APT 攻擊防禦:阻撓,干擾,閃避

作者:Rik Ferguson

APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)目標攻擊的重點大部分都會和Lockheed Martin的網路擊殺鏈(killchain)有關,它其實是來自美國傳統的軍事目標攻擊週期(F2T2EA) – 搜尋(find)、定位(fix)、追蹤(track)、瞄準(target)、接戰(engage)、評估(assess)。網路擊殺鏈包含了七個階段:偵察(Reconnaissance)、武器化(Weaponization)、派送(Delivery)、漏洞攻擊(Exploitation)、安裝(Installation)、命令與控制(C2)和在目標內的行動。

重要的是要記住,網路擊殺鏈並沒有提到防禦方法,它只是詳述了攻擊者如何去入侵對象所採取的步驟。它是以一連串攻擊行為的觀點,而非研究各事件好了解如何阻擾、干擾或閃避持續不斷的入侵攻擊嘗試。主動反擊(Offense)必須要通知防禦方,目的是終止攻擊者繼續或完成攻擊的能力。

針對目標攻擊的主動式防禦必須要能夠使用攻擊者的長處去對付他們。雖然有個明顯不對等的地方,就是快速反應的攻擊者沒有必要去尊重法律或遵守遊戲規則。在攻擊活動時,橫跨所有階段所持續進行的分析活動,可以確認關鍵指標和重複的地方。這些標記可以讓防禦方將反應點從被動的漏洞攻擊後階段,向前推移到更主動的武器化和派送階段,甚至是偵察階段。

成功的關鍵是要能夠分析和關連大量的攻擊資料。識別出攻擊模式,代表以後攻擊者所使用的新攻擊指標可以被拿來更新防禦和消除方式。入侵的初始階段可能會在受害者網路內被偵測出指揮和命令(C&C)流量,或是被偵測到入侵後植入的惡意軟體,分析出可行動的情報可以用來發展更加主動的防禦措施。攻擊者在入侵活動裡所使用的基礎設施或漏洞攻擊碼,往往也會被重複用在APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)的後期階段,或用在攻擊其他受害組織上。建立出攻擊模型可以找出使用在安裝階段的漏洞攻擊碼,進而進行修補或更新入侵防禦技術。而在派送階段對攻擊流量的識別可以用來更新ACL(存取控制列表),防火牆和其他攔截技術,讓組織防禦可以從後期進化到早期偵測和消除。

最近針對幾個韓國公司的攻擊為這防禦模式做出有力的例子。在三月十九日,我們看到了這起攻擊的首個跡象。韓國組織收到包含惡意附件的垃圾郵件。附件會從多個不同網址下載九個檔案,利用假網站來掩蓋惡意活動。

就是在這階段,我們可以透過在攻擊模擬環境內分析惡意附件檔案來保護趨勢科技的客戶。Deep Discovery在沙箱內執行這附件檔案,並生成網址列表以供封鎖,可以馬上用來破壞這些攻擊生效。Deep Discovery所提供的可行動情報加上IT管理者果斷的行動可以確保針對這些組織的攻擊最終會失敗。

成功的關鍵是能夠收集和分析來自全球,橫跨各種行業的大量攻擊資料。IP地址、通訊協定異常、電子郵件地址、弱點、加密演算法、檔案識別碼以及其他更多資料都必須持續地被收集和關連分析來進行攻擊模擬,就算是攻擊本身已經被成功地加以封鎖。即使已經成功地消除攻擊,模擬攻擊工具和意圖也往往可以看出進一步的情報,用在未來的防禦之上。

@原文出處:Frustrate, Disrupt, Evade

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

◎延伸閱讀

五個給小型企業關於雲端運算的迷思與事實

《趨勢專家談雲端運算》VMworld的熱門話題:為什麼安全團隊喜歡虛擬化桌面架構

八個令人無法苟同的雲端迷思

小型企業是網路犯罪者的大事業-每個小型企業都應知道的五件關於網路犯罪的事

小型企業的雲端之路,到頭來還是回到原點

超神準的算命大師如何用雲端展開讀心術?!(影片)

保護您邁向雲端之路的 10 個步驟

巨量資料分析和主動式雲端截毒技術

關於雲端之旅的六個好處和風險(2012年趨勢科技雲端安全調查)

虛擬化的無代理防護也適用於雲端嗎?

會攻擊VMware虛擬機器的新病毒:Crisis(又稱為Morcut)

Cirsis/MORCUT 惡意軟體掛載虛擬機器

《趨勢專家談雲端運算》軟體定義網路重新洗牌:VMware收購Nicira,Oracle收購Xsigo

《趨勢專家談雲端運算》墮入虛擬化相關威脅的深淵

◎ 歡迎加入趨勢科技社群網站