不久前,美国某主要电子元器件分销商的IT安全分析师发现了一些特殊的网络活动。该分析师评估了Netflow网络流量数据,并确定某个人或者某个物体当时正在制定对大量IP地址的定期扫描。这名不愿意透露姓名的分析师表示:“我们遭到攻击了。在我们的一个仓库中,发现很多系统被感染,甚至我们的管理网络也被感染了。”
攻击者在该公司的网络中至少“潜伏”了6个星期,很多端点和服务器都受到感染。虽然该分析师表示他相信现在恶意软件已经被清除,并且攻击者也已经撤离,但他并不清楚攻击是如何发生的。“让人头疼的是,我们不知道这种攻击的初始时间,”他表示,“他们可能仍然潜伏在我们网络中的某个地方。”
这种攻击同时具有常见的和不常见的特性。常见之处在于,感染了这么久都未被发现。不常见之处在于,该公司安全团队自己发现了这个攻击。根据2012年Verizon数据泄露调查报告(DBIR)显示,很多数据泄露在很长时间内都未被发现,90%的感染企业通过第三方发现泄漏事故,而不是自己发现。
来到自定义恶意软件攻击的世界,在这个世界,攻击者(在必要时)使用通用且广泛使用的攻击代码作为基石,制作自定义恶意软件来偷偷潜入企业内部。“这难以量化,”IANS研究高级副总裁兼首席技术官David Shackleford表示,“但现在越来越多的攻击使用自定义恶意软件。”
根据很多未经实证研究的证据显示,几乎每天都会涌现出一个新的有针对性的零日攻击。此外,CounterTack公司在8月份对有针对性攻击的调查显示,在100名接收调查的信息安全管理人员中,超过一半的人表示他们的企业在过去12个月中成为攻击目标。
SANS研究所资深教授Lenny Zeltser表示,也许,自定义恶意软件攻击(或者说一般攻击)如此成功的原因在于我们将全部焦点放在了恶意软件上。“我们经常专注于攻击的恶意软件组件,也许是因为恶意软件被发现后,它是我们可以看到和进行分析的有形的东西,”Zeltser表示,“我们应该从更大的范围来考虑攻击事件:自定义恶意软件通常只是针对性攻击的一部分,攻击者试图通过针对性攻击来实现一个目标。”
Zeltser表示,最佳防御方法在于,企业应该检查攻击的生命周期的所有方面,避免围着恶意软件打转。这种重新定位包括侧重检测能力和事件响应能力。这种方法看似很简单,但这并不意味着它很容易执行。为了打击自定义恶意软件,企业不仅需要重新考虑他们用于保护其系统的技术,也要重新思考已经部署的程序。
在接受SearchSecurity.com采访时,反恶意软件厂商卡巴斯基首席执行官兼联合创始人Eugene Kaspersky表示,企业必须提高攻击者绕过其防御的复杂度和成本。他提到了著名的Stuxnet木马攻击,据称该病毒侵入了伊朗纳坦兹提炼设施中完全断开的网络,这说明即使是完全隔绝的网络,都难以杜绝病毒攻击。
为了抵御针对性的恶意软件攻击,Kaspersky认为,应用白名单也是个可行的办法。“如果某个应用做了它不应该做的事情,它将立即通过默认拒绝被阻止,”他表示,“如果你创建一个默认环境,只有白名单中的应用可以在环境中运行,你将能够阻止任何复杂的恶意应用的运行。”
Spire Security公司研究主管Pete Lindstrom也表示,白名单(或者说应用控制)是重要的防御方法,但并不是完全的解决方案。他表示:“这种方法并不总是行得通,因为环境会变化,一些环境甚至经常会改变。为了抵御针对性攻击,企业需要保持审慎的态度,而不要被吓到了。”
出于这种审慎的态度,企业应该具备一个事件响应团队和有效的取证调查能力。根据Zeltser表示,一旦确定了自定义恶意软件,企业应该检查该恶意软件以及它所处的环境,以了解攻击事件的严重性。他还表示,企业需要通过了解被攻击系统的性质以及他们处理的数据、恶意软件的能力以及恶意软件使用的方式,来确定攻击者的潜在目标。Zeltser表示:“取证分析帮助企业确定如何遏制攻击者在企业内的影响,清除恶意软件,并最终恢复。”
