目前APT攻击最新检测技术及发展态势在网络安全圈中被炒得火热,针对实际APT攻击分析的从业者来看,拥有什么样的专业技能才能成为这一领域的专家?我从能想到的十点框架谈起:
一、目前APT攻击存在的人群:
骇客(Hacker)、黑客(Cracker)、内鬼、工业控制系统间谍、病毒制造者、国外情报机关和商业间谍
易受攻击的群体:金融、商业领域及政府
攻击团队化:基于政治、商战目的的有组织团队。攻击目标更重要、更明确。分工详细,具有研制更为先进的攻击技术或工具的能力
二、大数据中对异常流量的感知分析能力
1、能使用协议分析工具如(Wrishark或自己公司或团队定制研发)独立识别各种通讯协议,对异常流量具有手工重组还原的能力。
2、了解常用远程控制软件或其它常见攻击类工具的通讯加密协议,具有解包还原的能力,如压缩算法Zlib, 流加密算法-RC4。
三、熟悉远程控制软件和各种攻击类软件指纹
1、木马指纹:Gh0st 特征在数据流量中存在Gh0st字符串……
2、部分常见应用漏洞扫描器的指纹:
AcunetixWeb Vulnerability Scanner指纹特征请求的参数值中包含字符串特征:acunetix_wvs_security_test
四、 对可疑邮件的分析洞察能力
1、 对邮件头的分析
2、 对邮件附件的恶意样本的分析
3、 对邮件XSS代码的分析
4、 对邮件恶意Link连接的分析
五、对恶意样本的分析能力
1、 能独立脱掉各种类型恶意样本的壳
2、 完成对远程控制软件植入、反弹域名和各种回传方式的分析
3、 对远程控制软件自身功能加密方式的逆向分析能力
4、 完成对一个木马家族变种聚类的归总
5、 根据恶意样本找出远程控制软件的控制端或者可以根据木马服务端的通讯协议和加密算法完成对木马控制端的研发
6、 对沙箱逃逸技术的检测和分析
六、对恶意攻击行为的各种方式的识别能力:
1、通过电子邮件:通过email,将木马程序以附件的形式通过电子邮件发送到用户端(收信人),收信人只要打开附件就会被植入木马程序,这是黑客获取指定目标电脑控制权的常用手段之一。
2、通过下载文件:黑客将木马程序捆绑在软件安装程序上,用户在不知道的情况下下载并安装,木马程序随着安装程序的安装也就自动地安装到用户的计算机上,目前天空软件园和华军软件园也发现出这种情况。或利用一些非正规的网站以提供软件下载为名,将木马捆绑在软件安装程序上下载后只要运行这些程序,木马就会自动安装。
3、通过网页木马:木马和网页捆绑在一起,当用户浏览到该网页,就会在不知不觉中下载其捆绑的木马并执行,如利用邮件跨站漏洞当打开一封黑客伪造的邮件内容,木马利用网页木马的漏洞偷偷植入到浏览邮件使用人的电脑中。
4、通过社会工程学:通过欺骗的手段诱惑用户打开带有0day恶意代码的网址植入木马程序。木马的植入离不开系统及应用程序漏洞,利用漏洞得到机器控制权以后再种上木马也是一种行之有效的方法。随着系统及应用程序漏洞的不断发掘,木马的植入技术也必将随之不断推陈出新。
5、利用蠕虫病毒传播木马:网络蠕虫病毒具有很强的传染性和自我复制能力,将木马和蠕虫病毒结合在一起就可以大大地提高木马的传播能力。结合了蠕虫病毒的木马利用病毒的特性,在网络上进行传播、复制,这就加快了木马的传播速度。
6、前沿的种植方式:利用第三方软件升级漏洞,即获取对方网络的网络设备权限或内网arp对第三方软件升级文件进行劫持达到种植的目的,如通过修改劫持QQ,360,金山等第三方软件升级文件替换成木马程序达到隐蔽定向植入的目的。
7、通过人为方式收买内鬼……
七、对各种安全防护产品日志的分析挖掘能力:能对各种安全防护产品日志形成有效的可视化关联分析,减少大数据分析对APT攻击研判的误报性。
八、拥有一套不断完善的信誉库:在面对新型高级攻击的时候,黑白名单库、文件MD5库、威胁情报库、恶意样本库、黑客组织库、黑客兵器库等对我们发现的可疑恶意攻击线索会提供强有力的支撑和帮助。
九、对各种0day、Nday的分析挖掘能力:如浏览器、office系列、第三方软件漏洞
十、熟练搭建各种蜜罐系统:对远程控制木马或攻击者的行为分析日志记录下来,完成整个电子取证环节的中间一环。
十一、熟悉目前经典的APT攻击的案例
由于时间和精力的原因,后续能想到的针对APT分析技能框架我会不断扩充,希望能和各位APT分析专家一起深入探讨这一领域的专业知识。