功夫。如果潜在受害者打开邮件附件,或者点击恶意链接,在有效载荷安装后,就说明攻击成功了。网络钓鱼被用来传播财务恶意软件,而一般恶意软件被用来窃取数据和构建僵尸网络,而这又被用来发送更多的垃圾邮件。
网络钓鱼活动中使用的电子邮件地址可能来自各种来源,包括在侦察阶段收集的数据,同时也可能来自数据库泄漏事故公开披露的数据。一般网络钓鱼的目的是玩数字游戏,如果攻击者发送恶意邮件到100万地址,而安装了1000个恶意软件,那么,这将被视为一个巨大的成功。
4. 网络钓鱼(重点): 重点网络钓鱼攻击,或者说鱼叉式网络钓鱼,工作原理与一般网络钓鱼攻击差不多,只是潜在受害者范围小得多。鱼叉式钓鱼攻击很适合于攻击一个人或者一个小组,因为在侦察阶段收集的数据能说服受害者做一些操作,例如打开恶意附件或点击链接。
鱼叉式网络钓鱼活动很难被发现,特别是对于被动的反垃圾邮件技术。鱼叉式网络钓鱼获得成功是因为,受害者相信邮件中包含的信息,而且大多数人都认为反垃圾邮件保护会抵御这种威胁。
总结
将APT攻击阻止在萌芽时期很关键,因为如果你能在这个阶段阻止攻击,那么,战斗已经赢了。然而,犯罪分子没有这么容易对付。除非你部署了分层防御措施,完全阻止这种攻击,说起来比做起来容易。下面我们看看抵御攻击的方法:
入侵检测系统(IDS)和入侵防御系统(IPS)是很好的保护层。然而,大多数只是部署了其中一个,而没有都部署,最好的办法就是同时部署这两者。
IDS产品提供了可视性,但只有当数据泄漏事故发生后才有效。如果企业能够即时对IDS警报采取行动,损失和损害可以得到缓解。在另一方面,IPS产品能够有效发现和识别已知攻击,但缺乏可视性。这两个解决方案的缺点是它们所依赖的签名。如果没有更新签名,你可能无法检测攻击者部署的最新攻击技术。
反病毒保护通常能够检测很多漏洞利用工具包安装的恶意软件。但单靠AV签名并没什么用,所有AV产品都需要依赖于签名保护。虽然AV供应商提供各种保护,包括白名单和基于主机的IDS,但这些功能需要启用和使用。
垃圾邮件过滤也是检测和阻止大部分攻击必不可少的方法,但企业不能只依赖反垃圾邮件保护。它们很容易出现误报,无法阻挡一切攻击,特别是当攻击者伪装成白名单中的域名时。
补丁管理是另一个关键保护层,因为它能够应对攻击者最强的工具之一—漏洞利用工具包。然而,修复操作系统并不够,还需要定期修复第三方软件。
最后,还需要安全意识培训。企业应该对用户进行培训来抵御最明显的威胁,包括网络钓鱼攻击。安全意识培训是持续的举措,能够直接解决企业面临的风险。
