八大典型APT攻擊過程詳解
APT攻擊是近幾年來出現的一種高級攻擊,具有難檢測、持續時間長和攻擊目標明確等特征。本文中,小編帶你細數一下近年來比較典型的幾個APT攻擊,分析一下它們的攻擊過程。
Google極光攻擊
2010年的Google Aurora(極光)攻擊是一個十分著名的APT攻擊。Google的一名雇員點擊即時消息中的一條惡意鏈接,引發了一系列事件導致這個搜索引擎巨人的網絡被滲入數月,并且造成各種系統的數據被竊取。這次攻擊以Google和其它大約20家公司為目標,它是由一個有組織的網絡犯罪團體精心策劃的,目的是長時間地滲入這些企業的網絡并竊取數據。
該攻擊過程大致如下:
1) 對Google的APT行動開始于刺探工作,特定的Google員工成為攻擊者的目標。攻擊者盡可能地收集信息,搜集該員工在Facebook、Twitter、LinkedIn和其它社交網站上發布的信息。
2) 接著攻擊者利用一個動態DNS供應商來建立一個托管偽造照片網站的Web服務器。該Google員工收到來自信任的人發來的網絡鏈接并且點擊它,就進入了惡意網站。該惡意網站頁面載入含有shellcode的JavaScript程序碼造成IE瀏覽器溢出,進而執行FTP下載程序,并從遠端進一步抓了更多新的程序來執行(由于其中部分程序的編譯環境路徑名稱帶有Aurora字樣,該攻擊故此得名)。
3) 接下來,攻擊者通過SSL安全隧道與受害人機器建立了連接,持續監聽并最終獲得了該雇員訪問Google服務器的帳號密碼等信息。
4) 最后,攻擊者就使用該雇員的憑證成功滲透進入Google的郵件服務器,進而不斷的獲取特定Gmail賬戶的郵件內容信息。#p#
超級工廠病毒攻擊(震網攻擊)
著名的超級工廠病毒攻擊為人所知主要源于2010年伊朗布什爾核電站遭到Stuxnet蠕蟲的攻擊的事件曝光。
遭遇超級工廠病毒攻擊的核電站計算機系統實際上是與外界物理隔離的,理論上不會遭遇外界攻擊。堅固的堡壘只有從內部才能被攻破,超級工廠病毒也正充分的利用了這一點。超級工廠病毒的攻擊者并沒有廣泛的去傳播病毒,而是針對核電站相關工作人員的家用電腦、個人電腦等能夠接觸到互聯網的計算機發起感染攻擊,以此為第一道攻擊跳板,進一步感染相關人員的移動設備,病毒以移動設備為橋梁進入“堡壘”內部,隨即潛伏下來。病毒很有耐心的逐步擴散,一點一點的進行破壞。這是一次十分成功的APT攻擊,而其最為恐怖的地方就在于極為巧妙的控制了攻擊范圍,攻擊十分精準。
在2011年,一種基于Stuxnet代碼的新型的蠕蟲Duqu又出現在歐洲,號稱“震網二代”。 Duqu主要收集工業控制系統的情報數據和資產信息,為攻擊者提供下一步攻擊的必要信息。攻擊者通過僵尸網絡對其內置的RAT進行遠程控制,并且采用私有協議與CC端進行通訊,傳出的數據被包裝成jpg文件和加密文件。#p#
夜龍攻擊
夜龍攻擊是McAfee在2011年2月份發現并命名的針對全球主要能源公司的攻擊行為。
該攻擊的攻擊過程是:
1) 外網主機如Web服務器遭攻擊成功,多半是被SQL注入攻擊;
2) 被黑的Web服務器被作為跳板,對內網的其他服務器或PC進行掃描;
3) 內網機器如AD服務器或開發人員電腦遭攻擊成功,多半是被密碼暴力破解;
4) 被黑機器被植入惡意代碼,多半被安裝遠端控制工具(RAT),傳回大量機敏文件(WORD、PPT、PDF等等),包括所有會議記錄與組織人事架構圖;
5) 更多內網機器遭入侵成功,多半為高階主管點擊了看似正常的郵件附件,卻不知其中含有惡意代碼。
#p#
RSA SecurID竊取攻擊
2011年3月,EMC公司下屬的RSA公司遭受入侵,部分SecurID技術及客戶資料被竊取。其后果導致很多使用SecurID作為認證憑據建立VPN網絡的公司——包括洛克希德馬丁公司、諾斯羅普公司等美國國防外包商——受到攻擊,重要資料被竊取。在RSA SecurID攻擊事件中,攻擊方沒有使用大規模SQL注入,也沒有使用網站掛馬或釣魚網站,而是以最原始的網路通訊方式,直接寄送電子郵件給特定人士,并附帶防毒軟體無法識別的惡意文件附件。
其攻擊過程大體如下:
1) RSA有兩組同仁們在兩天之中分別收到標題為“2011 Recruitment Plan”的惡意郵件,附件是名為“2011 Recruitment plan.xls”的電子表格;
2) 很不幸,其中一位同仁對此郵件感到興趣,并將其從垃圾郵件中取出來閱讀,殊不知此電子表格其實含有當時最新的Adobe Flash的0day漏洞(CVE-2011-0609);
3) 該主機被植入臭名昭著的Poison Ivy遠端控制工具,并開始自C&C中繼站下載指令進行任務;
4) 首批受害的使用者并非“位高權重”人物,緊接著相關聯的人士包括IT與非IT等服務器管理員相繼被黑;
5) RSA發現開發用服務器(Staging server)遭入侵,攻擊方隨即進行撤離,加密并壓縮所有資料(都是rar格式),并以FTP傳送至遠端主機,又迅速再次搬離該主機,清除任何蹤跡。
#p#
暗鼠攻擊
2011年8月份,McAfee/Symantec發現并報告了該攻擊。該攻擊在長達數年的持續攻擊過程中,滲透并攻擊了全球多達70個公司和組織的網絡,包括美國政府、聯合國、紅十字會、武器制造商、能源公司、金融公司,等等。
其攻擊過程如下:
1) 攻擊者通過社會工程學的方法收集被攻擊目標的信息。
2) 攻擊者給目標公司的某個特定人發送一些極具誘惑性的、帶有附件的郵件例如邀請他參見某個他所在行業的會議,以他同事或者HR部門的名義告知他更新通訊錄,請他審閱某個真實存在的項目的預算,等等。
3) 當受害人打開這些郵件,查看附件(大部分形如:Participant_Contacts.xls、2011 project budget.xls、Contact List -Update.xls、The budget justification.xls),受害人的EXCEL程序的FEATHEADER遠程代碼執行漏洞(Bloodhound.Exploit.306)被利用,從而被植入木馬。實際上,該漏洞不是0day漏洞,但是受害人沒有及時打補丁,并且,該漏洞只針對某些版本的EXCEL有效,可見被害人所使用的EXCEL版本信息也已經為攻擊者所悉知。
4) 木馬開始跟遠程的服務器進行連接,并下載惡意代碼。而這些惡意代碼被精心偽裝(例如被偽裝為圖片,或者HTML文件),不為安全設備所識別。
5) 借助惡意代碼,受害人機器與遠程計算機建立了遠程Shell連接,從而導致攻擊者可以任意控制受害人的機器。
#p#
Lurid攻擊
2011年9月22日,TrendMicro的研究人員公布了一起針對前獨聯體國家、印度、越南和中國等國家的政府部門、外交部門、航天部門,還有科研機構APT攻擊——Lurid攻擊。
攻擊者的主要是利用了CVE-2009-4324和 CVE-2010-2883這兩個已知的Adobe Reader漏洞,以及被壓縮成RAR文件的帶有惡意代碼的屏幕保護程序。
用戶一旦閱讀了惡意PDF文件或者打開了惡意屏幕保護程序,就會被植入木馬。木馬程序會變換多種花樣駐留在受害人電腦中,并與C&C服務器進行通訊,收集的信息通常通過HTTP POST上傳給C&C服務器。攻擊者借助C&C服務器對木馬下達各種指令,不斷收集受害企業的敏感信息。
#p#
Nitro攻擊
2011年10月底,Symantec發布的一份報告公開了主要針對全球化工企業的進行信息竊取的Nitro攻擊。
該攻擊的過程也十分典型:
1) 受害企業的部分雇員收到帶有欺騙性的郵件;
2) 當受害人閱讀郵件的時候,往往會看到一個通過文件名和圖標偽裝成一個類似文本文件的附件,而實際上是一個可執行程序;或者看到一個有密碼保護的壓縮文件附件,密碼在郵件中注明,并且如果解壓會產生一個可執行程序。
3) 只要受害人執行了附件中的可執行程序,就會被植入Poison Ivy后門程序。
4) Poison Ivy會通過TCP 80端口與C&C服務器進行加密通訊,將受害人的電腦上的信息上傳,主要是帳號相關的文件信息。
5) 攻擊者在獲取了加密的帳號信息后通過解密工具找到帳號的密碼,然后借助事先植入的木馬在受害企業的網絡尋找目標、伺機行動、不斷收集企業的敏感信息。
6) 所有的敏感信息會加密存儲在網絡中的一臺臨時服務器上,并最終上傳到公司外部的某個服務器上,從而完成攻擊。
#p#
Luckycat攻擊
2012年3月份,TrendMicro發布的報告中披露了一個針對印度和日本的航空航天、軍隊、能源等單位進行長時間的滲透和刺探的攻擊行動,并命名為Luckycat。
根據報告顯示,這次攻擊行動依然是通過釣魚郵件開始的,例如針對日本目標的釣魚郵件的內容大都跟福島核電站的核輻射問題有關。然后就是利用了很多針對 pdf/rtf的漏洞,包括CVE-2010-3333,CVE-2010-2883,CVE-2010-3654,CVE- 2011-0611,CVE-2011-2462等。滲透進去之后就是用C&C進行遠程控制。而C&C服務器是通過VPS申請到的DNS域名。
