APT未来的发展之路

2019年7月15日10:47:31 发表评论

APT未来的发展之路

APT又称作高级可持续威胁,他的攻击对象是网络上的组织。本文通过回顾APT攻击的流程,再简述APT攻击与网络战的区别,进而明晰了APT攻击的本质,接着重新定义APT撕口子的两种方式,阐述了在入侵检测系统与流量审计越来越强的大趋势下,如何建立以人为本的APT攻击方式,最终提出了APT攻击的发展之路。

        一、APT攻击的流程

ATP攻击的第一步,攻击方要撕开目标网络的口子,也就是进入目标网络的内部,以口子为跳板,横向扩展感染更多的内部网络主机,直到控制到攻击方需要的信息系统(可能是个人主机、业务系统、域控主机、邮箱服务器、边界设备、路由器等等),并建立了可持续稳定的渠道,能够将内部网络里的内部资料或数据,源源不断拖回到攻击方主机中。

        二、APT攻击与网络战的区别

APT攻击往往是目标网络的内部人员发现异常后,由网络管理人员(可能是组织内部的网络部门人员,也可能是专业的网络安全公司人员)通过日志审计、样本逆向、ip回溯等方式,确定异常现象为一场APT攻击导致。所以,APT攻击通常是在目标网络人员不知情的情况下入侵。APT攻击的目的是建立一个长期持续且隐蔽不被发现的,能够获取目标内部网络的数据与资料的网络渠道。他的目标是针对含有大量数据与内容的信息系统。

网络战则伴随着更多的网络对抗行为,攻击方是在目标网络的管理人员大概知情的情况下,发起的网络攻击行为,网络战中的攻击流量与行为必须伪装的更隐蔽,且必须在更短的时间内控制住目标网络的重要主机。网络战的目的是促使目标网络的正常服务瘫痪,他的目标更多针对国家重要基础设施的控制系统或服务系统,如:水利、发电、供电、加油、银行等系统。

        三、APT攻击与网络战的本质

        APT攻击的本质是潜伏与隐蔽,网络战的本质是对抗与破坏,他们的共同点是前期都需要伪装成正常流量与正常行为去撕开目标网络组织的口子。

        四、APT撕口子的两种方式

网络上的组织在互联网上都有一定的网络边界,目标组织的网络管理人员根据业务的需求,定义和设置网络边界的疆域大小。

我们将APT撕口子的方式归纳为两种,一种为主动式,另一种是钓鱼式。

主动式撕口子是通过在目标组织的互联网边界上的各类网站系统进行攻击,在web主机上撕开口子,从而进入组织的内部网络;

钓鱼式撕口子是通过ftp、网盘、mail、icq(即时聊天通讯软件)等渠道,让组织内部的人员自动下载并执行含有恶意程序的文档、软件等载体,从而进入组织的内部网络。

        五、入侵检测系统与流量审计的威力

随着近年来,国内外对APT事件与手段的披露,传统的APT攻击方式越走越难。

网络管理者会将组织的网络边界在满足对外业务需求的情况,定义得最小化,在为数不多的边界系统上,部署入侵检测系统、防火墙、杀毒软件,并将对外的边界口子在内网内统一集中在一个内网IP段(称作DMZ区),更是将DMZ区域的内网IP段与其他本身和外网隔离的信息系统IP段也隔离开,或者在DMZ区与其他工作区IP段的连接节点上部署入侵检测系统与流量审计系统。

重要网络目标组织的网络管理人员往往拥有丰富的网络入侵应急经验,以及每日都查看流量日志的习惯。这些都让APT攻击更难发展。

        六、建立以人为本的APT攻击方式

一切网络攻击的背后不是机器,而是人。任何网络攻击行为都是人与人的对抗。建立以人为本,以人制人的APT攻击方式,让目标组织的网络管理人员相信你的网络行为和网络流量都是自己人发出的。

1.利用大数据、社交网络、搜索引擎、社工库,对目标组织的组织架构与工作人员,进行全面的了解和掌握;

2.确定掌握资料比较全的人员集合,或进行旁敲侧击、迂回战术,从他们可能注册过的、容易攻击的信息系统(数据库、聊天群组)下手,掌握这些人员的常用几组密码;

3.如果邮箱系统在互联网上,那么输入这些密码去猜测进入他们的邮箱,获取更多的内部信息系统的数据;如果邮箱系统不在互联网上,该组织往往是有vpn单点拨入系统,那么输入这些密码去猜测进入他们的内部网络。

4、一旦进入内网,不要急于横向拓宽主机,要首先对组织的网络管理部门的人员的邮箱或者主机进行感染,一旦能够控制住网络管理人员的主机或者邮箱,他们伪装成他们的行为去连业务信息系统的主机,一切流量和行为也就看似正常了。

        七、APT攻击的发展之路

总之,APT攻击的发展之路就是以人为本,将一切恶意的目的伪装在正常员工的正常行为中,具体如:以普通员工的身份进内网,进内网后,首先的目标是网络管理员的主机,可以借用普通员工的口令以同事的身份向管理员发恶意邮件,或将恶意木马投放至内部网络云盘或ftp,等方式来控制网络管理员的主机,再以网络管理员的主机ip去控制其他信息系统,因为网管人员进行管理与维护信息系统的行为一般是看作正常,自然不会引起怀疑。

发表评论

请登陆后发表评论