那么,這種間諜行為的潛伏期有多長(zhǎng)呢���?
針對(duì)“LURID”���,趨勢(shì)科技指出�,“LURID Downloader”通常也被稱為“Enfal”�,這是一個(gè)眾所皆知的���、長(zhǎng)期存在的惡意軟件家族�。這只惡意軟件�,早在2006年就曾經(jīng)被用在目標(biāo)攻擊中。到了2008年��,一系列的記錄顯示了使用這種惡意軟件的攻擊目標(biāo)包括政府機(jī)構(gòu)��,非政府組織( NGO)�,還有國(guó)防部承包商和美國(guó)政府雇員。在2009年和2010年�����,多倫多大學(xué)的研究人員和趨勢(shì)科技安全威脅研究員Nart Villeneuve共同發(fā)表了有關(guān)兩個(gè)間諜網(wǎng)絡(luò)的報(bào)告�����,被人稱為“GhostNet”和“Shadow-In-The-Cloud”�����,網(wǎng)絡(luò)中包括了 Enfal木馬鏈接的惡意軟件和外界控制代碼。同時(shí)�,根據(jù)“維基解密”的信息和一系列被稱為“Byzantine Hades”的連續(xù)攻擊行為發(fā)現(xiàn),這系列連續(xù)攻擊����,自2002年以來就一直在發(fā)生。
長(zhǎng)期而有效的威脅管理將有效避免成為APT攻擊的受害者
面對(duì)黑客使用APT網(wǎng)絡(luò)間諜的攻擊手法����,趨勢(shì)科技中國(guó)臺(tái)灣技術(shù)總監(jiān)戴燊認(rèn)為,這并沒有單一的解決之道�����,因?yàn)楹诳蜑檫_(dá)目的���、不擇手段的攻擊方式�,企業(yè)的威脅防護(hù)也必須從造成企業(yè)威脅的每一個(gè)防護(hù)弱點(diǎn)下手�。
首先,防病毒軟件還是基本防御之道��。黑客使用這些針對(duì)式的惡意軟件����,一般商用防病毒軟件無法偵測(cè)���,戴燊建議,政府或企業(yè)環(huán)境內(nèi)應(yīng)首先部署各種過濾設(shè)備�,并針對(duì)可疑的惡意軟件樣本先進(jìn)行第一輪的過濾后,再送到后端自動(dòng)化分析機(jī)制��。如果要判斷該惡意軟件是否是有針對(duì)性的�,則需要與防毒廠商充分達(dá)成默契���,這樣就能讓防毒廠商針對(duì)該攻擊�����,制作出定制化的病毒特征給該單位���。
第二,除了防病毒軟件的防御層面外���,進(jìn)行企業(yè)環(huán)境的威脅發(fā)現(xiàn)��,則是預(yù)防APT的有效之道����。要預(yù)防黑客發(fā)動(dòng)APT攻擊,得先改變對(duì)威脅環(huán)境的認(rèn)知�����,進(jìn)行各種高級(jí)監(jiān)測(cè)威脅��,以降低災(zāi)害����。這包括,企業(yè)內(nèi)部的威脅發(fā)現(xiàn)機(jī)制是否足夠�,以及是否有能力可以對(duì)網(wǎng)絡(luò)中的封包或Session進(jìn)行攻擊特征的分析。
第三�,就是針對(duì)APT攻擊的“持續(xù)性”建立長(zhǎng)期的分析能力。除了日?qǐng)?bào)��、周報(bào)���、月報(bào)外�����,更重要的是要看出長(zhǎng)期的趨勢(shì)變化�,時(shí)間更長(zhǎng)的季度報(bào)甚至是年報(bào)所呈現(xiàn)出來的攻擊趨勢(shì),其實(shí)更重要�����。因?yàn)槊鎸?duì)黑客發(fā)動(dòng)的APT攻擊��,企業(yè)最忌諱當(dāng)成單一事件���,所以IT工程師們應(yīng)對(duì)于每個(gè)月安全事件進(jìn)行檢查����,并確定是否每個(gè)月都重復(fù)發(fā)生����,觀察是否有持續(xù)性�����。
第四�,由于APT攻擊類型很多,也很難檢測(cè)���,很多企業(yè)仍然僅依賴于以預(yù)防為主的工具�����,例如防毒代碼技術(shù)和傳統(tǒng)的網(wǎng)絡(luò)層防火墻�����。高級(jí)持續(xù)攻擊者更傾向于0day漏洞����,或者利用目標(biāo)公司基礎(chǔ)設(shè)施存在的漏洞問題。因此�,抵御APT攻擊者的理想防御方法是結(jié)合最新的云安全技術(shù),對(duì)網(wǎng)絡(luò)和系統(tǒng)達(dá)到實(shí)時(shí)監(jiān)測(cè)和統(tǒng)一管理�。但是現(xiàn)在市面上很多工具都是針對(duì)不同的基礎(chǔ)設(shè)施,縱觀所有事件和日志往往是需要手動(dòng)來操作����。這就給了攻擊者更多時(shí)間和機(jī)會(huì)來深入受害者組織,因此��,將安全基礎(chǔ)設(shè)施利用云安全架構(gòu)中的統(tǒng)一管理模式�,將這些報(bào)表和日志聯(lián)合起來,才能有效地識(shí)別出漏洞和攻擊的存在����。
第五����,也是我們反復(fù)提到的信息安全教育�����,因?yàn)檫@將是嚴(yán)防APT攻擊最后的防線�。從Google到RSA,這些單位受到攻擊的關(guān)鍵因素都與普通員工遭遇社交工程的惡意郵件有關(guān)���。從RSA受攻擊的事件可以發(fā)現(xiàn)�,黑客剛一開始�����,就是針對(duì)某些特定員工發(fā)送的釣魚郵件��,就是該起RSA遭到黑客使用APT手法進(jìn)行攻擊的所有源頭����。在今年稍早�����,美國(guó)有另外一家信息安全顧問公司HBGary也面臨類似的攻擊方式���,那就是黑客假冒CEO發(fā)信給IT部門同事�,由于“天時(shí)地利人和”的條件配合下�����,IT人員對(duì)于黑客冒名發(fā)送的這封信件完全不曾懷疑�����,IT人員直接將該公司IT系統(tǒng)Administrator的賬號(hào)��、密碼給被黑客冒名的CEO發(fā)送回去�����。因此���,HBGary內(nèi)部的IT系統(tǒng)防護(hù)也在一夜之間潰堤����。
安全意識(shí)淡薄,APT只需要5個(gè)步驟就能輕松“俘虜”目標(biāo)系統(tǒng)
最后���,如果已經(jīng)清除了內(nèi)部的惡意代碼�����,員工和管理層還應(yīng)該預(yù)料到APT攻擊者們遲早還會(huì)卷土重來�����,然后重新建立他們的據(jù)點(diǎn)�,這也就讓企業(yè)所面臨的威脅環(huán)境變得越來越具有挑戰(zhàn)性��。不過��,當(dāng)我們清楚的認(rèn)識(shí)到���,這些對(duì)于信息系統(tǒng)進(jìn)行攻擊方法的正在變化��,我們就有決心有毅力,并有效的能夠遏制住APT攻擊���。
果.jpg)