发现APT攻击的破绽

安全
现今,APT类攻击最为难以防御,也不易被提前察觉。据统计,国际上明确未曾遭遇APT类攻击的企业仅为11%。

“只有两种类型的企业:那些知道他们已经受到攻击的,还有那些不知道自己被攻击的。”——著名计算机安全专家D.Alperovitch

现今,APT类攻击最为难以防御,也不易被提前察觉。据统计,国际上明确未曾遭遇APT类攻击的企业仅为11%。《中国互联网信息安全地下产业链调查报告》编撰者之一清华大学信息网络工程研究中心博士、副研究员诸葛建伟表示,目前国内地下黑色产业链里的刷库就是一种APT类的威胁,但在公开的地下黑市里与APT相关的信息比较难以区分,APT类攻击都比较隐蔽,所以更倾向于隐秘的单线联系,难于监控。另外,现在许多经受了安全产品“考验”的入侵技术,正在逐渐被应用到APT类攻击里。

“低调”的APT攻击

2012年最火的APT类攻击“火焰(Flame)” 利用了MD5的碰撞漏洞,伪造了合法的数字证书,冒充正规软件实现了欺骗攻击。据趋势科技硬件产品经理林义轩介绍,APT的攻击途径主要分为四种:

1、社交邮件、微博等;

2、针对系统漏洞的攻击,比如防火墙漏洞、服务器漏洞等;

3、通过移动设备进行的间接攻击;

4、另外则是通过相关人员的电脑进行破坏。

现在社交邮件是最为常见的攻击方式,利用系统漏洞比较难于实现。而Flame的攻击技术含金量很高,相信其攻击方法将很快被其他攻击者模仿利用。Flame里面创新的攻击途径,让攻击者看到了更加丰富的攻击方式,获得更多的“启发”。

APT类攻击具有“不让你看到”的特点,它会千方百计躲避各类安全监测。APT主要发起低频攻击,十分“低调”:APT具有高隐蔽性,低能见度的特性。而且APT类攻击很聪明,只会去偷高附加值的数据。

由细微处发现APT破绽

现在还没有针对APT的特效药,不过攻击者为了在受攻击目标内部建立更多的立足点,会不停发送各类社交工程邮件,不断进行欺骗攻击,而这就为TDA提供了提前发现攻击趋势的用武之地。APT攻击为了搜寻到具有价值的计算机,需要不停进行跳板式攻击,当其通过交换机时就很容易被TDA所发现。TDA是一个网络设备,所以可以对各类网络活动进行监测,当发现异常网络行为——对外扩散、回复通讯(肉鸡上线)——时就可以及时发现。

TDA面对APT类攻击,通过沙盒模拟分析系统,来检测是否存在恶意攻击。对于加密包,TDA会先将加密包截留下来特别予以监测,当其发起攻击时就能当场捕获。

APT攻击的出现,需要面对大数据的安全分析问题。大数据,简单来说就是海量数据,而APT是低频攻击,所以要采用海底捞针的方式对大数据进行分析。这需要通过交叉分析的方式进行针对大数据的安全分析:通过对网络日志、服务器日志等进行关联性分析,从中发现潜藏的APT攻击。APT在进行感染行为时,主要采用恶意代码感染攻击方式。
 

责任编辑:蓝雨泪 来源: 赛迪网
相关推荐

2012-08-17 10:08:56

2013-04-18 22:37:18

2013-03-28 10:34:29

2014-02-18 09:24:34

2011-09-19 15:40:35

2014-02-28 15:31:13

2014-02-20 10:19:41

2014-02-25 09:29:41

2011-05-16 09:56:16

2013-04-25 11:04:42

2015-12-16 16:41:42

2013-07-27 15:04:48

2014-02-27 09:30:20

2014-02-25 09:38:22

2011-09-19 09:49:48

2011-09-06 14:58:19

2014-04-16 13:26:21

2013-07-27 20:19:14

点赞
收藏

51CTO技术栈公众号