2014-03-28
APT進攻是我們目前所能見識過的最危險的攻擊之一據國外權威資訊安全結構統計,該類型攻擊增長的趨勢呈指數級發展。從03年開始嶄露頭角,08年開始攻擊次數一路直線上升,並且目標明確、持續性強、具有穩定性。它利用程式漏洞與業務系統進行融合,不易被察覺,並且有著超常的耐心,最長甚至可達七年以上,不斷收集使用者資訊。
發起APT攻擊所需的技術壁壘和資源壁壘,要遠高於普通攻擊行為。其針對的攻擊目標也不是普通個人使用者,而是擁有高價值敏感性資料的高級用戶,特別是可能影響到國家和地區政治、外交、金融穩定的高級別敏感性資料持有者、甚至各種工業控制系統。
APT攻擊從2008年開始放量增長,並呈指數級上升趨勢。
多路徑攻擊需要預警平臺全方位防護
APT攻擊的威脅已經不單單是一個病毒,經常伴有惡意程式、駭客攻擊以及垃圾郵件等多種威脅。
透過對APT攻擊進行大量分析,我們發現絕大多數大攻擊透過3條路徑對目標發起攻擊:
1. 透過發送帶惡意附件郵件,利用惡意附件在員工電腦種植入後門,再透過員工電腦進行進一步帶滲透
2. 直接攻擊Web伺服器,由於Web伺服器經常存在嚴重的安全性漏洞,所以駭客經常對Web伺服器進行攻擊,然後再利用Web伺服器為跳板,對內部網路發起攻擊
3. 使用欺騙或流量截獲對方式直接對員工伺服器發起攻擊,利用員工電腦對內部網路發起攻擊
0day攻擊檢測
在APT攻擊種, 使用0day對目標進行攻擊非常常見,由於沒有已知的特徵所這些攻擊很難被傳統對檢測手段發現。 而APT攻擊檢測設備的一個主要目標就是需要能夠檢測到0day攻擊。靜態檢測無法檢測到深度多攻擊行為,而動態檢測由於存在大量環境組合無法窮舉,無法觸發所有多行為。所以不應該使用任何一種單獨的方法對目標進行檢測。
透過關聯分析應對APT攻擊是必由之路
APT攻擊中,由於駭客可能嘗試多種路徑進行攻擊,所以無法使用一種方法就能有效的檢測出APT攻擊。我們需要利用多種檢測手段結合,並進行綜合分析發才能更有效的發現APT攻擊,常用的檢查步驟為:
1. 針對Web、郵件、傳輸的檔案進行的攻擊檢測
2. 綜合這些攻擊的資料分離可疑檔、攻擊流量
3. 對Web行為模型進行建模和統計分析
4. 對檔案進行靜態分析和動態運行分析
5. 綜合各種攻擊路徑中對告警,進行綜合分析
6. 最終發現APT攻擊
常見的檢測方法有:
1、深度協議解析
利用各種檢測手段發現其中的惡意攻擊及0day攻擊。 目前解析的協議包括HTTP、SMTP、POP、FTP等。
APT攻擊預警平臺能檢測和預警一系列的攻擊,無論是已知的或未知的,並能夠阻止那些最常見的攻擊。如:基於Web的惡意攻擊、基於文件的惡意攻擊、基於特徵的惡意攻擊等。
2、 WEB應用攻擊檢測
該平臺能解碼所有進入的請求,檢查這些請求是否合法或合乎規定;僅允許正確的格式或RFC遵從的請求透過。已知的惡意請求將被阻斷,非法植入到Header、Form 和URL中的腳本將被阻止,能夠阻止那些的攻擊如跨網站腳本攻擊、緩衝區溢位攻擊、惡意流覽、SQL注入等。
3、郵件攻擊檢測
對郵件協定進行深度分析,記錄並分析每個郵件,並對其中的附件進行分析並檢測,發現其中的安全問題。透過對附件進行對已知攻擊特徵的掃描、未知攻擊漏洞的掃描和動態分析的方式進行測試,發現其中的攻擊。
4、檔案攻擊檢測
透過長期的研究,總結並提權各類0day攻擊的特點。在網路流量中分析關心的檔案。透過快速檢測演算法,對目的檔案進行檢測,發現其中的0day攻擊樣本。
透過檢測目的檔案中的shellcode以及腳本類檔案中的攻擊特徵,並結合動態分析技術可以有效檢測0day攻擊行為。
5、流量分析檢測
APT通常會結合人工滲透攻擊,在人工滲透攻擊中經常使用掃描或病毒擴散的過程。這些過程中,通常會產生大量的惡意流量。利用這些惡意流量特徵,能檢測攻擊行為。
IBM QRADAR QFlow 提供Layer 7 與 Netflow 的流量異常檢測
