信息安全的攻击形式在发生愈来愈多的变化,也在变得愈发高端。安全威胁处于向“高级形式”进化的阶段,其中最为典型的就是APT类攻击。
什么是APT类攻击
APT(Advanced Persistent Threat)高级持续性威胁,通常来说APT攻击为一类特定的攻击,为了获取某单位的重要信息,从而进行针对性的、一系列的攻击行为,每当恶意代码渗透到网络内部后,从而进行重要信息的收集。
通俗的来说APT的攻击主要针对于特殊的机构或者公司,在明确攻击目标后,通过未知病毒、后门程序、0day攻击等多种途径进行频繁的渗透、潜伏、攻击和收集,同时不会对网络产生任何破坏的影响,导致用户极难发觉。
同时,任何企事业单位,只要内部终端可以访问互联网、收发Email,上传、下载文件等行为,都极有可能受到APT威胁,这些动作都可以作为APT攻击的载体被利用,从而攻击其它的内部终端。这种攻击行为使得国家政府机关、军队、银行、商业公司等机构面临着严峻的威胁。
常见的APT攻击手段
APT攻击可以简要的分为四个阶段:(1)渗透(2)控制(3)探测(4)数据泄露。
1、渗透:典型的APT攻击主要通过以假乱真的电子邮件、未知的恶意程序、系统和程序的漏洞及后门入侵到计算机中,同时大部分桌面端杀毒软件无法对未知恶意代码、后门程序进行及时的分析或查杀导致计算机被感染。
2、控制:当计算机被成功渗透后,主动释放新型木马僵尸程序,此程序会躲避杀毒软件的查杀,同时向外网的僵尸服务器进行通讯回复报道,然后潜伏在计算机系统中。
3、探测:当计算机感染新型木马僵尸病毒后,会被窃取本机的权限,同时提升权限到管理员,然后通过感染计算机不断的去扫描其它计算机端口以及漏洞,并依靠弱口令字典去破解其它计算机的密码,造成更多的计算机被感染和控制。此类恶意代码会依照相关规则(例如:文件类型、名称等)去探测重要文件的位置。
4、数据泄露:恶意代码会将收集到的重要文件进行压缩打包甚至加密,通过邮件或其它形式转发到相应的外网僵尸服务器中。
如何防御APT恶意代码
目前业内主要还是依靠传统的病毒防范方式,依靠桌面端的杀毒软件对恶意文件进行特征库匹配。但是对于APT恶意代码的攻击已显得不合时宜,无法拦截未知恶意代码、后门程序、信息泄露等。所以应该有一套更加完善、主动、立体、多维度的安全防御体系。
网神安全团队根据多年的安全经验,建议针对APT恶意代码攻击通过以下几个方面入手,包括建立异构病毒库、多维度拦截、启发式扫描、行为分析、URL判定、漏洞攻击代码检测、沙盒技术等方式,对APT的恶意代码的渗透、控制、探测、数据泄露四个过程进行全程的监控、阻断和预警。
APT恶意代码的拦截
在网关处部署网神SecAV防毒墙,通过网神1000万以上病毒特征库结合终端杀毒软件,对所有进出的网络数据包进行还原,并进行高精准度的病毒文件匹配,杜绝恶意代码、后门程序入侵计算机终端,降低计算机病毒感染率。
其次,通过网神SecAV防毒墙启发式扫描技术,对进出的数据文件的结构, 病毒遗传基因, 文件的来源或传播形式,虚拟脱壳以及伪装形式等来进行判断。同时可针对不同的特点的病毒, 制定不同的启发式规则来提高判断结果的准确性,全部过程均为自动化处理,使得未知恶意代码能够提供及时、主动的拦截,防止APT类攻击渗透到网内计算机中。
通过防毒墙的URL判断功能,对于未知的URL进行威胁性预估,对于威胁级别高的URL进行及时的阻断,从而在阻止恶意URL的访问。
为了防止已被感染的APT类恶意代码的计算机回传数据,或对僵尸服务器进行回复报道,造成泄密事件发生,可以通过防毒墙关键字、关键文件类型过滤,数据双向检测功能进行分析和阻断,对于机密的文件名称、类型或恶意的数据回传进行拦截,防止数据泄露事件发生。
APT恶意代码的监控和预警
针对APT恶意代码攻击,还需要对网络中的数据包进行多维度的分析和预警,网神SecAV病毒预警系统做为防御APT恶意代码的新利器,旁路部署在交换机旁,对所有进出的数据进行分析和预警。
网神SecAV 病毒预警系统将所有网络数据进行收集,使用特有的虚拟沙盒仿真技术进行分析。沙盒技术将文件在虚拟的环境中运行,根据文件的文件属性变化、程序启动方式、注册表更改、内存变动、网络活动情况进行多维度的分析,对于APT类恶意代码中常见的可疑僵尸行为、可疑DDOS行为、Rootkit、间谍行为、资料窃取、反查杀自我保护等行为进行及时的监控和预警。
同时网神SecAV病毒预警系统对网络中的应用程序带宽进行审计,对于异常流量进行自动分析,防止APT类恶意代码的探测和数据泄露情况发生。使得运维人员可以快速定位感染源、对重点资产进行监控,同时配合网神防毒墙进行联动,隔离病毒计算机,减轻病毒防毒压力。
网络信息安全不仅需要安全产品和解决方案,同时内部员工安全意识同样不可或缺,定期进行安全信誉评估,合理的使用计算机终端,会更有效的降低APT攻击的行为发生。