APT攻击背后的秘密:攻击后期的数据渗出

  在之前的文章中(APT攻击背后的秘密:攻击性质及特征分析;攻击前的"敌情"侦察;攻击时的武器与手段;攻击时的漏洞利用;攻击时的命令和控制),我们已经了解了APT攻击的特征、"敌情"侦察、攻击的武器和手段、漏洞利用以及攻击时的命令和控制。本文我们将探讨APT攻击后期的数据渗出。在这个阶段,也是APT攻击的最后阶段,如果APT攻击活动还没有被阻止,那么数据很可能即将被泄漏出去。

  数据渗出是APT攻击的最后一步,如果攻击者完成这一步,你企业将面临巨大损失。在目标数据被确定后,这些数据将被复制并通过C2通道移出网络,或者可能被复制到网络中的另一区域,然后再被移出。从这一点来看,企业应该容易发现被动攻击和有针对性攻击。

  正如前面提到的,被动攻击动静很大,分层防御措施很容易发现这种攻击。另一方面,有针对性攻击完全相反。

  有针对性攻击活动背后的攻击者会尽可能保持低调,所以不可能出现大规模数据转储。在有针对性攻击中,我们会看到数据伪装成正常流量通过C2通道离开网络。

  在前面C2文章中,我们谈到了机会攻击通常会利用有着不良声誉的通信信道。对于每个感染的主机,攻击者会使用了相同的容易识别的通道。

  这种机会攻击会将数据渗出到其他国家的数据中心的服务器,当地法律可能没有禁止这种数据使用。在这些情况下,你不要指望ISP提供帮助。所以,如果你不阻止数据离开网络,即使你发现数据的渗出,这种信息从法律上看也没多大用处。

  有针对性攻击会攻击合法服务器来存储数据。在很多情况下,受感染的服务器管理员可能不知道他们正在托管不属于自己的数据,而当他们意识到有什么不对劲时,攻击者已经早已离去。

  在渗出阶段,最好的防御措施就是感知。你需要知道哪些数据进出你的网络,监控出站流量和入站流量都很重要。

  DLP解决方案也可以用于应对渗出阶段。如果配置得到,DLP产品可以帮助监控网络流量,并控制流量。它们能够发现未经授权的加密,被动和有针对性攻击会利用加密来隐藏通信。还能够发现异常流量模式。

  另外,监控用户账户活动也可以作为防御措施,有些合法账户可能出现异常活动。

  在C2阶段使用的防御措施同样可用于渗出阶段,包括根据IP地址、IPS和IDS系统(可以调整为监控所有阶段的活动)以及应用防火墙规则(控制哪些程序允许发送流量到外部)阻止访问。这些规则还可以应用到工作站或网段。

  假设你捕捉到渗出过程,日志记录将成为事件响应的关键资源,因为日志能够确定发生了什么、如何发生等。通常情况下,在被动或有针对性攻击中,确定攻击者是很重要的,但实际上这是不可能的,这个问题我们主要是靠猜测而不是事实。

  无论采用何种防御措施,最好的办法是在事故发生前阻止事故。这正是澳大利亚信号理事会(ASD)的主要工作,其网络不断有攻击者试图访问敏感信息。ASD采用了四种防御措施,并指定它们作为其网络的强制性要求。这四个强制性措施包括:

  1. 应用程序白名单

  2. 第三方软件补丁管理

  3. 操作系统补丁管理

  4. 权限管理(限制使用域或本地管理员权限的用户数量)

  在本系列文章的开始,我们探讨了有针对性攻击和被动攻击的目的的区别,以及这些攻击者的总体目标。工具、战略和程序并不重要。你的企业更有可能成为机会攻击的受害者,而不是受民族国际资助的有针对性攻击的受害者。

  应对这两种攻击的最好办法就是分层防御。感知和可视性是快速反应以及减少损失的关键。虽然持续性攻击活动最终会成功,但我们可以提高攻击者的难度,以及减少损失。关键是要权衡风险,制定符合企业需求的安全计划,不要恐惧APT。

 

发表评论

邮箱地址不会被公开。 必填项已用*标注