高級可持續威脅(Advanced Persistent Threat,APT),也稱為“APT攻擊”,逐漸進入公眾的視野。研究者目前認為APT攻擊的概念是由美國空軍安全分析師于2006年提出的,是指由掌握豐富攻擊資源的、有組織的專業攻擊者發起的,針對經濟、政治和國家安全相關的重要目標,利用先進的攻擊技術和理念開展的隱蔽的和持續的攻擊過程。
APT攻擊有三個特點:
- 高級--是指攻擊者掌握先進的攻擊工具和技術,具備自主開發漏洞利用工具的能力。
- 持續--是指攻擊者會持續不斷的進行攻擊以達成最終攻擊目標。
- 威脅--是指攻擊是由掌握豐富資源的攻擊組織發起的,具有明確攻擊動機。
傳統的攻擊檢測方法很難檢測出APT攻擊,研究者針對這一問題進行了研究,提出了一系列APT攻擊檢測的模型、技術和方法,本系列文章將相關的內容進行匯總、分析和整理,為讀者提供參考。
Root9b是2011年成立的,總部位于美國科羅拉多州的網絡安全公司,主要業務是網絡安全產品、服務和培訓,該公司提出了“威脅獵殺”(HUNTing)的概念,并聲稱可以在攻擊者竊取信息之前發現攻擊活動。該公司引起了網絡安全領域的廣泛重視,曾經在Cybersecurity Ventures發布的《網絡安全創新500強》企業榜單中排名第一。
在Root9b開展的高級培訓班中,提出了Root9b攻擊模型,將網絡攻擊過程進行了分解,細化為踩點、掃描、枚舉、網絡結構圖、獲取訪問權、權限提升和溢出后控制等過程,具體過程如下圖所示。
踩點(Footprinting):是對目標進行分析、識別和發現的過程。通常使用開源工具,包括社會工程學、電子郵箱搜索、搜索引擎hack、traceroutes、ping, network lookup等。
掃描(Scanning):根據踩點獲取的信息對目標網絡進行更深入地探測,這一步驟一般包括端口掃描、操作系統識別等過程,以確定是否可以獲取目標系統的訪問權。
枚舉(Enumeration): 與目標系統的特定服務進行交互,以確定操作系統和應用軟件的版本等細節信息,枚舉技術一般包括搜索網絡共享、運行的應用程序版本、用戶賬戶、SNMP枚舉等。
網絡結構圖(Network MApping):此步驟根據所有可用的資源(如日志、掃描、枚舉結果等),創建目標網絡的可視化結構圖,此結構圖是從攻擊者角度出發,與系統管理員角度看到的可能不一樣,根據網絡結構圖制定進一步攻擊計劃。此步驟不是必須的。
獲取訪問權(Gaining Access):此步驟就是指通過漏洞利用過程獲取系統訪問權。利用客戶端應用程序漏洞利用、內部人員滲透、遠程漏洞利用和供應鏈攻擊等方式獲取目標系統和網絡的訪問權,也可以通過魚叉式釣魚攻擊、緩沖區溢出、嵌入式設備溢出、證書偽裝攻擊等方式達到目的。
權限提升(Privilege Escalation): 如果使用的漏洞利用工具獲取的系統訪問權不能滿足攻擊要求,攻擊者就需要權限提升以獲取更高的權限,在許多情況下都需要進行這個過程。通常,可以通過本地漏洞利用機獲取root權限或者系統權限,這是最高的用戶權限。
溢出后的控制(Post Exploitation): 這一步實際上是有許多步組成,取決于具體的任務目標。這一步可能包含以下任何步驟的全部或部分的組合:
目標調查或遠程取證分析
消除痕跡
數據收集
后門和木馬、Rootkit
計算機網絡攻擊 6D
破壞 Disrupt
拒絕 Deny
降級 Degrade
欺騙 Deceive
銷毀 Destroy
延遲 Delay
目標調查或遠程取證分析(Target Survey & Remote Forensics Analysis):這一步對目標系統進行分析,以確定其安全機制、文件存儲位置或用戶權限,這有助于獲取目標控制權并避免被發現。
消除痕跡(Cover Tracks & cleanup): 此步驟是消除漏洞利用或訪問過程遺留的可以用于取證的殘留數據。此步驟是攻擊者保持隱蔽性的最重要的步驟之一,也通常是系統管理員發現攻擊最重要的機會。
數據收集(Data Collection): 攻擊者總會在網絡中采取一些行動,這些行動不單純為了展示攻擊能力,而是為了獲取盡可能多的東西,如敏感數據,網絡流量分析是這一步的重要手段。
后門和木馬、Rootkit(Backdoor, Implant, Persistence): 此步驟需要安裝一個應用程序,通過內核鉤子或者其他機制部署,以保持攻擊者對目標系統或網絡的持續訪問權。如果植入的遠程控制工具設計的好,攻擊者可以對目標網絡進行長期的隱秘控制。
計算機網絡攻擊(Computer Network Attack): 這一步攻擊者已將目標網絡確定為可能的攻擊目標,并有計劃的對其發動攻擊。這種攻擊可能是遠程的,也可能是本地的,可能通過已經獲取的訪問權或者沒有取得訪問權,攻擊者通常會識別核心和重要的網絡進程,并在目標網絡中執行破壞、拒絕服務、降級、摧毀或欺騙等活動,這些活動簡稱6D。
