“只有两种类型的企业:那些知道他们已经受到攻击的,还有那些不知道自己被攻击的。”——著名计算机安全专家D.Alperovitch
现今,APT类攻击最为难以防御,也不易被提前察觉。据统计,国际上明确未曾遭遇APT类攻击的企业仅为11%。《中国互联网信息安全地下产业链调查报告》编撰者之一清华大学信息网络工程研究中心博士、副研究员诸葛建伟表示,目前国内地下黑色产业链里的刷库就是一种APT类的威胁,但在公开的地下黑市里与APT相关的信息比较难以区分,APT类攻击都比较隐蔽,所以更倾向于隐秘的单线联系,难于监控。另外,现在许多经受了安全产品“考验”的入侵技术,正在逐渐被应用到APT类攻击里。
“低调”的APT攻击
2012年最火的APT类攻击“火焰(Flame)” 利用了MD5的碰撞漏洞,伪造了合法的数字证书,冒充正规软件实现了欺骗攻击。据趋势科技硬件产品经理林义轩介绍,APT的攻击途径主要分为四种:
1、社交邮件、微博等;
2、针对系统漏洞的攻击,比如防火墙漏洞、服务器漏洞等;
3、通过移动设备进行的间接攻击;
4、另外则是通过相关人员的电脑进行破坏。
现在社交邮件是最为常见的攻击方式,利用系统漏洞比较难于实现。而Flame的攻击技术含金量很高,相信其攻击方法将很快被其他攻击者模仿利用。Flame里面创新的攻击途径,让攻击者看到了更加丰富的攻击方式,获得更多的“启发”。
APT类攻击具有“不让你看到”的特点,它会千方百计躲避各类安全监测。APT主要发起低频攻击,十分“低调”:APT具有高隐蔽性,低能见度的特性。而且APT类攻击很聪明,只会去偷高附加值的数据。
由细微处发现APT破绽
现在还没有针对APT的特效药,不过攻击者为了在受攻击目标内部建立更多的立足点,会不停发送各类社交工程邮件,不断进行欺骗攻击,而这就为TDA提供了提前发现攻击趋势的用武之地。APT攻击为了搜寻到具有价值的计算机,需要不停进行跳板式攻击,当其通过交换机时就很容易被TDA所发现。TDA是一个网络设备,所以可以对各类网络活动进行监测,当发现异常网络行为——对外扩散、回复通讯(肉鸡上线)——时就可以及时发现。
TDA面对APT类攻击,通过沙盒模拟分析系统,来检测是否存在恶意攻击。对于加密包,TDA会先将加密包截留下来特别予以监测,当其发起攻击时就能当场捕获。
APT攻击的出现,需要面对大数据的安全分析问题。大数据,简单来说就是海量数据,而APT是低频攻击,所以要采用海底捞针的方式对大数据进行分析。这需要通过交叉分析的方式进行针对大数据的安全分析:通过对网络日志、服务器日志等进行关联性分析,从中发现潜藏的APT攻击。APT在进行感染行为时,主要采用恶意代码感染攻击方式。