作者:Rik Ferguson
APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)和目標攻擊的重點大部分都會和Lockheed Martin的網路擊殺鏈(killchain)有關,它其實是來自美國傳統的軍事目標攻擊週期(F2T2EA) – 搜尋(find)、定位(fix)、追蹤(track)、瞄準(target)、接戰(engage)、評估(assess)。網路擊殺鏈包含了七個階段:偵察(Reconnaissance)、武器化(Weaponization)、派送(Delivery)、漏洞攻擊(Exploitation)、安裝(Installation)、命令與控制(C2)和在目標內的行動。
重要的是要記住,網路擊殺鏈並沒有提到防禦方法,它只是詳述了攻擊者如何去入侵對象所採取的步驟。它是以一連串攻擊行為的觀點,而非研究各事件好了解如何阻擾、干擾或閃避持續不斷的入侵攻擊嘗試。主動反擊(Offense)必須要通知防禦方,目的是終止攻擊者繼續或完成攻擊的能力。
針對目標攻擊的主動式防禦必須要能夠使用攻擊者的長處去對付他們。雖然有個明顯不對等的地方,就是快速反應的攻擊者沒有必要去尊重法律或遵守遊戲規則。在攻擊活動時,橫跨所有階段所持續進行的分析活動,可以確認關鍵指標和重複的地方。這些標記可以讓防禦方將反應點從被動的漏洞攻擊後階段,向前推移到更主動的武器化和派送階段,甚至是偵察階段。
成功的關鍵是要能夠分析和關連大量的攻擊資料。識別出攻擊模式,代表以後攻擊者所使用的新攻擊指標可以被拿來更新防禦和消除方式。入侵的初始階段可能會在受害者網路內被偵測出指揮和命令(C&C)流量,或是被偵測到入侵後植入的惡意軟體,分析出可行動的情報可以用來發展更加主動的防禦措施。攻擊者在入侵活動裡所使用的基礎設施或漏洞攻擊碼,往往也會被重複用在APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)的後期階段,或用在攻擊其他受害組織上。建立出攻擊模型可以找出使用在安裝階段的漏洞攻擊碼,進而進行修補或更新入侵防禦技術。而在派送階段對攻擊流量的識別可以用來更新ACL(存取控制列表),防火牆和其他攔截技術,讓組織防禦可以從後期進化到早期偵測和消除。
最近針對幾個韓國公司的攻擊為這防禦模式做出有力的例子。在三月十九日,我們看到了這起攻擊的首個跡象。韓國組織收到包含惡意附件的垃圾郵件。附件會從多個不同網址下載九個檔案,利用假網站來掩蓋惡意活動。
