高级网络攻击剖析(一)
2014-10-17 TechTarget中国 编辑:邹铮
网络威胁格局已经改变。我们以前面对的是传统意义上的黑客,从系统探险者到脚本小子,脚本小子使用的是新型自动化利用工具,即通过利用黑客技术知识并将其封装开发而来的工具。在这个背景下还潜伏着地下组织和其他犯罪类型,只要有足够的时间,他们能够窃取到任何内容。
这些早期罪犯的作案手法与现在很多企业所遇到的情况没有太多不同。这涉及网络钓鱼活动,试图诱骗人们登录到自己的网上银行账户,并在此过程中,泄露其登录凭证。攻击者还开发了病毒和僵尸程序来提供对受害者电脑的远程访问和管理工具,允许僵尸程序主人获取受害者的所有数据。现在国家情报部门开始利用这些早期罪犯开发的这些工具,以使用互联网作为提高其情报收集能力的渠道。
在过去没有什么像这样发生得如此之快,或者具有这么深远的影响和依存关系。关键网络、公共事业和其他基础设施都与企业及政府的网络交织在一起,并且,我们构建、设计和制造的一切事物都在互联网上。如果互联网停止运行,全球经济将会崩溃。从这点来看,这又引出了国家安全问题。各国政府已经意识到在电磁领域具有防御和进攻能力的战略性和战术性优势。
这种模式的转变为高级网络威胁奠定了基础。基于网络罪犯的早期技术,很多国家的安全服务已经具有为其国家利益进行攻击和窃取的能力。随着这些组织被其政府要求获取情报信息,全新类型的“威胁”出现在网络中。
2006年美国空军上校Greg Rattray创造的高级持续威胁(APT)术语描述了自20世纪90年代末和21世纪初在政府网络中发现的强大的网络攻击。对于美国政府而言,APT就是中国;而对于中国来说,APT则是美国。这始终是个角度问题。
情报收集方法
APT攻击如何发生以及原因?想要了解APT攻击的构造和生理机能,我们需要知道世界各地安全机构使用的情报收集方法。所有这些机构(包括美国中情局、军情六处和俄罗斯联邦安全局)有着管理程序来接收政府的情报产品和信息请求。他们会优先这些请求,并传递到各个部门或者组织,然后这些组织负责获取信息或产品。
请求可能从何而来?例如,内部收集周期可能源自于参加巴黎航展的商务代表团,在这个重要活动中,数以百计的航空航天和国防公司会展示其产品和创新。该代表团(其中包括情报人员)拿着“购物清单”,花很长时间来寻找特定技术和系统。他们可能会发现一家国防承包商在“禁止的”国家出售新的创新雷达系统,而该制造商出售该技术给代表团属于违法行为,所以他们不能简单地购买技术并进行逆向工程。于是,该代表团会拍摄销售展示的照片,并尽可能获取信息。当该代表团回国后,他们会将对这个雷达技术的情报或收集的正式请求提交给其国家的情报机构。该情报请求会被优先处理,当执行该请求时,它会被分配到网络情报部门,该部门的专长是获取他人网络的访问权,以获取非常具体的信息。
APT是在美国中情局网站上介绍的经典情报周期的收集部分:
· 规划与方向
· 收集
· 处理
· 分析和生产
· 传播
接着,有针对性的APT“活动”开始了。在这种情况下,这是A国的军事部门向其情报部门发出的情报请求,其目的是找出在B国生产的雷达系统的所有信息。
该情报部门或其承包商首先会对目标组织进行全面的搜索。这种信息搜索包括关于该公司的基本信息,例如设施的物理位置;企业和供应链关系;合同、产品和服务;领导层和董事会;申请报告和财务报告;及其是否为上市公司。
该组织还会着眼于该公司的互联网足迹:
· 域名、DNS记录、MX邮件记录
· 注册的IP范围以及该信息的扫描
· 电子邮件命名约定(名字.姓氏@公司.com)
· 电信关系以及主机托管的使用
· 云使用
· 面向公众的服务或网站
· 双因素身份验证的使用
他们将会建立对具体部门或计划内或领导层或企业共享服务内的员工的信息档案。这些信息的收集来自于LinkedIn和Facebook搜索、学术论文、公共网站、公开演讲记录以及行业协会和论坛等。在编译好这些数据后,他们将会制定行动计划来渗透网络一集窃取目标的信息。
APT活动的进攻方面是从攻击者执行其计划开始。在这个例子中,最开始是通过社会工程。在确定生产目标数据的设施的物理位置后,APT在社交媒体撒网来“链接”与该项目有关或者接近该项目的个人--基于他们的LinkedIn资料。攻击者创建虚假的人物角色,使用LinkedIn、Facebok页面和其他社交媒体。然后他们试图与这些个人“交朋友”以发现电子邮件地址(工作和个人邮箱)、其他朋友或关联、地址、他们拥有的技能以及他们从事的其他项目。
根据这些社交媒体信息,APT创建了目标人物清单,这些人与目标项目有着直接或间接的关系,或者能够间接参与到项目,或者为目标提供下一步信息。这个社会工程学确定了鱼叉式钓鱼攻击活动的目标。几乎所有APT攻击都包括某种形式的鱼叉式钓鱼攻击,或者使用恶意信息,其目的是感染受害者的计算机。