APT攻击以及密码学简析
目录
1. 什么是APT?
2. APT 的攻击过程?
3. 详细说明APT的防御技术
4. 什么是对称加密?
5. 什么是非对称加密?
1. 什么是APT?
什么是 APT 攻击
APT 攻击即高级可持续威胁攻击 , 也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“ 恶意商业间谍威胁” 。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。 APT 的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“ 网络间谍 ” 的行为。
APT 攻击是一个集合了多种常见攻击方式的综合攻击。综合多种攻击途径来尝试突破网络防御,通常是 通过 Web 或电子邮件传递,利用应用程序或操作系统的漏洞,利用传统的网络保护机制无法提供统一的 防御。除了使用多种途径,高级定向攻击还采用多个阶段穿透一个网络,然后提取有价值的信息,这使 得它的攻击更不容易被发现。
2. APT 的攻击过程?
APT 攻击的生命周期
第一阶段:扫描探测
在 APT 攻击中,攻击者会花几个月甚至更长的时间对 " 目标 " 网络进行踩点,针对性地进行信息收集,目标网络环境探测,线上服务器分布情况,应用程序的弱点分析,了解业务状况,员工信息等等。
第二阶段:工具投送
在多数情况下,攻击者会向目标公司的员工发送邮件,诱骗其打开恶意附件,或单击一个经过伪造的恶意URL ,希望利用常见软件 ( 如 Java 或微软的办公软件 ) 的 0day 漏洞,投送其恶意代码。一旦到位,恶意软件可能会复制自己,用微妙的改变使每个实例都看起来不一样,并伪装自己,以躲避扫描。有些会关闭防病毒扫描引擎,经过清理后重新安装,或潜伏数天或数周。恶意代码也能被携带在笔记本电脑、USB设备里,或者通过基于云的文件共享来感染一台主机,并在连接到网络时横向传播。
第三阶段:漏洞利用
利用漏洞,达到攻击的目的。攻击者通过投送恶意代码,并利用目标企业使用的软件中的漏洞执行自身。而如果漏洞利用成功的话,你的系统将受到感染。普通用户系统忘记打补丁是很常见的,所以他们很容易受到已知和未知的漏洞利用攻击。一般来说,通过使用零日攻击和社会工程技术,即使最新的主机也可以被感染,特别是当这个系统脱离企业网络后。
第四阶段:木马植入
随着漏洞利用的成功,更多的恶意软件的可执行文件 —— 击键记录器、木马后门、密码破解和文件采集程序被下载和安装。这意味着,犯罪分子现在已经建成了进入系统的长期控制机制。
第五阶段:远程控制
一旦恶意软件安装,攻击者就已经从组织防御内部建立了一个控制点。攻击者最常安装的就是远程控制工具。这些远程控制工具是以反向连接模式建立的,其目的就是允许从外部控制员工电脑或服务器,即这些工具从位于中心的命令和控制服务器接受命令,然后执行命令,而不是远程得到命令。这种连接方法使其更难以检测,因为员工的机器是主动与命令和控制服务器通信而不是相反。
第六阶段:横向渗透
一般来说,攻击者首先突破的员工个人电脑并不是攻击者感兴趣的,它感兴趣的是组织内部其它包含重要资产的服务器,因此,攻击者将以员工个人电脑为跳板,在系统内部进行横向渗透,以攻陷更多的pc和服务器。攻击者采取的横向渗透方法包括口令窃听和漏洞攻击等。
第七阶段:目标行动
也就是将敏感数据从被攻击的网络非法传输到由攻击者控制的外部系统。在发现有价值的数据后, APT攻击者往往要将数据收集到一个文档中,然后压缩并加密该文档。此操作可以使其隐藏内容,防止遭受深度的数据包检查和DLP 技术的检测和阻止。然后将数据从受害系统偷运出去到由攻击者控制的外部。大多数公司都没有针对这些恶意传输和目的地分析出站流量。那些使用工具监控出站传输的组织也只是寻找" 已知的 " 恶意地址和受到严格监管的数据。
防御 APT
目前,防御 APT 攻击最有效的方法就是沙箱技术,通过沙箱技术构造一个隔离的威胁检测环境,然后将网络流量送入沙箱进行隔离分析并最终给出是否存在威胁的结论。如果沙箱检测到某流量为恶意流量,则可以通知FW实施阻断。
3. 详细说明APT的防御技术
针对APT攻击的防御过程如下∶
黑客(攻击者)向企业内网发起 APT 攻击, FW 从网络流量中识别并提取需要进行 APT 检测的
文件类型。
FW 将攻击流量还原成文件送入沙箱进行威胁分析。
沙箱通过对文件进行威胁检测,然后将检测结果返回给 FW 。
FW 获取检测结果后,实施相应的动作。如果沙箱分析出该文件是一种恶意攻击文件,
FW 侧则可以实施阻断操作,防止该文件进入企业内网,保护企业内网免遭攻击。
APT 防御与反病毒的差异。
反病毒系统通常是将病毒文件的特征与病毒特征库进行对比来识别一个文件是否为病毒文件。
这种防御方式具有一定的局限性,就是只能针对已知病毒进行防御,而无法识别未知攻击。
APT 防御机制则有别于反病毒系统。 APT 防御系统中的沙箱可以看做是一个模拟真实网络建造
的虚拟检测系统,未知文件放入沙箱以后将会被运行,沙箱中的收集程序会记录该文件被运行
以后的行为。沙箱通过将未知文件的行为和沙箱独有的行为模式库进行匹配,最后给出该程序
是否为恶意程序的定性结论。沙箱的行为模式库是通过分析大量的病毒、漏洞、威胁特征,提
炼出各种恶意行为的规律和模式,并形成一套判断规则,因此能提供准确的检测结果。
总体来看,反病毒系统是以被检测对象的特征来识别攻击对象, APT 防御系统是以被检测对象的行
为来识别攻击对象。
沙箱处理流程
内容安全检测
网络流量进入 FW 并通过安全检查策略以后,进入智能感知引擎进行内容安全检测。
智能感知引擎可以分析出网络流量所使用的应用协议,并根据实际配置对流量进行一系列的检测,如反病毒、URL 过滤、 APT 防御等。如果对应流量命中了 APT 防御配置文件中的应用类型等匹配条件,则准备对文件进行还原,并进行其他检测判断是否需要将还原后的文件送往沙箱做进一步检测; 如果未命中 APT防御配置文件,则流量直接被转发。
查询Web信誉
大型正规网站一般拥有较好的安全意识和优良的网络安全防护能力,所以网立站被侵入口的可能性
较小,网站上也几乎不存在恶意文件,用户访问此类网站时的风险很小。相反,随意搭建的小网站
或者恶意网站上充斥着大量的恶意文件,用户访问此类网站时的风险也极大。
Web 信誉功能对网站进行了分类, FW 会根据不同分类进行差异化处理。对于信誉度低的网站, FW会提取出网络流量中的文件,然后送往沙箱进行进一步的检测; 对于信誉度高的网站, FW 不会提取网络流量中的文件,即跳过了沙箱检测的步骤。这样处理可以提高FW 的检测效率,在不降低安全性的同时,提升用户的访问体验。
Web信誉网站分类
~预定义可信网站。
~自定义可信网站
~自定义可疑网站
~未知网站
当某个网站命中预定义可信网站或自定义可信网站列表时,系统不会提取网络流量中的文件 ; 而命中自定义可疑网站或未知网站时,系统会提取出网络流量中的文件,并送往沙箱进行进一步的检测。
查询文件信誉
查询文件信誉
在文件还原之后,提交到沙箱之前,设备会对待检测文件进行文件信誉的查询,判断该文件是否为
恶意文件。如果判定为恶意文件,则直接将该文件删除,无需再送往沙箱进行检测 ; 否则送往沙箱进行检测。
文件提交至沙箱并进行检测
智能感知引擎将原始文件发送给 APT 防御模块。智能感知引擎还原出原始文件以后 . 会将这些
文件放入一个缓存区。 APT 防御模块会定期扫描缓存区,当发现有新的文件以后,通知智能引
擎将对应的文件发送给自己。
APT防御模块将原始文件发送给沙箱。APT防御模块将文件发送给沙箱时会记录相应文件的MD5值。
沙箱获取文件后运行此文件,并将文件的行为特征与沙箱的行为特征库进行比对,判定文件是
否为恶意攻击文件。然后向 APT 防御模块发送检测结果。
根据沙箱检测结果阻断后续流量
APT 防御模块随后将检测结果和 MD5 值发给智能感知引擎。智能感知引擎根据文件的 MD5 值
和检测结果决定是否针对该文件执行阻断操作。
默认系统会在沙箱返回的检测结果为恶意时执行阻断,否则将会对流量放行。
如果用户想要根据检测结果对后续流量进行阻断,则需要在配置内容安全检测时必须配置反病
毒和 URL 过滤功能。因为只有配置了这两个功能之后, IAE 会根据沙箱的检测结果更新缓存中
的 AV 特征库、文件信誉库和恶意 URL 列表。含有同样恶意特征的流量到达防火墙后,由于命
中了 AV 特征库或恶意 UJRL 列表,可以根据反病毒配置文件或 URL 过滤配置文件中的动作来对
该流量进行告警或者阻断。
配置 APT 防御
1. 升级文件信誉库
升级文件信誉特征库前,请根据沙箱类型确认 License 状态
云沙箱:依赖云沙箱检测 License ,请确认购买并成功激活支持文件信誉特征库升级服务的云沙箱
检测 License 。
本地沙箱:不依赖 License
升级文件信誉特征库
在线升级
本地升级
升级文件信誉热点库
文件信誉热点库是由 sec.huawei.com 发布的,启用文件信誉热点库的更新功能后,可以快速获取
云端的文件信誉信息,以便对存在威胁的文件进行及时的阻断。
2.配置Web信誉
添加自定义可信 / 可疑网站
3.具体配置如下
对象--->安全配置文件--->沙箱联动配置 进行本地沙箱配置
配置apt文件
在安全策略中引用apt文件
4. 什么是对称加密?
密码学之于信息传输---在不安全的环境下建立安全输出通道
密码---明文--->算法+密钥--->密文
举例:
明文 ok
凯撒密码
算法:对字母进行平移可以左也可以右,移动若干位
密钥:向右平移3个字母
密文 rn
加解密用的是同一个密钥,数学角度是一个双向函数
对称加密首先要保证算法足够复杂以及密钥传输足够安全
加密信息传递有两个通道:
1、密文传递通道
2、密钥传递通道
5. 什么是非对称加密?
diff和hellmen DH算法 开创了非对称加密算法
加解密使用的密钥是不相同的,公钥和私钥,也叫公钥加密技术
单向函数 模运算 mod
m^e mod p = n