資源描述:
《APT攻擊技術(shù)思考-天融信》由會(huì)員上傳分享�,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)��。
1��、APT技術(shù)分析與思考-陽(yáng)光1什么是APT1.1概述IT技術(shù)的突飛猛進(jìn)促使著云計(jì)算�、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等成為ICT當(dāng)前最重的要業(yè)務(wù)�����,深刻地普惠著人們的生活����。但與此同時(shí),各種信息安全問(wèn)題也隨之而來(lái)�,困擾甚至危及個(gè)人、企業(yè)及國(guó)家安全���,使得信息安全產(chǎn)業(yè)“身份倍增”����。其中,近期的APT(AdvancedPersistentThreat)問(wèn)題更是將信息安全產(chǎn)業(yè)推到風(fēng)口浪尖上���,“APT”也成為業(yè)界內(nèi)的“時(shí)髦名詞”�����。究其原因���,近幾年世界各地發(fā)生了多起名噪一時(shí)的APT攻擊事件,主要有:?2010年1月���,極光行動(dòng)(OperationAurora)攻擊GMail
2�����、。?2010年7月���,震網(wǎng)(Stuxnet)攻擊伊朗布什爾核電站���。?2011年3月�����,Comodo的數(shù)字簽名被竊�。?2011年3月����,EMC的RSASecurID技術(shù)數(shù)據(jù)遭竊。?2011年4月���,SonyPSN用戶資料外泄����。?2011年5月��,美國(guó)軍火大廠洛克希德馬丁(LockheedMartin)的被入侵�����。?2011年5月����,Gmail大量賬號(hào)被入侵��。?2011年6月����,CIA被入侵�。?2011年6月,Sega游戲公司被入侵����,用戶資料外泄。?2011年6月�����,國(guó)際貨幣基金(IMF)被入侵�。?2011年7月,蘋(píng)果公司(Apple)被入侵����。?2011年11月
3、����,日本總務(wù)省發(fā)現(xiàn)計(jì)算機(jī)遭木馬入侵已三個(gè)月��。?2012年1月,亞馬遜旗下美國(guó)電子商務(wù)網(wǎng)站Zappos遭到黑客網(wǎng)絡(luò)攻擊��,2400萬(wàn)用戶的電子郵件和密碼等信息被竊取�。?2012年3月,東軟集團(tuán)被曝商業(yè)秘密外泄��,約20名員工因涉嫌侵犯公司商業(yè)秘密被警方抓捕�����。此次商業(yè)秘密外泄造成東軟公司損失高達(dá)4000余萬(wàn)元人民幣��。資料?2012年3月����,央視3.15晚會(huì)曝光招商銀行、中國(guó)工商銀行����、中國(guó)農(nóng)業(yè)銀行員工以一份十元到幾十元的價(jià)格大肆兜售個(gè)人征信報(bào)告、銀行卡信息�,導(dǎo)致部分用戶銀行卡賬號(hào)被盜。?2012年5月�����,1號(hào)店90萬(wàn)用戶信息被500元叫賣。有媒體從90萬(wàn)全
4���、字段的用戶信息資料上進(jìn)行了用戶信息驗(yàn)證�����,結(jié)果表明大部分用戶數(shù)據(jù)屬真實(shí)信息�����。個(gè)人信息的泄露將會(huì)導(dǎo)致詐騙���、勒索甚至威脅人身安全的事件發(fā)生頻率增高,讓人心悸����。?2012年7月,京東�����、雅虎�����、Linkedin和安卓論壇累計(jì)超過(guò)800萬(wàn)用戶信息泄密�����,而且讓人堪憂的是�����,部分網(wǎng)站的密碼和用戶名稱是以未加密的方式儲(chǔ)存在純文字檔案內(nèi)����,意味著所有人都可使用這些信息。?2012年7月����,三星電子員工向LGD泄密AMOLED技術(shù)被起訴。?2012年8月����,銀行外包后臺(tái)成泄密重災(zāi)區(qū),江蘇銀行1個(gè)月賣千份客戶資料��。同月���,上海數(shù)十萬(wàn)條新生兒信息遭倒賣���,出自市衛(wèi)生局?jǐn)?shù)據(jù)庫(kù)外包維
5����、護(hù)工作人員。?2012年9月,美國(guó)媒體報(bào)道:有黑客組織聲稱破解了聯(lián)邦調(diào)查局(FBI)主管的筆記本電腦��,獲得了1200萬(wàn)蘋(píng)果iOS用戶UDID、用戶名、設(shè)備名稱、設(shè)備類型��、蘋(píng)果推送通知服務(wù)記錄�����、電話號(hào)碼����、地址��、等重要內(nèi)容��。?2012年11月���,“三通一達(dá)”等多家快遞公司客戶信息遭販賣�����??爝f單號(hào)的信息被大面積泄露�����,甚至衍生出多個(gè)專門(mén)交易快遞單號(hào)信息的網(wǎng)站��。這些交易網(wǎng)站顯示�����,被交易的快遞單號(hào)來(lái)自包括申通�����、圓通����、中通、韻達(dá)在內(nèi)的多個(gè)快遞公司�����,“淘單114”還寫(xiě)著“單號(hào)來(lái)源于各地快遞員”。要分析APT首先必須了解APT攻擊與普通攻擊有什么區(qū)別�����,其實(shí)在兩
6�����、者并無(wú)本質(zhì)的區(qū)別��,都是網(wǎng)絡(luò)攻擊行為�����,都包含攻擊三要素即攻擊目標(biāo)�����、攻擊目的����、攻擊過(guò)程,而前者相對(duì)于后者的特點(diǎn)體現(xiàn)在攻擊三要素的總結(jié)就是“APT”���,但不是“AdvancedPersistentThreat”而是“AdvancedPersistentTargeted”���,即針對(duì)性地�����、高級(jí)地�����、持續(xù)性地攻擊。T:攻擊目標(biāo)明確�、攻擊目的明確攻擊目標(biāo)通常都具有深厚背景,包括可政治�����、經(jīng)濟(jì)�����、安全技術(shù)等���,攻擊目的通常都是竊取����、控制、破壞攻擊目標(biāo)所掌握的重要資源�,而這些資源肯定是攻擊目標(biāo)所重點(diǎn)保護(hù)的對(duì)象,因此決定了攻擊過(guò)程的高難度性���,體現(xiàn)在難以突破��、難以隱蔽�����、難以
7����、定位�����。P:攻擊過(guò)程時(shí)間長(zhǎng)資料由于攻擊過(guò)程的高難度性決定了需要尋找機(jī)會(huì)進(jìn)行縱向突破進(jìn)入攻擊目標(biāo)網(wǎng)絡(luò)����,再進(jìn)行橫向摸索滲透,為了避免暴露攻擊行為需隱匿在目標(biāo)網(wǎng)絡(luò)正常行為中��,整個(gè)過(guò)程需要經(jīng)歷數(shù)月甚至數(shù)年。A:攻擊手段高級(jí)由于攻擊過(guò)程的高難度性決定攻擊手段的高級(jí)性��,主要體現(xiàn)在人力�����、物力�����、財(cái)力以及技術(shù)代價(jià)�。例如,耗費(fèi)大量人力�����、物力��、財(cái)力進(jìn)行情報(bào)搜集���;利用社會(huì)工程學(xué)誘騙、利用0day漏洞或特種木馬攻擊���、利用物理擺渡直接從內(nèi)部發(fā)起攻擊等��;利用合法網(wǎng)絡(luò)通道建立隱蔽信道��。1.2APT攻擊典型案例極光行動(dòng)(2009-2010)針對(duì)GOOGLE等三十多個(gè)高科技公司
8���、的極光攻擊���。攻擊者通過(guò)FACEBOOK上的好友分析,鎖定了GOOGLE公司的一個(gè)員工和他的一個(gè)喜歡攝影的電腦小白好友����。攻擊者入侵并控制了電腦小白好友的電腦,然后偽造了一個(gè)照片服務(wù)
