鉴于APT攻击的对象和目的可能存在差异,不同的APT攻击所采用的技术和方法也存在较大的不同;而且随着 APT 攻防的升级,新的攻击技术和方法也会不断涌现。根据对大量APT攻击事件的跟踪和分析,我们发现:虽然 APT 攻击具有明显的定制化特征,但是一般来说,所使用技术和方法的差异主要出现在“突破防线”和“完成任务”两个阶段。本文首先枚举影响较大或者具有显著特征的 APT 事件,然后归纳出若干我们认为应该引起业界重点关注的新攻击技术和方法。
一般来说,攻击者突破防线的常用技术包括:水坑+网站挂马,鱼叉式钓鱼邮件+客户端漏洞利用、网站挂马+URL 社工、服务端漏洞利用等。
(1) 水坑+网站挂马 攻击者收集潜在受害者经常访问的网站(水坑),并寻找这些网站中存在漏洞(攻击者自己发现漏洞或通过黑市购买漏洞);通过存储型 XSS漏洞在这些网站上植入恶意代码;等待潜在受害者使用包含漏洞的 Web 客户端(例如 IE 浏览器)访问植入了恶意代码的网页。
(2) 鱼叉式钓鱼邮件+客户端漏洞利用 根据潜在受害者的行业和爱好,攻击者直接向受害者发送其可能感兴趣的电子邮件(电子邮件社工),这些电子邮件会包含植入了恶意代码的附件;一旦潜在受害者使用关联的客户端工具(包含漏洞)打开了恶意附件,则攻击者就可以利用客户端漏洞轻易突破防线。
(3) 网站挂马+URL 社工 攻击者首先在包含存储型 XSS 漏洞的某些知名网站上植入恶意代码;然后将包含恶意代码的 URL 通过即时通讯/电子邮件等方式发送给潜在受害者(URL 社工);一旦潜在受害者使用包含漏洞的 Web 客户端(例如IE 浏览器)打开包含恶意代码的 URL,则攻击者就可以利用客户端漏洞轻易突破防线。
(4) 服务端漏洞利用 攻击者利用目标网络所提供的服务中存在的 SQL 注入、远程溢出等漏洞,直接进入目标网络。鉴于目前网络上已经或正在部署大量的安全防护设备,服务端漏洞利用的难度越来越大,因此这种直接的方式会逐渐减少。
从近几年的 APT 攻击事件上来看,上述技术仍能很好地工作,因此攻击者并不急于采用大量更新奇的攻击技术,而更多的是在这些技术的使用策略和方法上下功夫。目前,能够看到的新攻击策略和方法主要有以下几个方面:
(1) 单漏洞多水坑 攻击者使用一个漏洞攻占一个网站后,并不急于立即使用该网站发起攻击,而是在攻占多个网站后,集中地发起对多个目标的攻击。攻击者采用这种策略可能有两方面原因:一是攻击者为了提高漏洞的利用效率,减少开销;
另一个可能是不同的攻击者之间交换漏洞信息,增加可用漏洞储备。
(2) 更激进的鱼叉式钓鱼 攻击者不仅发送鱼叉式钓鱼邮件,而且紧接着会使用电话等途径对潜在的受害者实施进一步的社工。
(3) 供应链攻击 生产力的发展促进社会分工的细化,当前极少有一个组织或者行业能做到完全不依赖于外部环境。虽然最终目标的防护可能非常坚固,但是却不能保证其供应链上的每一个合作伙伴都能达到同样的标准。
完成任务
根据任务的性质不同,完成任务所使用的技术之间必定存在较大的差异。一般来说,信息窃取任务中使用的主要技术可能包括:网络窃听(通过网络嗅探截获网络上传输的账户登录信息)、击键记录(通过文件过滤驱动窃取用户输入的账户登录信息)、信息过滤(扫描受害主机磁盘,寻找具有特定扩展名或者内容的文件)等;而破坏性任务中使用的主要技术表现为对 PLC 设备的物理攻击。
目前,虽然信息窃取任务占据绝对的主流,但是绝不能排除破坏性任务增多的可能性。相反,作为信息窃取的一个合乎逻辑的扩展,修改或破坏数据,甚至造成物理基础设施或设备损坏的攻击在未来几年可能会急剧增多。
从最近几年被公开报道的 APT 攻击事件上来看,攻击者在完成其 APT 攻击任务中已经采用的新技术主要有以下几个方面:
(1) 屏幕记录 某些特定的敏感信息可能不方便使用简单的文档方式记录,例如发现受害主机中特定进程或者窗口激活情况的信息(这些信息能够为特定资产识别和进一步攻击提供帮助),可以通过创建一系列用户屏幕快照实现收集。
(2) 交互式操作 攻击者更多地使用交互式工具,而不是完全自动化的工具,来实施信息过滤,确保更隐蔽同时更精确的外科手术式信息窃取。
(3) 加密通信 通过加密网络协议建立与 C&C 服务器之间的加密连接,躲避常规的基于特征签名的安全机制。
(4) 匿名网络 通过 Tor 等匿名网络(该网络使用一种称为洋葱路由的技术实现匿名机制),隐藏 C&C 服务器的位置,增加追查的难度。更多细节,参考 Icefog[IF]等。
(5) 声波通信 使用受害主机上附带的麦克风设备记录周围环境中的声波(除了 Stuxnet 中使用可移动存储实现摆渡攻击外,通过声卡或其它计算机自带物理设备实现摆渡攻击很可能也已经出现了)。
(6) 清除痕迹 某些特定的 APT 攻击会使用附加的模块执行精心设计的清除痕迹子任务,例如彻底擦除(基本上无法恢复)攻击存在的蛛丝马迹(包括彻底清除擦写模块自身存在的证据),或者大规模恶意擦写受害主机上的文件。
