如何找到APT攻击的“脉门“

近段时间比特币、以太币等数字货币币值出现了大幅降低,但并不意味着网络不法分子就会放弃这块“肥肉”。

普林斯顿大学的计算机科学教授 Arvind Narayanan 评估,比特币挖矿每天耗掉 5 吉瓦的电力,接近全球耗电量的1%。然而,这其中并不包括隐形的“挖矿病毒”,作为吞噬 PC 资源的“大户”,挖矿病毒通过控制 PC 的处理器、显卡等硬件,执行高负载的挖矿计算脚本来进行挖矿。

挖矿病毒的风险还在于,其目的并非局限在窃取 PC 的计算能力方面,而是会利用自己善于隐匿的优势,为威胁更大的 APT 攻击预留了空间。 

  如何找到 APT 攻击的“脉门”?

雷锋网宅客频道在不久前亚信安全举办的高级威胁治理 10 年暨 XDR 战略发布会上和亚信安全通用产品管理副总经理刘政平聊了聊。

APT 攻击之变

刘政平打趣自己看电影只看有外星人的,出差路上就在看X战警,为什么?因为外星人代表未知。

而 APT 实际上也代表了一种未知。

刘政平

时间倒回至 2001 年,红色代码病毒爆发,大批计算机宕机,程序员们彻夜重装系统。此后,数据库入侵事件层出不穷,利用漏洞进行蠕虫化传播的病毒种类愈发壮大,如振荡波、冲击波等等。

其中,被作为里程碑的就是间谍软件的诞生。其开启了黑产的商业模式,黑客攻击开始从炫技走向利益。无论是网页威胁、定向攻击、移动端攻击还是现在的勒索病毒攻击,你会发现原来 APT 的威力那么巨大,如果水利系统、发电系统、能源系统,包括飞机的飞控系统等被 APT 入侵,产生的威胁非常巨大。

除此之外,这些 APT 攻击隐蔽性越来越强,甚至可以隐藏2-3 年不被发现.

黑客们是很狡猾的,刘政平告诉雷锋网,为了避免被人发现这些拥有资金和人才的黑产团伙会做测试,购买所有主流安全产品、安全技术都部署到自己的实验室,测试发起的 APT 攻击能不能被检测到。

除了拥有隐身能力,还要有形态变化。大型的银行、保险、券商大型企业受到的 APT 攻击样本都是不一样的,黑产会做一级处理或是带上“面纱”,总之攻击形态不是一丝不变。

如此一来,企业安全运营中心(SoC 平台)十分挠头。一来新威胁层出不穷,无论漏洞类型还是攻击路径,都千奇百怪,防不胜防;其二,安全产品割裂,无整体能力;其三,依靠人力进行安全响应太过被动;其四,安全专家短缺,简直是香饽饽;而最重要的,随着数字化转型带来的业务基础架构变化,包括整个 IT 架构的变化和出现的移动办公、物联网等,企业攻击界面不断扩大。

此时,重新设防已经挡不住这些威胁了,应该怎么办?

APT 攻击之防

遭遇强盗破门而入后最佳反应是什么?第一,分析损失,第二,报警抓人。

对应到企业遭遇 APT 攻击也是这两步,第一步,内网出现安全事件后用最短时间针对威胁作出分析判断。

在网络环境、虚拟化环境下,需要有事故检测能力,结合黑客行为建立模型和规则,分析其常用手段。就像武侠小说里的江湖门派,每个门派都有自己的武功招式。黑客也是如此,可以根据其独特的攻击手法和特征进行判断。

“当然,更重要的是企业内部能不能建立情报机制。”刘政平说到。

如果安全厂商能帮政府以及一些大型行业用户建立本身的情报机制,会大大提高抗 APT 的功能。未来云的情报必不可少,这是场景化,行业化的走向。

第二步,需要有应急响应机制。不同场景的响应机制是不一样的,比如商务写字楼与厂房不一样,更需要一个精密编排。

精密编排有三个要素,一个是预案,对于预案来说,需要覆盖不同场景。不一样的黑客攻击手段预案是不一样的,比如零日漏洞攻击和 DDoS 攻击的预案不一样。

据刘政平透露,准备预案是有“套路”的,大概分“准备、发现、分析、遏制、消除、恢复、优化”7 个阶段,准备阶段包括了针对每一种黑客攻击类型的标准预案,自发现威胁数据之后,将数据集中到本地威胁情报和云端威胁情报做分析,利用机器学习和专家团队,通过分析黑客进攻的时间、路径、工具等所有细节,其特征提取出来,再进行遏制、清除、恢复和优化。整个套路类似航空飞机驾驶员面对紧急情况处理机制,必然有一个装满预案的黑匣子。

第二个要素是方法论。安全行业面临一个很浮躁的问题,大家都在卖产品,不重视对知识的沉淀。在此期间可能也培养了很多人,但这些人的经验没有迭代起来。怎么去迭代?把预案写下来,不断去优化它。

第三个要素是工具,一个非常好的工具可以加快分析的速度和方便性。

举个栗子,企业出现 APT 攻击时候,会触发所有安全产品的相应告警。此时,怎么把噪音去掉找到根源?这就像吃粽子,想要打开粽子需要找到整条线的根结点。对于安全系统来说要把所有行为数据记录下来,这样在发生攻击后才能利用网络层、终端等的数据还原整个攻击过程。

拿挖矿打个比方,最近挖矿事件在国内云平台上,包括主机、数据中心大量出现。因为挖矿本身能挣钱,所以很多黑客会把它的挖矿病毒通过远程方式种在云主机里面。比如向组织内部的员工大量发送精心伪造的垃圾邮件,这些垃圾邮件一般会在附件中植入挖矿相关的恶意代码,并使用具有诱惑力的标题和内容诱惑员工下载并打开。一旦成功侵入,病毒往往会注入系统进程,并读取挖矿配置信息进行挖矿。

  这时如何找出这条“泥鳅”?

对于挖矿病毒来说,生存时间是衡量其销量的最重要标准。为了达到这一目标,网络犯罪分子采取的战术策略也在不断演变,更多的是使用了免杀机制。在对抗挖矿病毒的过程中,持续的监察与发现能力至关重要。比如需要对主机资源占用异常现象进行监控,提取相应数据。之后通过算法生成威胁情报并判断是否为挖矿行为,如果是就需要通过态势感知系统调动工具协同响应,最后消除风险。

这整个过程就是亚信安全新一代高级威胁治理战略的精髓,即基于 SOAR 模型的精密编排的自动化检测及响应-XDR 体系,对于时常需要查漏补漏的安全小哥们非常友好了。

“也就是,在不确定的网络安全世界里,寻找一个确定性的方法,帮助用户真正提升网络空间恢复补救的能力。”

写在最后

从因为一名员工点击了即时消息中的恶意链接,导致 Google 这个搜索引擎巨人被渗透,到伊朗布什尔核电站遭到 Stuxnet 蠕虫攻击,再到 Target 超市、eBay 、iCloud、索尼影视、Anthem、百货公司 Neiman Marcus……通过十年不断的演化发展,APT 已经成为最具攻击性、隐蔽性、破坏性的网络威胁。

APT 攻击将会像普通病毒攻击一样普遍。

此时对于安全厂商来说最重要的是什么?可能需要技术上的改变与创新。

6,864 views

发表评论