网络安全专家对APT及AVT的本质与特征分析

“APT是一种连续性针对被攻击者系统存储的攻击行为,而且这种攻击通常没有明显的攻击特征。而AVT则会在获取敏感资料并准备离开被攻击系统前清除曾进行过相关操作的痕迹。”

高级持续威胁(APT)

APT(又称“高级持续攻击”)常常用于获取一个网络的权限,随后在某一段较长的时间段内获取目标组织的网络及系统中的敏感数据,并秘密监视相关系统的活动。多数相关的研究人员都认可美国政府在2005间所发布的安全分析文件中所描述的“一种针对特定对象的资产或敏感信息而发动的复杂及持久性网络攻击性”中对APT这个行为的定义。

这个“A”(“高级”)表示APT在使用恶意代码及获取系统权限方面使用到了复杂的技术。“P”(“持久”)则表示该外部控制系统将持续监控目标系统。而“T”(“威胁”)则表示这类攻击行为的本质是人为策划的。

像Stuxnet计算机蠕虫,它就是针对伊朗核计划的一个典型APT案例。在这种情况下,伊朗政府将视Stuxnet计算机蠕虫为“高级持续威胁”(APT)。

高级挥发性威胁(AVT)

相对于APT,AVT具备更强的隐藏性。许多专家预测AVT将会引起复杂性更强,破坏性更大,针对国与国之间的间谍行为。信息安全厂商Triumfant的总裁及CEO,John Prisco曾扬言,“这是一种在获取敏感信息后及离开被入侵系统前进行专业攻击指纹清除的攻击行为。当这种攻击来临时,攻击者会快速获取他们需要的敏感数据,然后快速清除他们曾经进行过恶意行为的指纹,以至于在被入侵系统关机及重启后不会留下任何曾被入侵的痕迹。”

KNOS Project的主要架构师及发起人之一Kevin McAleavey称AVT与某些内存寄居型病毒很类似。“例如第一个被发现的内存寄著型病毒Lehigh,它初次出现大概在1987年间”。但他认为,“内存寄著型病毒”在检测方面还是较容易,因为传统的防病毒解决方案主要依赖对已获取的、被感染文件类样本进行探测与分析并获得解决方案,但像AVT那样的攻击行为“没有文件样本”的话就无法进行分析了。

APT与AVT的不同点

APT着重于其“持久性”且常常将恶意代码放置在硬盘等永久存储容器中,而AVT则着重于其“挥发性”(即“获得目的后即清除其行为指纹”)且常常将恶意代码放置在内存等临时容器中。尽管AVT还未引起严重的网络灾难,但它已经以恶意代码的形式存在了一段比较长的时间了。AVT攻击常常以“下载者”的形式出现并运行在寄生系统的内存中。在这类型的场景下,这类的攻击是实时的。AVT并不持久,它通常会在系统关机后以没有痕迹的方式的消失。而APT却会持续在内存中一段很长的时间。在持续影响被攻击的系统方面,AVT与APT是刚刚相反的。AVT在大多数情况下仅仅会在被攻击系统中活动少于一天的时间。

如何解决APT事件

APT攻击者的组织常常包含情报分析人员,职业罪犯,社会活动的组织者甚至武装力量。他们通常会使用APT攻击并耐心等待可发现的系统安全缺陷,最后进入到目标的IT环境中。他们并不进行任何系统破坏行为,相反,他们会隐藏起来并伺机获取敏感数据。

APT行为的生命周期分为五个阶段:信息收集,初始化攻击,控制,权限提升,数据获取。攻击者通常会在风险存在的切入点,关键的自然人及他们的职责,该组织的关键资产,及组织的客户群,人际网络中进行深入的调查与研究。

复杂性:在APT的应用过程中会用到很多目标组织的信息安全缺陷。这些缺陷可能包含自然人及技术等方方面面:

  • 社会工程学攻击:例如基于电话的诈骗行为;
  • 内部恶意代码:例如通过钓鱼攻击进行远程管理工具的安装行为;
  • 针对特定物理设备的恶意代码:影响如U盘及小型存储卡的恶意代码;
  • 外部利用程序:通过大规模的系统漏洞利用实现权限提升。

缓慢的感染性:本质上,APT尝试通常长时间“隐藏自身”的方式以实现绕过目标的检测机制,而“隐藏自身”的方式遵循着“低影响性”及“慢感染性”。一旦攻击者立足与目标的系统环境,攻击者将通过“command-and-control”(远程命令与控制)的方式远程控制目标系统环境的主机,而其被控制端程序通常会伪装成合法的系统应用。

发现,控制及持续过程:APT攻击在开始时会窃取被获取权限的主机上的敏感信息。在实施这个步骤的过程中,攻击者会在被入侵的主机上运行某些特定的工具。下一步,他们会利用已获得的信息进行进一步的分析,并尝试通过分析结果来获得其它主机的访问权限并进一步获取更多的敏感信息。

通常,当攻击者在获得主机初步控制权时,会尝试进行权限提升并以此尝试获得系统管理员权限。他们常常用到的工具包括gsecdump,SSH,RDP,Cain&Abel等。某些关键系统包含“微软动态目录”(AD域)服务及“公共密钥机构”(PKI)服务,这些服务可能会成为被攻击的对象,因为其包含大量如认证凭证等敏感信息。

信息提取行为:在发现攻击者感兴趣的数据以后,攻击者会将敏感数据打包并压缩加密。这类行为能使深层数据检测技术与数据还原技术无法探测到他们获取到的敏感数据的具体内容。下一步,他们会把打包后的敏感数据送出目标系统。通常他们会用FTP服务,若FTP服务无法正常工作时他们才会使用自定义的文件传输协议。APT不同于常见网络攻击行为的地方在于,其着重于获取敏感数据而不是破坏系统或中断服务。

APT不但具备持续性及隐藏性,而且它还能通过“command-and-control”(远程命令与控制)的方式定期更新自身,以达到无法被同样具备自动更新特性的防病毒软件所探测出来的效果。

由于被攻击对象的敏感信息是定期更新的,而攻击者为了保证其获得的数据与被攻击的对象同步,因此攻击者会尽可能地持续进行信息提取行为。

最终,攻击行为会停止,其原因可能是攻击者获取了足够的敏感信息,又或者是受害者意识到了攻击行为并抑制了其继续发生。但一旦攻击者通过APT获取到了敏感的信息,他们接下来可能会进行以下的犯罪行为:

  • 对外销售敏感数据;
  • 威胁受害者,声称要对外公开敏感数据;
  • 要求受害者交纳赎金以“赎回”相关的敏感数据。

大多数常见的APT都会使用到僵尸网络技术,或恶意代码如Regin,Flame,Duqu,及常见的Stuxnet。这类网络攻击常常能绕过基于特征的检测机制及沙箱检测技术。

另一方面,AVT也是一种用于逃避分析与检测的恶意代码技术手段。大多数专家相信目前大部分的AVT攻击行为都是未被发现的,因此这种技术手段大大地保护了攻击者。Metasploit Framework的Meterpreter组件也常常被用于进行AVT攻击行为,因为这个组件容许攻击者编写属于自己的DLL(动态连接库)文件并注入自定义的程序作为子线程。常见的防病毒软件检测方式将无法发现AVT,而内存监视技术将是实时发现AVT的最佳手段。

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2015-06-08

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏腾讯位置服务

地主认证(商户标注) | 常见问题

地主认证(商户标注)申请 1.什么人可以申请商户标注, 是否收费? 各类企事业单位、个体工商户,对自己的经营场所、实体店铺希望腾讯地图进行收录的,均可申请商户...

67230
来自专栏FreeBuf

别让你的手机成为恶意软件的温床

手机早已成为人们生活中不可或缺的一部分,在娱乐,移动支付,社交等方面都起到举足轻重的作用,可以说在当今社会手机就是人们重要的“生存”工具之一。但是在享受时代带给...

16100
来自专栏云计算与大数据

研发:认识反射型攻击放大效果

“肉鸡”这个黑客术语指的是被黑客秘密控制的主机,当“肉鸡”规模达到一定程度之后就会出现不易管理的问题,为了解决管理的问题,出现了相应的网络技术,于是就出现了僵尸...

20030
来自专栏FreeBuf

针对爱尔兰DDoS攻击的取证分析

在过去一段时间内,爱尔兰的许多在线服务和公共网络都遭受到了 DDoS 攻击。英国广播公司(BBC)最近的一篇文章[链接]就指出 2016 年 DDoS 攻击事件...

28070
来自专栏FreeBuf

Linux/Moose蠕虫:操纵路由器“帮你玩”社交网络

ESET的安全研究员发表了一篇技术报告,报告中详细分析了一个新的蠕虫Linux/Moose。它的攻击对象主要是调制解调器、家用路由器和其他嵌入式计算机,可将这些...

257100
来自专栏FreeBuf

如何安全的使用Tor网络

Tor是什么 Tor是互联网上用于保护您隐私最有力的工具之一,但是时至今日仍有许多人往往认为Tor是一个终端加密工具。事实上,Tor是用来匿名浏览网页和邮件发送...

267100
来自专栏工科狗和生物喵

总算搞定了域名(好吧,我一开始忘了)

正文之前 我是从大二下学期开始入程序员这个坑的。那个时候恰逢遇到了我计算机方面的启蒙学长,然后他带着我走了一段很长的路,其中就包括网站建设这个方面。我前端后端都...

754130
来自专栏程序人生

为什么你要懂点信息安全(续一)

昨天的文章可能让很多新读者读得莫名其妙,程序君在此抱歉。我应该使用这样的标题:『[连载] 途客们的旅行梦 - 创新工场初印象』,就不会让你看得摸不着头脑了,下次...

36470
来自专栏漏斗社区

看!我手里有个Email收集神器

众所周知,在工作中,大家用到最多的便是Email来传输工作内容,因此,像一些VPN信息、服务器账号密码、公司人员清单等敏感数据,均会通过Email进行传输,并且...

21330
来自专栏FreeBuf

FireEye发布调查报告,混淆技术成为了2017年攻击者最喜欢用的技术之一

在2017年上半年,我们发现使用命令行逃逸技术和混淆技术的攻击者数量正在显著增加,网络间谍组织和专门针对金融领域的黑客组织仍在继续采用最先进的应用白名单绕过技术...

36970

扫码关注云+社区

领取腾讯云代金券