在之前的文章中(APT攻击背后的秘密:攻击性质及特征分析;攻击前的"敌情"侦察;攻击时的武器与手段;攻击时的漏洞利用),我们已经了解了APT攻击的特征、"敌情"侦察、攻击的武器和手段以及APT攻击的漏洞利用。本文我们将探讨APT攻击中的命令和控制,在这个阶段,攻击者已经侵入了你的网络,并将开始进行最后的攻击活动,这个阶段通常被称为C2。
攻击者已经完成了侦察、武器化和传送以及漏洞利用和安装阶段,现在的问题是,你是直接攻击目标还是为攻击者提供攻击机会?这个问题的答案将决定你如何应对C2阶段。
正如前面提到的,被动攻击(即你不是直接攻击目标)很被动。因此,当终端因为路过式下载攻击或恶意邮件附件被感染时,安装过程非常容易检测。但有时候路过式攻击会利用漏洞利用工具包,而这只需要很少的用户交付,也可能无法被检测。
前面的文章中也提到过,被动攻击活动主要取决于攻击量。当攻击者收集了身份验证和财务信息(一般攻击的主要目标)后,攻击者需要为每台感染主机建立一个C2通道。在这种情况下,没有变种和流量限制,只有对数千台感染主机的一个联系点。
C2阶段主要是关于通信,但要记住,C2阶段并不包括数据传输。C2阶段是建立通信通道,允许攻击者与外部沟通。
被动攻击是自动化的。自动化可以帮助攻击者实现攻击量,因为几乎不需要交互。然而,这种自动化意味着他们可能被发现。当企业内50个系统与相同未知主机通信,可能会被注意到。
有针对性的攻击则更具体,几乎没有自动化。攻击者将会发出命令,并使用特定的工具。有针对性攻击的所有活动都是有目的的,并会努力逃避侦察,尽量保持低调。
当你的企业沦为被动攻击受害者,攻击者使用的自动化工具无法逃避现有安全控制和缓解措施的检测,因为它们制造了太多动静。因此,企业应该尽快阻止这种攻击。
需要注意的是,被动攻击采用自动化方式是因为,这些攻击活动背后的操作者更侧重攻击量,而不是控制。如果他们的恶意软件或其他有效载荷被发现和阻止,这并没什么大不了,他们可以马上转移到其他受害者。
然而,如果企业沦为有针对性攻击的受害者,这意味着攻击者将会在企业内找到立足点,并会绕开安全控制或禁止安全控制来避免被发现。此外,攻击者还会试图建立后门程序到其他系统,创建更多切入点,以防其中一个切入点被发现。因此,在企业的事件响应计划中,一个很好的经验法则是,如果你看到一个后门程序,这意味着还潜伏着其他后门程序。
“坚实的”C2是指攻击者可以动态调整其程序,增加事件响应者手动检测的难度,甚至不可能。这也是数据泄漏事故很长时间才被发现的原因。
正如第三篇文章中所述,攻击者往往会回调以获取额外的工具,或使用有效载荷发出外部请求。这些感染指标能够清楚地揭示C2活动,因为与正常网络流量相比,这些有些异常。
因此,企业应该对比DNS请求和已知恶意服务器列表,或者过滤有着不良声誉的IP地址,以应对这种类型的流量。在漏洞利用和安装阶段后,C2阶段是攻击者少数制造动静的时期。然而,当这些流量被自动化检测标记时,则表明是被动攻击。
这样想,如果攻击活动背后的操作者在使用C2通道或者从已知恶意来源下载有效载荷,你的企业可能是攻击者的目标之一。在另一方面,有针对性攻击活动背后的操作者会谨慎避免被检测。他们会将C2流量隐藏在正常通信通道内。
在C2建立后,攻击者就成功了一半。一般被动攻击是自动化的,动静很大,并且会立即发动攻击,而有针对性攻击则会潜伏数天、数周甚至数月。因此,在C2阶段,流量监控是关键防御措施。如果能够结合前面提到的防御措施,你就建立了一个强有力的分层保护。
只要正确配置和维护(包括定期更新),IPS和IDS系统可作为第一层防御。然后,企业需要ACL规则来通过防火墙限制入站和出站连接。然而,还需要限制防火墙规则中例外的数量,并且需要对这些例外进行密切检测,或者在不需要时撤销。在有针对性攻击期间,你的安全规则和政策可能被用来针对你,特别是当它们过时或不受监管时。
最后,企业应该监控网络上流量的移动情况,更重要的是,监控移动到外部的流量。同时,关注红色标记的事件,例如修改HTTP表头,以及到未知IP地址或域名的连接。加密流量是被动攻击和有针对性攻击活动使用的常用技巧,在这种情况下,C2可能更难被发现,但也不是没有可能。你可以查找自签名证书和未经批准或非标准加密使用。