2024年3月26日发(作者:)
APT攻击介绍及典型流程图
APT(Advanced Persistent Threat)是指高级持续性威胁,本质是针对性攻击。 利
用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式,APT攻击的原理相对
于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击
对象的业务流程和目标系统进行精确的收集。在此收集的过程中,此攻击会主动挖掘被攻
击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用0day
漏洞进行攻击。APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行
为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并
具备高度的隐蔽性。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和
组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络
间谍”的行为。
主要特征
“潜伏性和持续性”是APT攻击最大的威胁,其主要特征包括以下内容。
——潜伏性:这些新型的攻击和威胁可能在用户环境中存在一年以上或更久,他们不
断收集各种信息,直到收集到重要情报。而这些发动APT攻击的黑客目的往往不是为了在
短时间内获利,而是把“被控主机”当成跳板,持续搜索,直到能彻底掌握所针对的目标
人、事、物,所以这种APT攻击模式, 实质上是一种“恶意商业间谍威胁”。
——持续性:由于APT攻击具有持续性甚至长达数年的特征,这让企业的管理人员无
从察觉。在此期间,这种“持续性”体现在攻击者不断尝试的各种攻击手段,以及渗透到
网络内部后长期蛰伏。
——锁定特定目标:针对特定政府或企业,长期进行有计划性、组织性的窃取情报行
为,针对被锁定对象寄送几可乱真的社交工程恶意邮件,如冒充客户的来信,取得在计算机植
入恶意软件的第一个机会。
——安装远程控制工具:攻击者建立一个类似僵尸网络Botnet的远程控制架构,攻
击者会定期传送有潜在价值文件的副本给命令和控制服务器(C&C Server)审查。将过滤后
的敏感机密数据,利用加密的方式外传。
APT攻击流程图-典型
如下图所示:
根据组织与目标配对原则,将APT组织分为三类:攻击境外目标的境外组织,攻击境
内目标的境外组织,以及攻击境内目标的境内组织(第四类此处省略);
间谍组织整体情况
在多数人眼中,这些从事网络间谍活动的黑客组织都是武力值满级的SSR,随便动动
手指就能搞出个大新闻。当然,各国APT组织的确数不胜数,SSR之间也会有能力大PK,
宅客频道特意给各位围观群众写了份武力排行榜,这就点击查收吧。
NO1.美国&俄罗斯
毫无悬念,美国和俄罗斯的APT组织稳坐第一梯队,但这两国APT组织的特点还真
不一样,甚至在某些地方截然相反。
首先是美国,美国APT组织用三个词形容就是技术牛,武器多,还低调。目前业界认
为是灭霸级别的两个APT组织:方程式和索伦之眼,其后台都被普遍普遍认为是NSA(美
国国家安全局,NationalSecurityAgency)。 “引起2017年512WannaVry灾难的永恒
之蓝漏洞利用工具,仅仅是影子经纪人泄露的方程式组织武器库中的一件武器而已。但永
恒之蓝曾经被用于攻击什么目标,至今全球都没有明确的结论。”这就足见技术牛X的美国
组织是多么的低调。如果不是斯诺登同学站出来说话,很多事情我们真的是“不知道”。
与之相反,俄罗斯的APT组织就有很多高调的,大手笔的作为了,而且往往政治目非
常明显,攻击注重实效,不出手则已一出手或可改变世界格局。此处不得不提的就是2014
年被发现的APT28组织了,目前普遍认为其身后的大佬是俄罗斯军事情报机构(GRU)。
如果你对这个组织不那么熟悉,可以回想下直接改变世界历史走向希拉里邮件门事件,这
个牛X组织还曾帮助亲俄分裂分子追踪乌克兰部队,造成炮兵部队损失一半以上武器,是
迄今为止,对全球政治、历史发展影响最大的网络攻击组织。
NO2.伊朗&以色列&朝鲜&韩国&一个不可说的国家
第二优胜团队有五位成员:伊朗的APT组织攻击活动频繁,且长期针对以色列和巴基
斯坦等国攻击。而被针对的以色列也非常牛气,虽然少有曝出其对某国发动攻击,但他是
全世界最大的网络军火商,日常操作就是卖漏洞,卖木马。2016年曝出的苹果IOS三叉
戟漏洞事件,就被认为与以色列的网络军火商NSO有关。
另一位意想不到选手是朝鲜,朝鲜APT组织的攻击水平其实也并没有很高,重点在于
胆子大,比如2016年发现的被普遍认为来自朝鲜的黑客组织Lazarus,就曾经黑进索尼影
视娱乐公司,搞瘫韩国金融机构和媒体公司的DarkSeoul,还从孟加拉央行盗走8100万
美元(此事也不排除是有人嫁祸)。总之朝鲜APT组织要么不动,一动就是大手笔,每次
攻击都是惊天动地。
有朝鲜的地方怎么可能没有韩国,尽管韩国APT组织的攻击行为不明显,但和朝鲜这
对冤家之间互有攻防是常见的。另外韩国有不少顶级人才,在网络战中人才意味着什么?
实力。
至于最后一个出道名额,大家可以发动想象力猜一下就不多作提示了。
APT组织成长记
按理说这些SSR级别的APT组织非常不容易被发现,但任何事物都有成长过程,APT
组织也是如此。
一般来说从S级修炼到SSR级有四个阶段:
第一阶段是初学乍练,在这个阶段中APT组织大量使用民间代码,不会隐藏容易暴露,
经常进行没有意义的攻击;第二阶段为广泛撒网,此时APT组织的攻击手段日渐成熟,为
寻找目标大面积撒网,并开始使用漏洞攻击。在这两个阶段APT组织较容易被发现。第三
阶段为收缩攻击,此时其攻击隐秘不易发现,能够找到目标精准攻击,并开始使用0day漏
洞 且攻击代码对抗性很强;第四阶段时无形攻击,这个听起来就很厉害阶段可以将攻击过
程隐于无形,此时这些APT组织代码武器堆积成库,并掌握大量0day漏洞。目前美国大
部分APT组织都发展为第四阶段。
具体来说,其初始攻击主要采用鱼叉邮件携带二进制可执行文件这种攻击方法。攻击
者仿冒官方邮件向受害者发送鱼叉邮件,诱导受害者点击邮件所携带的恶意附件。攻击者
使用的邮件附件多为一个WinRAR压缩包,其中包含伪装成Word文档的SCR文件。而
后期下载得到的附件包含的是一个恶意LNK文件:
一旦受害者被诱导打开该LNK文件,LNK文件便会通过执行文件中附带的PowerShell
恶意脚本来收集上传用户电脑中的敏感文件,并安装持久化后门程序长期监控用户计算机。
APT组织的防御
面对这些神龙见首不见尾的SSR们,怎样才能发现和还原APT组织活动的历史和全
貌呢?介绍了一种常用的分析方法,并将其形象的比喻为:拎葡萄。和传统人员破案是一
样的,先锁定受害人,然后整理受害人社会关系,而每一条关系链都连接了其他关系链。
对应APT攻击中,首先当我们确定了某个样本是高级攻击样本后,就可以在历史大数
据中去寻找相关的线索,比如,哪些黑、灰样本与这个样本是同源的,这个样本曾经链接
过哪些恶意服务器,哪些电脑曾经遭到过这个样本或同源样本的攻击。之后,根据拓展出
来的这些线索,我们又可以拓展出更多的线索。比如,与恶意服务器连接过的其他电脑都
有可能是被攻击目标,被感染的电脑上存在的其他不明程序也可能是APT木马。
紧接着,拓线出来的APT同源木马可能还连接过更多的服务器,那么这些服务器也可
能是同一APT组织的服务器。同时,活动特征、行为特征上与已知恶意服务器相似的服务
器也都可能是同一组织的服务器。
“如此一来,一个样本可以关联出若干线索,若干线索又可以关联出更多的线索,这
就像拎葡萄一样,抓住一个头,就拎出一大串。只要有足够规模的安全历史大数据,对这
些大数据有足够的快速分析和检索能力,就能够快速还原一个组织的攻击范围与攻击历史。”
说到底,依仗还是大数据。这是个好东西,不仅能追踪服务器,还能建立黑客历史基
因图库。APT组织的成员并非一开始就是顶级高手,谁都有混迹黑客技术论坛的小白时期,
如果从这一黑客进入论坛第一天开始建立档案,之后的每一步都会留下些信息。
最后,面对这些SSR,我们有防御能力吗?
“理论上来说是不可能全部防御住的,毕竟这些组织有确定的目标,且这一目标价值
无限,这些APT组织要做的就是使用各种手段达到目的。” 对于站在明处的防御方来说,
偶发性强、样本稀疏、手段高级、不易发现都造成了APT组织及其行动研究的难度。“对
于我们来说,最有价值的防御策略是:结合大数据技术及高水平安全运维,第一时间发现
问题,快速响应减少损失。”
发布评论