APT(高級持續威脅)攻擊過去被認為是大型企業和政府機構才需要擔憂的威脅,但是近年來隨著高級黑客技術工具和人工智能技術的“民主化”,針對中小型企業的APT攻擊數量正快速增長。由于中小企業(以及醫療、教育等行業組織)的安全防御能力較弱,APT攻擊往往會產生“降維打擊”的效果。
APT攻擊的“下沉”趨勢意味著各行各業不同規模的企業都需要對APT攻擊中使用的策略、技術和程序(TTP)有所了解,并制訂有針對性的安全策略。
企業安全主管們對APT組織的常規TTP(例如魚叉式網絡釣魚、憑證盜竊、LOL和數據泄露)都已耳熟能詳,但對一些非常規的APT攻擊手段則往往準備不足,以下我們列舉了近年來APT組織經常使用的十種非常規TTP:
一、水坑攻擊:水坑攻擊通常會首先入侵目標組織的員工或個人經常訪問的網站,然后將惡意代碼注入這些合法網站,讓訪問者在不知不覺中下載惡意軟件。利用水坑攻擊,APT組織可以通過用戶系統訪問目標組織,而無需直接攻擊目標組織。2013年,美國勞工部網站遭受了一次著名的水坑攻擊,該網站被注入惡意代碼以感染訪問者的系統,攻擊者的目標是政府雇員和承包商。
二、跳島攻擊:在跳島攻擊中,APT組織不僅攻擊受害組織,還針對其供應鏈內的其他組織、合作伙伴或附屬機構。通過首先入侵安全性較低的第三方公司,APT組織可迂回攻擊目標組織,并可繞過目標系統的檢測。APT組織CozyBear于2016年以美國民主黨全國委員會為目標,隨后使用跳島技術入侵其他美國政府機構。
三、無文件惡意軟件:無文件惡意軟件駐留在系統內存中,在硬盤驅動器上幾乎不留下任何痕跡。無文件惡意軟件主要利用合法的流程和工具來執行惡意活動,這使得傳統安全解決方案難以檢測。無文件惡意軟件可以通過惡意腳本(例如宏和PowerShell命令)、惡意注冊表項、LOLBins、LOLScripts、WMI/WSH和反射DDL注入等來傳播。APT32(OceanLotus、海蓮花)使用無文件惡意軟件入侵東南亞多個組織,包括政府機構和私營公司,同時逃避檢測和歸因。
四、硬件攻擊:APT可能會使用基于硬件的攻擊,例如篡改固件、硬件植入或操縱外圍設備,以獲得持久駐留并逃避傳統的安全措施。如果沒有專門的工具和專業知識,此類攻擊很難檢測和消除。一個值得注意的案例是方程式黑客組織用于重新編程硬盤固件的惡意軟件。
五、零日攻擊:APT可能會實施零日攻擊來利用軟件或硬件中以前未知的漏洞。零日攻擊非常有效且殺傷力巨大,因為沒有可用的補丁或防御措施。著名的震網攻擊使用的Stu.NET就是一種復雜且有針對性的蠕蟲病毒,它利用工業控制系統中的多個零日漏洞,非常有效且難以檢測。
六、內存攻擊:內存攻擊利用軟件中的漏洞來訪問計算機內存中存儲的敏感數據。這些攻擊可以繞過針對基于文件的威脅的傳統安全措施。APT32以使用無文件惡意軟件和“靠地生存”(LOL)技術在計算機內存中秘密運行并規避傳統安全措施而聞名。
七、DNS隧道:APT組織也會使用DNS隧道從受害者網絡中竊取數據。此技術涉及對DNS請求或響應中的數據進行編碼,從而允許攻擊者繞過不完善的DNS流量外圍安全措施。CosyBear使用DNS隧道與其命令和控制服務器進行通信,并以隱秘的方式竊取目標組織的敏感信息。
八、先進的反取證技術:APT組織會投入大量精力來掩蓋其蹤跡并消除攻擊證據。他們可能采用先進的反取證技術來刪除日志、操縱時間戳或加密數據以阻礙調查和響應工作。方程式組織實施的一次震驚業界的高級反取證技術攻擊涉及使用名為“DoubleFantasy”的Rootkit來隱藏并長期駐留在受感染系統中,這使得分析人員檢測和分析其活動變得極具挑戰性。
九、多平臺或自定義惡意軟件:APT組織會采用能夠針對windows和macOS系統的惡意軟件,以最大限度地擴大其影響范圍。他們還會部署定制的惡意軟件,例如Scanbox偵察框架來收集情報。APT1(也稱為CommentCrew)就是一個例子,它利用定制惡意軟件滲透并竊取全球各個組織的敏感數據。
十、密碼噴射:密碼噴射攻擊指用常見密碼來“碰撞”多個賬戶,試圖獲取初始訪問權限。APT33(Elfin)以中東和全球的組織為目標,使用密碼噴射攻擊來入侵電子郵件帳戶并為進一步的網絡間諜活動獲得立足點。
企業防御APT攻擊的四大措施:
縱深防御策略:全面的縱深防御策略對于打擊APT攻擊至關重要。這包括實施多層安全控制,例如強大的周邊防御、網絡分段、端點保護、入侵檢測系統、數據加密、訪問控制和持續監控異常情況。
威脅情報和共享:企業應積極參與威脅情報共享社區,并與行業同行、政府機構和安全供應商合作。共享有關APT組織及其技術的信息,這可以幫助更有效地檢測和緩解攻擊。
員工教育和安全意識培訓:定期的安全意識培訓計劃、網絡釣魚模擬和培訓課程可以讓員工了解最新的威脅、社會工程技術和安全計算實踐。
事件響應和恢復:盡管采取了預防措施,企業仍應制定明確的APT攻擊事件響應計劃。這包括事件檢測、遏制、根除和恢復程序,以最大限度地減少APT攻擊的影響并盡快恢復正常運行。
