从“攻击链”的视角寻找APT攻击的对抗点

围观次数:786 views

(一)APT攻击的top 10

美国fireeye2013年关于APT攻击的一份报告中《fireeye-advanced-threat-report-2013》,提到了恶意攻击机构的TOP10。这些都是APT攻击的主要对象。包括政府、金融、运营商、航空国防、高科技产业等等。

APT攻击的目标国家和组织的TOP10,各位可自行看明白。

()APT攻击的攻击链

  • Reconnaissance(侦查,充分的社会工程学了解目标)

  • Weaponization(定向的攻击工具的制作。常见的工具交付形态是带有恶意代码的pdf文件或office文件)

  • Delivery 把攻击工具输送到目标系统上。APT攻击者最常用这三种来传送攻击工具,包括邮件的附件、网站(挂马)、USB等移动存储。

  • Exploitation 攻击代码在目标系统触发,利用目标系统的应用或操作系统漏洞控制目标。

  • Installation 远程控制程序(特马)的安装。使得攻击者可以长期潜伏在目标系统中。

  • Command and Control (C2) :被攻破的主机一般会与互联网控制器服务器建立一个C2信道,即与C2服务器建立连接。

  • Actions on Objectives:经过前面六个过程,攻击者后面主要的行为包括 1、偷取目标系统的信息,破坏信息的完整性及可用性等。 2、进一步以控制的机器为跳转攻击其它机器,扩大战果。

()APT攻击链的防御和检测措施表

防守方需要关注的措施类别

  • Detect: Can you see/find it?(能否检测到攻击)

  • Deny: Can you stop it from happening? (能否避免遭受攻击)

  • Disrupt: Can you stop it while it’s happening?(能否阻止正在进行的攻击)

  • Degrade: Can you make it not worth it?(能否让攻击者觉得攻击不值得,降低其攻击级别)

  • Deceive: Can you trick them [the adversary]?(能否诱骗或重定向攻行为)

  • Destroy: Can you blow it up? (能否摧毁攻击者)

下面是个行为矩阵,综向维度为APT的攻击各个阶段,横向维度为防守主要手段。还是看图更准确。

还有一副更完整的图也一并放在这里。

()APT攻击的情报信息

下图描述了一个APT攻击的情报信息,包括了侦察、武器化、交付、漏洞利用、安装、命令&控制和行动阶段的各个信息。

对防御方来说,对相关情报的监测能力就非常关键了,上述的各个信息获取安全情报信息后能否有效的检测到就至关重要了。需要有各种的分析手段,包括FPC/FPI技术,DPI/DFI分析技术, SIEM技术,蜜网技术、沙箱技术、以及行为分析技术等,通过各种技术手段进行分析。这些都可以作为大数据分析平台的数据输入点,分析的数据源。

(五)预警尽量提前,响应的时间差尽可能小

显然,企业在越早期阶段检测到攻击,就越可能阻止攻击。理解和分析这些杀伤链是关键,可以帮助企业在必要阶段部署适当的防御控制。

做安全的关键点是预警尽量提前,响应的时间差尽可能小。通过情报共享、协作,可以更主动的进行安全工作。下面两幅图主要体现分析监测点的提前。图3、图4都是典型的APT的攻击过程。

1人评论了“从“攻击链”的视角寻找APT攻击的对抗点”

  1. 你好;问一下,文章中关于APT的攻击步骤截图来源于哪份文档?想学习下;谢谢

发表评论

电子邮件地址不会被公开。 必填项已用*标注

广告赞助