高级可持续攻击（ APT ）攻防分析

杭州安恒 - 吴卓群

演讲提纲

1、 APT 攻击介绍

2、 APT 攻击案例分析

3、 APT 攻防分析

APT 攻击

• 什么是 APT– Advanced Persistent Threat– APT 是指高级的持续性的渗透攻击，是针对特定组织的多方位的攻击；– APT 不是一种新的攻击手法，因此也无法通过阻止一次攻击就让问题消

失

APT 攻击增长情况

网络犯罪集团与 APT 攻击的区别

APT 攻击的常见流程

6

演讲提纲

1、 APT 攻击介绍

2、 APT 攻击案例分析

3、 APT 攻防分析

APT 攻击 - 韩国大规模 MBR 攻击

1 FIRST组织和 APCERT组织了解到韩国主要广播电视台KBS、MBC、 YTN，以及韩国新韩银行（ ShinNan Bank）、农协银行（ NongHyup Bank）等部分金融机构疑似遭受黑客攻击，相关网络与信息系统突然出现瘫痪 2 月中事件调查出炉，报导说朝鲜至少用了 8 个月来策划这次攻击，成功潜入韩国金融机构 1500 次，以部署攻击程序，受害计算机总数达 48000 台，这次攻击路径涉及韩国 25 个地点、海外 24 个地点，部分地点与朝鲜之前发动网络攻击所使用的地址相同。黑客所植入的恶意软件共有 76 种，其中 9 种具有破坏性，其余恶意软件仅负责监视与入侵之用。

• 攻击行为分析–邮件植入木马–病毒传播– 病毒在 3月 20 日下午 2： 00 以后激活– taskkill /F /IM pasvc.exe [AhnLab client]– taskkill /F /IM Clisvc.exe– Vista以上系统覆盖文件、其他的破坏引导扇区– shutdown -r -t 0

对美国无人机厂商的 “ Beebus” APT 攻击

• 黑客团队利用钓鱼式攻击窃取美国无人机的相关信息，该行为被命名为“ Beebus”

• 在 2012年初就在一些国防和航空航天客户系统上发现了一些可疑行为，在发现的 261次攻击行为中，其中有 123次是针对无人机或系统供应商。这些攻击一般通过电子邮件发送 DOC、 PDF等文件到客户邮箱，当用户打开附件，恶意软件立即会感染用户电脑，该恶意软件主要目标是美国和印度的政府机构、航空航天、国防和电信行业。

对美国无人机厂商的 “ Beebus” APT 攻击

• 使用包含 http 代理功能的 mutter后门程序• 和服务器通讯： <Mutter version#>-

<campaign marker?>-<victim hostname>-<victim IP address>

• 没有使用 0day ，只使用了一些老的漏洞

利用 Twitter进行 APT攻击

• 国外安全实验室监测到一例通过 Twitter来进行 APT攻击攻击的行为。并且其中用到了 CVE-2013-0634 Adobe Flash SWF exploits

利用 Twitter进行 APT攻击

• 搜集目标人员 Twitter 账户• 使用 @ 的方法使目标人员访问特定页面• 其中利用了 CVE-2013-0634 Flash SWF来加载漏洞

2011年 NASA 遭受 APT 入侵报告

在 2011财政年度，美国宇航局（ NASA）的报道，这是 47个 APT攻击的受害者，其中 13成功破坏机构的电脑。在一个成功的攻击，入侵者窃取用户凭据 NASA的员工超过 150 个，证书可能已被用来获得未经授权的访问NASA 系统。

入侵者可以做什么： （ 1）修改，复制，或删除敏感文件； （ 2）添加，修改，或删除用户帐户的关键任务的喷气推进实验室系统； （ 3）上传黑客工具盗取用户的凭据和妥协的 NASA系统； （ 4）修改系统日志来掩饰他们的行动。 换句话说，袭击者在这些网络的全功能控制。

利用爆炸案热点的新 APT 攻击

黑客利用民众对波士顿马拉松爆炸案和德州化肥厂爆炸案的关注开展组合拳式的攻击。攻击方式包括钓鱼、 iframe 重定向、 Redkit 漏洞利用包、僵尸网络攻击诸多手段。黑客的攻击通过 Zeus、 Kelihot 僵尸程序感染了大量的计算机，偷窃金融账号和个人信息，发送恶意邮件或劫持个人计算机展开 DDoS 攻击。

利用爆炸案热点的新 APT 攻击

• Phish email 邮件以最近发生的波士顿马拉松爆炸事件祈祷作为主题进行定向攻击，希望别人打开附件文档 对这次爆炸事件进行祈祷。

美国举行“网络风暴 III”演习

2010年 9 月 27 日至 29 日，美国国土安全部会同商务部、国防部、能源部、司法部、交通部和财政部，联合 11 个州和60家私营企业，举行了第三次网络风暴演习。与往届类似演习的不同之处在于，此次演习更多地反映了美国防部最新颁布的《四年一度防务报告》中提及的“竞争全球公共空间”（包括海洋、大气层、外太空以及网络空间）的概念，以协调整合一致的方式，将衡量与判断网络空间安全程度的标准提升到军用标准，将网络安全提升到国家安全战略核心内容之一的角度进行全行的策划与设计，综合性应对来自网络空间的挑战。

北约举行“ 2011 网络联盟”演习

北约 2011年 12月 16 日发布公报说， 13 日至 15日北约举行了一场网络防御演习，以检验应对大规模网络攻击的能力。

共有 23 个北约成员国和 6 个伙伴国参与这场代号“ 2011网络联盟”的演习。演习假设北约和参与国家的信息基础设施遭到大规模网络攻击，要求各方协调应对。演习目的一是检验参与方应对网络攻击的技术能力，二是提高北约成员国之间的协调应对能力。

2011年 7 月美国国防部发布《网络空间行动战略》

• 美国国防部 2011年 7 月 14 日在其网站上发布了首份《网络空间行动战略》部分内容，新战略包括进一步将网络空间列为与陆、海、空、太空并列的“行动领域”；变被动防御为主动防御，从而更加有效地阻止、击败针对美军网络系统的入侵和其他敌对行为；进一步加强国防部与国土安全部等其他政府部门及私人部门的合作；通过技术创新能力保持国家的独创性。尽管美方一再强调新战略重在防御，但从种种迹象来看，美军已经将网络空间的威慑和攻击能力提升到更加重要的位置。

网络空间战不再是纸上谈兵 成军事强国战略必争地

• 俄罗斯在 2002年的《俄联邦信息安全学说》中将信息网络战称为未来的“第六代战争”。

• 英国在 2009年的《国家网络安全战略》中把网络攻击列为英国面临的四大威胁之一。

• 日本在 2010年 5 月的《信息安全战略》中要求各部门构建能够应对大规模网络攻击的体制，确保网络空间安全。

网络空间面临着巨大的安全威胁

网络犯罪

网络战争

网络恐怖

随着云计算和物联网技术发展应用，现实世界将与网络世界融为一体成为我们赖以生存的生态环境。

演讲提纲

1、 APT 攻击介绍

2、 APT 攻击案例分析

3、 APT 攻防分析

APT攻击特点

APT 攻击发现难点

• 如何有效发现 0day攻击• 如何定义攻击路径及行为• 如何定义恶意文件的特征及行为• 如何可以更好的了解 APT 攻击

APT 攻击方式

基于人工的主动渗透

• 通过人工渗透进入内网，并对关键资源发动攻击（攻击目标关键资源包括域控、 OA、邮箱、文件服务器、工控系统等）

• 攻击途径：–WEB服务– Vpn 服务– 邮箱系统– 其他对外开发并可能利用的服务

基于病毒木马攻击

• 通过病毒木马目标实施攻击，可能是很复杂的网络–典型案例：• Stuxnet 病毒• Flame 病毒

即使在物理隔离也不安全

基于文件 0day 的攻击

• 利用收集的邮件进行定向攻击– 发送带恶意代码的文本格式文件如： office， pdf 等

基于异常流量的攻击

• 网络扫描嗅探的异常流量• 远程溢出数据• 内网病毒木马爆发的异常流量• 数据回传时的异常流量

检测手段

发现APT

发现APT

检测手段

• 基于主动 web 的攻击检测– 通过分析 web 流量定位其中的恶意攻击• 通用性漏洞检测：

– 如 SQL 注入、跨站、命令执行等• 0day 的攻击：

– 新型框架漏洞、新型利用手段• 浏览器攻击：

– 浏览器 0day 漏洞

检测手段

• 基于已知病毒木马的检测– 通过特征匹配的方式定位已知病毒木马

检测手段

• 基于文件的恶意代码分析– 通过检测文件的溢出漏洞点，和溢出攻击的特

点发现基于文件的 0day 恶意攻击

检测手段

• 动态行为分析技术– 通过动态分析的，对目标进行行为特征分析，

发现其中的恶意行为，从而发现攻击• 文件操作行为• 网络行为• 进程行为• 注册表行为

检测手段

• 基于流量的行为分析– 通过对流量的变化的行为特征分析，发现网络

中的异常流量，从而发现恶意攻击• 多维度检测（源目 IP 分布、访问频度、协议类型等）• 基于黑域名黑 IP检测• 合规协议的检测

About Me

About Me

• 目前就职于杭州安恒信息技术有限公司，任信息安全服务部副总监、研究院安全分院(dbappseclab@dbappsecurity.com.cn)负责人、高级安全研究员。

• 从事多年的web应用安全领域研究。擅长漏洞发掘、代码审计。

THINK YOU