搜索
高级可持续攻击(APT)攻防分析杭州安恒-吴卓群演讲提纲1、APT攻击介绍2、APT攻击案例分析3、APT攻防分析APT攻击•什么是APT–AdvancedPersistentThreat–APT是指高级的持续性的渗透攻击,是针对特定组织的多方位的攻击;–APT不是一种新的攻击手法,因此也无法通过阻止一次攻击就让问题消失APT攻击增长情况网络犯罪集团与APT攻击的区别APT攻击的常见流程6演讲提纲1、APT攻击介绍2、APT攻击案例分析3、APT攻防分析APT攻击-韩国大规模MBR攻击1FIRST组织和APCERT组织了解到韩国主要广播电视台KBS、MBC、YTN,以及韩国新韩银行(ShinNanBank)、农协银行(NongHyupBank)等部分金融机构疑似遭受黑客攻击,相关网络与信息系统突然出现瘫痪2月中事件调查出炉,报导说朝鲜至少用了8个月来策划这次攻击,成功潜入韩国金融机构1500次,以部署攻击程序,受害计算机总数达48000台,这次攻击路径涉及韩国25个地点、海外24个地点,部分地点与朝鲜之前发动网络攻击所使用的地址相同。黑客所植入的恶意软件共有76种,其中9种具有破坏性,其余恶意软件仅负责监视与入侵之用。•攻击行为分析–邮件植入木马–病毒传播–病毒在3月20日下午2:00以后激活–taskkill/F/IMpasvc.exe[AhnLabclient]–taskkill/F/IMClisvc.exe–Vista以上系统覆盖文件、其他的破坏引导扇区–shutdown-r-t0对美国无人机厂商的“Beebus”APT攻击•黑客团队利用钓鱼式攻击窃取美国无人机的相关信息,该行为被命名为“Beebus”•在2012年初就在一些国防和航空航天客户系统上发现了一些可疑行为,在发现的261次攻击行为中,其中有123次是针对无人机或系统供应商。这些攻击一般通过电子邮件发送DOC、PDF等文件到客户邮箱,当用户打开附件,恶意软件立即会感染用户电脑,该恶意软件主要目标是美国和印度的政府机构、航空航天、国防和电信行业。对美国无人机厂商的“Beebus”APT攻击•使用包含http代理功能的mutter后门程序•和服务器通讯:Mutterversion#-campaignmarker?-victimhostname-victimIPaddress•没有使用0day,只使用了一些老的漏洞利用Twitter进行APT攻击•国外安全实验室监测到一例通过Twitter来进行APT攻击攻击的行为。并且其中用到了CVE-2013-0634AdobeFlashSWFexploits利用Twitter进行APT攻击•搜集目标人员Twitter账户•使用@的方法使目标人员访问特定页面•其中利用了CVE-2013-0634FlashSWF来加载漏洞2011年NASA遭受APT入侵报告在2011财政年度,美国宇航局(NASA)的报道,这是47个APT攻击的受害者,其中13成功破坏机构的电脑。在一个成功的攻击,入侵者窃取用户凭据NASA的员工超过150个,证书可能已被用来获得未经授权的访问NASA系统。入侵者可以做什么:(1)修改,复制,或删除敏感文件;(2)添加,修改,或删除用户帐户的关键任务的喷气推进实验室系统;(3)上传黑客工具盗取用户的凭据和妥协的NASA系统;(4)修改系统日志来掩饰他们的行动。换句话说,袭击者在这些网络的全功能控制。利用爆炸案热点的新APT攻击黑客利用民众对波士顿马拉松爆炸案和德州化肥厂爆炸案的关注开展组合拳式的攻击。攻击方式包括钓鱼、iframe重定向、Redkit漏洞利用包、僵尸网络攻击诸多手段。黑客的攻击通过Zeus、Kelihot僵尸程序感染了大量的计算机,偷窃金融账号和个人信息,发送恶意邮件或劫持个人计算机展开DDoS攻击。利用爆炸案热点的新APT攻击•Phishemail邮件以最近发生的波士顿马拉松爆炸事件祈祷作为主题进行定向攻击,希望别人打开附件文档对这次爆炸事件进行祈祷。美国举行“网络风暴III”演习2010年9月27日至29日,美国国土安全部会同商务部、国防部、能源部、司法部、交通部和财政部,联合11个州和60家私营企业,举行了第三次网络风暴演习。与往届类似演习的不同之处在于,此次演习更多地反映了美国防部最新颁布的《四年一度防务报告》中提及的“竞争全球公共空间”(包括海洋、大气层、外太空以及网络空间)的概念,以协调整合一致的方式,将衡量与判断网络空间安全程度的标准提升到军用标准,将网络安全提升到国家安全战略核心内容之一的角度进行全行的策划与设计,综合性应对来自网络空间的挑战。北约举行“2011网络联盟”演习北约2011年12月16日发布公报说,13日至15日北约举行了一场网络防御演习,以检验应对大规模网络攻击的能力。共有23个北约成员国和6个伙伴国参与这场代号“2011网络联盟”的演习。演习假设北约和参与国家的信息基础设施遭到大规模网络攻击,要求各方协调应对。演习目的一是检验参与方应对网络攻击的技术能力,二是提高北约成员国之间的协调应对能力。2011年7月美国国防部发布《网络空间行动战略》•美国国防部2011年7月14日在其网站上发布了首份《网络空间行动战略》部分内容,新战略包括进一步将网络空间列为与陆、海、空、太空并列的“行动领域”;变被动防御为主动防御,从而更加有效地阻止、击败针对美军网络系统的入侵和其他敌对行为;进一步加强国防部与国土安全部等其他政府部门及私人部门的合作;通过技术创新能力保持国家的独创性。尽管美方一再强调新战略重在防御,但从种种迹象来看,美军已经将网络空间的威慑和攻击能力提升到更加重要的位置。网络空间战不再是纸上谈兵成军事强国战略必争地•俄罗斯在2002年的《俄联邦信息安全学说》中将信息网络战称为未来的“第六代战争”。•英国在2009年的《国家网络安全战略》中把网络攻击列为英国面临的四大威胁之一。•日本在2010年5月的《信息安全战略》中要求各部门构建能够应对大规模网络攻击的体制,确保网络空间安全。网络空间面临着巨大的安全威胁网络犯罪网络战争网络恐怖随着云计算和物联网技术发展应用,现实世界将与网络世界融为一体成为我们赖以生存的生态环境。演讲提纲1、APT攻击介绍2、APT攻击案例分析3、APT攻防分析APT攻击特点APT目标明确0day漏洞隐蔽性持续性APT攻击发现难点•如何有效发现0day攻击•如何定义攻击路径及行为•如何定义恶意文件的特征及行为•如何可以更好的了解APT攻击APT攻击方式APT攻击社会工程学人工主动攻击利用病毒木马攻击0day攻击基于异常流量攻击基于人工的主动渗透•通过人工渗透进入内网,并对关键资源发动攻击(攻击目标关键资源包括域控、OA、邮箱、文件服务器、工控系统等)•攻击途径:–WEB服务–Vpn服务–邮箱系统–其他对外开发并可能利用的服务基于病毒木马攻击•通过病毒木马目标实施攻击,可能是很复杂的网络–典型案例:•Stuxnet病毒•Flame病毒即使在物理隔离也不安全基于文件0day的攻击•利用收集的邮件进行定向攻击–发送带恶意代码的文本格式文件如:office,pdf等基于异常流量的攻击•网络扫描嗅探的异常流量•远程溢出数据•内网病毒木马爆发的异常流量•数据回传时的异常流量攻击回传检测手段主动攻击检测恶意流量攻击检测已知漏洞检测0day漏洞检测动态行为分析综合关联分析发现APT检测手段•基于主动web的攻击检测–通过分析web流量定位其中的恶意攻击•通用性漏洞检测:–如SQL注入、跨站、命令执行等•0day的攻击:–新型框架漏洞、新型利用手段•浏览器攻击:–浏览器0day漏洞Web攻击浏览器漏洞框架漏洞通用漏洞检测手段•基于已知病毒木马的检测–通过特征匹配的方式定位已知病毒木马检测手段•基于文件的恶意代码分析–通过检测文件的溢出漏洞点,和溢出攻击的特点发现基于文件的0day恶意攻击通用特征提取合规性分析0day定位检测手段•动态行为分析技术–通过动态分析的,对目标进行行为特征分析,发现其中的恶意行为,从而发现攻击•文件操作行为•网络行为•进程行为•注册表行为检测手段•基于流量的行为分析–通过对流量的变化的行为特征分析,发现网络中的异常流量,从而发现恶意攻击•多维度检测(源目IP分布、访问频度、协议类型等)•基于黑域名黑IP检测•合规协议的检测AboutMeAboutMe•目前就职于杭州安恒信息技术有限公司,任信息安全服务部副总监、研究院安全分院(dbappseclab@dbappsecurity.com.cn)负责人、高级安全研究员。•从事多年的web应用安全领域研究。擅长漏洞发掘、代码审计。THINKYOU