2018年12月04日
有針對性的攻擊是(或應該)是任何地方大型組織的重要關注點。精心設計的攻擊分六個階段進行,顯示攻擊者如何在目標內進展。
自從有針對性的攻擊首次出現在威脅環境中已有好幾年了,各種威脅和我們對他們的理解都已經發生了演變和成熟。從那時起我們學到了什么以及發生了什么變化?
在我們開始討論有針對性攻擊的不同組成部分之前,考慮使競選活動成功的因素也很重要。公司遭到入侵的原因之一是因為他們的前線員工和他們的意識很弱。意思是,人的障礙作為抵御目標攻擊的第一道防線是至關重要的。
目標攻擊的六個組成部分代表邏輯的、結構化攻擊中的不同步驟。然而,現實更加混亂。一旦階段“完成”,并不意味著沒有其他與該階段相關的活動發生。 一個攻擊的多個階段可能同時進行:例如,在任何目標攻擊中發生都會發生C&C通信。攻擊者需要控制目標網絡中正在進行的任何活動,因此C&C通信量自然會繼續在攻擊者和任何受損系統之間來回傳遞。
最好將每個組件視為同一攻擊的不同方面。網絡的不同部分可能同時面臨攻擊的不同方面。
這可能會對組織如何響應攻擊產生重大影響。不能簡單地假設因為在“早期”階段檢測到攻擊沒有進行“后期”階段。適當的威脅響應計劃應該考慮這個并做出相應的計劃。
情報收集
任何有針對性攻擊的第一階段都涉及收集有關預定目標的信息。然而,大量可用于執行攻擊的信息僅限于公司網絡。因此,即使攻擊已經在進行中,這個階段也不會停止。從網絡內獲取的數據有助于提高任何持續攻擊的效率。
除了信息之外,發現各個團隊之間存在的連接以及擴展到目標組織之外的連接,還可以幫助攻擊者確定更多攻擊的良好目標。
入口點
傳統上有針對性的攻擊使用魚叉式網絡釣魚電子郵件來滲透目標組織的網絡。雖然這仍然是一種有效的策略,但攻擊者已經添加了其他方法來實現這一目標。
這些替代方案包括水坑攻擊(即針對目標行業或組織經常訪問的網站的攻擊)。但是,除了初始入口點之外,攻擊者還可以在目標網絡中添加其他入口點。可以針對不同的員工或網絡段來確保更完整的攻擊。
此外,攻擊者可以在橫向移動過程中不斷向各種系統添加后門,這可以作為已經受到攻擊的組織的額外切入點。對于攻擊者來說,如果檢測到并刪除了較舊的入口點,這些可能會非常有價值。
C&C通信
為了有效地發起目標攻擊,攻擊者需要能夠有效地控制目標網絡中任何受到破壞的計算機。隱藏后門C&C通信的一些方法,但我們最近看到的另一個趨勢是內部機器如何充當中間C&C服務器。攻擊者將連接到此內部C&C服務器,然后將其傳遞給組織內的其他受感染計算機。
橫向移動
攻擊者不斷重復有針對性攻擊的橫向移動。在此過程中,還會發生一些與其他階段(例如情報收集)分類的活動。此外,其他系統可能會后門作為額外的受損機器。
橫向移動使用合法的系統管理工具來幫助隱藏其活動,并且有三個目標:升級目標網絡中的可用權限,在目標網絡內執行偵察,以及橫向移動到網絡內的其他機器。
這個方面可能是有針對性攻擊最重復的一個方面; 此外,它也是最全面的,因為此步驟也可以包含目標攻擊的其他階段。進行內部偵察和信息收集,收集的任何“情報”可用于識別橫向移動的潛在目標,以及可以找到的任何資產。
維護
成功的針對性攻擊是指在其背后的各方需要的情況下可以繼續進行的攻擊。與其他任何事情一樣,攻擊者需要對正在進行的攻擊進行維護以保持其正常運行。這可以包括使用不同的后門和C&C服務器,或使用補丁來確保其他攻擊者無法利用攻擊中使用的相同漏洞。
數據泄露
數據泄露是任何有針對性攻擊的最終目標。但是,受感染的計算機并不總是包含有價值的信息,而某些系統可能不包含任何值得竊取的信息。
從網絡安全解決方案的角度來看,滲透過程可能會“嘈雜”,因為它可能涉及在正常操作過程中無法找到的大量網絡流量。攻擊者試圖“隱藏”泄漏流量的一種嘗試是在以受控方式提取數據之前將大量被盜數據傳輸到組織內的機器。眾所周知,在涉及PoS惡意軟件的事件中會發生這種情況。
有針對性的攻擊是當今任何組織的一個重大問題,并且在可預見的未來將繼續如此。對于那些玩防守的人來說,了解威脅形勢不斷變化以創造必要的適當防御是非常重要的。
江蘇國駿信息科技有限公司在信息網絡安全、運維平臺建設、動漫設計、軟件研發、數據中心領域具備十多年的行業沉淀。公司遵循信息安全整體性的IATF模型,從“人員素養”、“制度流程”、“技術產品”三個視角提供全面、可信的方案,業務涵蓋咨詢、評估、規劃、管控、建設、培訓等。
江蘇國駿信息科技有限公司——全面可信的信息安全服務商。