全球服务器安全、虚拟化及云计算安全领导厂商趋势科技在对2012年APT攻击的海量信息进行分析之后发现,APT攻击在去年的攻击范围不断扩大、隐蔽性也有所增强。预计在2013年,这些趋势将进一步反映在APT攻击的特征中,不但攻击的破坏力会越来越大,对攻击的判断也将越来越困难。
趋势科技(中国区)产品经理蒋世琪表示:“APT的攻击手法在于隐匿自己,针对特定对象,长期、有组织、有计划的窃取数据,这种发生在数字空间偷窃资料、搜集情报的行为类似于‘网络间谍’。正是由于APT的隐蔽性,把握其中的攻击规律就变得尤为重要。趋势科技将总结回顾2012年APT 特点,并对其预测了2013年攻击特征进行预测,帮助用户判断APT攻击的趋势与脉络,希望给企业用户防护APT攻击提供更多有价值的建议。“
趋势科技观察到,APT攻击在去年非常活跃,并频繁发生黑客利用复杂精准的方式对特定对象发动高级持续性威胁的事件。在这些事件中,2012年APT攻击主要呈现出以下五种特征:
一、APT攻击目标和范围不断扩展
在2012年,在世界各地出现了各式各样的攻击,针对俄罗斯、韩国、越南、印度和日本等地区的攻击活动相当活跃,特别是黑客在中东地区开展的Shamoon和Mahdi攻击活动,造成巨大危害。除了这些地理位置上的不断扩张之外,我们还看到了针对技术的扩展。为了对目标进行更有效的破坏,APT攻击在工具上不断精进,而且在攻击范围上也不断扩展。在2012年,趋势科技已经监测到多个以Mac平台为攻击目标的木马,而将智能卡作为攻击目标的行为也日益增多。
二、APT攻击隐蔽性日渐提升
APT攻击为了躲避安全防护软件的查杀,往往会让自身的隐蔽性更强。例如2012年,微软发现一个旧恶意软件组件会在NDIS(网络驱动程序界面规范)层建立一个隐蔽的后门,让监测变得更加困难。除了隐身在网络层,APT攻击程序也常使用增加数字签名、使用DLL搜寻路径劫持等技术,大大增加了监测的难度。
APT攻击不仅仅指恶意软件,还指配套的攻击方式与部署模式。为了确保软件隐藏在用户的系统中,其常常会存取、使用正常应用程序(例如VPN),确保自己持久不会发现。
三、新社交工程陷阱出现
鱼叉式网络钓鱼邮件仍然是APT攻击用来散播恶意软件的主要机制,但不是唯一的攻击路径。在2012年,一个值得关注的新社交工程陷阱利用安全厂商对恶意软件的分析作为诱饵,来传播恶意软件。此外,在2012年新发现的一种新入侵模式中,攻击者利用了Java和Flash的漏洞攻击码。而RSA公司此前的安全报告中所提到的VOHO攻击活动,也使用了相同的技术。
四、“超限”武器交易走向“前台”
“超限”武器交易是指贩卖漏洞攻击码及搭配的恶意软件,这本来是个隐秘的话题,却在2012年成为公开的祕密。美国公民自由联盟的Christopher Soghoian在VB2012大会上以此为主题进行了演讲,在演讲中他提到,“超限”武器交易出现“泛化”的趋势,其不但涉及买卖漏洞和攻击码,还涉及恶意软件的交易。
五、以破坏信息为目的的攻击增多
虽然APT攻击通常是为了窃取信息,但是其有时也会被用作从事破坏性行为。趋势科技监测发现,在2012年中,有多起APT攻击侵入了目标系统,并销毁了部分资料。而这种形式的目标攻击在今后将可能继续增多。
蒋世琪谈到:“APT攻击是一个在时间上具备连续性的行为,其在2012年表现出来的特征会反映在我们对于2013年的预测中。基于这种判断,趋势科技认为,在2013年,APT攻击将会变得越来越复杂,这并不仅仅表示攻击技术越来越强大,也意味着部署攻击的方式越来越灵活。以后,这类攻击将会具备更大的破坏能力,使得我们更难进行属性分析。”
具体来说,2013年APT攻击可能表现出以下三个趋势:
第一、攻击将会更有针对性:越来越多的APT攻击将会针对特定的地区、特定的用户群体进行攻击。在此类攻击中,除非目标在语言设定、网段等条件上符合一定的标准,否则恶意软件不会运行。因此,在2013年我们将会看到越来越多的本地化攻击。
第二、APT攻击将更有破坏性:在2013年,APT攻击将带有更多的破坏性质,无论这是它的主要目的,或是作为清理攻击者总计的手段,都很有可能成为时间性攻击的一部分,被运用在明确的目标上。
第三、对攻击的判断将越来越困难:在APT攻击防范中,我们通常用简单的技术指标来判断攻击的动机和地理位置。但是到了2013年,我们将需要综合社会、政治、经济、技术等多重指标进行判断,以充分评估和分析目标攻击。但是,多重指标很容易导致判断出现失误,而且,攻击者还可能利用伪造技术指标来将怀疑对象转嫁到别人身上,大大提升了判断的难度。