APT攻击缘何难防?
APT攻击行为具有以下特点:首先是目标性强,APT攻击往往针对具体的目标(企业、组织甚至是国家)进行,目的是获取某一类重要信息;其次是手段先进,APT攻击会利用多种攻击手段,包括各类零日漏洞和其他的网络入侵技术,有时候甚至用到社会工程学方法;第三是持续性强,有的APT攻击会持续数年之久,攻击者不断尝试各种攻击手段,以及在渗透到网络内部后长期蛰伏,不断收集各种信息,直到收集到重要情报;第四是危险性高,APT攻击主要针对国际巨头企业、国家重要基础设施和单位进行,包括能源、电力、金融、国防等关系国计民生以及国家核心利益的基础设施。
APT攻击缘何难防?用中国一句老话来讲叫做:“不怕贼偷,就怕贼惦记。”攻防双方的信息不对称性,隐蔽性和持续性是APT攻击具有的最大的威胁。请看两个典型的攻击案例(来自网络):
1、RSASecureID窃取攻击
攻击者给RSA的母公司EMC的4名员工发送了恶意邮件。邮件标题为“2011RecruitmentPlan”,寄件人是webmaster@Beyond.com,正文写着“Iforwardthisfiletoyouforreview.Pleaseopenandviewit.”,里面有个EXCEL附件名为“2011Recruitmentplan.xls”。
其中一位员工感兴趣并将其从垃圾邮件中取出来阅读,殊不知此电子表格其实含有当时最新的AdobeFlash的0day漏洞(CVE-2011-0609)。这个Excel打开后啥也没有,除了在一个表单的第一个格子里面有个“X”,而这个叉实际上就是内嵌的一个Flash,该主机被植入臭名昭著的PoisonIvy远端控制工具,并开始自BotNet的C&C服务器(位于good.mincesur.com)下载指令进行任务。
首批受害的使用者并非“位高权重”人物,紧接着相关联的人士包括IT与非IT等服务器管理员相继被黑。RSA发现开发用服务器(Stagingserver)遭入侵,攻击方随即进行撤离,加密并压缩所有资料(都是rar格式),并以FTP传送至远端主机,又迅速再次搬离该主机,清除任何踪迹,在拿到了SecurID的信息后,攻击者就开始对使用SecurID的公司(例如上述防务公司等)进行攻击了。