一般来说APT攻击有三个主要的环节:攻击前奏,入侵实施,后续攻击。
在攻击前奏阶段,攻击者首先会做信息搜集的工作。通过搜集信息,攻击者能够很清晰的知道受害目标使用什么样的应用、防御软件,内部的人际关系,组织架构,核心资产可能存放在哪里。做完这些工作以后,攻击者就会做些攻击的准备。比如说攻击者知道目标使用office,就专门去找office方面的漏洞;然后目标使用XX杀毒软件,那就专门写一个能绕过XX杀毒软件的木马;然后搭建入侵服务器,进行技术准备工作。做好技术的准备工作之后,攻击者还会进行周边的渗透,因为直接向敏感的目标发送邮件,用不可信的邮箱地址发过去,受害者可能不会打开它。攻击者通过社交关系的调研,找到跟受害目标有业务关系的某个人,这个人的安全意识可能很差,那么攻击者就先入侵这个人的电脑,然后再假冒他的身份向受害目标发送邮件,期望获得受害目标的信任。
在入侵实施方面,攻击者会使用各种各样对应的技术手段来发起攻击。可能是利用漏洞触发,或者欺骗用户去执行木马,目的是在企业内部建立立足点。攻击者即使只获得一个权限很低的个人主机的权限,在企业内部也能获得更多的信息,再利用它进行渗透提权,直到最后获得核心目标主机的控制权。
在后续攻击阶段,攻击者可以进行痕迹的隐藏,对敏感信息进行搜集,然后把搜集到的信息通过加密通道秘密的传输出来,避免被企业的审计系统所发现。同时,攻击者还会做一些深度的渗透,渗透到内部,控制更多的主机之后,他可能会潜伏下来,即使他工作的这台主机被发现,还可以利用其他主机再来持续的控制,这样他就能长期的控制受害目标。
2010年,全球公布4651个漏洞,2011年公布4155个漏洞,2012年公布5297个漏洞,2013年(截止6月)公布2096个漏洞。漏洞严重程度以Adobe居首。每年公开的漏洞就有这么多,实际上被攻击者掌握的、没被公开的的漏洞更是无法统计。微软发布的报告显示,这些公开的漏洞被广泛的利用在攻击当中。
这里有一个重点问题,就是为什么我们检测不到这种攻击呢?2013年,美国知名安全培训与研究机构SANS针对多款主流IPS进行测试,使用5年前的老漏洞MS08-067,采用了变形攻击手段,结果没有一个IPS能检测出变形的攻击。这说明我们现在检测的能力、体系已经远远滞后于攻击技术。
另一个案例是,2013年JAVA 0DAY暴露出来,产生了10多个变形样本,漏洞发布者使用所有主流杀毒软件来检测这些样本,大部分都只检测到0个样本,最高的也就检测出来两个攻击的样本。
为什么传统的技术检测不到APT呢?这是因为传统的检测技术主要在网络边界和主机边界进行检测。在网络边界我们主要靠防火墙,而防火墙并不能识别通道上的负载是恶意的还是善意的。而IDS、IPS虽然可以识别,但是它们基于的技术是已知威胁的签名,当这个威胁发生了,我们知道了,我们去分析它的特征,然后把这个特征抽取出来,我们对它进行检测。这种方法的问题是:第一,它检测不到未知的漏洞、新的木马;第二,攻击者很容易对漏洞的定义方法和木马进行变形,就检测不到了。在主机边界,杀毒软件也存在同样的问题。这就是当前检测体系存在的最核心的问题。
