APT报复打击是近几年来呈现的一种高级报复打击,具有难检测、延续时候长和报复打击方针明白等特点。本文中,小编带你细数一下比来几年来比较典型的几个APT报复打击,阐发一下它们的报复打击过程。
Google极光报复打击
2010年的Google Aurora(极光)报复打击是一个十分闻名的APT报复打击。Google的一名雇员点击即时动静中的一条歹意链接,激发了一系列事务导致这个搜刮引擎巨人的收集被渗入数月,并且造成各类系统的数据被盗取。此次报复打击以Google和其它大年夜约20家公司为方针,它是由一个有组织的收集犯法集体精心策划的,目标是长时候地渗入这些企业的收集并盗取数据。
该报复打击过程大年夜致以下:
1) 对Google的APT步履开端于刺探工作,特定的Google员工成为报复打击者的方针。报复打击者尽可能地汇集信息,汇集该员工在Facebook、Twitter、LinkedIn和其它社交网站上发布的信息。
2) 接着报复打击者操纵一个动态DNS供给商来成立一个托管捏造照片网站的Web办事器。该Google员工收到来自傲赖的人发来的收集链接并且点击它,就进进了歹意网站。该歹意网站页面载进含有shellcode的JavaScript法度码造成IE浏览器溢出,进而履行FTP下载法度,并从远端进一步抓了更多新的法度来履行(因为此中部门法度的编译环境路径名称带有Aurora字样,该报复打击故此得名)。
3) 接下来,报复打击者经由过程SSL安然地道与受害人机械成立了连接,延续监听并最终获得了该雇员拜候Google办事器的帐号暗码等信息。
4) 最后,报复打击者就利用该雇员的凭证成功渗入进进Google的邮件办事器,进而不竭的获得特定Gmail账户的邮件内容信息。
超等工厂病毒报复打击(震网报复打击)
闻名的超等工厂病毒报复打击为人所知首要源于2010年伊朗布什尔核电站遭到Stuxnet蠕虫的报复打击的事务暴光。
遭受超等工厂病毒报复打击的核电站计较机系统实际上是与外界物理隔离的,理论上不会遭受外界报复打击。坚毅的碉堡只有从内部才能被攻破,超等工厂病毒也正充分的操纵了这一点。超等工厂病毒的报复打击者并没有遍及的往传播病毒,而是针对核电站相干工作人员的家用电脑、小我电脑等可以或许接触到互联网的计较机倡议传染报复打击,以此为第一道报复打击跳板,进一步传染相干人员的移动设备,病毒以移动设备为桥梁进进“碉堡”内部,随即暗藏下来。病毒很有耐烦的慢慢分散,一点一点的进行粉碎。这是一次十分成功的APT报复打击,而其最为可骇的处所就在于极其奇妙的节制了报复打击范围,报复打击十分精准。
在2011年,一种基于Stuxnet代码的新型的蠕虫Duqu又呈此刻欧洲,号称“震网二代”。 Duqu首要汇集财产节制系统的谍报数据和资产信息,为报复打击者供给下一步报复打击的需要信息。报复打击者经由过程僵尸收集对其内置的RAT进行长途节制,并且采取私有和谈与CC端进行通信,传出的数据被包装成jpg文件和加密文件。
夜龙报复打击
夜龙报复打击是McAfee在2011年2月份发现并定名的针对全球首要能源公司的报复打击行动。
该报复打击的报复打击过程是:
1) 外网主机如Web办事器遭报复打击成功,多半是被SQL注进报复打击;
2) 被黑的Web办事器被作为跳板,对内网的其他办事器或PC进行扫描;
3) 内网机械如AD办事器或开辟人员电脑遭报复打击成功,多半是被暗码暴力破解;
4) 被黑机械被植进歹意代码,多半被安装远端节制东西(RAT),传回大年夜量机灵文件(WORD、PPT、PDF等等),包含所有会议记实与组织人事架构图;
5) 更多内网机械遭进侵成功,多半为高阶主管点击了看似正常的邮件附件,却不知此中含有歹意代码。
RSA SecurID盗取报复打击
2011年3月,EMC公司部属的RSA公司蒙受进侵,部门SecurID手艺及客户资料被盗取。厥后果导致良多利用SecurID作为认证根据成立VPN收集的公司——包含洛克希德马丁公司、诺斯罗普公司等美国国防外包商——遭到报复打击,首要资料被盗取。在RSA SecurID报复打击事务中,报复打击方没有益用大年夜范围SQL注进,也没有益用网站挂马或垂钓网站,而是以最原始的网路通信编制,直接寄送电子邮件给特定人士,并附带防毒软体没法辨认的歹意文件附件。
其报复打击过程大年夜体以下:
1) RSA有两组同仁们在两天当中别离收到标题问题为“2011 Recruitment Plan”的歹意邮件,附件是名为“2011 Recruitment plan.xls”的电子表格;
2) 很不幸,此中一名同仁对此邮件感应欢愉爱好,并将其从垃圾邮件中掏出来浏览,却不知此电子表格其实含有那时最新的Adobe Flash的0day缝隙(CVE-2011-0609);
3) 该主机被植进臭名昭著的Poison Ivy远端节制东西,并开端自C&C中继站下载指令进行任务;
4) 首批受害的利用者并不是“位高权重”人物,紧接着相联系关系的人士包含IT与非IT等办事器治理员接踵被黑;
5) RSA发现开辟用办事器(Staging server)遭进侵,报复打击方随即进行撤离,加密并紧缩所有资料(都是rar格局),并以FTP传送至远端主机,又敏捷再次搬离该主机,断根任何踪迹。
暗鼠报复打击
2011年8月份,McAfee/Symantec发现并陈述了该报复打击。该报复打击在长达数年的延续报复打击过程中,渗入并报复打击了全球多达70个公司和组织的收集,包含美国当局、结合国、红十字会、兵器制造商、能源公司、金融公司,等等。
其报复打击过程以下:
1) 报复打击者经由过程社会工程学的编制汇集被报复打击方针的信息。
2) 报复打击者给方针公司的某个特定人发送一些极具***性的、带有附件的邮件例如聘请他拜见某个他地点行业的会议,以他同事或HR部门的名义奉告他更新通信录,请他核阅某个真实存在的项目标预算,等等。
3) 当受害人打开这些邮件,查看附件(大年夜部门形如:Participant_Contacts.xls、2011 project budget.xls、Contact List -Update.xls、The budget justification.xls),受害人的EXCEL法度的FEATHEADER长途代码履行缝隙(Bloodhound.Exploit.306)被操纵,从而被植进木马。实际上,该缝隙不是0day缝隙,可是受害人没有及时打补丁,并且,该缝隙只针对某些版本的EXCEL有效,可见被害人所利用的EXCEL版本信息也已为报复打击者所悉知。
4) 木马开端跟长途的办事器进行连接,并下载歹意代码。而这些歹意代码被精心假装(例如被假装为图片,或HTML文件),不为安然设备所辨认。
5) 借助歹意代码,受害人机械与长途计较机成立了长途Shell连接,从而导致报复打击者可以肆意节制受害人的机械。
Lurid报复打击
2011年9月22日,TrendMicro的研究人员发布了一路针对前独联体国度、印度、越南和中国等国度的当局部门、交际部门、航天部门,还有科研机构APT报复打击——Lurid报复打击。
报复打击者的主如果操纵了CVE-2009-4324和 CVE-2010-2883这两个已知的Adobe Reader缝隙,和被紧缩成RAR文件的带有歹意代码的屏幕呵护法度。
用户一旦浏览了歹意PDF文件或打开了歹意屏幕呵护法度,就会被植进木马。木马法度会变换多莳花腔驻留在受害人电脑中,并与C&C办事器进行通信,汇集的信息凡是经由过程HTTP POST上传给C&C办事器。报复打击者借助C&C办事器对木马下达各类指令,不竭汇集受害企业的敏感信息。
Nitro报复打击
2011年10月底,Symantec发布的一份陈述公开了首要针对全球化工企业的进行信息盗取的Nitro报复打击。
该报复打击的过程也十分典型:
1) 受害企业的部门雇员收到带有棍骗性的邮件;
2) 当受害人浏览邮件的时辰,常常会看到一个经由过程文件名和图标假装成一个近似文本文件的附件,而实际上是一个可履行法度;或看到一个有暗码呵护的紧缩文件附件,暗码在邮件中注明,并且假定解压会产生一个可履行法度。
3) 只要受害人履行了附件中的可履行法度,就会被植进Poison Ivy后门法度。
4) Poison Ivy会经由过程TCP 80端口与C&C办事器进行加密通信,将受害人的电脑上的信息上传,主如果帐号相干的文件信息。
5) 报复打击者在获得了加密的帐号信息后经由过程解密东西找到帐号的暗码,然后借助事前植进的木马在受害企业的收集寻觅方针、乘机步履、不竭汇集企业的敏感信息。
6) 所有的敏感信息会加密存储在收集中的一台姑且办事器上,并最终上传到公司外部的某个办事器上,从而完成报复打击。
Luckycat报复打击
2012年3月份,TrendMicro发布的陈述中透露了一个针对印度和日本的航空航天、戎行、能源等单位进行长时候的渗入和刺探的报复打击步履,并定名为Luckycat。
按照陈述显示,此次报复打击步履仍然是经由过程垂钓邮件开端的,例如针对日本方针的垂钓邮件的内容大年夜都跟福岛核电站的核辐射标题问题有关。然后就是操纵了良多针对 pdf/rtf的缝隙,包含CVE-2010-3333,CVE-2010-2883,CVE-2010-3654,CVE- 2011-0611,CVE-2011-2462等。渗入进往以后就是用C&C进行长途节制。而C&C办事器是经由过程VPS申请到的DNS域名。