FlashSky of code audit labs of vulnhunt.com

翰海源:立志于让安全成为IT系统基础属性;帮助客户改进自身系统的安全,以及实现对APT攻击的检测与防御.

目前APT攻击发布细节出来的案例,基本都是以美国公布的。但是不代表APT攻击只针对欧美,主要原因在于,美国由于IT技术的发达成为APT攻击 的首要目标,而且很多高科技公司也是民营的,而美国公司把针对安全事件发生后的调查和公布看作一种公司的诚信行为,而其他很多国家因为被攻击后更习惯捂盖 子的做法公开的很少。另一个原因是我猜测,美国在APT检测和防御技术上具备一定的先进性使,他们具备针对部分APT攻击能及时发现,因此可以在攻击一开 始时就配合取证了解完整的攻击过程与手法,而其他国家在这方面比较落后,发现时都是后期阶段,只能清除而很难分析取证溯源了解整个攻击过程与手法了。

APT攻击案例中比较著名的有:

1)针对GOOGLE等三十多个高科技公司的极光攻击:攻击者通过FACEBOOK上的好友分析,锁定了GOOGLE公司的一个员工和他的一个喜欢摄影的 电脑小白好友。攻击者入侵并控制了电脑小白好友的机器,然后伪造了一个照片服务器,上面放置了IE的0DAY攻击代码,以电脑小白的身份给GOOGLE员 工发送IM消息邀请他来看最新的照片,其实URL指向了这个IE 0DAY的页面。GOOGLE的员工相信之后打开了这个页面然后中招,攻击者利用GOOGLE这个员工的身份在内网内持续渗透,直到获得了GMAIL系统 中很多敏感用户的访问权限。窃取了MAIL系统中的敏感信息后,攻击者通过合法加密信道将数据传出。事后调查,不止是GOOGLE中招了,三十多家美国高 科技公司都被这一APT攻击搞定,甚至包括赛门铁克这样牛比的安全厂商。

2)针对美国能源部的夜龙攻击:攻击者首先收集了很多能源部门的WEB服务器的SQL注射的漏洞,攻击并控制了这些WEB服务器。但这并不是攻击者 想要的,攻击者在这些WEB站点上一些供内部人员访问的页面上放置了针对IE和OFFICE应用的0DAY挂马攻击代码,因为针对内部站点的,靠挂马检测 难以检测,传播范围不大,而且上来的都基本是目标。于是很快搞定了一些个人终端,渗透进能源部门的内网。窃取和控制了大量的有价值的主机。

3)针对RSA窃取SECURID令牌种子的攻击:攻击者首先搞定了RSA一个外地的小分支机构人员的邮箱或主机,然后以这个人员的身份,向RSA 的财务主管发了一封财务预算的邮件请求RSA的财务主管进行审核,内部附属了一个EXCEL的附件,但是里面嵌入了一个FLASH的0DAY利用代码。 RSA的财务主管认为可信并是自己的工作职责,因此打开了这个XCEL附件,于是攻击者成功控制了RSA的财务主管,再利用RSA的财务主管的身份逐步渗 透,最后窃取走了SECURID令牌种子,通过IE的代理传回给控制者,RSA发现被入侵后一直不承认SECURID令牌种子也被窃取走,直到攻击者利用 窃取的SECURID令牌种子攻击了多个美国军工企业RSA才承认SECURID令牌种子被偷走。

4)针对伊朗核电站的震网攻击:伊朗核电站是一个物理隔离的网络,因此攻击者首先获得了一些核电站工作人员和其家庭成员的信息,针对这些家庭成员的 主机发起了攻击,成功控制了这些家庭用的主机,然后利用4个WINDOWS的0DAY漏洞,可以感染所有接入的USB移动介质以及通过USB移动介质可以 攻击接入的主机。终于靠这种摆渡攻击渗透进了防护森严物理隔离的伊朗核电站内部网络,最后再利用了3个西门子的0DAY漏洞,成功控制了控制离心机的控制 系统,修改了离心机参数,让其发电正常但生产不出制造核武器的物质,但在人工检测显示端显示一切正常。成功的将伊朗制造核武器的进程拖后了几年。

还有一些属于APT攻击范畴但细节比较少或者攻击时就被发现的案例

1)洛克-马丁:攻击者使用PDF 0DAY嵌入到邮件中发送给内部人员发起攻击,但被检测出来,但洛克-马丁未公布是如何检测到这个PDF 0DAY的

2)VERISIGN:VERISIGN今年承认内部发现被黑客攻击成功,但当时在现在离任的高级管理人员都不知道这件事,VERISIGN坚持自 己用于可信站点签名的根证书还是安全的,但是又没证据证明。如果VERISIGN的根证书和RSA的SECURID令牌种子一样已被窃取,这意味着攻击者 以后可以扮演任何一个可信站点,可以针对加密链路发起中间人攻击而不被察觉。

3)NASA:NASA承认去年至少有13次被黑客成功入侵且窃取走了许多核心机密,但具体的攻击细节没有披露。

4)韩国农协银行:据一些未公开的分析过程是攻击者利用社工,将一张免费的网络电影观看券(韩国网上看电影是需要付费的)给了负责韩国农协银行内部 系统开发的IBM外包团队的项目经理,项目经理使用了工作的笔记本去访问这个电影的URL中招,攻击者利用此台笔记本作跳板,成功控制了韩国农协银行的所 有重要系统并窃走信息。然后长期在银行备份时恶意破坏备份但显示备份成功,最后来了一次总爆发,将所有数据删除后撤退。韩国农协银行试图用备份恢复系统发 现最近的备份都被破坏,导致大量数据无法同步,损失惨重。

当然还有一些被报道出来的APT攻击案例,这里就不一一列举。但总体来看,APT攻击始终依赖于:

1)攻击者对被攻击者的信息了解,这是制定社工和攻击策略的前提;
2)有针对性的0DAY漏洞,这是突破当前防护体系和有一些安全意识的人员的利器;
3)有针对性的木马和行为的对抗,特别是杀毒,HIPS,网络审计产品的对抗