APT攻击趋势分析和防御建议
来源:用户上传
作者:曹顺超 王翔宇 唐刚
关键词:APT;高级持续性威胁;Oday;供应链攻击;监测和防御
1APT攻击概述
1.1APT攻击特点
APT一词最早是在2006年由美国空军分析师针对未知入侵活动提出。近年来,随着全球通信及互联网技术的快速发展,社会生产、生活方式发生巨大变化,窃取机密情报、破坏基础设施的各类APT攻击事件频发,对全球经济和国家安全造成严重影响,APT攻击已经成为网络空间最严重的安全威胁之一。
美国国家标准与技术研究院(National Institute ofStandards and Technology,NIST)对APT的定义为攻击者掌握复杂的专业知识和重要资源,通过多种攻击途径(如网络、物理设施和欺骗等),在目标组织的信息技术基础设施上建立和扩展立足点,以窃取机密信息,破坏或阻碍任务、程序或组织的关键系统,或者驻留在组织的内部网络,进行后续攻击。
APT攻击具有攻击者组织严密、针对性强、技术高超、隐蔽性强、持续时间长等特点。
(1)组织严密:APT攻击一般具有军事、政治或经济上的目的,攻击者团队作战,分工明确,具有严密的组织。
(2)针对性强:APT攻击的目标明确,攻击者一般只针对特定的目标机构、目标网络和目标信息资产开展攻击。
(3)技术高超:APT组织在人才、资金方面拥有丰富的资源,在漏洞挖掘、恶意代码编写、渗透测试等方面拥有高超的技术能力。
(4)隐蔽性强:APT攻击者具有极高的隐蔽能力,在整个攻击过程中会想方设法绕过目标单位安全设备的检查,在系统中并无明显异常。
(5)持续时间长:APT攻击持续时间较L,在数据外泄阶段会在目标网络中进行长期潜伏,时间可达数月甚至数年。
1.2APT生命周期
参考网络攻击杀伤链(Cyber-Kill-Chain)模型和ATT&CK(Adversarial Tactics, Techniques and CommonKnowledge)模型,APT的生命周期可分为情报侦察、前期渗透、入侵实施、数据窃取、隐蔽通道5个阶段,每个阶段环环相扣,具体如图1所示。
第1阶段,情报侦察。本阶段攻击者通过主机扫描、端口扫描、漏洞扫描、钓鱼等手段收集攻击目标的开放端口、潜在漏洞等情报信息,并利用这些情报信息制定入侵方案,如开发攻击工具,绕过安全措施,确定攻击时间等。
第2阶段,前期渗透。本阶段攻击者利用Oday攻击、SQL注入攻击、设计缺陷攻击、VoIP攻击、鱼叉式钓鱼攻击等方式,实施渗透并获得对端点设备的有限访问权限。被攻击的端点设备可以进一步提升特权,也可用作通信雷达和信息收集设备。
第3阶段,入侵实施。本阶段攻击者将对上一阶段控制的端点设备实施进一步渗透攻击,以实现权限提升及横向渗透。通过扩展访问权限寻找有价值的数据,利用系统的内部漏洞增强隐蔽性[1]。
第4阶段,数据窃取。本阶段攻击者将检索攻击目标电子邮件和备份服务器数据,破坏数据库,窃听或操纵VoIP对话。通过部署远程访问工具、密钥记录器或脚本工具等进行数据过滤,并采取各种反签名、反溯源手段避免触发警报。
第5阶段,隐蔽通道。攻击者通过建立无数的后门来创建隐蔽通道,使用反追踪技术废除或损坏证据。攻击者成功控制目标网络后,窃取机密情报,为后续进行欺诈交易、商务勒索提供筹码[2]。
2APT攻击事件和趋势分析
近年来,各类APT攻击频繁爆出,对社会的经济和稳定造成严重影响。著名的APT攻击有Google极光攻击、超级工厂病毒攻击(震网攻击)、SolarWinds供应链攻击、夜龙攻击、Nitro攻击、暗鼠攻击、RSASecurID窃取攻击、Lurid攻击等。其中,SolarWinds供应链攻击因其影响范围广、复杂程度高等特点,受到社会各界的高度关注[3]。
2020年12月,SolarWinds供应链攻击事件爆光,其大致攻击流程如下,首先APT组织通过前期渗透成功获取SolarWinds公司的网络访问权限,然后在其网管软件Orion的更新包中植入Sunburst后门,用户下载安装包含后门的Orion软件更新包后,将被植入木马,用于实施信息窃取或横向渗透。SolarWinds作为全球IT管理软件供应商,客户遍布全球多个国家和地区,本次事件约18 000个客户遭受攻击,被称为“史上最严重”的供应链攻击[4]。
随着世界经济和技术的发展,全球APT攻击的特点也不断发生变化。奇安信威胁情报中心发布的《全球高级持续性威胁(APT) 2021年度报告》指出,受新冠疫情影响,2021年度全球APT攻击活动呈以下特点:(1)针对源代码的供应链攻击呈上升趋势;(2)航空产业成为境外情报机构的重点攻击目标;(3)新型APT组织提供破坏服务,以敛财为目的(通过定向勒索获取经济利益);(4)在野Oday漏洞深受APT组织青睐;(5) APT组织攻击武器、手段持续更新升级。2021年,受攻击较多的5个APT目标包括相关机构、医疗行业、科技行业、国防军工和制造行业。2021年,活跃度较高的5个APT组织包括Lazarus,APT29,Kimsuky、肚脑虫和海莲花[5]。
中国作为全球APT攻击的首要地区性目标,网络安全面临巨大考验。APT组织将中国作为攻击目标,不惜花费巨额资金和人力物力成本,不断升级攻击手段,提升攻击频率,频繁使用Oday漏洞对国内科研、教育、能源、军工、核能等关键行业实施了高频次定向攻击。经奇安信威胁情报中心分析,2021年,我国攻击频率最高、危害最大的APT组织主要来自东亚、南亚和东南亚地区,其中包括海莲花、蔓灵花、虎木槿、Winnti、毒云藤等,攻击活动主要针对我国卫生医疗部门、高新科技企业等领域,重点攻击目标区域包括广东、福建、浙江、江苏等沿海省份及北京。
3APT攻击的监测和防御建议
面对全球APT攻击持续活跃的严峻形势,本文建议从以下几个方面加强网络安全管理和建设工作,防范境外APT组织对我国发起定向攻击,从而提升我国APT监测和防御能力。
一是持续关注APT组织动态。组织国内重点行业、安全厂商、高等院校、研究机构等资源力量,持续跟进APT组织动态分析、技术研究工作,尽量全面掌握APT组织情况、攻击行为特点、常用技术手段等,及时发现针对我国的APT攻击行为并作出响应。
二是加强APT攻击技术研究。加强对APT攻击恶意程序的分析、判定,以及APT攻击监测,APT协同处置等相关技术研究工作。促进产、学、研、用相结合,建立APT攻击基础理论,突破关键技术攻关,研制监测系统架构,提升我国对APT攻击的监测、防御能力。
三是落实网络安全责任。全国各行业,尤其是APT攻击的重点目标行业,应落实行业网络安全责任。行业监管部门要按要求开展监督管理工作,行业内相关企业按要求落实网络安全和数据安全各项工作,如部署适配的安全设备、定期开展资产安全审查、定期组织针对性应急演练等,行业上下共同树立针对APT攻击的安全防御屏障。
四是防范Oday漏洞攻击。各企业应建立健全的安全管理体系,针对Oday攻击做到事前预防、事中响应、事后总结。在系统需求分析和设计阶段,进行合理的安全设计,规避风险;在系统开发阶段,提升开发人员的安全编码意识,选用安全的开源组件,避免Oday漏洞的发生,降低风险;在系统运维阶段,建立完善的应急处置方案,密切监测漏洞信息,发生Oday攻击后按流程快速响应,最大限度地减少影响。
五是加强安全人才培养。企业和高校联动,建立APT研究实验室,开展高水平教学、研发活动,聚集和培养优秀科技人才,壮大我国网络安全人才队伍。
转载注明来源:https://www.xzbu.com/8/view-15445803.htm