我相信你在去年可能就已经听说过RSA被入侵了,而且RSA Secure ID的相关数据也被盗走,这些数据还被用于后续的攻击事件中。除了RSA,其实还有很多其他相似的受害者。你可能也听说过ShadyRAT,这事情充分证明了殭尸网络的寿命能够有多长,另外还有Nitro和Night Dragon事件证明有些攻击者的目标会锁定在特定产业上。
你可能还看过趋势科技关于Lurid攻击的研究报告,这个事件证明攻击者对非美国的目标也是有兴趣的。而更重要的是,这样的事件应该被看作“系列攻击”,而非独立事件。
此外还有一些重要的高级持续性渗透攻击的相关研究可能是你所不知道的。我对此进行了归类总结,并列出了11个重要研究:
Contagio Dump和Targeted Email Attacks这两个博客已经在这方面发表过很多相关研究报告。我们通常可以获得恶意程序代码做进一步分析,但社会工程学陷阱所用的电子邮件内容却不容易获取。这些博客在目标攻击领域中有很多独特见解。
1.CyberESI:CyberESI的团队发表过一些具有大量变种的恶意软件家族产品分析报告(是真非常详细)。在我看来,他们的分析报告为这方面的逆向工程设立了标准。
2.Htran:Joe Stewarts在Htran方面的研究成果被ShadyRAT研究报告的光芒掩盖了,但我认为这是今年最具创新性的研究报告,因为它着眼在问题的根本,试图寻找攻击来源IP,以找出幕后攻击者的实际位置。
3.通过对系列攻击的分析启动智能型电脑网络防御系统:Hutchins、Cloppert,以及Amin的研究介绍了如何追踪同一次攻击的不同阶段,并将多次事件串联成一次“系列攻击”。这是任何想要追踪高级持续性渗透攻击的人都不可不看的报告。
4.1.php:这份来自Zscaler的报告对一次特定的系列攻击,及所用的命令与控制基础架构做了彻底的解构和分析,并在结论中提出了确实可行的防御方法。另外,该报告对于在这方面的信息披露也提出了相当独到的见解。
5.APT解密在亚洲:Xecure在今年的黑帽大会上展示了他们对恶意软件以共同属性作群集分类的研究。我真的很喜欢他们在群集分类上所下的功夫,还有他们提出的名词“NAPT(非高级持续性威胁)”。
6.M-Trends:这份来自Mandiant的报告对攻击者所用的方法做了清楚的描述,也提出了详细的清除策略。此外,还包含Mandiant对于持续性机制所做的研究,特别是“DLL搜索路径劫持”技术。
7.Sykipot:AlienLabs记录了Sykipot系列攻击中所做的目标攻击,包括攻击所用的弱点攻击代码、恶意软件,以及命令和控制基础架构。
8.APT在煽动性的名称外还有什么?:Seth Hardy在SecTor提出了很多对于高级持续性渗透攻击进行炒作的重要观点,包括对一个具体的恶意软件“SharkyRAT”所进行的详细技术分析。
9.My Lovely Wood,这篇来自Frankie Li的报告对用在目标攻击活动中的恶意软件进行了详尽的技术分析。
安全小贴士:认识APT
什么是APT?简单来说,就是针对特定组织所作的复杂且多方位的网络攻击。APT-高级持续性渗透攻击主要集中于间谍与窃取机敏数据方面,其影响程度虽大,但攻击范围很小,这也使得搜集有用的证据变得相对较为困难。攻击者除了使用现成的恶意程序外,也会使用定制的恶意组件,并建立一个类似殭尸网络的远端控制架构,并将自己隐藏其中,形成一种高度安全的操作环境。网络犯罪和网络间谍之间的界限变得越来越模糊,而由于使用一般的恶意程序、漏洞与架构,也使得要区分与调查这类案件越来越困难。
APT攻击可能会持续几天、几周、几个月,甚至更长时间。APT攻击可以从搜集情报开始,这可能会持续一段时间。在这期间可能需要搜集包含技术和人员情报等信息。情报收集工作可以塑造出后期的攻击,而后期攻击可能很快速,或者很漫长。
例如,试图窃取商业机密可能需要几个月的时间,针对安全协议,应用程序弱点,以及文件位置等信息收集所需情报,但当计划完成后,只要一次几分钟的执行时间就可以了。在其他情况下,攻击可能会持续较长的时间。例如,成功部署Rootkit到服务器后,攻击者可能会定期传送有潜在价值文件的副本给命令和控制服务器进行审查。
注释:作者Nart Villeneuve现为趋势科技资深威胁研究员。
原文链接:http://tech.ccidnet.com/art/1099/20120307/3659385_1.html