APT(高级持续威胁)攻击过去被认为是大型企业和政府机构才需要担忧的威胁,但是近年来随着高级黑客技术工具和人工智能技术的“民主化”,针对中小型企业的APT攻击数量正快速增长。由于中小企业(以及医疗、教育等行业组织)的安全防御能力较弱,APT攻击往往会产生“降维打击”的效果。
APT攻击的“下沉”趋势意味着各行各业不同规模的企业都需要对APT攻击中使用的策略、技术和程序(TTP)有所了解,并制订有针对性的安全策略。
企业安全主管们对APT组织的常规TTP(例如鱼叉式网络钓鱼、凭证盗窃、LOL和数据泄露)都已耳熟能详,但对一些非常规的APT攻击手段则往往准备不足,以下我们列举了近年来APT组织经常使用的十种非常规TTP:
一、水坑攻击:水坑攻击通常会首先入侵目标组织的员工或个人经常访问的网站,然后将恶意代码注入这些合法网站,让访问者在不知不觉中下载恶意软件。利用水坑攻击,APT组织可以通过用户系统访问目标组织,而无需直接攻击目标组织。2013年,美国劳工部网站遭受了一次著名的水坑攻击,该网站被注入恶意代码以感染访问者的系统,攻击者的目标是政府雇员和承包商。
二、跳岛攻击:在跳岛攻击中,APT组织不仅攻击受害组织,还针对其供应链内的其他组织、合作伙伴或附属机构。通过首先入侵安全性较低的第三方公司,APT组织可迂回攻击目标组织,并可绕过目标系统的检测。APT组织CozyBear于2016年以美国民主党全国委员会为目标,随后使用跳岛技术入侵其他美国政府机构。
三、无文件恶意软件:无文件恶意软件驻留在系统内存中,在硬盘驱动器上几乎不留下任何痕迹。无文件恶意软件主要利用合法的流程和工具来执行恶意活动,这使得传统安全解决方案难以检测。无文件恶意软件可以通过恶意脚本(例如宏和PowerShell命令)、恶意注册表项、LOLBins、LOLScripts、WMI/WSH和反射DDL注入等来传播。APT32(OceanLotus、海莲花)使用无文件恶意软件入侵东南亚多个组织,包括政府机构和私营公司,同时逃避检测和归因。
四、硬件攻击:APT可能会使用基于硬件的攻击,例如篡改固件、硬件植入或操纵外围设备,以获得持久驻留并逃避传统的安全措施。如果没有专门的工具和专业知识,此类攻击很难检测和消除。一个值得注意的案例是方程式黑客组织用于重新编程硬盘固件的恶意软件。
五、零日攻击:APT可能会实施零日攻击来利用软件或硬件中以前未知的漏洞。零日攻击非常有效且杀伤力巨大,因为没有可用的补丁或防御措施。著名的震网攻击使用的Stu.NET就是一种复杂且有针对性的蠕虫病毒,它利用工业控制系统中的多个零日漏洞,非常有效且难以检测。
六、内存攻击:内存攻击利用软件中的漏洞来访问计算机内存中存储的敏感数据。这些攻击可以绕过针对基于文件的威胁的传统安全措施。APT32以使用无文件恶意软件和“靠地生存”(LOL)技术在计算机内存中秘密运行并规避传统安全措施而闻名。
七、DNS隧道:APT组织也会使用DNS隧道从受害者网络中窃取数据。此技术涉及对DNS请求或响应中的数据进行编码,从而允许攻击者绕过不完善的DNS流量外围安全措施。CosyBear使用DNS隧道与其命令和控制服务器进行通信,并以隐秘的方式窃取目标组织的敏感信息。
八、先进的反取证技术:APT组织会投入大量精力来掩盖其踪迹并消除攻击证据。他们可能采用先进的反取证技术来删除日志、操纵时间戳或加密数据以阻碍调查和响应工作。方程式组织实施的一次震惊业界的高级反取证技术攻击涉及使用名为“DoubleFantasy”的Rootkit来隐藏并长期驻留在受感染系统中,这使得分析人员检测和分析其活动变得极具挑战性。
九、多平台或自定义恶意软件:APT组织会采用能够针对windows和macOS系统的恶意软件,以最大限度地扩大其影响范围。他们还会部署定制的恶意软件,例如Scanbox侦察框架来收集情报。APT1(也称为CommentCrew)就是一个例子,它利用定制恶意软件渗透并窃取全球各个组织的敏感数据。
十、密码喷射:密码喷射攻击指用常见密码来“碰撞”多个账户,试图获取初始访问权限。APT33(Elfin)以中东和全球的组织为目标,使用密码喷射攻击来入侵电子邮件帐户并为进一步的网络间谍活动获得立足点。
企业防御APT攻击的四大措施:
纵深防御策略:全面的纵深防御策略对于打击APT攻击至关重要。这包括实施多层安全控制,例如强大的周边防御、网络分段、端点保护、入侵检测系统、数据加密、访问控制和持续监控异常情况。
威胁情报和共享:企业应积极参与威胁情报共享社区,并与行业同行、政府机构和安全供应商合作。共享有关APT组织及其技术的信息,这可以帮助更有效地检测和缓解攻击。
员工教育和安全意识培训:定期的安全意识培训计划、网络钓鱼模拟和培训课程可以让员工了解最新的威胁、社会工程技术和安全计算实践。
事件响应和恢复:尽管采取了预防措施,企业仍应制定明确的APT攻击事件响应计划。这包括事件检测、遏制、根除和恢复程序,以最大限度地减少APT攻击的影响并尽快恢复正常运行。