警惕!普通人遭遇APT誤傷的三種場景
APT,即Advanced Persistent Threat,又稱高級威脅,從誕生之初,APT就具有明顯的政治意圖——攻擊者通過一系列高級程序、復雜手段,對政府組織或重要部門等進行長期、隱藏監測,以竊取敏感信息,擾亂國家或行業秩序,使其在長期發展、重大國家性活動中失利等。通常,APT不直接針對普通公民,但并不是說它不會對我們造成危害。卡巴斯基全球研究和分析團隊(GReAT)日前為我們總結了普通人遭遇APT攻擊的三種場景。
場景1:在錯誤的時間訪問了錯誤的網站
與小型惡意行為者相比,APT組織有足夠的資金來進行一系列0day漏洞利用,包括有能力組織遠程水坑攻擊。谷歌Project Zero團隊在2019年的研究中發現,一名惡意行為者為了用間諜軟件感染目標,在5個不同的漏洞利用鏈中使用了多達14個不同的漏洞。
其中一些漏洞被用來遠程感染訪問特定政治相關網站的iOS用戶,并在他們的手機上安裝間諜軟件。問題是,攻擊者并沒有區分網站訪客,這就意味著訪問該網站的所有iOS用戶都會被感染,不管他們是不是攻擊目標。
而這并非APT組織唯一一次采取水坑攻擊。例如,在NotPetya(又名ExPetr)的攻擊媒介中,就選擇以感染政府網站作為起點,當用戶訪問網站時,就會自動下載惡意軟件并在受害者電腦上執行。
因此,對于普通人來說,APT的問題在于,哪怕攻擊者無意專門針對你,但只要碰巧訪問了被攻擊的網站或下載了被攻擊的應用程序,普通人就會被感染。而且,在與APT組織相關的勒索軟件案例中(例如NotPetya),他們還能夠完全掌握普通人設備上的隱私數據,并肆意破壞。
場景2:網絡犯罪分子手中的“危險玩具”
除了對外攻擊,APT組織間也經常窺探彼此的秘密,他們會互相攻擊,有時還會泄漏對方使用的工具。其他更小型或技術略遜的惡意行為者就會順勢“撿工具”,并利用它們來創建自己的惡意軟件,導致事情走向失控的局面。例如,WannaCry就是攻擊者使用EternalBlue(永恒之藍)創建的,而后者正是ShadowBrokers在決定公開方程式組織的網絡武器庫時泄漏的一個漏洞。
除此之外,NotPetya/ExPetr、Bad Rabbit(壞兔子)、EternalRocks(永恒之石)等很多威脅,也都是依賴“永恒之藍”漏洞創建的。
泄露一個漏洞往往會導致一系列大大小小的連鎖反應,最終影響數千萬臺電腦,擾亂世界各地企業和政府機構的正常運行。對于普通人來說,APT所帶來的第二種間接傷害是,攻擊者創建了非常危險的工具,但有時又無法遏制它們被肆意濫用。結果,這些危險工具落入網絡犯罪分子手中,他們肆無忌憚地使用這些工具時,會傷及許多無辜的人。
場景3:收集的數據發生泄露
正如上文所述,APT背后惡意行為者有互相攻擊的傾向,有時他們不僅會公開自己掠奪來的工具,還會公布對方使用這些工具所獲取的任何信息。例如,網絡間諜工具ZooPark所收集數據就是這樣被公開的。
在過去兩年中,多達13家跟蹤軟件供應商要么遭到黑客攻擊,要么將他們收集的信息在線暴露于未受保護、公開可用的Web服務器上。就算是再厲害的威脅行為者,也無法免受數據泄漏的影響。例如,FinFisher開發者曾遭黑客入侵,開發監視工具的Hacking Team也同樣被黑過等。
所以,APT影響普通人的第三種場景是,即便APT與普通用戶毫無瓜葛,即便他們只是收集普通用戶信息,從未考慮過使用這些信息來攻擊普通用戶,只要APT數據被泄漏,“小魚小蝦們”就會利用泄露信息,搜尋個人隱私數據,例如信用卡號、工作文檔、聯系人和照片等信息,并對普通用戶進行敲詐勒索。
如何免遭APT誤傷
雖然APT比普通惡意軟件要復雜得多,但用于常見威脅的防護技巧同樣適用APT防范。
例如:
- 禁止安裝來自第三方的應用程序,即使因某種需要不得不安裝應用程序,也請在“僅允許本次”之后,立即恢復原本的禁止設置;
- 定期檢查設備上安裝的應用程序權限,并及時撤銷對該應用程序來說不必要的權限。最好在安裝應用程序之前,就檢查它的權限列表;
- 避免訪問任何可疑的網站和點擊無法完全信任來源的鏈接,陌生人通常不會出于好意發送鏈接或應用程序;
- 使用可靠的安全解決方案,掃描設備上即將下載或安裝的所有程序,并檢測所有鏈接和安裝包。請務必將其視為最后一道防線,因為即使不法分子利用漏洞侵入普通人的設備,安全解決方案依然能夠起到保護作用。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
