对企业的治理者和CSO们而言,高级可延续性威胁(APT)是他们的恶梦。对APT报复打击,企业很难做到禁止,应对这类报复打击凡是需要明白的响应和恢复打算,如许做的目标是削减侵害和损掉。因为一旦发现APT勾当,这凡是意味着已为时已晚。在本文中,我们将和大年夜家切磋APT报复打击的全过程,让大年夜家体味APT报复打击,不在对它害怕。
但是,安然专业人士知道当应对有针对性报复打击时,需要利用不合的手艺和计谋,对他们而言,这里还有战役的机缘。
报复打击性质及特点阐发
对良多企业带领而言,APT侧重于单个报复打击,利用高级报复打击编制,以获得敏感信息或核心数据。报复打击者获得信息后,便可以出售或利用这些信息来获得某种类型的(经济、社会、军事等方面)好处。在这类事务背后的介入者多是进行间谍勾当的国度,或在重大年夜产品发布会或并购之前想要占优势的商业竞争敌手。
需要寄望的是,在这类环境下商业竞争敌手或是国度其实不会直接报复打击你,这些报复打击者会报复打击第三方,并操纵他们来倡议报复打击和治理报复打击勾当。这也是APT报复打击很难禁止的启事,企业可以抓到进行直接报复打击的黑客并禁止他们,但找到报复打击本源美满是另外一回事。
别的,一些通俗的收集罪犯也在利用这些用来策动APT报复打击的编制,所以在大年夜大都环境下,称他们为高级报复打击其实不得当。别的,常常被人们用来描述APT报复打击的零日缝隙操纵能力,也不该该作为APT的较着特点。各类收集罪犯都在操纵零日缝隙,因为这类东西可以或许带领他们实现更高程度的成功。
有针对性APT报复打击和通俗收集报复打击之间的辨别在于目标或是整体方针,而不是他们利用的东西、计谋或法度。安然供给商可能不会苟同,但当你看看那些APT报复打击和导致敏感记实或企业奥秘丢掉而没有回类为APT的事务,辨别在哪里?
APT勾当背后的报复打击者其实不会利用收集巫术来实现他们的方针。他们操纵根基报复打击编制(例如社会工程、歹意软件、软件缝隙、web缝隙和公开课用的东西)来完成其报复打击。他们与一般报复打击者的辨别是,他们有资金撑持,并且有明白的任务方针。他们会尽一切力量来实现其方针,不管花多长时候。标题问题是,当触及到安然性和防御摆设时,良多企业没有太太正视,使他们轻松被射中。
APT相干的勾当其实不是报复打击,它们是有针对性的延续勾当。这些勾当背后的把持者会破钞大年夜量时候和经历并拟定具体打算,让他们不但可以或许拜候企业收集和数据,还可以或许保持其拜候权限达数年之久。
在2009年,Lockheed Martin公司发布了一份关于APT防御的***,此中介绍了这些高级报复打击勾当的特点,和若何操纵现有根本举措措施来冲击这些勾当。这份***中写道:“因为传统的基于缝隙的做法其实不敷好,我们需要体味这类威胁本身、它的意图、能力和把持模式。”
报复打击前的"敌情"窥伺
1、小我资料:人是最亏弱的环节
良多时辰,导致企业遭到报复打击的信息凡是是没有获得足够正视和呵护的信息。这多是德律风号码、电子邮件目次表、文档中的元数据,和企业高管的全名和公司成长史等。
此中有些信息可以经由过程公共记实和收集搜刮找到,但有时局实并不是如斯。公开的小我或企业的信息被称为开源谍报(OSINT),因为任何人都可以避免费公开地获得这些信息。标题问题是,对大年夜大都来讲,来自单一来历的可用OSINT数量凡是很是少。
因为这类稀缺性,良多收集罪犯会链接信息,即整合良多小数据直到获得完全信息。黑客组织Anonymous在策动报复打击前,就是操纵“dox”来汇集关于小我或事物的信息,这些“dox”就是信息链。但是,不只是黑客和犯法分子,安然专家也会采取这类做法,包含法律机构。
这些向公家供给的信息包含:营业陈述、新闻报导、企业网站、社交媒体账户(小我和专业)和来自商业火伴的相干信息。
经由过程这些信息,报复打击者将体味其报复打击方针和启事;更首要的是,他们将知道若何报复打击这些方针,而不需要进行额外的布景研究。
谈到没有遭到呵护的数据,让我们先看看元数据。
2、元数据:进进企业的隐躲的钥匙
在这里,元数据是指嵌进在文档和图象中的信息。我们其实不是在谈论美国***局汇集的元数据。大年夜大都人都不知道他们上传到网上的图片不但包含图象拍摄位置,并且还包含准确的时候戳,和硬件信息。对文档(从PDF到PPT)中的元数据,报复打击者可以获得软件产品名称和版本、文档作者的名字、收集位置、IP地址等。
体味元数据是很首要的,因为在窥伺阶段,报复打击者汇集的第一个信息是可公开获得的文档。以下是操纵元数据的很好的例子。在2011年,有人代表Anonymous上传了1.2GB torrent文件,让良多人相信美国商会、美国立法交换委员会(ALEC)、公共政策麦基诺中间蒙受了数据泄漏。过后发现,这些机构的文档并没有被盗窃,只是利用FOCA汇集的文档信息。
在属于美国商会的文档集中,有194个Word文档(.doc和.docx)、724个PDF文档、59个PPT文档(.ppt和.pptx)和12个Excel文档(.xls 和 .xlsx)。 经由过程查抄此中的元数据,发现了293个名称,此中大年夜部门是收集ID。当然只有23个电子邮件地址泄漏,但其实报复打击者可以轻松获得其他地址,因为良多美国商会人员的信息可以经由过程OSINT发现。这些元数据还包含文件夹路径和本地系统路径和web办事器路径。还有共享收集打印器的位置和名称。
在软件方面,美国商会的数据中列出了超越100个软件名称。当然良多软件产品是在成立文档时记实的名称,但鉴于良多企业仍然在利用传统软件,这也是报复打击者的贵重数据。
一样首要的是IP地址,和肯定企业在运行Windows XP、Windows Server 2000和Windows Server 2003。当然有些数据没有更新,但大年夜量这类信息可以作为报复打击企业的解缆点。
FOCA可以帮忙企业发现元数据,还有良多可用资本可帮忙企业治理和删除元数据。
3、手艺信息:进侵根本举措措施
当然报复打击者会利用OSINT来寻觅暗藏的线索,他们也会查看方针企业网站利用的利用法度和脚本。报复打击者会探测方针企业的全部收集中的缝隙,利用法度和脚本其实不是独一的报复打击面,它们只是最等闲获得的线索。
如前所述,报复打击者可以或许知道方针企业利用的软件类型,还有IP地址、web办事器规格(例如平台版本)、虚拟主机信息和硬件类型。
平台版本号码可以帮忙员工找出存在的缝隙,当对硬件,这些信息可以用来定位默许登录信息。而对脚本和网站开辟,报复打击者可以被动扫描***机缝隙、跨站脚本、SQL注进和其他缝隙。
手艺窥伺的另外一种路子是供给链。良多企业常常会公开其营业合作火伴,这给报复打击者供给了另外一个可操纵的线索。试想一下:假定代办署理商的账户被攻破,这将对你的企业有何影响?
有时辰最好的编制就是简单的列出信息,下面是报复打击者在窥伺勾当中可能寻觅的信息:
OSINT数据
▍可下载文件
·这为报复打击者供给了直接的信息和汇集元数据的机缘
▍员工照片和企业勾当照片
·这为报复打击者供给了直接的信息和汇集元数据的机缘
▍人员名单和带领层信息
·体味谁是谁,并成立企业内部的关系
▍项目和产品数据
·当搜刮报复打击面和布景信息时很有效
▍B2B关系
·这类数据被用来成立供给链关系和发卖渠道以便以后缝隙操纵
▍员工的具体信息
·这包含社交媒体的小我和公共数据
▍软件数据
·方针企业内利用的软件类型
构建完全的小我资料
完全小我资料包含:全名、地址(过往和此刻)、德律风号码(小我和工作)、出世日期、社会安然号码、 ISP的数据(IP地址、供给商)、用户名、暗码、公共记实数据(税收、信贷汗青、法令记实)、欢愉爱好、最喜好的餐馆、片子、册本等等。
报复打击者会试图汇集所有这些信息,每次报复打击勾当需要的信息量都不合。但是,信息量越大年夜,报复打击者成功的概率就越大年夜。
构建完全的手艺资料
手艺资料信息包含:收集地图、从元数据获得的手艺具体信息、IP地址、可用硬件和软件信息、把持系统具体信息、平台开辟数据和验证办法。
有了这些信息,报复打击者可以操纵小我资料数据并对准办事台。知道ID是若何成立的可以帮忙报复打击者体味电子邮件地址是若何成立,更便利地进行垂钓报复打击、猜想地址或初步沟通。报复打击者还可以搜索把持系统、第三方软件和平台数据的缝隙或默许拜候。
数据汇集资本:
在窥伺阶段,这些网站被用来汇集小我资料信息,每个新信息城市给报复打击者带来更多可操纵信息。社交媒体信息会供给名字和图片。
报复打击者知道往哪里寻觅数据。按照不合方针,报复打击者会为信息或信息办事付款。但是,请寄望,这其实不是周全的资本清单,只是常常会提到的资本。
Google (www.谷歌.com)
小我/企业搜刮
这些网站供给了对小我用户、企业和二者之间联系的公共信息。
Zoom Info (www.zoominfo.com)
PIPL (www.pipl.com)
Intelius (www.intelius.com)
Muckety (www.muckety.com)
其他搜刮资本
Web Archive (www.archive.org)
GeoIP (www.geoiptool.com )
Robtex (www.robtex.com)
KnowEm (www.knowem.com)
ImageOps (http://imgops.com)
SHODAN (www.shodanhq.com)
清算汇集的数据
在窥伺阶段清算所有汇集到的各类信息,保举的东西是Maltego。Maltego是一个OSINT东西,黑客、法律机构和安然专家利用它来治理信息链。它供给对数据的可视化概览,可以或许帮忙清算用户、组织、机构、收集信息之间的联系关系。
常见东西和软件
对在窥伺阶段报复打击者利用的东西,凡是很等闲获得且易于把持,包含这些:
SQLMap (http://sqlmap.org)
BackTrack Linux (http://www.backtrack-linux.org)
Metasploit (http://metasploit.org)
4、总结
避免窥伺几近是不成能的。你可以减缓一些报复打击,但互联网本身的性质意味着信息会以这类或那种情势存在,并且,最终将被报复打击者发现。对减缓办法,下面是需要考虑的工作。
监控日记记实和阐发利用法度中异常下载流量岑岭。
决不承诺内部端口(内网)、文档或存储中间从收集外部拜候。经由过程受限制IP或企业VPN和ACL政策治理对这些资本的拜候。别的,杰出的IAM(身份和拜候治理)也能够作为不错的防御。启用多身分身份验证,有效治理过时的账户和暗码。
一样地,监控收集中的ICMP流量。别的,不雅察对收集子网的扫描。这很罕有,并且相当较着,但这确切会产生。对看似随便的端口进行查抄。
对OSINT,另外一个防驭手艺是限制公开显示的信息量;包含德律风簿、员工名单、过于具体的人员和带领介绍、项目打算、营业和渠道合作火伴和客户名单。
当然这些数据其实不是出格首要,但这些数据可以供给遍及的报复打击面。如前所述,过滤元数据也是关头的减缓办法。但是,对这些数据的限制需要经由过程风险评估来肯定,这需要所有营业范畴的介入。
还要寄望标语提取,这是报复打击者体味企业手艺减缓常常利用的易于利用的手艺。在报复打击者进行窥伺后,下一个步调将是兵器化和交付。本系列的第二部门将研究这个方面和解决编制。
报复打击时的兵器与手段
正如前面我们提到的,APT报复打击和通俗报复打击之间的辨别是目标,或说背后把持者的具体方针,而不是东西、策略或流程。
一般的报复打击首要依托于数量,报复打击者会成百上千次的发送不异的链接或是歹意软件,在大年夜大都环境下,这个过程是主动化的,报复打击者利用机械人或基于web脚本来鞭策报复打击,假定报复打击了大年夜量的暗藏受害者,那么报复打击者可能获得已获得了一半的成功。而APT报复打击则会利用多个链接、不合类型的歹意软件,并节制报复打击量,是以,APT报复打击很难被传统的安然防驭手段所发现。
1、启动报复打击
在窥伺阶段,报复打击者会汇集尽可能多的关于方针的信息,这些信息在报复打击开端阶段将阐扬首要感化。这些信息可让报复打击者可以或许设计和开辟一个歹意有效载荷,并选择最好的编制来传送。
对报复打击东西包,有良多低成本的选择,并且还可以随后添加自定义模块或功能。这些东西可以托管在任何位置,但报复打击者凡是会将它们放在有着杰出名誉的合法域名,操纵路过式下载报复打击。
水坑报复打击凡是采取两种报复打击编制。一种编制是经由过程收集垂钓电子邮件将方针带到报复打击者的操纵东西包。
另外一种编制是对准共享资本。这些资本凡是对方针有着一订价值,并有杰出的名誉。对这类这类编制来讲,报复打击者没有直接对准方针,而是传染方针将要拜候的网站,等着方针被传染。
我们需要体味水坑报复打击和路过式下载报复打击的辨别,此中一种可用于倡议一般报复打击,而这类报复打击很等闲被发现,另外一种则加倍埋没。
报复打击者还会操纵零日缝隙,但并不是老是如斯。当利用零日缝隙时,首要启事是报复打击者报复打击方针实现概率增加。这些方针多是安装Paid-Per-Install歹意软件、信息盗取、构建僵尸收集或间谍勾当。但是,操纵现有缝隙要比零日缝隙加倍等闲,因为企业和小我用户常常没有修复系统和第三方软件的缝隙。
回顾在窥伺阶段,还有一些其他信息可能帮忙报复打击者展开报复打击。假定报复打击者发现可托营业合作火伴网站中的缝隙,或方针企业的缝隙,报复打击将变得加倍等闲,因为报复打击者既可以操纵水坑报复打击,也能够操纵单一的可托资本。在这类环境下,SQL注进、跨站脚本(XSS)等常见缝隙都可以报复打击者的切进点,默许或有缝隙的办事器建设一样如斯。
别的,报复打击者会将精力集中在等闲实现的方针上,是以,内部开辟的有缝隙的利用法度或添加到公司博客或内网的第三方脚本,都可能用来策动报复打击。最后,假定方针企业利用的CMS或主机平台已颠末时或未修复,这也会成为报复打击的存眷点。
2、选择方针
一旦报复打击者肯定了报复打击向量(此中包含有缝隙的平台和报复打击类型),他们将需要选择一个受害者。在良多环境下,受害者其实已肯定。但有时辰,受害者是谁其实不首要,报复打击者会报复打击尽可能多的方针以进步其成功率。假定受害者还没有选定,整体方针是一个企业,那么,来自窥伺阶段的数据再次会变得有效。
请记住,报复打击者起首会对准等闲报复打击的方针,企业内最等闲的方针是办事台工作人员,或供给付出办事的员工,例如客户办事代表或行政助理。因为这些人可以或许拜候或联系企业内的其他人。在窥伺阶段,报复打击者可以或许获得这些人的信息,包含他们正在利用的软件和硬件类型、社交收集信息、公开的陈述或其他工作、欢愉爱好或他们的小我信息。
企业内的其他人也可能成为方针,这主如果因为他们在企业内的拜候权限和影响力。这些包含:首席履行官、首席财务官、IT部门、QA和开辟团队、发卖、营销和公共关系团队。
3、传送有效载荷
在成立有效载荷、选定报复打击方针后,报复打击者需要开端传送歹意载荷到方针,他们选择的传送编制包含:
1. 路过式下载报复打击: 这类传送编制让报复打击者可以对准更遍及的受害者。这是一般犯法的常常利用编制,例如信息盗取歹意软件或僵尸收集构建歹意软件。犯法东西包是典型的传送东西,因为它们可以操纵多个缝隙。
任何具有可操纵缝隙的网站都可能受这类报复打击的影响。请记住,SQL注进报复打击可用于拜候存储数据,也能够拜候传染数据库中的身份验证具体信息,进一步鞭策报复打击。别的,跨站脚本和文件包含缝隙将让报复打击舒展。当歹意代码注进到网站,报复打击者只需要等候受害者。在文件包含缝隙的环境下,假定报复打击者获得对web办事器本身的节制,他们便可以报复打击其他区域和办事器上的数据。
寄望: 这就是分手和呵护网段的启事。这可以或许帮忙降落数据泄漏期间连带效应的风险。假定对一个区域的拜候承诺拜候所有其他区域,报复打击者的工作就变得加倍等闲了。
2. 水坑报复打击: 细粒度水坑报复打击不合于一般报复打击。当然全部报复打击勾当可能让其他不相干的人成为受害者,报复打击者对选定的一组人或特定人更感欢愉爱好。
这类报复打击的方针多是开辟人员、QA、IT或发卖人员,因为这些人更可能利用论坛或其他社友情况来与同业交换或寻求协助。 SQL注进、文件包含和跨站脚本缝隙都将是首要切进点。假定报复打击者可以节制直接绑定到方针收集的办事器,那么,报复打击员工就成了次要方针。
3. 收集垂钓(一般): 一般收集垂钓报复打击会对准遍及受害者。报复打击者可以经由过程这类编制漫衍大年夜量歹意软件,既快速又便宜,并且不需要太费工夫。假定暗藏受害者打开邮件附件,或点击歹意链接,在有效载荷安装后,就申明报复打击成功了。收集垂钓被用来传播财务歹意软件,而一般歹意软件被用来盗取数据和构建僵尸收集,而这又被用来发送更多的垃圾邮件。
收集垂钓勾当中利用的电子邮件地址可能来自各类来历,包含在窥伺阶段汇集的数据,同时也可能来自数据库泄漏变乱公开透露的数据。一般收集垂钓的目标是玩数字游戏,假定报复打击者发送歹意邮件到100万地址,而安装了1000个歹意软件,那么,这将被视为一个巨大年夜的成功。
4. 收集垂钓(重点): 重点收集垂钓报复打击,或说鱼叉式收集垂钓,工作道理与一般收集垂钓报复打击差不多,只是暗藏受害者范围小良多。鱼叉式垂钓报复打击很合适于报复打击一小我或一个小组,因为在窥伺阶段汇集的数据能说服受害者做一些把持,例如打开歹意附件或点击链接。
鱼叉式收集垂钓勾当很难被发现,出格是对被动的反垃圾邮件手艺。鱼叉式收集垂钓获得成功是因为,受害者相信邮件中包含的信息,并且大年夜大都人都觉得反垃圾邮件呵护会抵抗这类威胁。
4、总结
将APT报复打击禁止在萌芽期间很关头,因为假定你能在这个阶段禁止报复打击,那么,战役已赢了。但是,犯法分子没有这么等闲对。除非你摆设了分层防御办法,完全禁止这类报复打击,说起来比做起来等闲。下面我们看看抵抗报复打击的编制:
进侵检测系统(IDS)和进侵防御系统(IPS)是很好的呵护层。但是,大年夜大都只是摆设了此中一个,而没有都摆设,最好的编制就是同时摆设这二者。
IDS产品供给了可视性,但只有当数据泄漏变乱产生后才有效。假定企业可以或许即时对IDS警报采纳步履,损掉和侵害可以获得减缓。在另外一方面,IPS产品可以或许有效发现和辨认已知报复打击,但贫乏可视性。这两个解决方案的错误谬误是它们所依托的签名。假定没有更新签名,你可能没法检测报复打击者摆设的最新报复打击手艺。
反病毒呵护凡是可以或许检测良多缝隙操纵东西包安装的歹意软件。但单靠AV签名并没甚么用,所有AV产品都需要依托于签名呵护。当然AV供给商供给各类呵护,包含白名单和基于主机的IDS,但这些功能需要启用和利用。
垃圾邮件过滤也是检测和禁止大年夜部门报复打击必不成少的编制,但企业不克不及只依托反垃圾邮件呵护。它们很等闲呈现误报,没法反对一切报复打击,出格是当报复打击者假装成白名单中的域名时。
补丁治理是另外一个关头呵护层,因为它可以或许应对报复打击者最强的东西之一—缝隙操纵东西包。但是,修复把持系统其实不敷,还需要按期修复第三方软件。
最后,还需要安然意识培训。企业应当对用户进行培训来抵抗最较着的威胁,包含收集垂钓报复打击。安然意识培训是延续的步履,可以或许直接解决企业面对的风险。
报复打击时的缝隙操纵
毫无疑问,假定让报复打击者已顺利进展到了这个阶段,标题问题已很严重了,可是你仍然有机缘。此刻,报复打击者已传送了附有歹意附件的电子邮件,假定成功的话,报复打击者将可以或许操纵你企业利用的软件中的缝隙。而假定缝隙操纵成功的话,你的系统将遭到传染。但是,报复打击者在攻破你的防御后,可能会制造一些动静。假定是如许,关于他们报复打击编制和报复打击类型的证据可能位于收集或系统日记中。别的,你的各类安然事务监控器中可能包含报复打击的证据。
假定报复打击者的缝隙操纵没有被发现,你的胜算就会变的更小。据2013年Verizon数据泄漏查询拜访显示,66%的数据泄漏保持几个月乃至更长时候都未被发现。即便泄漏变乱被发现,也主如果因为无关的第三方暴光。
在缝隙操纵后,报复打击者需要成立一个安身点,也就是安装,也就大年夜大都端点呵护的存眷点。报复打击者凡是是经由过程在传染主机上安装额外的东西来获得安身点。
报复打击者可能从初始切进点进进收集中的其他系统或办事器。这类支点报复打击(Pivoting)可以或许帮忙报复打击者完成其整体方针,并确保他们不被发现。
凡是环境下,支点报复打击的成功是因为对收集政策的缝隙操纵,让报复打击者可以或许直接拜候一些系统,如许,他们就不需要操纵另外一个缝隙或歹意软件。
事务响应打算首要用来报复打击者勾当的安装阶段。因为防御办法已掉败,所以响应是独一的选择了。但是,只有在检测到报复打击,才可能进行事务响应。假定缝隙操纵阶段没有被检测到,而报复打击者成功安装歹意软件后,该如何办?假定你荣幸的话,你可以检测到一些报复打击的证据,并操纵它们来鞭策事务响应过程。
企业常常忽视传染指标(Indicators of Compromise,IOC),因为它们凡是隐躲在海量日记记实数据中。没有人有时候读取数百或数千条数据,这也是为甚么常常需要几个礼拜或几个月检测到数据泄漏变乱的启事。
假定报复打击者对准一名员工,并报复打击了企业系统,为了检测到这类报复打击,关头是寻觅异常环境,寻觅仿佛格格不进的东西。
另外一个例子是寻觅随机的意想不到的DNS要求。报复打击者常常会回调以操纵其他东西,或他们的有效载荷会发出外部要求。将DNS要求与已知歹意办事器、名声不好的IP地址列表进行匹配,如许做凡是可以或许检测到报复打击,因为缝隙操纵阶段是报复打击者可能制造动静的期间。
那么,对水坑报复打击呢?甚么算是很好的IOC呢?这也将需要读取大年夜量日记数据,但假定Web办事器日记充满着500弊端、权限弊端或路径弊端,标题问题就严重了。因为这可能意味着SQL注进和跨站脚本报复打击等。或,500弊端也多是良性的。但当它们与数据库弊端同时呈现,或来自单个利用法度或资本,则可能意味着报复打击。
一样地,不雅察404弊端,看看这些弊端是若何被触发。在良多环境下,web缝隙扫描仪或探测利用法度的机械人触发了这些事务。最后,假定你发现shell脚本(例如r57或c99),凡是是因为你已寄望到了日记中的随机GET或POST要求,这是很较着的IOC。事实上,web办事器上的shell是最糟的发现,表白已呈现数据泄漏。因为shell意味着报复打击者已节制着一切。
在减缓办法方面,良多签名提到的呵护层仍然合用。事实上,此中一些呵护层很合适于缝隙操纵阶段。例如,数据履行呵护(DEP)可以很好地避免歹意软件在被传染主机上运行。
当然报复打击者可能可以或许传送歹意软件,当受害者测验测验履行它时,DEP将会禁止它。但是,还有大年夜量歹意软件变种和软件缝隙操纵会对准DEP,所以你不克不及仅仅依托这类呵护。
白名单是另外一个很好的减缓办法,但这类编制有可能反对合法(白名单)利用法度,也就是说,白名单也不克不及作为避免缝隙操纵的独一来历。
反病毒节制(例如针对IP地址和软件的名誉查抄)是很好的防御办法,因为大年夜大都AV软件供给行动检测。但AV其实不是完美的解决方案,假定缝隙操纵阶段利用了未知的东西,AV可能会完全没用。基于主机的IDS一样是如斯,但假定没有摆设这些手艺,环境会更糟。
最后,对把持系统和第三编轨制保持软件更新和补丁修复,可以或许很好地避免缝隙操纵,并且可以或许节制权限。最小特权原则是IT内常常忽视的东西,但这是个很好的东西。
这些减缓办法的重点是,它们都不克不及完全禁止缝隙操纵和安装阶段,但假定连络利用,避免严重报复打击的概率将会增加。
报复打击时的号令和节制
报复打击者已完成了窥伺、兵器化和传送和缝隙操纵和安装阶段,此刻的标题问题是,你是直接报复打击方针仍是为报复打击者供给报复打击机缘?这个标题问题标谜底将决定你若何应对C2阶段。
正如前面提到的,被动报复打击(即你不是直接报复打击方针)很被动。是以,当终端因为路过式下载报复打击或歹意邮件附件被传染时,安装过程很是等闲检测。但有时辰路过式报复打击会操纵缝隙操纵东西包,而这只需要很少的用户交付,也可能没法被检测。
前面的文章中也提到过,被动报复打击勾当首要取决于报复打击量。当报复打击者汇集了身份验证和财务信息(一般报复打击的首要方针)后,报复打击者需要为每台传染主机成立一个C2通道。在这类环境下,没有变种和流量限制,只有对数千台传染主机的一个联系点。
C2阶段主如果关于通信,但要记住,C2阶段其实不包含数据传输。C2阶段是成立通信通道,承诺报复打击者与外部沟通。
被动报复打击是主动化的。主动化可以帮忙报复打击者实现报复打击量,因为几近不需要交互。但是,这类主动化意味着他们可能被发现。当企业内50个系统与不异未知主机通信,可能会被寄望到。
有针对性的报复打击则更具体,几近没有主动化。报复打击者将会发出号令,并利用特定的东西。有针对性报复打击的所有勾当都是有目标的,并会尽力回避窥伺,尽可能保持低调。
当你的企业沦为被动报复打击受害者,报复打击者利用的主动化东西没法回避现有安然节制缓和解办法的检测,因为它们制造了太多动静。是以,企业应当尽快禁止这类报复打击。
需要寄望的是,被动报复打击采取主动化编制是因为,这些报复打击勾当背后的把持者更侧重报复打击量,而不是节制。假定他们的歹意软件或其他有效载荷被发现和禁止,这并没甚么大年夜不了,他们可以顿时转移到其他受害者。
但是,假定企业沦为有针对性报复打击的受害者,这意味着报复打击者将会在企业内找到安身点,并会绕开安然节制或避免安然节制来避免被发现。别的,报复打击者还会试图成立后门法度到其他系统,成立更多切进点,以防此中一个切进点被发现。是以,在企业的事务响应打算中,一个很好的经验法例是,假定你看到一个后门法度,这意味着还暗藏着其他后门法度。
“坚实的”C2是指报复打击者可以动态调剂其法度,增加事务响应者手动检测的难度,乃至不成能。这也是数据泄漏变乱很长时候才被发现的启事。
正如第三篇文章中所述,报复打击者常常会回调以获得额外的东西,或利用有效载荷发出外部要求。这些传染指标可以或许清晰地揭露C2勾当,因为与正常收集流量比拟,这些有些异常。
是以,企业应当对比DNS要乞降已知歹意办事器列表,或过滤有着不良名誉的IP地址,以应对这类类型的流量。在缝隙操纵和安装阶段后,C2阶段是报复打击者少数制造动静的期间。但是,当这些流量被主动化检测标识表记标帜时,则表白是被动报复打击。
如许想,假定报复打击勾当背后的把持者在利用C2通道或从已知歹意来历下载有效载荷,你的企业多是报复打击者的方针之一。在另外一方面,有针对性报复打击勾当背后的把持者会谨严避免被检测。他们会将C2流量隐躲在正常通信通道内。
在C2成立后,报复打击者就成功了一半。一般被动报复打击是主动化的,动静很大年夜,并且会当即策动报复打击,而有针对性报复打击则会暗藏数天、数周乃至数月。是以,在C2阶段,流量监控是关头防御办法。假定可以或许连络前面提到的防御办法,你就成立了一个强有力的分层呵护。
只要准确建设和保护(包含按期更新),IPS和IDS系统可作为第一层防御。然后,企业需要ACL法则来经由过程防火墙限制进站和出站连接。但是,还需要限制防火墙法则中例外的数量,并且需要对这些例外进行紧密密切检测,或在不需要时撤消。在有针对性报复打击期间,你的安然法则和政策可能被用来针对你,出格是当它们过时或不受监管时。
最后,企业应当监控收集上流量的移动环境,更首要的是,监控移动到外部的流量。同时,存眷红色标识表记标帜的事务,例如点窜HTTP表头,和到未知IP地址或域名的连接。加密流量是被动报复打击和有针对性报复打击勾当利用的常常利用技能,在这类环境下,C2可能更难被发现,但也不是没有可能。你可以查找自签名证书和未经核准或非尺度加密利用。
报复打击后期的数据渗出
数据渗出是APT报复打击的最后一步,假定报复打击者完成这一步,你企业将面对巨大年夜损掉。在方针数据被肯定后,这些数据将被复制并经由过程C2通道移出收集,或可能被复制到收集中的另外一区域,然后再被移出。从这一点来看,企业应当等闲发现被动报复打击和有针对性报复打击。
正如前面提到的,被动报复打击动静很大年夜,分层防御办法很等闲发现这类报复打击。另外一方面,有针对性报复打击完全相反。
有针对性报复打击勾当背后的报复打击者会尽可能保持低调,所以不成能呈现大年夜范围数据转储。在有针对性报复打击中,我们会看到数据假装成正常流量经由过程C2通道分开收集。
在前面C2文章中,我们谈到了机缘报复打击凡是会操纵有着不良名誉的通信信道。对每个传染的主机,报复打击者会利用了不异的等闲辨认的通道。
这类机缘报复打击会将数据渗出到其他国度的数据中间的办事器,本地法令可能没有避免这类数据利用。在这些环境下,你不要指看ISP供给帮忙。所以,假定你不禁止数据分开收集,即便你发现数据的渗出,这类信息从法令上看也没多大年夜用处。
有针对性报复打击会报复打击合法办事器来存储数据。在良多环境下,受传染的办事器治理员可能不知道他们正在托管不属于本身的数据,而当他们意想到有甚么不合弊端劲时,报复打击者已早已离往。
在渗出阶段,最好的防御办法就是感知。你需要知道哪些数据进出你的收集,监控出站流量和进站流量都很首要。
DLP解决方案也能够用于应对渗出阶段。假定建设获得,DLP产品可以帮忙监控收集流量,并节制流量。它们可以或许发现未经授权的加密,被动和有针对性报复打击会操纵加密来隐躲通信。还可以或许发现异常流量模式。
别的,监控用户账户勾当也能够作为防御办法,有些合法账户可能呈现异常勾当。
在C2阶段利用的防御办法一样可用于渗出阶段,包含按照IP地址、IPS和IDS系统(可以调剂为监控所有阶段的勾当)和利用防火墙法则(节制哪些法度承诺发送流量到外部)禁止拜候。这些法则还可以利用到工作站或网段。
假定你捕获到渗出过程,日记记实将成为事务响应的关头资本,因为日记可以或许肯定产生了甚么、若何产生等。凡是环境下,在被动或有针对性报复打击中,肯定报复打击者是很首要的,但实际上这是不成能的,这个标题问题我们主如果靠猜想而不是事实。
不管采取何种防御办法,最好的编制是在变乱产生前禁止变乱。这恰是澳大年夜利亚旌旗灯号理事会(ASD)的首要工作,其收集不竭有报复打击者试图拜候敏感信息。ASD采取了四种防御办法,并指定它们作为其收集的强迫性要求。这四个强迫性办法包含:
1. 利用法度白名单
2. 第三方软件补丁治理
3. 把持系统补丁治理
4. 权限治理(限制利用域或本地治理员权限的用户数量)
在本系列文章的开端,我们切磋了有针对性报复打击和被动报复打击的目标的辨别,和这些报复打击者的整体方针。东西、计谋和法度其实不首要。你的企业更有可能成为机缘报复打击的受害者,而不是受平易近族国际帮助的有针对性报复打击的受害者。
应对这两种报复打击的最好编制就是分层防御。感知和可视性是快速反应和削减损掉的关头。当然延续性报复打击勾当最终会成功,但我们可以进步报复打击者的难度,和削减损掉。关头是要衡量风险,拟定合适企业需求的安然打算,不要惊骇APT。