七個APT 攻擊跡象

趨勢科技 TrendMicro APT / APT攻擊 / APT 進階持續性威脅/ Advanced Persistent Threat

APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)/目標攻擊被設計來在目標網路裡躲避現有的管理政策和解決方案,因此要偵測它們是一大挑戰。正如我們在之前關於APT 攻擊常見五個誤解的文章中所強調過的,沒有放諸四海皆準的解決方案可以用來對付它;企業需要在所需要的地方都放置感應器好加以防護,同時IT也要有足夠的設備來識別網路的異常情況,並採取相應的措施。

apt

然而,要及早發現異常狀況,IT管理者需要知道首先要看到什麼。由於攻擊通常會設計成只有很少或幾乎沒有痕跡可循,重要的是要知道哪裡可以找到入侵的可能指標。在這篇文章中,我們將列出IT管理者所需要密切監視的網路部分以發覺任何入侵的跡象。

一.檢查被注入的DNS記錄

攻擊者經常會篡改DNS記錄以確保到他們的C&C連線不會被封鎖。IT管理者可以檢查記錄中可能被攻擊者注入的跡象如下:

  1. 未知網域加入IP地址如127.0.0.1、127.0.0.2、255.255.255.254、255.255.255.255、0.0.0.0和1.1.1.1。這些IP地址通常被攻擊者用來保留給尚未使用的C&C
  2. 最近註冊的未知網域,像是3天前(可以透過whois來判斷)
  3. 看起來像是隨機字元的網域(例如:aeeqvsfmtstjztqwlrqknoffmozu.com或zxcmpfwqwgqnbldzhdqsrqt.com)
  4. 出現模仿知名網域的網域名稱(例如:microsoft-dot.com或goooogle.com)

 

二.稽核登入失敗/不規則的帳號

一旦攻擊者能夠進入網路和建立與其C&C的通訊,下一步通常是在網路內橫向移動。攻擊者會去找出Active Directory、郵件或檔案伺服器,並攻擊伺服器漏洞來加以存取。然而,因為管理者會修補並防護重要伺服器的漏洞,攻擊者可能會嘗試暴力破解管理者帳號。對於IT管理者來說,登入記錄是此一行為最好的參考資料。檢查失敗的登入嘗試,以及在不尋常時間內的成功登入,可以顯示攻擊者試圖在網路內移動。

三.研究安全解決方案的警報

有時候,安全解決方案會標示看來無害的工具為可疑,而使用者會忽略這警報,因為該檔案可能對使用者來說很熟悉或無害。然而,我們在許多案例中發現出現警報意味著網路中有攻擊者。攻擊者可能使用惡意設計的駭客工具,甚至是來自Sysinternals套件的合法工具像是PsExec等來執行系統或網路檢查作業。有些安全解決方案會標示這些非惡意工具,如果它們並非預先安裝在使用者電腦裡。IT管理者必須問,為什麼使用者會使用這些工具,如果沒有充分的理由,IT管理者可能撞見了攻擊者的橫向移動。

四.檢查是否有奇怪的大檔案

在系統內發現未知的大檔案需要加以檢查,因為裏面可能包含了從網路中竊取的資料。攻擊者通常在將檔案取出前會先儲存在目標系統內,往往透過「看起來正常」的檔案名稱和檔案類型來加以隱藏。IT管理者可以透過檔案管理程式來檢查。 

五.稽核網路日誌中的異常連線

持續地稽核網路監控日誌非常重要,因為它可以幫助識別網路中的異常連線。想做到這一點,就需要IT管理者對於其網路和任何時間內會發生的活動都瞭如指掌。只有透過對網路內「正常」狀況的了解,才能夠識別出異常。例如,發生在應該是閒置時間內的網路活動就可能是攻擊的跡象。

六.異常協定

和異常連線有關,IT管理者還需要檢查這些連線所用的協定,特別那些來自網路內部的連線。攻擊者通常會選擇使用在網路內被允許的協定,所以檢查連線很重要,即便它們使用的是一般的協定。

例如,我們看到過攻擊者使用HTTPS(端口443)協定連到外面,但當我們檢查內容,它僅包含了HTTP資料。IT管理者也不會刻意去檢查HTTPS連線,因為會認為它們加過密。

 

七.電子郵件活動增加

IT管理者可以檢查郵件日誌,看看是否有個別使用者出現奇怪的尖峰期。電子郵件活動突然爆大量時就要檢查該使用者是否被捲入針對性釣魚攻擊。有時候,如果攻擊者研究發現一名員工將去參加某個重要會議,就會在會議前三個月就開始寄送釣魚郵件。這也是另一種線索。

現在就仔細閱讀這份列表,我敢說IT管理者會覺得有堆艱苦的事情等著去做。我不否認;防範APT針對性網路攻擊的確是項艱鉅的任務。在過去,我們談論過組織如何確保自己的IT人員有足夠能力去做到,我也鄭重建議照著以上步驟去做。為攻擊做好準備的成本和解決一次攻擊的成本相比划算得多。所以IT管理者 – 公司防禦的第一線 – 做好萬全準備是很重要的。

解決對策

傳統的防毒黑名單做法不再足以保護企業網路對付針對性攻擊。為了減少此安全威脅所帶來的風險,企業需要實現客製化防禦 – 這是種採用進階威脅偵測技術和共享入侵指標(IoC)情報的安全解決方案,用來偵測、分析和回應標準安全產品所看不見的攻擊。

想了解更多關於各種針對性攻擊和企業最佳實作的詳細資訊,你可以參考我們的針對性攻擊威脅情報資源

 

@原文出處:7 Places to Check for Signs of a Targeted Attack in Your Network作者:Ziv Chang(網路威脅解決方案協理)

相關文章:

後門敞開:物聯網的另一項挑戰
【 資安語錄 】「世界上大型企業分兩種:一種是已經被駭客入侵,另一種則是被入侵卻渾然不知的公司。」
ATM 提款機自動吐錢 ! 剖析Ripper提款機惡意軟體
勒索病毒侵台居亞洲第二,僅次日本