APT攻防的溯源与反溯源技术
发布时间:2022-08-27 09:54:42 所属栏目:安全 来源:互联网
导读:Labs 导读 近年来,高级可持续性威胁(APT)大幅增加,多个国家都受到了来自APT组织的攻击,网络战也愈演愈烈,对企业安全和国家安全造成了重大威胁。APT溯源与反溯源技术对于APT攻击的防御有着举足轻重的作用,攻击事件发生后,溯源是应急响应过程中的核心
|
Labs 导读 近年来,高级可持续性威胁(APT)大幅增加,多个国家都受到了来自APT组织的攻击,网络战也愈演愈烈,对企业安全和国家安全造成了重大威胁。APT溯源与反溯源技术对于APT攻击的防御有着举足轻重的作用,攻击事件发生后,溯源是应急响应过程中的核心环节,对攻击行为能否准确溯源,直接决定应急响应的安全加固措施是否有效。知己知彼才能百战不殆,所以本文针对APT攻击的特征、溯源和反溯源技术做一个全面的讲解。 1什么是APT攻击? 高级可持续性威胁(APT),是指隐匿而持久的主机入侵过程,通常出于商业或政治动机,由某些人员精心策划,然后针对特定组织或国家进行攻击,该攻击的主要特征是能够持续监控靶机,并从靶机获取数据。 1.1 APT攻击与传统攻击的区别 组织性:APT攻击通常是由一个组织发起的攻击,可能具有军事或政治目的,会与国家关联在一起,背后往往有雄厚的资金支持;而传统的攻击通常是由黑客个人发起,没有严密的组织。 目标针对性:APT组织不会盲目攻击,通常会针对性的选择一个攻击目标,该目标往往具有军事、政治、经济上的较高价值。而传统的攻击通常采用“大水漫灌”式的无差别攻击手段。 攻击战术:APT攻击的样本变种多且升级频繁,同时利用零日漏洞进行样本的投递,使得基于特征匹配的传统防御技术很难有效检测出攻击;而传统的攻击大多使用流量泛洪或者已知漏洞进行攻击。 隐蔽性:APT攻击使用加密隧道进行通信,具有较强的隐蔽能力,基于流量检测的防御很难发挥作用;而传统的攻击未使用加密隧道进行敏感信息窃取。 持续时间:APT攻击往往会持续数年的时间。而传统的攻击持续时间较短,漏洞利用成功后不会给靶机留下后门程序。 下图表示APT攻击常用的战术: 1.2 APT攻击步骤 情报收集:攻击者使用鱼叉式钓鱼攻击、google搜索引擎、扫描工具、社会工程学手段寻找靶机的信息,该信息包含域名,子域名,ip地址,已知漏洞等等。 资源开发:攻击者会购买、租赁可使用的基础设施。包括物理或云服务器、域名和第三方Web服务、僵尸网络等等。 初始访问:攻击者利用0 day漏洞、N day漏洞攻击软件供应链,达到利用靶机漏洞的目标。 C2通信:给靶机投递样本,从而使得C2服务器和靶机建立通信加密隧道。 横向移动:攻击者通过C2服务器对内网中的主机进行横向渗透,最终拿下内网主机的控制权,同时给靶机留下后门程序,便于持续攻击。 资产发现:使用扫描工具扫描内网主机的指纹信息,比如ip,开放端口,未修复的已知漏洞。 数据泄露:攻击者会将靶机敏感信息压缩、加密,然后通过加密隧道窃取。 下图展示了横向运动的过程,V代表C2服务器,红线左侧代表公网,红线右侧代表内网,内网中的四台主机只有192.73.1.19可以与公网通信,其他三台主机均与公网隔离,但是C2服务器通过打通内网路由的方式成功控制了内网的四台主机。 2什么是APT攻击溯源? 通过攻击溯源,我们可以确定源IP或媒介IP,及其对应的攻击路径,从而制定更有针对性的防护或对策,实现主动防御。安全业界常见的溯源方式是基于防火墙和流量检测技术,但是这种溯源方式存在误报率高,单点安全告警无法联动,无法还原完整攻击链的问题,但是APT攻击溯源能够解决上述问题。APT攻击溯源主要分析以下三个问题: Why:黑客为什么能攻击进来,黑客采用了哪些攻击手段,哪些黑客工具。 Who:确定攻击者的身份、个人信息以及网络指纹。 Where:发现安全事件的轨迹,找出攻击者的历史轨迹。 3如何实现APT攻击的溯源? APT溯源的过程类似警方破案的过程,溯源需要证据,不能靠猜测。常见的溯源技术如下: 3.1 对APT组织画像 3.2 通过IOC(特征值)进行攻击溯源 0 day,N day漏洞,web漏洞,主机漏洞,容器漏洞等等; 异常流量; 样本(病毒,蠕虫,木马等等); 攻击ip地址,受害ip地址; 高危端口; 恶意进程及其调用链; 主机日志; DNS解析历史; 3.3 通过沙箱进行攻击溯源 为解决特征匹配对新型攻击的滞后性而产生的解决方案。其原理是将实时流量先引入沙箱,通过对沙箱的文件系统、进程、注册表、网络行为实施监控,判断流量中是否包含恶意代码。同传统的特征匹配技术相比,沙箱方案对未知恶意代码具有较好的检测能力,但其难点在于模拟的客户端类型是否全面,如果缺乏合适的运行环境,会导致流量中的恶意代码在检测环境中无法触发,造成漏报。 3.4 通过异常行为进行攻击溯源 其原理是通过对网络中的正常行为模式建模。核心技术包括元数据提取、正常行为建模和异常检测算法。该方案同样能够检测未知攻击。 3.5 通过全流量审计进行攻击溯源 其原理是对链路中的流量进行深层次的协议解析和应用还原,识别其中是否包含攻击行为。检测到可疑攻击行为时,在全流量存储的条件下,回溯分析相关流量,例如可将包含的http访问、下载的文件、及时通信信息进行还原,协助确认攻击的完整过程。这种方案具备强大的事后溯源能力和实时检测能力,是将安全人员的分析能力、计算机强大的存储能力和运算能力相结合的解决方案。 3.6 样本溯源 样本的静态特征有语言、pdb、字符串等,pdb文件主要存储了VS调试程序时所需要的基本信息,主要包括源文件名、变量名、函数名、FPO(帧指针)、对应的行号等等。可以通过样本的聚类和同源分析,ip、domain、url、md5等的关联实现溯源。 3.7 溯源案例分析 WannaCry勒索攻击是2017年5月由WannaCry蠕虫发起的全球网络攻击,该攻击通过加密数据并要求以比特币加密货币支付赎金。 (编辑:济源站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
