“提到APT攻击,很多人可能并不熟悉,但提到它的斑斑劣迹,大家绝不陌生。”
“像伊朗核电站工控系统遭遇‘震网’病毒袭击,以及专门攻击我国海事部门的黑客组织‘海莲花’,两起事件本质上都是APT攻击。”
普通的黑客攻击就像现实生活中常见的坑蒙拐骗,商业模式追求的是感染量,以量的优势获取更多利益,例如盗取QQ号、作流氓推广等。而APT则是以网络为媒介的间谍行为,一切以拿下对象为目标,结果常常是窃密或破坏。二者最本质的区别就是定向性。
而APT攻击之所以不常见,甚至让很多人觉得距自己比较遥远,正因为它是网络世界的高级间谍。基础设施成本高、资源投入大、恶意代码需专业团队开发维护,再加上攻击持续久、潜伏时间长,每一次功能的增加、版本的更迭都要大把“烧钱”。这把“牛刀”注定不大可能用来烹制小鱼小虾。
实际上,APT攻击多以政治、高价值经济目标为主,特别是国家重点要害部门,有的甚至会涉及网络战的范畴。从天眼未知威胁检测系统获知的情况看,APT攻击一般仅瞄准少量目标,感染量最少的仅有1个终端,最多的1047个。像之前曝光的“海莲花”组织,就是瞄准中国海事机构,试图窃取与海洋相关的政策信息。
“无论是资金还是基础设施,绝大多数APT团伙都具有政府背景,基本可体现为一种国家级的对抗。”
如果把APT攻击作一个排序,政府机关是绝对的重点,几乎所有境外APT组织都会将中国政府机构列入战略攻击目标。紧随其后的是科研教育机构,接下来是特定行业,以及更尖端的军工领域。作为政治中心的北京,毫无疑问是攻击的焦点。而理工和军工背景的科研院校,往往因为承担较敏感的课题,也成为APT团伙的目标。同理,某些社科类课题组作为政府的智囊,建议建言很可能影响国家对内对外相关政策,这些情报同样是APT团伙所关心的。
APT组织窃取的敏感数据以文档为主,也包括账号密码、截图等。这些攻击的针对性非常强,只要文件中出现某些关键词,就会统统被打包,再伺机向外传输。特别是Office和WPS等文档文件,无论内容几何,只要扩展名是.doc、.ppt、.xls、.wps格式就照单全收。
APT组织就像网络世界神秘莫测的刺客,而它的高级性恰好体现在能绕过现有防御措施,长期隐藏在网络中。传统防护系统的设计擅长对已知威胁进行有效拦截,而对未知的漏洞、木马程序、攻击手法等常常无法检测和定位,在应对APT攻击时显得力不从心。加之APT攻击仅在非常小的范围内扩散,行动难以察觉,分析研究更是难上加难。
从感染方式而言,鱼叉邮件、水坑攻击、U盘及网络劫持是最主要的4种进入渠道。其中,鱼叉邮件的常见做法是:将木马程序作为电子邮件的附件,加上一个极具欺骗性的名称,发送给目标电脑,引诱目标人群“中招”,这一方式定向性最强,命中率高,使用也最频繁。例如,他们曾利用社会高度关注的热点,发送名为“新疆暴恐事件最新通报”“公务员工资收入改革方案”等邮件,屡试不爽。
水坑攻击,顾名思义就是在受害者经常访问的网站设置“水坑”。黑客根据攻击目标的上网活动规律在某网站植入恶意代码,等待猎物入网。例如,黑客曾攻陷某单位内网,将其中一份供下载的软件偷换成木马程序,所有感染木马的电脑就会被远程操控,向黑客发送涉密资料。
U盘攻击定向性也很强,比如,黑客在目标单位门口故意丢弃U盘,被人拾到后就有可能插入办公计算机,使恶意代码获得执行机会。
网络劫持则旨在破坏网络通信机制,使黑客可以看到用户在网上的所有交互内容,也可在其中插入恶意代码。例如,一旦黑客控制酒店的网络接入口,当房客访问网络资源时,就会跳转至钓鱼网站,弱加密的认证口令也能直接被黑客窃取。
为加大攻击效果,APT组织还配合使用多种“社会工程学”手段。比如,主要选择周三和周五发送鱼叉邮件,因为这两个时段通常是网络传递信息的高峰期。而水坑攻击则倾向周一和周二,此时单位发布通知较多,职工经常登录内网。
APT攻击一旦成功,还会横向移动,继续窃取目标网络内其他机器的敏感信息。数据显示,60%的企业被黑案例中,攻击者仅需几分钟就能得手;75%的攻击会在一天内从一个受害者迅速扩散到其他受害者。
而APT攻击手法的复杂性,往往取决于被攻击目标的防护能力,有的复杂目标攻击成本可达上百万美元。但记者在360天眼实验室看到,针对中国的APT主要由低成本的攻击组成,黑客更多地选择了已知漏洞。这说明,国内对于APT攻击的防护意识与防御措施还没有完全做好准备,有的机构甚至对曝出的漏洞并未及时修补,还有的部门仍然依赖传统的边界防御。
传统的防御思路往往集中在实时发现与阻断的层面,而面对高级威胁,并没有简单的办法,只有每个环节都比较强大,才有可能发现异常,如大数据收集取证、溯源、拓展分析等能力。
“在一次次交手中,当我们帮用户真正抓到APT攻击时,对他们的防护思路就是一种变革。越来越多的机构逐渐意识到我们面对的是什么样的对手,以及如何革新自身的检测与防护能力。这无疑是非常好的事情。”
发现、追踪、研究APT就像大海捞针,成果可能并不丰硕。与此同时,安全威胁越来越难“看见”: 黑客采用越来越复杂的手段进行伪装,并逐步发展为周期性攻击,事后能很快恢复,同时大量使用动态域名等手法。APT组织还会主动向安全厂商出击,把木马伪装成安全从业人员或黑客常用的软件,企图渗入安全厂商内部。
“APT行动被揭露后,只要团伙成员没有落网,大多并不会从此停止活动。实际上,如果是境外团伙,落网基本不大可能实现。他们通过改换基础设施、改变攻击手法卷土重来的事例屡见不鲜,这是一场永远不会结束的战斗。”
监测结果显示,29个APT组织中,2015年9月后仍然处于活跃状态的至少还有9个。“我今天看了一下监控,‘海莲花’组织还有新的感染,甚至依然在用我们已经公布的攻击手法。”
事实上,29个APT组织实力参差不齐,呈金字塔结构。技术较弱的底层组织还在利用已知漏洞;相对高端的组织则通过未知漏洞发起攻击;还有极少数高端境外组织使用的技术已让国内望尘莫及。
随着云计算、移动互联、工业互联网、物联网这些新型技术的应用和发展,传统的网络边界变得越来越模糊,APT攻击也显现出一些新趋势。例如,Windows不再是唯一战场,对Linux、Android、Mac OS X和工业控制系统的攻击频率将持续提升。
“一些高端人士倾向于使用Mac,认为其病毒相对较少,其实Mac下的安全软件很缺乏,同样也是APT攻击的重点对象。”360天眼实验室相关负责人补充道。
除了传统的PC平台,针对移动平台的攻击也越来越多。像智能手机、平板等移动通信设备,天生具有通话记录、短信、照片、地理位置等独特资源。此外,物联网的发展使得攻防的对抗逐步向智能设备扩散,而且演化速度更快,甚至直接影响人身安全。
“最可怕的是,某一攻击手段一旦被证明有效,很可能被其他组织效仿,也许是恐怖组织,这比自杀式袭击杀伤力更大。”汪列军对这一点作了特别强调。
所以,对APT事件的揭露也是一个值得探讨的话题。一般来说,攻击细节的揭露会引起更大范围用户的警觉,并作相应处理,还会迫使攻击者改变方式,提高其活动成本,至少在短期内遏制其威胁。但是,如果在各方面未充分沟通的情况下贸然公开APT团伙信息,可能会干扰某些执法机构正在进行中的调查取证,错失在更高层次上消除威胁的机会。网络安全本身就是攻防持续对抗的过程,揭露APT也需要做好多方沟通,以求得最好的平衡。
最近,风靡IT界的一部科幻小说《三体》中提到“黑暗森林法则”,指的是在宇宙里有不同的文明,每一种文明都不希望被更高级的文明看见。因为一旦被发现,就会有一方被消灭。这在网络攻防的世界里也同样适用。
“归根结底,今天的网络攻防本质上还是人与人之间的对抗。只要没解决人的问题,对抗是永恒的。我们要做的就是如何看见更多的威胁。”
https://baijiahao.baidu.com/s?id=1611600635694517792&wfr=spider&for=pc
http://tech.sina.com.cn/i/2017-01-24/doc-ifxzusws0102047.shtml
https://yq.aliyun.com/articles/57660
https://blog.csdn.net/iqushi/article/details/45745711