信息化觀察網(wǎng)

隨著移動(dòng)通信、云計(jì)算、大數(shù)據(jù)以及物聯(lián)網(wǎng)技術(shù)的發(fā)展，新一代網(wǎng)絡(luò)攻擊技術(shù)也在持續(xù)演進(jìn)，0day、無文件攻擊等使今天的網(wǎng)絡(luò)攻擊變得更加隱蔽；不斷更新的變種使木馬、病毒、蠕蟲等惡意文件難以識(shí)別和檢測(cè)；而網(wǎng)絡(luò)攻擊即服務(wù)使高級(jí)攻擊的門檻變得更低。

傳統(tǒng)的安全防護(hù)能力正在不斷減弱，勒索服務(wù)、供應(yīng)鏈攻擊成了當(dāng)今網(wǎng)絡(luò)安全威脅的新常態(tài)。高級(jí)威脅攻擊就像一把高懸在頭頂?shù)?ldquo;達(dá)摩克利斯之劍”，讓很多企業(yè)在數(shù)字化轉(zhuǎn)型中感到不安。

圖1企業(yè)面臨的高級(jí)威脅攻擊

為了幫助我國企業(yè)用戶更好地應(yīng)對(duì)高級(jí)威脅挑戰(zhàn)，安全牛日前開展了《2021企業(yè)高級(jí)威脅防護(hù)能力構(gòu)建指南》專項(xiàng)報(bào)告研究。通過對(duì)近百家國內(nèi)企業(yè)用戶的現(xiàn)場(chǎng)訪談和問卷調(diào)研，安全牛研究團(tuán)隊(duì)認(rèn)為：以APT為代表的高級(jí)威脅攻擊已經(jīng)開始對(duì)我國企業(yè)用戶產(chǎn)生較大影響，需要企業(yè)安全管理者對(duì)此給予足夠的重視并做好應(yīng)對(duì)準(zhǔn)備。

主要原因包括：

第一，今天的攻擊者已經(jīng)具備較全面的情報(bào)收集能力和智能大數(shù)據(jù)分析能力，可以更有針對(duì)性的選用攻擊工具和方法；

第二，目前的高級(jí)威脅攻擊會(huì)使用系統(tǒng)化的攻擊工具，其特點(diǎn)表現(xiàn)為樣本多變、持久化、對(duì)抗性強(qiáng)、橫向移動(dòng)&權(quán)限提升、網(wǎng)絡(luò)連接。

圖2攻擊技術(shù)特點(diǎn)

我們對(duì)企業(yè)級(jí)高級(jí)威脅攻擊的主要特點(diǎn)進(jìn)行了梳理和總結(jié)：

在樣本變化方面，由PE文件逐漸向腳本文件轉(zhuǎn)化，落盤文件向無文件轉(zhuǎn)化；

在持久化攻擊方面，入侵者通過某種手段拿到服務(wù)器的控制權(quán)之后，通過在服務(wù)器上放置一些后門（腳本、進(jìn)程、連接之類），來方便他以后持久性的入侵；

在對(duì)抗性方面，攻擊者會(huì)定制化的進(jìn)行惡意代碼目錄和文件名的偽裝，或使用一定密鑰長度的加密算法繞過安全設(shè)備檢查，甚至檢測(cè)主機(jī)環(huán)境信息修改文件創(chuàng)建時(shí)間，使攻擊行為不易被發(fā)現(xiàn)，甚至發(fā)現(xiàn)了也沒有有效的處置措施；

在橫向移動(dòng)&權(quán)限提升方面，通過橫向移動(dòng)，攻擊者可以拿到域控權(quán)限，進(jìn)而控制域環(huán)境下的全部機(jī)器，獲得敏感資源的訪問權(quán)限；

在網(wǎng)絡(luò)連接方面，內(nèi)網(wǎng)主機(jī)一旦被攻破，攻擊者就會(huì)下發(fā)木馬類工具并試圖建立C&C的反向連接，用于后期的信息收集。

調(diào)研發(fā)現(xiàn)，針對(duì)企業(yè)的高級(jí)攻擊技術(shù)手段具有較為明顯的時(shí)間性特征。2016年之前的高級(jí)威脅攻擊檢測(cè)主要集中于高級(jí)躲避技術(shù)、高級(jí)持續(xù)性威脅、僵尸網(wǎng)絡(luò)、特洛伊木馬（RAT）、主動(dòng)威脅和惡意文檔。同時(shí)期典型的高級(jí)威脅攻擊技術(shù)還包括郵件釣魚、水坑攻擊等。而2017年以后，針對(duì)應(yīng)用的攻擊越發(fā)明顯，定向勒索、郵件釣魚手段的使用只增不減。同時(shí)，利用社會(huì)熱點(diǎn)事件、供應(yīng)鏈和遠(yuǎn)程辦公、內(nèi)存馬攻擊、無文件攻擊等手段逐漸成為新安全熱點(diǎn)。

圖3高級(jí)威脅典型的攻擊技術(shù)

本次報(bào)告中，我們還對(duì)企業(yè)遭受高級(jí)威脅攻擊時(shí)的影響進(jìn)行了調(diào)查，結(jié)果顯示：目前企業(yè)在應(yīng)對(duì)高級(jí)威脅的防護(hù)能力方面普遍不足，并且防護(hù)意識(shí)薄弱；在防護(hù)失效情況下，高級(jí)威脅攻擊所產(chǎn)生的影響通常非常嚴(yán)重并且不可逆。由于高級(jí)威脅攻擊的目的性和針對(duì)性特別強(qiáng)，因此其攻擊目的一旦達(dá)成，受害企業(yè)不僅會(huì)遭受經(jīng)濟(jì)上的直接損失，還會(huì)間接影響到企業(yè)未來發(fā)展，甚至危害到我國相關(guān)行業(yè)的整體發(fā)展與利益實(shí)現(xiàn)。

圖4高級(jí)威脅的影響

我國企業(yè)正處于數(shù)字化轉(zhuǎn)型的關(guān)鍵時(shí)期，當(dāng)日常業(yè)務(wù)全面數(shù)字化以后，需要對(duì)高級(jí)威脅攻擊有更好的認(rèn)知和應(yīng)對(duì)準(zhǔn)備。安全牛將在后續(xù)研究中，繼續(xù)解讀企業(yè)在應(yīng)對(duì)高級(jí)威脅攻擊時(shí)面臨的挑戰(zhàn)，研究高級(jí)威脅攻擊防護(hù)能力如何構(gòu)建，探索提供相關(guān)領(lǐng)域的最佳實(shí)踐經(jīng)驗(yàn)。