資源描述:
《APT攻擊研究與企業(yè)防御體系缺陷分析》由會員上傳分享����,免費在線閱讀�����,更多相關(guān)內(nèi)容在教育資源-天天文庫���。
1�����、DD思邁奧WWW.ANJIAN168.COMAPT攻擊研究與企業(yè)防御體系缺陷分析 網(wǎng)絡(luò)安全����,尤其是Internet互聯(lián)網(wǎng)安全正在面臨前所未有的挑戰(zhàn),這主要就來自于有組織���、有特定目標�、持續(xù)時間極長的新型攻擊和威脅�,國際上有的稱之為APT攻擊,或者稱之為"針對特定目標的攻擊".DD思邁奧WWW.ANJIAN168.COM 一般認為����,APT攻擊就是一類特定的攻擊,為了獲取某個組織甚至是國家的重要信息�����,有針對性的進行的一系列攻擊行為的整個過程��。APT攻擊利用了多種攻擊手段��,包括各種最先進的手段和社會工程學(xué)方法�����,一步一步的獲取進入組織內(nèi)部的權(quán)限��。APT往往利用組織內(nèi)部的人員作為攻擊跳板�����。有時候��,
2�、攻擊者會針對被攻擊對象編寫專門的攻擊程序,而非使用一些通用的攻擊代碼�����?��! 〈送?�,APT攻擊具有持續(xù)性�����,甚至長達數(shù)年���。這種持續(xù)體現(xiàn)在攻擊者不斷嘗試各種攻擊手段����,以及在滲透到網(wǎng)絡(luò)內(nèi)部后長期蟄伏����,不斷收集各種信息,直到收集到重要情報��。DD思邁奧WWW.ANJIAN168.COM 更加危險的是�����,這些新型的攻擊和威脅主要就針對國家重要的基礎(chǔ)設(shè)施和單位進行�����,包括能源�、電力、金融�����、國防等關(guān)系到國計民生����,或者是國家核心利益的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。DD思邁奧WWW.ANJIAN168.COM 對于這些單位而言���,盡管已經(jīng)部署了相對完備的縱深安全防御體系���,可能既包括針對某個安全威脅的安全設(shè)備,也包括了將各種單一安全
3�、設(shè)備串聯(lián)起來的管理平臺,而防御體系也可能已經(jīng)涵蓋了事前�、事中和事后等各個階段。但是����,這樣的防御體系仍然難以有效防止來自互聯(lián)網(wǎng)的入侵和攻擊,以及信息竊取���,尤其是新型攻擊�����?���! ∠旅媪信e幾個典型的APT攻擊實例,以便展開進一步分析��?! ?、Google極光攻擊DD思邁奧WWW.ANJIAN168.COM 2010年的GoogleAurora攻擊是一個十分著名的APT攻擊��。Google的一名雇員點擊即時消息中的一條惡意鏈接��,引發(fā)了一系列事件導(dǎo)致這個搜索引擎巨人的網(wǎng)絡(luò)被滲入數(shù)月����,并且造成各種系統(tǒng)的數(shù)據(jù)被竊取。這次攻擊以Google和其它大約20家公司為目標�,它是由一個有組織的網(wǎng)絡(luò)犯罪團體精心策劃的
4、����,目的是長時間地滲入這些企業(yè)的網(wǎng)絡(luò)并竊取數(shù)據(jù)。該攻擊過程大致如下: 1)對Google的APT行動開始于刺探工作���,特定的Google員工成為攻擊者的目標���。攻擊者盡可能地收集信息����,搜集該員工在Facebook����、Twitter����、LinkedIn和其它社交網(wǎng)站上發(fā)布的信息。DD思邁奧WWW.ANJIAN168.COM 2)接著攻擊者利用一個動態(tài)DNS供應(yīng)商來建立一個托管偽造照片網(wǎng)站的Web服務(wù)器��。該Google員工收到來自信任的人發(fā)來的網(wǎng)絡(luò)鏈接并且點擊它��,就進入了惡意網(wǎng)站����。該惡意網(wǎng)站頁面載入含有shellcode的JavaScript程序碼造成IE瀏覽器溢出,進而執(zhí)行FTP下載程序�����,并從遠端
5�����、進一步抓了更多新的程序來執(zhí)行?���! ?)接下來,攻擊者通過SSL安全隧道與受害人機器建立了連接�����,持續(xù)監(jiān)聽并最終獲得了該雇員訪問Google服務(wù)器的帳號密碼等信息����。DD思邁奧WWW.ANJIAN168.COM 4)最后,攻擊者就使用該雇員的憑證成功滲透進入Google的郵件服務(wù)器�����,進而不斷的獲取特定Gmail賬戶的郵件內(nèi)容信息��?�! ?����、夜龍攻擊 夜龍攻擊是McAfee在2011年2月份發(fā)現(xiàn)并命名的針對全球主要能源公司的攻擊行為。該攻擊的攻擊過程是: 1)外網(wǎng)主機如Web服務(wù)器遭攻擊成功�,黑客采用的是SQL注入攻擊�;DD思邁奧WWW.ANJIAN168.COM 2)被黑的Web服務(wù)器被作
6��、為跳板�,對內(nèi)網(wǎng)的其他服務(wù)器或PC進行掃描; 3)內(nèi)網(wǎng)機器如AD服務(wù)器或開發(fā)人員電腦遭攻擊成功�,多半是被密碼暴力破解��; 4)被黑機器被植入惡意代碼����,并被安裝遠端控制工具,并禁用掉被黑機器IE的代理設(shè)置�����,建立起直連的通道�����,傳回大量機敏文件�����,包括所有會議記錄與組織人事架構(gòu)圖��; 5)更多內(nèi)網(wǎng)機器遭入侵成功,多半為高階主管點擊了看似正常的郵件附件��,卻不知其中含有惡意代碼�。DD思邁奧WWW.ANJIAN168.COM上一頁123下一頁第1頁:APT攻擊與企業(yè)防御分析第2頁:RSASecurID竊取攻擊第3頁:ShadyRAT攻擊DD思邁奧WWW.ANJIAN168.COM 網(wǎng)絡(luò)安全,尤其是In
7����、ternet互聯(lián)網(wǎng)安全正在面臨前所未有的挑戰(zhàn),這主要就來自於有組織��、有特定目標�����、持續(xù)時間極長的新型攻擊和威脅���,國際上有的稱之為APT攻擊����,或者稱之為"針對特定目標的攻擊".DD思邁奧WWW.ANJIAN168.COM 一般認為�����,APT攻擊就是一類特定的攻擊,為瞭獲取某個組織甚至是國傢的重要信息����,有針對性的進行的一系列攻擊行為的整個過程。APT攻擊利用瞭多種攻擊手段���,包括各種最先進的手段和社會工程學(xué)方法��,一步一步的獲取進
