APT(高級持續(xù)威脅)攻擊過去被認(rèn)為是大型企業(yè)和政府機(jī)構(gòu)才需要擔(dān)憂的威脅,但是近年來隨著高級黑客技術(shù)工具和人工智能技術(shù)的“民主化”,針對中小型企業(yè)的APT攻擊數(shù)量正快速增長。由于中小企業(yè)(以及醫(yī)療、教育等行業(yè)組織)的安全防御能力較弱,APT攻擊往往會(huì)產(chǎn)生“降維打擊”的效果。
APT攻擊的“下沉”趨勢意味著各行各業(yè)不同規(guī)模的企業(yè)都需要對APT攻擊中使用的策略、技術(shù)和程序(TTP)有所了解,并制訂有針對性的安全策略。
企業(yè)安全主管們對APT組織的常規(guī)TTP(例如魚叉式網(wǎng)絡(luò)釣魚、憑證盜竊、LOL和數(shù)據(jù)泄露)都已耳熟能詳,但對一些非常規(guī)的APT攻擊手段則往往準(zhǔn)備不足,以下我們列舉了近年來APT組織經(jīng)常使用的十種非常規(guī)TTP:
一、水坑攻擊:水坑攻擊通常會(huì)首先入侵目標(biāo)組織的員工或個(gè)人經(jīng)常訪問的網(wǎng)站,然后將惡意代碼注入這些合法網(wǎng)站,讓訪問者在不知不覺中下載惡意軟件。利用水坑攻擊,APT組織可以通過用戶系統(tǒng)訪問目標(biāo)組織,而無需直接攻擊目標(biāo)組織。2013年,美國勞工部網(wǎng)站遭受了一次著名的水坑攻擊,該網(wǎng)站被注入惡意代碼以感染訪問者的系統(tǒng),攻擊者的目標(biāo)是政府雇員和承包商。
二、跳島攻擊:在跳島攻擊中,APT組織不僅攻擊受害組織,還針對其供應(yīng)鏈內(nèi)的其他組織、合作伙伴或附屬機(jī)構(gòu)。通過首先入侵安全性較低的第三方公司,APT組織可迂回攻擊目標(biāo)組織,并可繞過目標(biāo)系統(tǒng)的檢測。APT組織CozyBear于2016年以美國民主黨全國委員會(huì)為目標(biāo),隨后使用跳島技術(shù)入侵其他美國政府機(jī)構(gòu)。
三、無文件惡意軟件:無文件惡意軟件駐留在系統(tǒng)內(nèi)存中,在硬盤驅(qū)動(dòng)器上幾乎不留下任何痕跡。無文件惡意軟件主要利用合法的流程和工具來執(zhí)行惡意活動(dòng),這使得傳統(tǒng)安全解決方案難以檢測。無文件惡意軟件可以通過惡意腳本(例如宏和PowerShell命令)、惡意注冊表項(xiàng)、LOLBins、LOLScripts、WMI/WSH和反射DDL注入等來傳播。APT32(OceanLotus、海蓮花)使用無文件惡意軟件入侵東南亞多個(gè)組織,包括政府機(jī)構(gòu)和私營公司,同時(shí)逃避檢測和歸因。
四、硬件攻擊:APT可能會(huì)使用基于硬件的攻擊,例如篡改固件、硬件植入或操縱外圍設(shè)備,以獲得持久駐留并逃避傳統(tǒng)的安全措施。如果沒有專門的工具和專業(yè)知識,此類攻擊很難檢測和消除。一個(gè)值得注意的案例是方程式黑客組織用于重新編程硬盤固件的惡意軟件。
五、零日攻擊:APT可能會(huì)實(shí)施零日攻擊來利用軟件或硬件中以前未知的漏洞。零日攻擊非常有效且殺傷力巨大,因?yàn)闆]有可用的補(bǔ)丁或防御措施。著名的震網(wǎng)攻擊使用的Stu.NET就是一種復(fù)雜且有針對性的蠕蟲病毒,它利用工業(yè)控制系統(tǒng)中的多個(gè)零日漏洞,非常有效且難以檢測。
六、內(nèi)存攻擊:內(nèi)存攻擊利用軟件中的漏洞來訪問計(jì)算機(jī)內(nèi)存中存儲(chǔ)的敏感數(shù)據(jù)。這些攻擊可以繞過針對基于文件的威脅的傳統(tǒng)安全措施。APT32以使用無文件惡意軟件和“靠地生存”(LOL)技術(shù)在計(jì)算機(jī)內(nèi)存中秘密運(yùn)行并規(guī)避傳統(tǒng)安全措施而聞名。
七、DNS隧道:APT組織也會(huì)使用DNS隧道從受害者網(wǎng)絡(luò)中竊取數(shù)據(jù)。此技術(shù)涉及對DNS請求或響應(yīng)中的數(shù)據(jù)進(jìn)行編碼,從而允許攻擊者繞過不完善的DNS流量外圍安全措施。CosyBear使用DNS隧道與其命令和控制服務(wù)器進(jìn)行通信,并以隱秘的方式竊取目標(biāo)組織的敏感信息。
八、先進(jìn)的反取證技術(shù):APT組織會(huì)投入大量精力來掩蓋其蹤跡并消除攻擊證據(jù)。他們可能采用先進(jìn)的反取證技術(shù)來刪除日志、操縱時(shí)間戳或加密數(shù)據(jù)以阻礙調(diào)查和響應(yīng)工作。方程式組織實(shí)施的一次震驚業(yè)界的高級反取證技術(shù)攻擊涉及使用名為“DoubleFantasy”的Rootkit來隱藏并長期駐留在受感染系統(tǒng)中,這使得分析人員檢測和分析其活動(dòng)變得極具挑戰(zhàn)性。
九、多平臺或自定義惡意軟件:APT組織會(huì)采用能夠針對windows和macOS系統(tǒng)的惡意軟件,以最大限度地?cái)U(kuò)大其影響范圍。他們還會(huì)部署定制的惡意軟件,例如Scanbox偵察框架來收集情報(bào)。APT1(也稱為CommentCrew)就是一個(gè)例子,它利用定制惡意軟件滲透并竊取全球各個(gè)組織的敏感數(shù)據(jù)。
十、密碼噴射:密碼噴射攻擊指用常見密碼來“碰撞”多個(gè)賬戶,試圖獲取初始訪問權(quán)限。APT33(Elfin)以中東和全球的組織為目標(biāo),使用密碼噴射攻擊來入侵電子郵件帳戶并為進(jìn)一步的網(wǎng)絡(luò)間諜活動(dòng)獲得立足點(diǎn)。
企業(yè)防御APT攻擊的四大措施:
縱深防御策略:全面的縱深防御策略對于打擊APT攻擊至關(guān)重要。這包括實(shí)施多層安全控制,例如強(qiáng)大的周邊防御、網(wǎng)絡(luò)分段、端點(diǎn)保護(hù)、入侵檢測系統(tǒng)、數(shù)據(jù)加密、訪問控制和持續(xù)監(jiān)控異常情況。
威脅情報(bào)和共享:企業(yè)應(yīng)積極參與威脅情報(bào)共享社區(qū),并與行業(yè)同行、政府機(jī)構(gòu)和安全供應(yīng)商合作。共享有關(guān)APT組織及其技術(shù)的信息,這可以幫助更有效地檢測和緩解攻擊。
員工教育和安全意識培訓(xùn):定期的安全意識培訓(xùn)計(jì)劃、網(wǎng)絡(luò)釣魚模擬和培訓(xùn)課程可以讓員工了解最新的威脅、社會(huì)工程技術(shù)和安全計(jì)算實(shí)踐。
事件響應(yīng)和恢復(fù):盡管采取了預(yù)防措施,企業(yè)仍應(yīng)制定明確的APT攻擊事件響應(yīng)計(jì)劃。這包括事件檢測、遏制、根除和恢復(fù)程序,以最大限度地減少APT攻擊的影響并盡快恢復(fù)正常運(yùn)行。
