1 / 37

高级可持续攻击( APT )攻防分析

高级可持续攻击( APT )攻防分析. 杭州安恒 - 吴卓群. 演讲提纲. 1 、 APT 攻击介绍. 2 、 APT 攻击案例分析. 3 、 APT 攻防分析. APT 攻击. 什么是 APT Advanced Persistent Threat APT 是指高级的持续性的渗透攻击,是针对特定组织的多方位的攻击; APT 不是一种新的攻击手法,因此也无法通过阻止一次攻击就让问题消失. APT 攻击增长情况. 网络犯罪集团与 APT 攻击的区别. APT 攻击的常见流程. 演讲提纲. 1 、 APT 攻击介绍. 2 、 APT 攻击案例分析.

duncan-padilla
Télécharger la présentation

高级可持续攻击( APT )攻防分析

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 高级可持续攻击(APT)攻防分析 杭州安恒-吴卓群

  2. 演讲提纲 1、APT攻击介绍 2、APT攻击案例分析 3、APT攻防分析

  3. APT攻击 • 什么是APT • Advanced Persistent Threat • APT是指高级的持续性的渗透攻击,是针对特定组织的多方位的攻击; • APT不是一种新的攻击手法,因此也无法通过阻止一次攻击就让问题消失

  4. APT攻击增长情况

  5. 网络犯罪集团与APT攻击的区别

  6. APT攻击的常见流程

  7. 演讲提纲 1、APT攻击介绍 2、APT攻击案例分析 3、APT攻防分析

  8. APT攻击-韩国大规模MBR攻击 1 FIRST组织和APCERT组织了解到韩国主要广播电视台KBS、MBC、YTN,以及韩国新韩银行(ShinNan Bank)、农协银行(NongHyup Bank)等部分金融机构疑似遭受黑客攻击,相关网络与信息系统突然出现瘫痪 2 月中事件调查出炉,报导说朝鲜至少用了 8 个月来策划这次攻击,成功潜入韩国金融机构 1500 次,以部署攻击程序,受害计算机总数达 48000 台,这次攻击路径涉及韩国 25 个地点、海外 24 个地点,部分地点与朝鲜之前发动网络攻击所使用的地址相同。黑客所植入的恶意软件共有 76 种,其中 9 种具有破坏性,其余恶意软件仅负责监视与入侵之用。

  9. 攻击行为分析 • 邮件植入木马 • 病毒传播 • 病毒在3月20日下午2:00以后激活 • taskkill /F /IM pasvc.exe [AhnLab client] • taskkill /F /IM Clisvc.exe • Vista以上系统覆盖文件、其他的破坏引导扇区 • shutdown -r -t 0

  10. 对美国无人机厂商的 “Beebus” APT攻击 • 黑客团队利用钓鱼式攻击窃取美国无人机的相关信息,该行为被命名为“Beebus” • 在2012年初就在一些国防和航空航天客户系统上发现了一些可疑行为,在发现的261次攻击行为中,其中有123次是针对无人机或系统供应商。这些攻击一般通过电子邮件发送DOC、PDF等文件到客户邮箱,当用户打开附件,恶意软件立即会感染用户电脑,该恶意软件主要目标是美国和印度的政府机构、航空航天、国防和电信行业。

  11. 对美国无人机厂商的 “Beebus” APT攻击 • 使用包含http代理功能的mutter后门程序 • 和服务器通讯:<Mutter version#>-<campaign marker?>-<victim hostname>-<victim IP address> • 没有使用0day,只使用了一些老的漏洞

  12. 利用Twitter进行APT攻击 • 国外安全实验室监测到一例通过Twitter来进行APT攻击攻击的行为。并且其中用到了CVE-2013-0634 Adobe Flash SWF exploits

  13. 利用Twitter进行APT攻击 • 搜集目标人员Twitter账户 • 使用@的方法使目标人员访问特定页面 • 其中利用了CVE-2013-0634 Flash SWF来加载漏洞

  14. 2011年NASA遭受APT入侵报告 在2011财政年度,美国宇航局(NASA)的报道,这是47个APT攻击的受害者,其中13成功破坏机构的电脑。在一个成功的攻击,入侵者窃取用户凭据NASA的员工超过150个,证书可能已被用来获得未经授权的访问NASA系统。 入侵者可以做什么: (1)修改,复制,或删除敏感文件; (2)添加,修改,或删除用户帐户的关键任务的喷气推进实验室系统; (3)上传黑客工具盗取用户的凭据和妥协的NASA系统; (4)修改系统日志来掩饰他们的行动。 换句话说,袭击者在这些网络的全功能控制。

  15. 利用爆炸案热点的新APT攻击 黑客利用民众对波士顿马拉松爆炸案和德州化肥厂爆炸案的关注开展组合拳式的攻击。攻击方式包括钓鱼、iframe重定向、Redkit漏洞利用包、僵尸网络攻击诸多手段。黑客的攻击通过Zeus、Kelihot僵尸程序感染了大量的计算机,偷窃金融账号和个人信息,发送恶意邮件或劫持个人计算机展开DDoS攻击。

  16. 利用爆炸案热点的新APT攻击 • Phish email • 邮件以最近发生的波士顿马拉松爆炸事件祈祷作为主题进行定向攻击,希望别人打开附件文档 对这次爆炸事件进行祈祷。

  17. 美国举行“网络风暴III”演习 2010年9月27日至29日,美国国土安全部会同商务部、国防部、能源部、司法部、交通部和财政部,联合11个州和60家私营企业,举行了第三次网络风暴演习。与往届类似演习的不同之处在于,此次演习更多地反映了美国防部最新颁布的《四年一度防务报告》中提及的“竞争全球公共空间”(包括海洋、大气层、外太空以及网络空间)的概念,以协调整合一致的方式,将衡量与判断网络空间安全程度的标准提升到军用标准,将网络安全提升到国家安全战略核心内容之一的角度进行全行的策划与设计,综合性应对来自网络空间的挑战。

  18. 北约举行“2011网络联盟”演习 北约2011年12月16日发布公报说,13日至15日北约举行了一场网络防御演习,以检验应对大规模网络攻击的能力。 共有23个北约成员国和6个伙伴国参与这场代号“2011网络联盟”的演习。演习假设北约和参与国家的信息基础设施遭到大规模网络攻击,要求各方协调应对。演习目的一是检验参与方应对网络攻击的技术能力,二是提高北约成员国之间的协调应对能力。

  19. 2011年7月美国国防部发布《网络空间行动战略》2011年7月美国国防部发布《网络空间行动战略》 • 美国国防部2011年7月14日在其网站上发布了首份《网络空间行动战略》部分内容,新战略包括进一步将网络空间列为与陆、海、空、太空并列的“行动领域”;变被动防御为主动防御,从而更加有效地阻止、击败针对美军网络系统的入侵和其他敌对行为;进一步加强国防部与国土安全部等其他政府部门及私人部门的合作;通过技术创新能力保持国家的独创性。尽管美方一再强调新战略重在防御,但从种种迹象来看,美军已经将网络空间的威慑和攻击能力提升到更加重要的位置。

  20. 网络空间战不再是纸上谈兵 成军事强国战略必争地 • 俄罗斯在2002年的《俄联邦信息安全学说》中将信息网络战称为未来的“第六代战争”。 • 英国在2009年的《国家网络安全战略》中把网络攻击列为英国面临的四大威胁之一。 • 日本在2010年5月的《信息安全战略》中要求各部门构建能够应对大规模网络攻击的体制,确保网络空间安全。

  21. 网络空间面临着巨大的安全威胁 随着云计算和物联网技术发展应用,现实世界将与网络世界融为一体成为我们赖以生存的生态环境。 网络 犯罪 网络 恐怖 网络 战争

  22. 演讲提纲 1、APT攻击介绍 2、APT攻击案例分析 3、APT攻防分析

  23. APT攻击特点

  24. APT 攻击发现难点 • 如何有效发现0day攻击 • 如何定义攻击路径及行为 • 如何定义恶意文件的特征及行为 • 如何可以更好的了解APT攻击

  25. APT 攻击方式

  26. 基于人工的主动渗透 • 通过人工渗透进入内网,并对关键资源发动攻击(攻击目标关键资源包括域控、OA、邮箱、文件服务器、工控系统等) • 攻击途径: • WEB服务 • Vpn 服务 • 邮箱系统 • 其他对外开发并可能利用的服务

  27. 基于病毒木马攻击 • 通过病毒木马目标实施攻击,可能是很复杂的网络 • 典型案例: • Stuxnet 病毒 • Flame 病毒 即使在物理隔离也不安全

  28. 基于文件0day的攻击 • 利用收集的邮件进行定向攻击 • 发送带恶意代码的文本格式文件 如:office, pdf 等

  29. 基于异常流量的攻击 • 网络扫描嗅探的异常流量 • 远程溢出数据 • 内网病毒木马爆发的异常流量 • 数据回传时的异常流量

  30. 检测手段 发现APT

  31. 检测手段 • 基于主动web的攻击检测 • 通过分析web流量定位其中的恶意攻击 • 通用性漏洞检测: • 如SQL注入、跨站、命令执行等 • 0day的攻击: • 新型框架漏洞、新型利用手段 • 浏览器攻击: • 浏览器 0day 漏洞

  32. 检测手段 • 基于已知病毒木马的检测 • 通过特征匹配的方式定位已知病毒木马

  33. 检测手段 • 基于文件的恶意代码分析 • 通过检测文件的溢出漏洞点,和溢出攻击的特点发现基于文件的0day恶意攻击

  34. 检测手段 • 动态行为分析技术 • 通过动态分析的,对目标进行行为特征分析,发现其中的恶意行为,从而发现攻击 • 文件操作行为 • 网络行为 • 进程行为 • 注册表行为

  35. 检测手段 • 基于流量的行为分析 • 通过对流量的变化的行为特征分析,发现网络中的异常流量,从而发现恶意攻击 • 多维度检测(源目 IP 分布、访问频度、协议类型等) • 基于黑域名黑IP检测 • 合规协议的检测

  36. About Me • About Me • 目前就职于杭州安恒信息技术有限公司,任信息安全服务部副总监、研究院安全分院(dbappseclab@dbappsecurity.com.cn)负责人、高级安全研究员。 • 从事多年的web应用安全领域研究。擅长漏洞发掘、代码审计。

  37. THINK YOU

More Related