那么����,這種間諜行為的潛伏期有多長呢�����?
針對“LURID”�����,趨勢科技指出�����,“LURID Downloader”通常也被稱為“Enfal”��,這是一個眾所皆知的�、長期存在的惡意軟件家族。這只惡意軟件����,早在2006年就曾經(jīng)被用在目標(biāo)攻擊中�����。到了2008年����,一系列的記錄顯示了使用這種惡意軟件的攻擊目標(biāo)包括政府機構(gòu)�����,非政府組織( NGO)���,還有國防部承包商和美國政府雇員�����。在2009年和2010年�,多倫多大學(xué)的研究人員和趨勢科技安全威脅研究員Nart Villeneuve共同發(fā)表了有關(guān)兩個間諜網(wǎng)絡(luò)的報告��,被人稱為“GhostNet”和“Shadow-In-The-Cloud”����,網(wǎng)絡(luò)中包括了 Enfal木馬鏈接的惡意軟件和外界控制代碼����。同時�����,根據(jù)“維基解密”的信息和一系列被稱為“Byzantine Hades”的連續(xù)攻擊行為發(fā)現(xiàn)���,這系列連續(xù)攻擊�,自2002年以來就一直在發(fā)生���。
長期而有效的威脅管理將有效避免成為APT攻擊的受害者
面對黑客使用APT網(wǎng)絡(luò)間諜的攻擊手法,趨勢科技中國臺灣技術(shù)總監(jiān)戴燊認為���,這并沒有單一的解決之道���,因為黑客為達目的、不擇手段的攻擊方式���,企業(yè)的威脅防護也必須從造成企業(yè)威脅的每一個防護弱點下手�。
首先�����,防病毒軟件還是基本防御之道。黑客使用這些針對式的惡意軟件��,一般商用防病毒軟件無法偵測����,戴燊建議,政府或企業(yè)環(huán)境內(nèi)應(yīng)首先部署各種過濾設(shè)備�����,并針對可疑的惡意軟件樣本先進行第一輪的過濾后���,再送到后端自動化分析機制��。如果要判斷該惡意軟件是否是有針對性的�,則需要與防毒廠商充分達成默契���,這樣就能讓防毒廠商針對該攻擊��,制作出定制化的病毒特征給該單位�����。
第二�,除了防病毒軟件的防御層面外,進行企業(yè)環(huán)境的威脅發(fā)現(xiàn)����,則是預(yù)防APT的有效之道。要預(yù)防黑客發(fā)動APT攻擊����,得先改變對威脅環(huán)境的認知,進行各種高級監(jiān)測威脅�����,以降低災(zāi)害�。這包括,企業(yè)內(nèi)部的威脅發(fā)現(xiàn)機制是否足夠��,以及是否有能力可以對網(wǎng)絡(luò)中的封包或Session進行攻擊特征的分析���。
第三,就是針對APT攻擊的“持續(xù)性”建立長期的分析能力���。除了日報�����、周報��、月報外��,更重要的是要看出長期的趨勢變化��,時間更長的季度報甚至是年報所呈現(xiàn)出來的攻擊趨勢����,其實更重要。因為面對黑客發(fā)動的APT攻擊�,企業(yè)最忌諱當(dāng)成單一事件,所以IT工程師們應(yīng)對于每個月安全事件進行檢查���,并確定是否每個月都重復(fù)發(fā)生�����,觀察是否有持續(xù)性���。
第四����,由于APT攻擊類型很多��,也很難檢測�,很多企業(yè)仍然僅依賴于以預(yù)防為主的工具,例如防毒代碼技術(shù)和傳統(tǒng)的網(wǎng)絡(luò)層防火墻���。高級持續(xù)攻擊者更傾向于0day漏洞�,或者利用目標(biāo)公司基礎(chǔ)設(shè)施存在的漏洞問題����。因此,抵御APT攻擊者的理想防御方法是結(jié)合最新的云安全技術(shù)�����,對網(wǎng)絡(luò)和系統(tǒng)達到實時監(jiān)測和統(tǒng)一管理�。但是現(xiàn)在市面上很多工具都是針對不同的基礎(chǔ)設(shè)施,縱觀所有事件和日志往往是需要手動來操作��。這就給了攻擊者更多時間和機會來深入受害者組織��,因此�����,將安全基礎(chǔ)設(shè)施利用云安全架構(gòu)中的統(tǒng)一管理模式�����,將這些報表和日志聯(lián)合起來��,才能有效地識別出漏洞和攻擊的存在�。
第五,也是我們反復(fù)提到的信息安全教育�,因為這將是嚴防APT攻擊最后的防線。從Google到RSA�,這些單位受到攻擊的關(guān)鍵因素都與普通員工遭遇社交工程的惡意郵件有關(guān)。從RSA受攻擊的事件可以發(fā)現(xiàn)�,黑客剛一開始,就是針對某些特定員工發(fā)送的釣魚郵件���,就是該起RSA遭到黑客使用APT手法進行攻擊的所有源頭����。在今年稍早��,美國有另外一家信息安全顧問公司HBGary也面臨類似的攻擊方式��,那就是黑客假冒CEO發(fā)信給IT部門同事,由于“天時地利人和”的條件配合下�,IT人員對于黑客冒名發(fā)送的這封信件完全不曾懷疑,IT人員直接將該公司IT系統(tǒng)Administrator的賬號��、密碼給被黑客冒名的CEO發(fā)送回去��。因此���,HBGary內(nèi)部的IT系統(tǒng)防護也在一夜之間潰堤����。
安全意識淡薄�����,APT只需要5個步驟就能輕松“俘虜”目標(biāo)系統(tǒng)
最后���,如果已經(jīng)清除了內(nèi)部的惡意代碼����,員工和管理層還應(yīng)該預(yù)料到APT攻擊者們遲早還會卷土重來����,然后重新建立他們的據(jù)點���,這也就讓企業(yè)所面臨的威脅環(huán)境變得越來越具有挑戰(zhàn)性�。不過,當(dāng)我們清楚的認識到��,這些對于信息系統(tǒng)進行攻擊方法的正在變化���,我們就有決心有毅力�,并有效的能夠遏制住APT攻擊�����。
果.jpg)