在之前的文章中(APT报复打击背后的奥秘:报复打击性质及特点阐发;报复打击前的"敌情"窥伺;报复打击时的兵器与手段;报复打击时的缝隙操纵),我们已体味了APT报复打击的特点、"敌情"窥伺、报复打击的兵器和手段和APT报复打击的缝隙操纵。本文我们将切磋APT报复打击中的号令和节制,在这个阶段,报复打击者已侵进了你的收集,并将开端进行最后的报复打击勾当,这个阶段凡是被称为C2。
报复打击者已完成了窥伺、兵器化和传送和缝隙操纵和安装阶段,此刻的标题问题是,你是直接报复打击方针仍是为报复打击者供给报复打击机缘?这个标题问题标谜底将决定你若何应对C2阶段。
正如前面提到的,被动报复打击(即你不是直接报复打击方针)很被动。是以,当终端因为路过式下载报复打击或歹意邮件附件被传染时,安装过程很是等闲检测。但有时辰路过式报复打击会操纵缝隙操纵东西包,而这只需要很少的用户交付,也可能没法被检测。
前面的文章中也提到过,被动报复打击勾当首要取决于报复打击量。当报复打击者汇集了身份验证和财务信息(一般报复打击的首要方针)后,报复打击者需要为每台传染主机成立一个C2通道。在这类环境下,没有变种和流量限制,只有对数千台传染主机的一个联系点。
C2阶段主如果关于通信,但要记住,C2阶段其实不包含数据传输。C2阶段是成立通信通道,承诺报复打击者与外部沟通。
被动报复打击是主动化的。主动化可以帮忙报复打击者实现报复打击量,因为几近不需要交互。但是,这类主动化意味着他们可能被发现。当企业内50个系统与不异未知主机通信,可能会被寄望到。
有针对性的报复打击则更具体,几近没有主动化。报复打击者将会发出号令,并利用特定的东西。有针对性报复打击的所有勾当都是有目标的,并会尽力回避窥伺,尽可能保持低调。
当你的企业沦为被动报复打击受害者,报复打击者利用的主动化东西没法回避现有安然节制缓和解办法的检测,因为它们制造了太多动静。是以,企业应当尽快禁止这类报复打击。
需要寄望的是,被动报复打击采取主动化编制是因为,这些报复打击勾当背后的把持者更侧重报复打击量,而不是节制。假定他们的歹意软件或其他有效载荷被发现和禁止,这并没甚么大年夜不了,他们可以顿时转移到其他受害者。
但是,假定企业沦为有针对性报复打击的受害者,这意味着报复打击者将会在企业内找到安身点,并会绕开安然节制或避免安然节制来避免被发现。别的,报复打击者还会试图成立后门法度到其他系统,成立更多切进点,以防此中一个切进点被发现。是以,在企业的事务响应打算中,一个很好的经验法例是,假定你看到一个后门法度,这意味着还暗藏着其他后门法度。
“坚实的”C2是指报复打击者可以动态调剂其法度,增加事务响应者手动检测的难度,乃至不成能。这也是数据泄漏变乱很长时候才被发现的启事。
正如第三篇文章中所述,报复打击者常常会回调以获得额外的东西,或利用有效载荷发出外部要求。这些传染指标可以或许清晰地揭露C2勾当,因为与正常收集流量比拟,这些有些异常。
是以,企业应当对比DNS要乞降已知歹意办事器列表,或过滤有着不良名誉的IP地址,以应对这类类型的流量。在缝隙操纵和安装阶段后,C2阶段是报复打击者少数制造动静的期间。但是,当这些流量被主动化检测标识表记标帜时,则表白是被动报复打击。
如许想,假定报复打击勾当背后的把持者在利用C2通道或从已知歹意来历下载有效载荷,你的企业多是报复打击者的方针之一。在另外一方面,有针对性报复打击勾当背后的把持者会谨严避免被检测。他们会将C2流量隐躲在正常通信通道内。
在C2成立后,报复打击者就成功了一半。一般被动报复打击是主动化的,动静很大年夜,并且会当即策动报复打击,而有针对性报复打击则会暗藏数天、数周乃至数月。是以,在C2阶段,流量监控是关头防御办法。假定可以或许连络前面提到的防御办法,你就成立了一个强有力的分层呵护。
只要准确建设和保护(包含按期更新),IPS和IDS系统可作为第一层防御。然后,企业需要ACL法则来经由过程防火墙限制进站和出站连接。但是,还需要限制防火墙法则中例外的数量,并且需要对这些例外进行紧密密切检测,或在不需要时撤消。在有针对性报复打击期间,你的安然法则和政策可能被用来针对你,出格是当它们过时或不受监管时。
最后,企业应当监控收集上流量的移动环境,更首要的是,监控移动到外部的流量。同时,存眷红色标识表记标帜的事务,例如点窜HTTP表头,和到未知IP地址或域名的连接。加密流量是被动报复打击和有针对性报复打击勾当利用的常常利用技能,在这类环境下,C2可能更难被发现,但也不是没有可能。你可以查找自签名证书和未经核准或非尺度加密利用。