腾讯安全《2018年高级持续性威胁研究报告》发布 揭秘四大主流攻击技术

腾讯安全《2018年高级持续性威胁研究报告》发布 揭秘四大主流攻击技术

中国日报网

发布时间:01-0814:08

网络安全圈内流传着这样一句话:世界上只有两种大型企业,一种是知道已经被黑客入侵的企业,另一种则是被入侵却浑然不知的企业。尽管不少人认为,这样的言论未免言过其实,但不可否认的是,以高级可持续性攻击活动(下称“APT攻击”)为代表的高级新型攻击,正在冲击着企业安全防线,作恶团伙暗中潜伏,伺机发起攻击窃取机密数据、破坏生产系统。整个2018年全球范围内的APT攻击逐渐呈现高发态势。

在此背景下,腾讯安全近日正式对外发布《2018年高级持续性威胁研究报告》(以下简称《报告》),针对全球各大安全团队的安全研究报告进行研究,并提取了相关的指标进行持续的分析和跟踪工作,全面剖析全球范围内APT组织分布及攻击技术,同时还对四大攻击技术趋势进行预测,对网络信息安全行业发展具有参考意义。

APT全球攻击事件频发 中国成跨国APT组织重点攻击目标

APT攻击的本质是针对性攻击,常用于国家间的网络攻击,主要通过向目标计算机投放特种木马(俗称“特马”),以此窃取国家机密信息和重要企业的核心商业信息、破坏网络基础设施等,具有相当强烈的政治、经济目的。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,属于“网络间谍”行为。近年来,APT攻击对企业业务的正常运转构成了不小的威胁,并最终殃及普通网民。如2018年12月某APT组织对驱动人生公司发动的定向攻击,挟持其升级通道大规模安装和传播云控木马,进而在受感染机器上挖矿牟利。

《报告》显示,在2018年全年,全球共计35个安全机构发布了206篇APT相关的研究报告,涉及高达58个APT组织。从被攻击地区分布来看,东亚和东南亚都遥遥领先于世界其他地区。而欧洲和北美则保持精英化的状态,虽然攻击组织不多,但是都是实力雄厚的攻击组织。

(图:全球被攻击地区分布)

随着中国在全球化进程中影响力的不断提升,政府、企业及民间机构与世界各国联系的更加密切,我国已逐渐成为跨国APT组织的重点攻击目标,也是实际遭受攻击最严重的国家之一。整个2018年,腾讯安全监测到针对国内目标发动的境内外APT组织至少有7个,且均处于高度活跃状态。海莲花、黑店、白象、蔓灵花、蓝宝菇等APT组织长期针对中国敏感机构和行业发动攻击。从行业分布来看,政府、能源、军工等基础设施是重要的攻击目标。地域分布上,辽宁、北京和广东是国内受APT攻击最多的地区。

(图:国内被攻击地域分布)

目前,针对国内发动的APT攻击活动日益增多,给国家有关部门、企业机构以及各大高校带来了较为严峻的挑战。对此,《报告》提醒各大机关、企业以及个人用户,及时修补系统补丁和重要软件的补丁,全面提升网络安全意识,不要打开来历不明的邮件附件内容,同时不要轻易启用Office的宏代码功能。

APT攻击技术全面升级 四大攻击手段将成未来发展趋势

在2018过去一年发生的APT攻击事件中,不断出现新的攻击模式和技术的组合,给当前的信息安全环境带来了越来越多的挑战。

《报告》指出,鱼叉攻击、水坑攻击以及远程可执行漏洞和密码爆破攻击三大攻击手段依然是APT攻击的最主要方式。鱼叉攻击使用鱼叉结合社工类的方式,投递带有恶意文件的附件,诱使被攻击者打开。从曝光的APT攻击活动看,2018年使用鱼叉攻击的APT活动比例超过95%;同时APT组织还会在目标用户必经之地设置“水坑”进行“守株待兔”。其中,海莲花、socketplayer等组织均使用过该攻击方式。除了鱼叉和水坑攻击,利用远程可执行漏洞和服务器口令爆破进行攻击,也成为了一种可选的攻击方式。

(图:水坑攻击示例文件)

不仅如此,APT攻击者还开始采取更为高端的攻击技巧,对普通网络黑产从业者起到教科书般的“指导示范”作用。《报告》预测,Fileless攻击(无文件攻击)、将通信的C&C服务器存放在公开的社交网站上、使用公开或者开源工具、多平台攻击和跨平台攻击将成未来APT攻击技术的主要发展趋势。

(图:Fileless攻击示例文件)

以Fileless攻击为例,随着各安全厂商对PE文件的检测和防御能力不断增强,APT攻击者越来越多地开始使用无PE文件落地的攻击方式进行攻击。目前海莲花、MuddyWater等攻击组织都擅长使用该方式进行攻击。

除了PC端和移动端,路由器平台也成为了APT组织的攻击对象,如VPNFilter目前已攻击了10多个国家的至少50万台路由器设备。

安全挑战升级 技术创新驱动网络安全行业发展

纵观时下网络安全环境,越来越多的政府机构和全球化企业在安全控管上投入了巨大的人力和物力,但APT组织仍能渗透进而得逞。如何应对不断呈现出以跨国界、跨领域、攻击手法升级为主要特征的APT攻击无疑成为亟待解决的问题。

目前来看,传统的“单兵作战”防御方式势必无法与APT组织抗衡。为此,腾讯安全推出御界高级威胁检测体系,这是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云端的海量数据,研发出的独特威胁情报和恶意检测模型系统。在终端防御方面,腾讯安全推出的御点终端安全管理系统,将百亿量级云查杀病毒库、引擎库以及腾讯TAV杀毒引擎、系统修复引擎应用到企业内部,可有效防御企业内网终端的病毒木马攻击。

(图:腾讯御界高级威胁检测体系)

综合整个《报告》不难看出,APT攻击已呈愈演愈烈之势,但以腾讯安全为代表的安全研究团队正通过一系列的产品和技术,对抗APT攻击等高科技违法犯罪行为,随时应对各种不同程度的网络风险和攻击,持续为政府、企业等组织以及广大网友的信息安全保驾护航。

来源:东北新闻网

转载请注明:《腾讯安全《2018年高级持续性威胁研究报告》发布 揭秘四大主流攻击技术

1 人吐嘈

  1. talkasme 文章作者回复

    高级持续性威胁(APT)攻击篇
    张佬叁 人文学家 ​关注他

    一、什么是APT攻击

    APT(Advanced Persistent Threat)即高级持续性威胁,是一种周期较长、隐蔽性极强的攻击模式。

    搜集的主要目标有:业务流程、系统运行状况等。

    目的是:窃取商业机密,破环竞争甚至是国家间的网络战争。

    过程如下:

    1、确定攻击目标
    2、试图入侵目标所在的系统环境(如发送钓鱼邮件)
    3、搜集目标相关信息
    4、利用入侵的系统来访问目标网络
    5、部署实现目标攻击所需的特定工具
    6、隐藏攻击痕迹

    1.1 APT攻击危害

    主要体现两方面

    1、ATP攻击通常窃取目标的敏感信息和机密信息,攻击的隐蔽性好,一旦APT攻击病毒被发现时其目标往往已经被成功入侵

    2、APT攻击的目标影响巨大,APT的攻击发起者都是政府组织或大型企业,攻击的对象也是同类对象,主要针对国家重要基础设施和组织进行,例如:能源、电力、金融、国防等管辖到国计民生或国家核心利益的网络基础设施或相关领域的大型企业。

    1.2 APT常用攻击手段

    APT并不聚焦攻击手法,更像是一个网络攻击的活动,它不是单一类型的威胁,而是一种威胁的过程。常见的攻击手段有如下几种

    1、水坑攻击

    从字面上理解,就是给你从必经的路途中挖坑,等着你踩下去,通常以攻击低安全性的目标来接触高安全的目标,攻击者会在攻击前收集大量的目标信息,分析其网络活动的规律,寻找其经常访问的网站弱点,并事先攻击该网站来等待目标访问。由于目标使用的系统环境多样、漏洞较多(如Flash、JRE、IE等),使水坑攻击较易的手,且水坑攻击的隐蔽性好,所以经常被使用。

    具体流程如下图:

    2、网络钓鱼和鱼叉式网络钓鱼(Phishing and Spear Phishing)

    钓鱼式攻击是指攻击者企图通过网络通信,伪装成一些知名的社交网络等来获取用户的敏感信息。在攻击过程中,攻击者为了入侵目标所在的系统,可能会对目标系统的员工进行钓鱼攻击,引导用户到URL和页面布局与源头网站看起来几乎一样的钓鱼网站,欺骗用户输入敏感信息,达到信息窃取的目的。

    具体流程如下图:

    鱼叉式网络钓鱼则是指针对特定对象的钓鱼式攻击,通常是锁定一个目标,一般的目的是获取用户的用户名和登录口令等敏感信息,但这仅仅是第一步,随后将想方设法的实施规模更大、层次更深的攻击。因而,鱼叉式网络攻击更是常常被应用于APT攻击中。

    3、零日漏洞(Zero-day Exploit)

    零日漏洞指还没有补丁的安全漏洞,攻击者进入目标网络后,可轻易利用零日漏洞对目标进行攻击,轻松获得敏感数据,所以APT前期会搜集目标的各种信息,包括使用的软件环境,就是便于更加聚焦的寻找零日漏洞,绕过系统部署的各种安全防护体系发动有效的破坏行攻击。

    4、社会工程学攻击

    社会工程学通常是利用人性的弱点,随着人类生活和网络空间变得越来越交融,再加之人性的弱点无法避免,社会工程学攻击的危害也将越来越大。

    1.3 APT案例

    1、超级工程病毒(Stuxent)

    基本流程如下

    (1)感染工控系统外部主机
    (2)通过感染可移动存储设备对工控系统内部网络实现“摆渡”攻击,利用快捷方式文件解析漏洞(MS10-046),将病毒传播到内部网络。

    (3)在内部网络中,通过快捷方式解析漏洞、RPC远程执行漏洞(MS08-067)、打印机后台程序服务漏洞(MS10-061),实现联网主机之间的传播。

    (4)最终传播到安装WinCC系统的主机,实施进一步攻击。

    2、极光行动(Operation Aurora)

    (1)信息搜集阶段:选定员工,尽可能搜集其网络行为

    (2)钓鱼攻击阶段:攻击者利用一个动态DNS供应商建立了一个托管伪造照片的恶意网站,目标员工通过社工邮件单机链接,进入该恶意网站,页面载入包括Shellocode的JavaScript代码,造成IE浏览器溢出,进而执行FTP下载程序,以及执行其他远程服务器下载程序。

    (3)持续威胁阶段:攻击者通过SSL协议与目标主机建立安全连接,持续监听并最终获得了目标雇员访问服务器的账号密码等关键信息。

    (4)渗透攻击阶段:攻击者使用目标员工的凭证,成功进入邮件服务器,进一步攻击并不断获取特定账户的邮件内容信息。

    1.4 总结

    (1)什么是APT攻击和基本攻击流程

    APT攻击以获取大型组织的机密信息,为目的的长时间存在的攻击类型。

    (2)APT攻击的常用手段

    水坑攻击,鱼叉式钓鱼攻击、零日攻击、社会工程攻击。

    (3)案例解析

    病毒工程(Stuxent)、极光行动(Operation Aurora)

    发布于 2019-12-11
    「真诚赞赏,手留余香」

发表评论

电子邮件地址不会被公开。 必填项已用*标注