20111104 apt攻击案例分享 glacier
TRANSCRIPT
第2页
APT简述
• APT全称:Advanced Persistent Threat
• APT简述:–APT是指高级的持续性的渗透攻击,是针对特定组织的多方位的攻
击;
–APT不是一种新的攻击手法,因此也无法通过阻止一次攻击就让问题消失。
第3页
案例——极光行动(2009-2010)
• 极光行动简介:–极光行动(Operation Aurora)是2009年12月中旬可能源自中国
的一场网络攻击,其名称“Aurora”(意为极光、欧若拉)来自攻击者电脑上恶意文件所在路径的一部分。
–2010年1月12日,Google在它的官方博客上披露了遭到该攻击的时间。此外还有20多家公司也遭受了类似的攻击(部分来源显示超过34家)
第4页
案例——极光行动(2009-2010)
• 攻击过程回放:
搜集Google员工在Facebook、Twitter等社交网站上发布的信息;
利用动态DNS供应商建立托管伪造照片网站的Web服务器,Google员工收到来自信任的人发来的网络链接并且点击,含有shellcode的JavaScript造成IE浏览器溢出,远程下载并运行程序;
通过SSL安全隧道与受害人机器建立连接,持续监听并最终获得该雇员访问Google服务器的帐号密码等信息;
使用该雇员的凭证成功渗透进入Google邮件服务器,进而不断获取特定Gmail账户的邮件内容信息。
第6页
案例——夜龙攻击(2007-2011)
• 夜龙攻击简介:–据美国《华尔街日报》2011.2.10报道,美国网络安全公司McAfee
发表报告称,5家西方跨国能源公司遭到“来自中国”的黑客“有组织、隐蔽、有针对性”的攻击。超过千兆字节的敏感文件被窃,包括油气田操作的机密信息、项目融资与投标文件等。McAfee的报告称这场网络间谍行动代号为“夜龙”(Night Dragon),最早可能开始于2007年,目前攻击行动仍在持续。
第7页
案例——夜龙攻击(2007-2011)
• 攻击过程回放:
通过SQL注入,入侵外网Web服务器;
更多内网电脑遭到入侵,多半为高阶主管点击了看似正常的邮件附件,却不知其中含有恶意代码。
以Web服务器为跳板,对内网其他服务器及终端电脑进行扫描;
通过密码暴力破解等方式入侵内网AD服务器及开发人员电脑;
向被入侵电脑植入恶意代码,并安装远端控制工具;
禁用被入侵电脑的IE代理设臵,建立直连通道,传回大量机敏文件(包括所有会议记录与组织人事架构图);
第9页
案例——RSA SecurID窃取攻击(2011)
• RSA SecurID窃取攻击简介:–2011年3月,EMC公司下属的RSA公司遭受入侵,部分SecurID技术
及客户资料被窃取。其后果导致很多使用SecurID作为认证凭据建立VPN网络的公司受到攻击,重要资料被窃取。
第10页
案例——RSA SecurID窃取攻击(2011)
• 攻击过程回放:攻击者给RSA的母公司EMC的4名员工发送了两组恶意邮件,
附件名为“2011 Recruitment plan.xls”;
在拿到SecurID信息后,攻击者开始对使用SecurID的公司展开进一步攻击。
其中一位员工将其从垃圾邮件中取出来阅读,被当时最新的Adobe Flash的0day漏洞(CVE-2011-0609)命中;
该员工电脑被植入木马,开始从BotNet的C&C服务器下载指令执行任务;
首批受害的使用者并非“位高权重”人物,紧接着相关联的人士包括IT与非IT等服务器管理员相继被黑;
RSA发现开发用服务器(Staging server)遭入侵,攻击方立即撤离,加密并压缩所有资料并以FTP传送至远程主机,随后清除入侵痕迹;
第12页
案例——超级工厂病毒攻击(2010)
• 超级工厂病毒攻击简介:–超级工厂病毒(Stuxnet)在2010年7月开始爆发。它利用了微软
操作系统中至少4个漏洞,其中有3个全新的0day漏洞,为衍生的驱动程序使用有效的数字签名,通过一套完整的入侵和传播流程,突破工业专用局域网的物理限制,利用WinCC系统的2个漏洞,对其开展攻击。
–它是第一个直接破坏现实世界中工业基础设施的恶意代码。据赛门铁克公司的统计,目前全球已有约45000个网络被该蠕虫感染,其中60%的受害主机位于伊朗境内。伊朗政府已经确认该国的布什尔核电站遭到Stuxnet的攻击。
第13页
案例——超级工厂病毒攻击(2010)
• 攻击过程回放:
感染外部主机;
通过感染可移动存储设备对物理隔离网络实现“摆渡”攻击,利用快捷方式文件解析漏洞( MS10-046 ),传播到内部网络;
在内部网络中,通过快捷方式解析漏洞、RPC远程执行漏洞( MS08-067 )、打印机后台程序服务漏洞( MS10-061 ),实现联网主机之间的传播;
抵达安装了WinCC软件的主机,展开进一步攻击。
第15页
案例——暗鼠行动(2006-2011)
• 暗鼠行动简介:–2011年8月份,McAfee和Symantec公司发现并报告了暗鼠行动
( Operation Shady RAT)。该攻击从2006年启动,在长达数年的持续攻击过程中,渗透并攻击了全球多达72个公司和组织的网络,包括美国政府、联合国、红十字会、武器制造商、能源公司、金融公司等等。
第16页
案例——暗鼠行动(2006-2011)
• 攻击过程回放:
通过社会工程学的方法收集被攻击目标的信息;
借助恶意代码,受害人电脑与远程电脑建立了Shell连接,攻击者可以任意控制受害人的电脑。
向目标公司的特定人发送极具诱惑性的、带有附件的邮件(例如邀请他参加行业会议,以他同事或者HR部门的名义告知他更新通讯录,请他审阅某个真实存在的项目的预算,等等);
当受害人打开邮件查看附件时触发CVE-2009-3129 漏洞利用程序,从而被植入木马。该漏洞并非0day漏洞,只针对某些版本的EXCEL有效,可见被害人所使用的EXCEL版本及补丁信息也被攻击者知悉;
木马从远程服务器下载恶意代码,且这些恶意代码被精心伪装(例如图片或HTML文件),不为安全设备所识别;
第19页
案例——攻击事件统计数据
• 已知遭受入侵的机构/企业比例:–CSI 《2010/2011 Computer Crime and Security Survey》
–41.1%的机构/企业遭遇到了计算机安全事件,9.1%无法确定
调查范围:
• 世界351位计算机安全从业人员;
• 涉及咨询、金融、教育、政府机构、零售业、制造和信息行业;
• 所在公司的人数从100到50000不等。
第20页
案例——攻击事件统计数据
• 有目的性的攻击事件比例:–CSI 《2010/2011 Computer Crime and Security Survey》
–21.6%的安全事件是有目的性的攻击事件,24.0%无法确定
第22页
案例——APT总结
• APT特点及趋势:–周密完善且目标明确的信息搜集;
–不计成本挖掘/购买0day漏洞;
–多种方式组合渗透、定向扩散;
–长期持续攻击。