发现APT攻击的破绽

  • A+
所属分类:lcx

“只有两种类型的企业:那些知道他们已经受到攻击的,还有那些不知道自己被攻击的。”——著名计算机安全专家D.Alperovitch

现今,APT类攻击最为难以防御,也不易被提前察觉。据统计,国际上明确未曾遭遇APT类攻击的企业仅为11%。《中国互联网信息安全地下产业链调查报告》编撰者之一清华大学信息网络工程研究中心博士、副研究员诸葛建伟表示,目前国内地下黑色产业链里的刷库就是一种APT类的威胁,但在公开的地下黑市里与APT相关的信息比较难以区分,APT类攻击都比较隐蔽,所以更倾向于隐秘的单线联系,难于监控。另外,现在许多经受了安全产品“考验”的入侵技术,正在逐渐被应用到APT类攻击里。

“低调”的APT攻击

2012年最火的APT类攻击“火焰(Flame)” 利用了MD5的碰撞漏洞,伪造了合法的数字证书,冒充正规软件实现了欺骗攻击。据趋势科技硬件产品经理林义轩介绍,APT的攻击途径主要分为四种:

1、社交邮件、微博等;

2、针对系统漏洞的攻击,比如防火墙漏洞、服务器漏洞等;

3、通过移动设备进行的间接攻击;

4、另外则是通过相关人员的电脑进行破坏。

现在社交邮件是最为常见的攻击方式,利用系统漏洞比较难于实现。而Flame的攻击技术含金量很高,相信其攻击方法将很快被其他攻击者模仿利用。Flame里面创新的攻击途径,让攻击者看到了更加丰富的攻击方式,获得更多的“启发”。

APT类攻击具有“不让你看到”的特点,它会千方百计躲避各类安全监测。APT主要发起低频攻击,十分“低调”:APT具有高隐蔽性,低能见度的特性。而且APT类攻击很聪明,只会去偷高附加值的数据。

由细微处发现APT破绽

现在还没有针对APT的特效药,不过攻击者为了在受攻击目标内部建立更多的立足点,会不停发送各类社交工程邮件,不断进行欺骗攻击,而这就为TDA提供了提前发现攻击趋势的用武之地。APT攻击为了搜寻到具有价值的计算机,需要不停进行跳板式攻击,当其通过交换机时就很容易被TDA所发现。TDA是一个网络设备,所以可以对各类网络活动进行监测,当发现异常网络行为——对外扩散、回复通讯(肉鸡上线)——时就可以及时发现。

TDA面对APT类攻击,通过沙盒模拟分析系统,来检测是否存在恶意攻击。对于加密包,TDA会先将加密包截留下来特别予以监测,当其发起攻击时就能当场捕获。

APT攻击的出现,需要面对大数据的安全分析问题。大数据,简单来说就是海量数据,而APT是低频攻击,所以要采用海底捞针的方式对大数据进行分析。这需要通过交叉分析的方式进行针对大数据的安全分析:通过对网络日志、服务器日志等进行关联性分析,从中发现潜藏的APT攻击。APT在进行感染行为时,主要采用恶意代码感染攻击方式。

站长评论:

这狗血文章扯了一大坨,除了一些基础 APT 攻击常识之外,到底讲了什么???……

留言评论(旧系统):

【匿名者】 @ 2012-11-02 12:46:55

卧槽,还以为核老大发现APT破绽了呢,没想到点进来是这破玩意。

本站回复:

这是我订阅的新闻,我之前看到标题也是这样认为的,结果点进去狗血了……

文章来源于lcx.cc:发现APT攻击的破绽

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: