高级可持续威胁(Advanced Persistent Threat,APT),也称为“APT攻击”,逐渐进入公众的视野。研究者目前认为APT攻击的概念是由美国空军安全分析师于2006年提出的,是指由掌握丰富攻击资源的、有组织的专业攻击者发起的,针对经济、政治和国家安全相关的重要目标,利用先进的攻击技术和理念开展的隐蔽的和持续的攻击过程。
APT攻击有三个特点:
传统的攻击检测方法很难检测出APT攻击,研究者针对这一问题进行了研究,提出了一系列APT攻击检测的模型、技术和方法,本系列文章将相关的内容进行汇总、分析和整理,为读者提供参考。
Root9b是2011年成立的,总部位于美国科罗拉多州的网络安全公司,主要业务是网络安全产品、服务和培训,该公司提出了“威胁猎杀”(HUNTing)的概念,并声称可以在攻击者窃取信息之前发现攻击活动。该公司引起了网络安全领域的广泛重视,曾经在Cybersecurity Ventures发布的《网络安全创新500强》企业榜单中排名第一。
在Root9b开展的高级培训班中,提出了Root9b攻击模型,将网络攻击过程进行了分解,细化为踩点、扫描、枚举、网络结构图、获取访问权、权限提升和溢出后控制等过程,具体过程如下图所示。
踩点(Footprinting):是对目标进行分析、识别和发现的过程。通常使用开源工具,包括社会工程学、电子邮箱搜索、搜索引擎hack、traceroutes、ping, network lookup等。
扫描(Scanning):根据踩点获取的信息对目标网络进行更深入地探测,这一步骤一般包括端口扫描、操作系统识别等过程,以确定是否可以获取目标系统的访问权。
枚举(Enumeration): 与目标系统的特定服务进行交互,以确定操作系统和应用软件的版本等细节信息,枚举技术一般包括搜索网络共享、运行的应用程序版本、用户账户、SNMP枚举等。
网络结构图(Network MApping):此步骤根据所有可用的资源(如日志、扫描、枚举结果等),创建目标网络的可视化结构图,此结构图是从攻击者角度出发,与系统管理员角度看到的可能不一样,根据网络结构图制定进一步攻击计划。此步骤不是必须的。
获取访问权(Gaining Access):此步骤就是指通过漏洞利用过程获取系统访问权。利用客户端应用程序漏洞利用、内部人员渗透、远程漏洞利用和供应链攻击等方式获取目标系统和网络的访问权,也可以通过鱼叉式钓鱼攻击、缓冲区溢出、嵌入式设备溢出、证书伪装攻击等方式达到目的。
权限提升(Privilege Escalation): 如果使用的漏洞利用工具获取的系统访问权不能满足攻击要求,攻击者就需要权限提升以获取更高的权限,在许多情况下都需要进行这个过程。通常,可以通过本地漏洞利用机获取root权限或者系统权限,这是最高的用户权限。
溢出后的控制(Post Exploitation): 这一步实际上是有许多步组成,取决于具体的任务目标。这一步可能包含以下任何步骤的全部或部分的组合:
目标调查或远程取证分析
消除痕迹
数据收集
后门和木马、Rootkit
计算机网络攻击 6D
破坏 Disrupt
拒绝 Deny
降级 Degrade
欺骗 Deceive
销毁 Destroy
延迟 Delay
目标调查或远程取证分析(Target Survey & Remote Forensics Analysis):这一步对目标系统进行分析,以确定其安全机制、文件存储位置或用户权限,这有助于获取目标控制权并避免被发现。
消除痕迹(Cover Tracks & cleanup): 此步骤是消除漏洞利用或访问过程遗留的可以用于取证的残留数据。此步骤是攻击者保持隐蔽性的最重要的步骤之一,也通常是系统管理员发现攻击最重要的机会。
数据收集(Data Collection): 攻击者总会在网络中采取一些行动,这些行动不单纯为了展示攻击能力,而是为了获取尽可能多的东西,如敏感数据,网络流量分析是这一步的重要手段。
后门和木马、Rootkit(Backdoor, Implant, Persistence): 此步骤需要安装一个应用程序,通过内核钩子或者其他机制部署,以保持攻击者对目标系统或网络的持续访问权。如果植入的远程控制工具设计的好,攻击者可以对目标网络进行长期的隐秘控制。
计算机网络攻击(Computer Network Attack): 这一步攻击者已将目标网络确定为可能的攻击目标,并有计划的对其发动攻击。这种攻击可能是远程的,也可能是本地的,可能通过已经获取的访问权或者没有取得访问权,攻击者通常会识别核心和重要的网络进程,并在目标网络中执行破坏、拒绝服务、降级、摧毁或欺骗等活动,这些活动简称6D。
京公网安备 11010802035086号