了解目標(biāo)攻擊:目標(biāo)攻擊的六個組成部分
2018年12月04日
有針對性的攻擊是(或應(yīng)該)是任何地方大型組織的重要關(guān)注點�����。精心設(shè)計的攻擊分六個階段進行���,顯示攻擊者如何在目標(biāo)內(nèi)進展。
自從有針對性的攻擊首次出現(xiàn)在威脅環(huán)境中已有好幾年了�,各種威脅和我們對他們的理解都已經(jīng)發(fā)生了演變和成熟。從那時起我們學(xué)到了什么以及發(fā)生了什么變化?
在我們開始討論有針對性攻擊的不同組成部分之前��,考慮使競選活動成功的因素也很重要�����。公司遭到入侵的原因之一是因為他們的前線員工和他們的意識很弱�����。意思是,人的障礙作為抵御目標(biāo)攻擊的第一道防線是至關(guān)重要的����。
目標(biāo)攻擊的六個組成部分代表邏輯的、結(jié)構(gòu)化攻擊中的不同步驟���。然而��,現(xiàn)實更加混亂�����。一旦階段“完成”�����,并不意味著沒有其他與該階段相關(guān)的活動發(fā)生��。 一個攻擊的多個階段可能同時進行:例如�,在任何目標(biāo)攻擊中發(fā)生都會發(fā)生C&C通信��。攻擊者需要控制目標(biāo)網(wǎng)絡(luò)中正在進行的任何活動����,因此C&C通信量自然會繼續(xù)在攻擊者和任何受損系統(tǒng)之間來回傳遞。
最好將每個組件視為同一攻擊的不同方面�����。網(wǎng)絡(luò)的不同部分可能同時面臨攻擊的不同方面����。
這可能會對組織如何響應(yīng)攻擊產(chǎn)生重大影響。不能簡單地假設(shè)因為在“早期”階段檢測到攻擊沒有進行“后期”階段���。適當(dāng)?shù)耐{響應(yīng)計劃應(yīng)該考慮這個并做出相應(yīng)的計劃���。
情報收集
任何有針對性攻擊的第一階段都涉及收集有關(guān)預(yù)定目標(biāo)的信息。然而����,大量可用于執(zhí)行攻擊的信息僅限于公司網(wǎng)絡(luò)。因此���,即使攻擊已經(jīng)在進行中���,這個階段也不會停止。從網(wǎng)絡(luò)內(nèi)獲取的數(shù)據(jù)有助于提高任何持續(xù)攻擊的效率。
除了信息之外����,發(fā)現(xiàn)各個團隊之間存在的連接以及擴展到目標(biāo)組織之外的連接,還可以幫助攻擊者確定更多攻擊的良好目標(biāo)�。
入口點
傳統(tǒng)上有針對性的攻擊使用魚叉式網(wǎng)絡(luò)釣魚電子郵件來滲透目標(biāo)組織的網(wǎng)絡(luò)。雖然這仍然是一種有效的策略���,但攻擊者已經(jīng)添加了其他方法來實現(xiàn)這一目標(biāo)��。
這些替代方案包括水坑攻擊(即針對目標(biāo)行業(yè)或組織經(jīng)常訪問的網(wǎng)站的攻擊)�。但是���,除了初始入口點之外���,攻擊者還可以在目標(biāo)網(wǎng)絡(luò)中添加其他入口點?����?梢葬槍Σ煌膯T工或網(wǎng)絡(luò)段來確保更完整的攻擊�。
此外,攻擊者可以在橫向移動過程中不斷向各種系統(tǒng)添加后門���,這可以作為已經(jīng)受到攻擊的組織的額外切入點�。對于攻擊者來說,如果檢測到并刪除了較舊的入口點���,這些可能會非常有價值。
C&C通信
為了有效地發(fā)起目標(biāo)攻擊�,攻擊者需要能夠有效地控制目標(biāo)網(wǎng)絡(luò)中任何受到破壞的計算機。隱藏后門C&C通信的一些方法�,但我們最近看到的另一個趨勢是內(nèi)部機器如何充當(dāng)中間C&C服務(wù)器。攻擊者將連接到此內(nèi)部C&C服務(wù)器�,然后將其傳遞給組織內(nèi)的其他受感染計算機。
橫向移動
攻擊者不斷重復(fù)有針對性攻擊的橫向移動���。在此過程中�����,還會發(fā)生一些與其他階段(例如情報收集)分類的活動�。此外���,其他系統(tǒng)可能會后門作為額外的受損機器�。
橫向移動使用合法的系統(tǒng)管理工具來幫助隱藏其活動��,并且有三個目標(biāo):升級目標(biāo)網(wǎng)絡(luò)中的可用權(quán)限,在目標(biāo)網(wǎng)絡(luò)內(nèi)執(zhí)行偵察���,以及橫向移動到網(wǎng)絡(luò)內(nèi)的其他機器�。
這個方面可能是有針對性攻擊最重復(fù)的一個方面; 此外��,它也是最全面的�,因為此步驟也可以包含目標(biāo)攻擊的其他階段。進行內(nèi)部偵察和信息收集���,收集的任何“情報”可用于識別橫向移動的潛在目標(biāo)��,以及可以找到的任何資產(chǎn)���。
維護
成功的針對性攻擊是指在其背后的各方需要的情況下可以繼續(xù)進行的攻擊。與其他任何事情一樣�����,攻擊者需要對正在進行的攻擊進行維護以保持其正常運行�。這可以包括使用不同的后門和C&C服務(wù)器,或使用補丁來確保其他攻擊者無法利用攻擊中使用的相同漏洞���。
數(shù)據(jù)泄露
數(shù)據(jù)泄露是任何有針對性攻擊的最終目標(biāo)�。但是,受感染的計算機并不總是包含有價值的信息����,而某些系統(tǒng)可能不包含任何值得竊取的信息。
從網(wǎng)絡(luò)安全解決方案的角度來看���,滲透過程可能會“嘈雜”��,因為它可能涉及在正常操作過程中無法找到的大量網(wǎng)絡(luò)流量。攻擊者試圖“隱藏”泄漏流量的一種嘗試是在以受控方式提取數(shù)據(jù)之前將大量被盜數(shù)據(jù)傳輸?shù)浇M織內(nèi)的機器���。眾所周知�����,在涉及PoS惡意軟件的事件中會發(fā)生這種情況���。
有針對性的攻擊是當(dāng)今任何組織的一個重大問題,并且在可預(yù)見的未來將繼續(xù)如此���。對于那些玩防守的人來說����,了解威脅形勢不斷變化以創(chuàng)造必要的適當(dāng)防御是非常重要的。
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全�、運維平臺建設(shè)、動漫設(shè)計���、軟件研發(fā)��、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀��。公司遵循信息安全整體性的IATF模型����,從“人員素養(yǎng)”����、“制度流程”、“技術(shù)產(chǎn)品”三個視角提供全面����、可信的方案,業(yè)務(wù)涵蓋咨詢���、評估����、規(guī)劃、管控�����、建設(shè)�、培訓(xùn)等。
江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商����。
