中新网1月8日电
网络安全圈内流传着这样一句话:世界上只有两种大型企业,一种是知道已经被黑客入侵的企业,另一种则是被入侵却浑然不知的企业。尽管不少人认为,这样的言论未免言过其实,但不可否认的是,以高级可持续性攻击活动(下称“APT攻击”)为代表的高级新型攻击,正在冲击着企业安全防线,作恶团伙暗中潜伏,伺机发起攻击窃取机密数据、破坏生产系统。整个2018年全球范围内的APT攻击逐渐呈现高发态势。

【黑客联盟2016年10月17日讯】360旗下“天眼实验室”发布报告,首次披露一起针对中国的国家级黑客攻击细节。该境外黑客组织被命名为“海莲花(OceanLotus)”,自2012年4月起,“海莲花”针对中国的海事机构、海域建设部门、科研院所和航运企业,展开了精密组织的网络攻击,很明显是一个有国外政府支持的APT(高级持续性威胁)行动。

在此背景下,腾讯安全近日正式对外发布《2018年高级持续性威胁研究报告》,针对全球各大安全团队的安全研究报告进行研究,并提取了相关的指标进行持续的分析和跟踪工作,全面剖析全球范围内APT组织分布及攻击技术,同时还对四大攻击技术趋势进行预测,对网络信息安全行业发展具有参考意义。

​报告指出,“海莲花”使用木马病毒攻陷、控制政府人员、外包商、行业专家等目标人群的电脑,意图获取受害者电脑中的机密资料,截获受害电脑与外界传递的情报,甚至操纵该电脑自动发送相关情报,从而达到掌握中方动向的目的。

互联网的普及也带来了网络病毒的肆意,传统的网络安全软件可以有效的防范蠕虫病毒、间谍软件、木马、钓鱼等网络攻击威胁。然而,采用未知威胁为手段的APT攻击则是针对数据库、大量数据进行搜集,且所有的APT已知威胁只是对过去的积累和收集,很多新兴威胁没有样本可循,这增加了APT威胁的攻击力,并让我们越发难测,由于APT攻击的存在,企业暴露在未知威胁影响下的时间也越来越多,风险越来越大。

APT全球攻击事件频发 中国成跨国APT组织重点攻击目标

据天眼实验室分析,海莲花攻击的主要方式有“鱼叉攻击”和“水坑攻击”,前者最常见的做法是,将木马程序作为电子邮件的附件,并起上一个极具诱惑力的名称,发送给目标电脑,诱使受害者打开附件,从而感染木马。

此外,由于云计算和移动互联网的普及,智能终端让任何接入点都可能变成系统漏洞,企业数据中心也变成一个弹性的外围,很多网关/边界式防护都会因此存在防护的缺失。网络威胁背后的推动力是金钱利益与商业犯罪,其发展演变一定还会持续,所以一定要构筑一个面向APT威胁的综合防护的体系,实现企业自身的安全进化。

APT攻击的本质是针对性攻击,常用于国家间的网络攻击,主要通过向目标计算机投放特种木马,以此窃取国家机密信息和重要企业的核心商业信息、破坏网络基础设施等,具有相当强烈的政治、经济目的。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,属于“网络间谍”行为。近年来,APT攻击对企业业务的正常运转构成了不小的威胁,并最终殃及普通网民。如2018年12月某APT组织对驱动人生公司发动的定向攻击,挟持其升级通道大规模安装和传播云控木马,进而在受感染机器上挖矿牟利。

例如,在去年5月22日新疆发生了致死31人的暴力恐怖性事件之后,5月28日,该黑客组织曾发送名为“新疆暴恐事件最新通报”的电子邮件及附件,引诱目标人群“中招”。该组织曾发送过的电邮名称还包括“公务员工资收入改革方案”等一系列社会高度关注的热点。

APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和入侵行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。所谓知己知彼百战百胜,防范APT,先从了解它入手。

皇家赌场娱乐,《报告》显示,在2018年全年,全球共计35个安全机构发布了206篇APT相关的研究报告,涉及高达58个APT组织。从被攻击地区分布来看,东亚和东南亚都遥遥领先于世界其他地区。而欧洲和北美则保持精英化的状态,虽然攻击组织不多,但是都是实力雄厚的攻击组织。

“水坑攻击”,即在受害者必经之路设置了一个“水坑(陷阱)”。最常见的做法是,黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会“中招”。例如,黑客攻陷了某单位的内网,将内网上一个要求全体职工下载的表格偷偷换成了木马程序,这样,所有按要求下载这一表格的人都会被植入木马程序,向黑客发送涉密资料。

APT是这么“来”的

皇家赌场娱乐 1全球被攻击地区分布

“海莲花”组织在攻击中还配合了多种“社会工程学”的手段,以求加大攻击效果。比如,在进行鱼叉攻击时,黑客会主要选择周一和周五,因为这两个时间人们与外界的沟通比较密切,是在网络上传递信息的高峰期。而水坑攻击的时间则一般选在周一和周二的时间,因为这个时候一般是单位发布通知,要求职工登录内网的时候。

APT的攻击手法在于隐匿自己,针对特定对象,长期、有计划和有组织地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,实际上是一种“网络间谍”的行为。APT入侵的途径多种多样,主要包括以下几方面:

随着中国在全球化进程中影响力的不断提升,政府、企业及民间机构与世界各国联系的更加密切,我国已逐渐成为跨国APT组织的重点攻击目标,也是实际遭受攻击最严重的国家之一。整个2018年,腾讯安全监测到针对国内目标发动的境内外APT组织至少有7个,且均处于高度活跃状态。海莲花、黑店、白象、蔓灵花、蓝宝菇等APT组织长期针对中国敏感机构和行业发动攻击。从行业分布来看,政府、能源、军工等基础设施是重要的攻击目标。地域分布上,辽宁、北京和广东是国内受APT攻击最多的地区。

目前已经捕获的与“海莲花”相关的第一个特种木马程序出现在2012年4月,当时,首次发现第一波针对海运港口交通行业的“水坑”攻击,海莲花组织的渗透攻击就此开始。不过,在此后的2年内,“海莲花”的攻击并不活跃。

首先是“水坑攻击”,攻击者在特定的网站上进行挂马,而这些网站是受害者经常访问的,从而导致恶意软件入侵。[l1]
其次是“鱼叉攻击”,以社交工程的恶意邮件是许多APT攻击成功的关键因素之一。随着社交工程攻击手法的日益成熟,这些邮件几乎真假难辨。从一些受到APT攻击的大型企业事件中可以发现,这些企业受到威胁的关键因素都与普通员工遭遇社交工程的恶意邮件有关。黑客刚一开始,都是针对某些特定员工发送钓鱼邮件,以此作为使用APT手法进行攻击的源头。再次是利用防火墙、服务器等系统漏洞继而获取访问企业网络的有效凭证信息是使用APT攻击的另一重要手段。

目前,针对国内发动的APT攻击活动日益增多,给国家有关部门、企业机构以及各大高校带来了较为严峻的挑战。对此,《报告》提醒各大机关、企业以及个人用户,及时修补系统补丁和重要软件的补丁,全面提升网络安全意识,不要打开来历不明的邮件附件内容,同时不要轻易启用Office的宏代码功能。

直到2014年2月,海莲花开始对我国内目标发送定向的“鱼叉”攻击,海莲花进入活跃期,并在此后的14个月中对我国多个目标发动了不间断的持续攻击。2014年5月,海莲花对国内某权威海洋研究机构发动大规模鱼叉攻击,并形成了过去14个月中鱼叉攻击的最高峰。

总而言之,APT正在通过一切方式,绕过基于代码的传统安全方案,例如防病毒软件、防火墙、IPS等,且更长时间地潜伏在系统中,让传统防御体系难以侦测。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图