在之前的文章中(APT攻击背后的秘密:攻击性质及特征分析;攻击前的"敌情"侦察;攻击时的武器与手段;攻击时的漏洞利用;攻击时的命令和控制),我们已经了解了APT攻击的特征、"敌情"侦察、攻击的武器和手段、漏洞利用以及攻击时的命令和控制。本文我们将探讨APT攻击后期的数据渗出。在这个阶段,也是APT攻击的最后阶段,如果APT攻击活动还没有被阻止,那么数据很可能即将被泄漏出去。
数据渗出是APT攻击的最后一步,如果攻击者完成这一步,你企业将面临巨大损失。在目标数据被确定后,这些数据将被复制并通过C2通道移出网络,或者可能被复制到网络中的另一区域,然后再被移出。从这一点来看,企业应该容易发现被动攻击和有针对性攻击。 正如前面提到的,被动攻击动静很大,分层防御措施很容易发现这种攻击。另一方面,有针对性攻击完全相反。 有针对性攻击活动背后的攻击者会尽可能保持低调,所以不可能出现大规模数据转储。在有针对性攻击中,我们会看到数据伪装成正常流量通过C2通道离开网络。 在前面C2文章中,我们谈到了机会攻击通常会利用有着不良声誉的通信信道。对于每个感染的主机,攻击者会使用了相同的容易识别的通道。 这种机会攻击会将数据渗出到其他国家的数据中心的服务器,当地法律可能没有禁止这种数据使用。在这些情况下,你不要指望ISP提供帮助。所以,如果你不阻止数据离开网络,即使你发现数据的渗出,这种信息从法律上看也没多大用处。 有针对性攻击会攻击合法服务器来存储数据。在很多情况下,受感染的服务器管理员可能不知道他们正在托管不属于自己的数据,而当他们意识到有什么不对劲时,攻击者已经早已离去。 在渗出阶段,最好的防御措施就是感知。你需要知道哪些数据进出你的网络,监控出站流量和入站流量都很重要。 DLP解决方案也可以用于应对渗出阶段。如果配置得到,DLP产品可以帮助监控网络流量,并控制流量。它们能够发现未经授权的加密,被动和有针对性攻击会利用加密来隐藏通信。还能够发现异常流量模式。 另外,监控用户账户活动也可以作为防御措施,有些合法账户可能出现异常活动。 在C2阶段使用的防御措施同样可用于渗出阶段,包括根据IP地址、IPS和IDS系统(可以调整为监控所有阶段的活动)以及应用防火墙规则(控制哪些程序允许发送流量到外部)阻止访问。这些规则还可以应用到工作站或网段。 假设你捕捉到渗出过程,日志记录将成为事件响应的关键资源,因为日志能够确定发生了什么、如何发生等。通常情况下,在被动或有针对性攻击中,确定攻击者是很重要的,但实际上这是不可能的,这个问题我们主要是靠猜测而不是事实。 无论采用何种防御措施,最好的办法是在事故发生前阻止事故。这正是澳大利亚信号理事会(ASD)的主要工作,其网络不断有攻击者试图访问敏感信息。ASD采用了四种防御措施,并指定它们作为其网络的强制性要求。这四个强制性措施包括: 1. 应用程序白名单 2. 第三方软件补丁管理 3. 操作系统补丁管理 4. 权限管理(限制使用域或本地管理员权限的用户数量) 在本系列文章的开始,我们探讨了有针对性攻击和被动攻击的目的的区别,以及这些攻击者的总体目标。工具、战略和程序并不重要。你的企业更有可能成为机会攻击的受害者,而不是受民族国际资助的有针对性攻击的受害者。 应对这两种攻击的最好办法就是分层防御。感知和可视性是快速反应以及减少损失的关键。虽然持续性攻击活动最终会成功,但我们可以提高攻击者的难度,以及减少损失。关键是要权衡风险,制定符合企业需求的安全计划,不要恐惧APT。 (责任编辑:IT) |