標籤: APT 進階持續性威脅

APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)/目標攻擊被設計來在目標網路裡躲避現有的管理政策和解決方案，因此要偵測它們是一大挑戰。正如我們在之前關於APT 攻擊常見五個誤解的文章中所強調過的，沒有放諸四海皆準的解決方案可以用來對付它；企業需要在所需要的地方都放置感應器好加以防護，同時IT也要有足夠的設備來識別網路的異常情況，並採取相應的措施。

然而，要及早發現異常狀況，IT管理者需要知道首先要看到什麼。由於攻擊通常會設計成只有很少或幾乎沒有痕跡可循，重要的是要知道哪裡可以找到入侵的可能指標。在這篇文章中，我們將列出IT管理者所需要密切監視的網路部分以發覺任何入侵的跡象。

一.檢查被注入的DNS記錄

攻擊者經常會篡改DNS記錄以確保到他們的C&C連線不會被封鎖。IT管理者可以檢查記錄中可能被攻擊者注入的跡象如下：

1. 未知網域加入IP地址如127.0.0.1、127.0.0.2、255.255.255.254、255.255.255.255、0.0.0.0和1.1.1.1。這些IP地址通常被攻擊者用來保留給尚未使用的C&C
2. 最近註冊的未知網域，像是3天前（可以透過whois來判斷）
3. 看起來像是隨機字元的網域（例如：aeeqvsfmtstjztqwlrqknoffmozu.com或zxcmpfwqwgqnbldzhdqsrqt.com）
4. 出現模仿知名網域的網域名稱（例如：microsoft-dot.com或goooogle.com）

 

二.稽核登入失敗/不規則的帳號

一旦攻擊者能夠進入網路和建立與其C＆C的通訊，下一步通常是在網路內橫向移動。攻擊者會去找出Active Directory、郵件或檔案伺服器，並攻擊伺服器漏洞來加以存取。然而，因為管理者會修補並防護重要伺服器的漏洞，攻擊者可能會嘗試暴力破解管理者帳號。對於IT管理者來說，登入記錄是此一行為最好的參考資料。檢查失敗的登入嘗試，以及在不尋常時間內的成功登入，可以顯示攻擊者試圖在網路內移動。

三.研究安全解決方案的警報

有時候，安全解決方案會標示看來無害的工具為可疑，而使用者會忽略這警報，因為該檔案可能對使用者來說很熟悉或無害。然而，我們在許多案例中發現出現警報意味著網路中有攻擊者。攻擊者可能使用惡意設計的駭客工具，甚至是來自Sysinternals套件的合法工具像是PsExec等來執行系統或網路檢查作業。有些安全解決方案會標示這些非惡意工具，如果它們並非預先安裝在使用者電腦裡。IT管理者必須問，為什麼使用者會使用這些工具，如果沒有充分的理由，IT管理者可能撞見了攻擊者的橫向移動。

四.檢查是否有奇怪的大檔案

在系統內發現未知的大檔案需要加以檢查，因為裏面可能包含了從網路中竊取的資料。攻擊者通常在將檔案取出前會先儲存在目標系統內，往往透過「看起來正常」的檔案名稱和檔案類型來加以隱藏。IT管理者可以透過檔案管理程式來檢查。  繼續閱讀

在趨勢科技努力解決APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊時，經常會和不同公司的IT管理者一起處理攻擊他們的網路威脅。從合作的過程中，我們瞭解到一些IT管理者對於APT攻擊常有的誤解（或該說企業普遍都有）。本文介紹其中一部分，希望可以啟發IT管理員如何去制訂打擊APT攻擊的策略。

 

1.處理APT攻擊只需一次性努力?
事實:追踪並攔截一次攻擊意圖不代表解決了威脅

一些IT管理者認為處理APT 攻擊是一次性的努力 – 也就是說偵測和阻止一次惡意活動就會結束整個攻擊。但事實是，APT攻擊，因為這個詞很好地描述了它的特性：進階和持久。這些攻擊往往經過精心策劃和能夠靈活地去適應目標網路內的變化。能夠追踪並攔截一次攻擊意圖不代表解決了威脅。如果要說，它可能代表還可能有許多其他沒被發現的攻擊意圖，需要不斷地監控。

2.APT攻擊有一體適用的解決方案 ?
事實:所有的網路都不相同，這意味著每一個都需要不同配置

對於完整而有效的APT攻擊解決方案的需求相當高，但想想 APT攻擊的本質，就知道這樣的解決方案並不存在。攻擊者花費許多時間去偵察和了解目標企業 – 它的 IT 環境和它的安全防禦 – IT 管理者在制訂安全策略時需要去考慮到這種想法。所有的網路都不相同，這意味著每一個都需要不同配置。IT管理者需要充分了解網路，並實施必要的防禦措施以配合他們的環境。
3.你的企業沒有重要到會被攻擊 ?
事實:攻擊者可用你認為不重要的資料,發動社交工程（social engineering ）攻擊

另一個企業談到APT攻擊時的常見想法是，他們不太可能成為目標，因為他們的系統內沒有重要資料。不幸的是，資料的重要性可能取決於想獲取人的意圖。例如，公司的人力資源可能不會覺得過去的應徵資料有多重要，但攻擊者可能會用它來作為社交工程（social engineering ）的參考資料。如趨勢科技 CTO Raimund在今年早些時候的影片中所說，企業需要確定自己的核心資料，並加以足夠的保護。

4.APT攻擊都只跟零時差漏洞有關 ?
 事實:只要一個系統錯過一個更新，就可能危害到整個網路
毫無疑問地，零時差漏洞對企業和一般使用者都造成很大的危害。然而，根據過去所看到的APT攻擊分析，陳年漏洞也很頻繁地被使用。根據我們對於2013年下半年的APT 攻擊趨勢報告，最常被利用的弱點不僅是在2012年被發現，也是在該年就被修補。這種趨勢讓部署安全更新到網路內所有系統變得更加重要性 – 只要一個系統錯過一個更新，就可能危害到整個網路。

5.APT攻擊是惡意軟體問題?
 事實:專注於惡意軟體將只解決問題的一部分
我要談論的最後一個誤解有點特殊之處，因為從某方面來說是真的。IT管理者大多只是關心要有解決方案來防止惡意軟體進入他們的網路。雖然這樣並沒有錯，但專注於惡意軟體將只解決問題的一部分。APT 攻擊不僅跟端點有關，而是跟整個IT環境有關。比方說，用來進行橫向移動的許多工具都是合法的管理工具。如果解決方案只集中在偵測惡意軟體，那它就無法偵測到惡意活動。IT管理員需要考慮能夠覆蓋網路各方面的解決方案。

想了解更多防止APT 攻擊的專家意見和防禦措施，請參考我們的APT 攻擊入口網站。

 

@原文出處：Common Misconceptions IT Admins Have on Targeted Attacks作者：Spencer Hsieh（威脅研究員）