了解目標(biāo)攻擊:目標(biāo)攻擊的六個(gè)組成部分
2018年12月04日
有針對性的攻擊是(或應(yīng)該)是任何地方大型組織的重要關(guān)注點(diǎn)����。精心設(shè)計(jì)的攻擊分六個(gè)階段進(jìn)行�,顯示攻擊者如何在目標(biāo)內(nèi)進(jìn)展����。
自從有針對性的攻擊首次出現(xiàn)在威脅環(huán)境中已有好幾年了,各種威脅和我們對他們的理解都已經(jīng)發(fā)生了演變和成熟����。從那時(shí)起我們學(xué)到了什么以及發(fā)生了什么變化?
在我們開始討論有針對性攻擊的不同組成部分之前��,考慮使競選活動(dòng)成功的因素也很重要�。公司遭到入侵的原因之一是因?yàn)樗麄兊那熬€員工和他們的意識(shí)很弱���。意思是���,人的障礙作為抵御目標(biāo)攻擊的第一道防線是至關(guān)重要的。
目標(biāo)攻擊的六個(gè)組成部分代表邏輯的�、結(jié)構(gòu)化攻擊中的不同步驟。然而����,現(xiàn)實(shí)更加混亂。一旦階段“完成”���,并不意味著沒有其他與該階段相關(guān)的活動(dòng)發(fā)生�����。 一個(gè)攻擊的多個(gè)階段可能同時(shí)進(jìn)行:例如��,在任何目標(biāo)攻擊中發(fā)生都會(huì)發(fā)生C&C通信。攻擊者需要控制目標(biāo)網(wǎng)絡(luò)中正在進(jìn)行的任何活動(dòng),因此C&C通信量自然會(huì)繼續(xù)在攻擊者和任何受損系統(tǒng)之間來回傳遞���。
最好將每個(gè)組件視為同一攻擊的不同方面����。網(wǎng)絡(luò)的不同部分可能同時(shí)面臨攻擊的不同方面����。
這可能會(huì)對組織如何響應(yīng)攻擊產(chǎn)生重大影響。不能簡單地假設(shè)因?yàn)樵凇霸缙凇彪A段檢測到攻擊沒有進(jìn)行“后期”階段�。適當(dāng)?shù)耐{響應(yīng)計(jì)劃應(yīng)該考慮這個(gè)并做出相應(yīng)的計(jì)劃。
情報(bào)收集
任何有針對性攻擊的第一階段都涉及收集有關(guān)預(yù)定目標(biāo)的信息�����。然而����,大量可用于執(zhí)行攻擊的信息僅限于公司網(wǎng)絡(luò)。因此����,即使攻擊已經(jīng)在進(jìn)行中,這個(gè)階段也不會(huì)停止����。從網(wǎng)絡(luò)內(nèi)獲取的數(shù)據(jù)有助于提高任何持續(xù)攻擊的效率��。
除了信息之外���,發(fā)現(xiàn)各個(gè)團(tuán)隊(duì)之間存在的連接以及擴(kuò)展到目標(biāo)組織之外的連接,還可以幫助攻擊者確定更多攻擊的良好目標(biāo)��。
入口點(diǎn)
傳統(tǒng)上有針對性的攻擊使用魚叉式網(wǎng)絡(luò)釣魚電子郵件來滲透目標(biāo)組織的網(wǎng)絡(luò)�。雖然這仍然是一種有效的策略,但攻擊者已經(jīng)添加了其他方法來實(shí)現(xiàn)這一目標(biāo)�����。
這些替代方案包括水坑攻擊(即針對目標(biāo)行業(yè)或組織經(jīng)常訪問的網(wǎng)站的攻擊)����。但是,除了初始入口點(diǎn)之外����,攻擊者還可以在目標(biāo)網(wǎng)絡(luò)中添加其他入口點(diǎn)?����?梢葬槍Σ煌膯T工或網(wǎng)絡(luò)段來確保更完整的攻擊。
此外����,攻擊者可以在橫向移動(dòng)過程中不斷向各種系統(tǒng)添加后門�����,這可以作為已經(jīng)受到攻擊的組織的額外切入點(diǎn)���。對于攻擊者來說���,如果檢測到并刪除了較舊的入口點(diǎn),這些可能會(huì)非常有價(jià)值���。
C&C通信
為了有效地發(fā)起目標(biāo)攻擊���,攻擊者需要能夠有效地控制目標(biāo)網(wǎng)絡(luò)中任何受到破壞的計(jì)算機(jī)。隱藏后門C&C通信的一些方法�,但我們最近看到的另一個(gè)趨勢是內(nèi)部機(jī)器如何充當(dāng)中間C&C服務(wù)器。攻擊者將連接到此內(nèi)部C&C服務(wù)器�,然后將其傳遞給組織內(nèi)的其他受感染計(jì)算機(jī)。
橫向移動(dòng)
攻擊者不斷重復(fù)有針對性攻擊的橫向移動(dòng)�����。在此過程中,還會(huì)發(fā)生一些與其他階段(例如情報(bào)收集)分類的活動(dòng)����。此外,其他系統(tǒng)可能會(huì)后門作為額外的受損機(jī)器���。
橫向移動(dòng)使用合法的系統(tǒng)管理工具來幫助隱藏其活動(dòng)�����,并且有三個(gè)目標(biāo):升級目標(biāo)網(wǎng)絡(luò)中的可用權(quán)限��,在目標(biāo)網(wǎng)絡(luò)內(nèi)執(zhí)行偵察�,以及橫向移動(dòng)到網(wǎng)絡(luò)內(nèi)的其他機(jī)器���。
這個(gè)方面可能是有針對性攻擊最重復(fù)的一個(gè)方面; 此外���,它也是最全面的,因?yàn)榇瞬襟E也可以包含目標(biāo)攻擊的其他階段��。進(jìn)行內(nèi)部偵察和信息收集�,收集的任何“情報(bào)”可用于識(shí)別橫向移動(dòng)的潛在目標(biāo)�����,以及可以找到的任何資產(chǎn)�。
維護(hù)
成功的針對性攻擊是指在其背后的各方需要的情況下可以繼續(xù)進(jìn)行的攻擊�。與其他任何事情一樣,攻擊者需要對正在進(jìn)行的攻擊進(jìn)行維護(hù)以保持其正常運(yùn)行�����。這可以包括使用不同的后門和C&C服務(wù)器����,或使用補(bǔ)丁來確保其他攻擊者無法利用攻擊中使用的相同漏洞�����。
數(shù)據(jù)泄露
數(shù)據(jù)泄露是任何有針對性攻擊的最終目標(biāo)��。但是��,受感染的計(jì)算機(jī)并不總是包含有價(jià)值的信息�,而某些系統(tǒng)可能不包含任何值得竊取的信息。
從網(wǎng)絡(luò)安全解決方案的角度來看���,滲透過程可能會(huì)“嘈雜”����,因?yàn)樗赡苌婕霸谡2僮鬟^程中無法找到的大量網(wǎng)絡(luò)流量。攻擊者試圖“隱藏”泄漏流量的一種嘗試是在以受控方式提取數(shù)據(jù)之前將大量被盜數(shù)據(jù)傳輸?shù)浇M織內(nèi)的機(jī)器�����。眾所周知�,在涉及PoS惡意軟件的事件中會(huì)發(fā)生這種情況。
有針對性的攻擊是當(dāng)今任何組織的一個(gè)重大問題�����,并且在可預(yù)見的未來將繼續(xù)如此����。對于那些玩防守的人來說,了解威脅形勢不斷變化以創(chuàng)造必要的適當(dāng)防御是非常重要的�����。
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全�、運(yùn)維平臺(tái)建設(shè)、動(dòng)漫設(shè)計(jì)、軟件研發(fā)��、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀�。公司遵循信息安全整體性的IATF模型,從“人員素養(yǎng)”�����、“制度流程”���、“技術(shù)產(chǎn)品”三個(gè)視角提供全面����、可信的方案�����,業(yè)務(wù)涵蓋咨詢���、評估、規(guī)劃���、管控��、建設(shè)��、培訓(xùn)等����。
江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商。
