FireEye遭APT攻击?!针对企业的APT攻击是如何发生的?
星期二, 十二月 22, 2020
本周二,全球领先的APT防御企业FireEye透露其系统遭到APT攻击。作为最早提出APT-1报告的安全厂商,FireEye多次通过报告的形式,针对地区网络发展、国家网络战略、新型APT组织等发声。该公司表示,黑客利用“新颖技术”窃取了渗透测试工具包,而这可能会在全球范围内引发新的攻击。
(图片来源于网络)
APT事件并不是新鲜事,就在本月欧盟某国家外交部计算机被发现植入后门,长达5年的APT攻击行动揭秘。在过去的几年中,网络攻击的数量和复杂性一直在不断提升,APT攻击事件的普遍性预示着更不可估计的威胁,现在正是检测系统是否遭到网络攻击的好时机。
对于任何公司而言,保护自己免受攻击的最佳方法是了解攻击的运作方式。APT攻击指的是高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。
典型的APT攻击通常分为五个阶段:
1、初始访问:APT攻击者获得对目标网络的访问权限。这是通过网络钓鱼电子邮件,恶意附件或应用程序漏洞来完成的。攻击者的目标是使用此访问权限将恶意软件植入网络。在此初始阶段,网络受到威胁,但尚未被破坏。
2、恶意软件部署:植入到系统中的恶意软件探针可检测网络漏洞。它与外部命令和控制(CnC)服务器通信,以获取有关如何利用这些漏洞并接收其他恶意软件的指导。
3、访问扩展:恶意软件检测其他漏洞,这些漏洞可用于在无法访问现有入口点时查找新入口点。即使安全措施禁用了入口点,这也可以确保攻击继续进行。
4、文件探索:在此阶段,攻击者已经建立了可靠的长期网络访问。恶意软件会寻找用户凭证和敏感数据文件等。
5、数据收集和传输:恶意软件将敏感数据存储在登录服务器上。然后,数据被泄漏到外部服务器。此时,目标网络已被破坏。攻击者将掩盖自己的足迹,使网络受到威胁,并在下一次攻击时重复该过程。
即使APT攻击使用复杂的手段来隐藏活动,也有一些迹象可以帮助识别APT攻击,如下所示:
1、意外的登录:在办公时间之外意外登录到服务器可能表明一项APT攻击正在发生。攻击者入侵网络的方法之一是使用其窃取的凭据。攻击者可能在不同的时区工作,或者尝试在夜间工作,以减少发现其活动的机会。
2、检测到的后门木马数量增加:如果网络安全工具检测到的后门木马数量比平时多,则可能是由于APT攻击所致。APT攻击者会安装后门木马程序,以确保即使更改了登录凭据也可以继续访问受感染的设备。
3、鱼叉式网络钓鱼电子邮件的增加:查找包含只能由入侵者获取的文档的鱼叉式网络钓鱼电子邮件。这些电子邮件可能会被发送给高级管理人员,以便攻击者访问他们的电脑或受限制的数据。
4、无法解释的数据转换:APT攻击策略的一部分是将他们要窃取的数据复制到网络中的另一个位置,并仅在确信无法检测到时才将其传输到网络之外。它可以是服务器到服务器,服务器到客户端或网络到网络的信息流。
APT攻击非常复杂,但是可以通过采取安全措施来进行防御。以下有几个方法:
1、提高预防网络钓鱼意识,网络钓鱼诈骗常常被用作APT攻击的切入点。企业应该对员工进行培训,以识别网络钓鱼企图以及遇到的网络钓鱼行为。
2、APT攻击常常利用应用程序漏洞,通过确保所有应用程序都已更新了最新的安全补丁,可以减少此类漏洞的风险。
3、当前的APT 攻击愈演愈烈,攻击手段更加先进、持久、有效,而攻击者在入侵实施阶段往往会用到内存攻击、无文件攻击等先进攻击手段,原因是这些攻击手段相较于其他手段更容易成功。那么内存保护具备运行时安全防护能力,提供漏洞防御、数据保护、威胁防御三大防御能力,当攻击者利用新型攻击方式,或利用系统、应用漏洞绕过传统防护手段,将恶意代码悄无声息的植入到内存时,内存保护系统会对其进行实时监测与拦截,从而保护客户数据安全及业务连续性。
参考文献
[1]https://medium.com/@eddies_47682/apt-attacks-101-what-they-are-and-how-they-work-393c09f55eae
[2]https://www.darkreading.com/how-cyberattacks-work-/a/d-id/1339300
[3]https://threatpost.com/fireeye-cyberattack-red-team-security-tools/162056/
国内首家基于硬件虚拟化等前沿技术保护企业主机安全的技术服务提供商,致力于研发面向未来的安全解决方案。