APT攻击背后的秘密:攻击后期的数据渗出

安全 黑客攻防
本文我们将探讨APT攻击后期的数据渗出。在这个阶段,也是APT攻击的最后阶段,如果APT攻击活动还没有被阻止,那么数据很可能即将被泄漏出去。

在之前的文章中(APT攻击背后的秘密:攻击性质及特征分析;攻击前的"敌情"侦察;攻击时的武器与手段;攻击时的漏洞利用;攻击时的命令和控制),我们已经了解了APT攻击的特征、"敌情"侦察、攻击的武器和手段、漏洞利用以及攻击时的命令和控制。本文我们将探讨APT攻击后期的数据渗出。在这个阶段,也是APT攻击的最后阶段,如果APT攻击活动还没有被阻止,那么数据很可能即将被泄漏出去。

APT攻击背后的秘密:攻击后期的数据渗出

数据渗出是APT攻击的最后一步,如果攻击者完成这一步,你企业将面临巨大损失。在目标数据被确定后,这些数据将被复制并通过C2通道移出网络,或者可能被复制到网络中的另一区域,然后再被移出。从这一点来看,企业应该容易发现被动攻击和有针对性攻击。

正如前面提到的,被动攻击动静很大,分层防御措施很容易发现这种攻击。另一方面,有针对性攻击完全相反。

有针对性攻击活动背后的攻击者会尽可能保持低调,所以不可能出现大规模数据转储。在有针对性攻击中,我们会看到数据伪装成正常流量通过C2通道离开网络。

在前面C2文章中,我们谈到了机会攻击通常会利用有着不良声誉的通信信道。对于每个感染的主机,攻击者会使用了相同的容易识别的通道。

这种机会攻击会将数据渗出到其他国家的数据中心的服务器,当地法律可能没有禁止这种数据使用。在这些情况下,你不要指望ISP提供帮助。所以,如果你不阻止数据离开网络,即使你发现数据的渗出,这种信息从法律上看也没多大用处。

有针对性攻击会攻击合法服务器来存储数据。在很多情况下,受感染的服务器管理员可能不知道他们正在托管不属于自己的数据,而当他们意识到有什么不对劲时,攻击者已经早已离去。

在渗出阶段,最好的防御措施就是感知。你需要知道哪些数据进出你的网络,监控出站流量和入站流量都很重要。

DLP解决方案也可以用于应对渗出阶段。如果配置得到,DLP产品可以帮助监控网络流量,并控制流量。它们能够发现未经授权的加密,被动和有针对性攻击会利用加密来隐藏通信。还能够发现异常流量模式。

另外,监控用户账户活动也可以作为防御措施,有些合法账户可能出现异常活动。

在C2阶段使用的防御措施同样可用于渗出阶段,包括根据IP地址、IPS和IDS系统(可以调整为监控所有阶段的活动)以及应用防火墙规则(控制哪些程序允许发送流量到外部)阻止访问。这些规则还可以应用到工作站或网段。

假设你捕捉到渗出过程,日志记录将成为事件响应的关键资源,因为日志能够确定发生了什么、如何发生等。通常情况下,在被动或有针对性攻击中,确定攻击者是很重要的,但实际上这是不可能的,这个问题我们主要是靠猜测而不是事实。

无论采用何种防御措施,最好的办法是在事故发生前阻止事故。这正是澳大利亚信号理事会(ASD)的主要工作,其网络不断有攻击者试图访问敏感信息。ASD采用了四种防御措施,并指定它们作为其网络的强制性要求。这四个强制性措施包括:

1. 应用程序白名单

2. 第三方软件补丁管理

3. 操作系统补丁管理

4. 权限管理(限制使用域或本地管理员权限的用户数量)

在本系列文章的开始,我们探讨了有针对性攻击和被动攻击的目的的区别,以及这些攻击者的总体目标。工具、战略和程序并不重要。你的企业更有可能成为机会攻击的受害者,而不是受民族国际资助的有针对性攻击的受害者。

应对这两种攻击的最好办法就是分层防御。感知和可视性是快速反应以及减少损失的关键。虽然持续性攻击活动最终会成功,但我们可以提高攻击者的难度,以及减少损失。关键是要权衡风险,制定符合企业需求的安全计划,不要恐惧APT。

责任编辑:蓝雨泪 来源: IT168
相关推荐

2014-02-25 09:29:41

2014-02-20 10:19:41

2014-02-19 09:15:10

2014-02-27 09:30:20

2014-02-25 09:38:22

2014-04-16 13:26:21

2012-08-14 10:27:51

2011-09-19 15:40:35

2011-05-16 09:56:16

2011-09-19 09:49:48

2011-09-06 14:58:19

2013-07-27 20:19:14

2013-07-27 20:14:20

2011-08-30 09:39:10

2022-05-10 11:51:42

APT组织网络攻击

2014-06-23 10:12:15

2013-07-27 22:35:03

2013-09-29 09:49:14

2015-09-25 15:58:24

2019-04-09 14:48:03

APT脚本攻击无文件
点赞
收藏

51CTO技术栈公众号