一起經(jīng)典的APT攻擊:從空白郵件到數(shù)據(jù)滲漏

現(xiàn)在有越來(lái)越多的企業(yè)網(wǎng)絡(luò)正在成為高級(jí)持續(xù)性威脅 (APT) 的目標(biāo)。這篇文章重點(diǎn)介紹了最近一起針對(duì)一家規(guī)模龐大且安全工作做的不錯(cuò)的澳大利亞企業(yè)的攻擊,該攻擊導(dǎo)致了一次重大的數(shù)據(jù)泄露。

這個(gè)針對(duì)一家大型企業(yè)的高級(jí)持續(xù)性威脅攻擊的故事,始于一系列的空白電子郵件。

現(xiàn)在有越來(lái)越多的企業(yè)網(wǎng)絡(luò)正在成為高級(jí)持續(xù)性威脅 (APT) 的目標(biāo)。這篇文章重點(diǎn)介紹了最近一起針對(duì)一家規(guī)模龐大且安全工作做的不錯(cuò)的澳大利亞企業(yè)的攻擊,該攻擊導(dǎo)致了一次重大的數(shù)據(jù)泄露。

在悉尼時(shí)間7月1日下午12點(diǎn)55分,Olivia Wilson(化名)午休回來(lái),在她的收件箱里發(fā)現(xiàn)了一封新郵件,主題是 “我們今晚還開會(huì)嗎?”。她習(xí)慣性地打開了這封郵件,結(jié)果發(fā)現(xiàn)里面是空的。Mary 認(rèn)為這樣的小事不值得向 IT 部門報(bào)告,所以她繼續(xù)回去做她的工作了。這是一起有針對(duì)性的網(wǎng)絡(luò)攻擊的第一階段。

到這個(gè)工作日結(jié)束時(shí),這家公司的員工收到了數(shù)百條類似的信息。這是入侵偵察階段的一部分,攻擊者試圖找出哪些郵箱是真實(shí)的,哪些收件人可能會(huì)回復(fù)。

總的來(lái)說(shuō),這一里程碑也讓犯罪分子了解了組織的 IT 環(huán)境,并在某種程度上能夠評(píng)估該組織機(jī)構(gòu)的防御能力。例如,入侵者可以查找開放端口,識(shí)別容易繞開的沙箱工具,并發(fā)現(xiàn)企業(yè)網(wǎng)絡(luò)中的其他漏洞。此外,他們還可以收集和分析關(guān)鍵員工的背景數(shù)據(jù)。

下一階段的攻擊導(dǎo)致了直接損失,因?yàn)楣粽呦騿T工發(fā)送了有針對(duì)性的信息。

對(duì) Sam 來(lái)說(shuō),這是漫長(zhǎng)的一天,他迫不及待地想回家,這讓他有些漫不經(jīng)心。他看到一封兒子的足球教練發(fā)來(lái)的電子郵件,上面附有最新的訓(xùn)練時(shí)間表。他打開了這個(gè)文件,而這個(gè)文件與他兒子的教練通常發(fā)送的日程表非常相似。這一操作使他無(wú)意中啟動(dòng)了攻擊者的有效載荷 (payload)。

如果這個(gè)策略沒有如攻擊者所期望的那樣奏效,他們還有一個(gè) B 計(jì)劃。他們之前曾入侵過該公司供應(yīng)商的一個(gè)網(wǎng)站,Sam 經(jīng)常登錄該網(wǎng)站。因此在他下次登錄時(shí),類似的惡意代碼將被放入他的電腦中。

Sam 不是唯一的目標(biāo)。魚叉式網(wǎng)絡(luò)釣魚郵件被發(fā)送到了該組織機(jī)構(gòu)中的 150 多個(gè)郵箱里,引誘了數(shù)十名員工登錄,從而在不知不覺中讓攻擊者獲得了他們的憑證。此后犯罪分子可以訪問這些郵箱帳戶,并利用這些賬戶擴(kuò)展攻擊范圍。

只要入侵者能夠訪問企業(yè)網(wǎng)絡(luò),他們就可以在已部署的軟件中尋找特定的漏洞,并安裝后門或 RAT 病毒(遠(yuǎn)程訪問木馬)。這樣即使重置密碼,也能保持攻擊的持久性。這一活動(dòng)發(fā)生在啟動(dòng)階段。

APT攻擊循環(huán)

在接下來(lái)的幾個(gè)月里,攻擊者將持續(xù)寄宿在于主機(jī)環(huán)境中,在公司的網(wǎng)絡(luò)中搜索不同類型的信息。他們收集到的所有數(shù)據(jù)都將被加密,并逐漸傳輸?shù)焦就獠慷鴽]有人發(fā)現(xiàn)。攻擊者還很有可能試圖消除所有非法入侵的證據(jù),以保證長(zhǎng)時(shí)間內(nèi)不被發(fā)現(xiàn)。

這類攻擊往往會(huì)繞過傳統(tǒng)的防御,比如端點(diǎn)反病毒軟件、防火墻、沙箱和大多數(shù)高端 VPN 解決方案。如果該組織從值得信任的供應(yīng)商那里定制了防御解決方案,那么上面描述的攻擊在偵察階段就會(huì)失敗。

請(qǐng)記住,有效的自定義防御解決方案會(huì)從多個(gè)不同的角度不斷檢查企業(yè)網(wǎng)絡(luò)。它們能夠監(jiān)視超過 100 個(gè)協(xié)議和所有網(wǎng)絡(luò)端口,檢測(cè)直接攻擊和異常活動(dòng),比如已知的和未編目的惡意軟件、記錄在案的攻擊和零日攻擊,以及命令和控制的跡象。

此外,這家出現(xiàn)問題的澳大利亞公司還可以通過一個(gè)定制的沙箱來(lái)檢查可疑的有效載荷、文件、URL、電子郵件和移動(dòng)應(yīng)用程序。鑒于很多組織機(jī)構(gòu)已經(jīng)采用了基本安全機(jī)制,通過自定義保護(hù)可以用改進(jìn)的沙箱來(lái)對(duì)原有安全工作進(jìn)行補(bǔ)充。使用它的另一個(gè)好處是,內(nèi)置的取證模塊可以識(shí)別和摧毀每個(gè)端點(diǎn)上出現(xiàn)的目標(biāo)惡意軟件毒株。

如今,高級(jí)持續(xù)性威脅攻擊(例如上面提到的攻擊)正在崛起。尤其令人不安的是,大多數(shù)企業(yè)(不僅是在澳大利亞)都沒有做好準(zhǔn)備,所以現(xiàn)在是時(shí)候開始改變了。

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無(wú)評(píng)論

本月熱門

精選文章

熱點(diǎn)資訊