3、 RSA SecurID竊取攻擊

2011年3月，EMC公司下屬的RSA公司遭受入侵，部分SecurID技術(shù)及客戶資料被竊取。其后果導(dǎo)致很多使用SecurID作為認(rèn)證憑據(jù)建立VPN網(wǎng)絡(luò)的公司——包括洛克希德馬丁公司、諾斯羅普公司等美國國防外包商——受到攻擊，重要資料被竊取。在RSA SecurID攻擊事件中，攻擊方?jīng)]有使用大規(guī)模SQL注入，也沒有使用網(wǎng)站掛馬或釣魚網(wǎng)站，而是以最原始的網(wǎng)絡(luò)通訊方式，直接寄送電子郵件給公司職員，并附帶防毒軟件無法識(shí)別的惡意文件附件。其攻擊過程大體如下：

1) 攻擊者給RSA的母公司EMC的4名員工發(fā)送了兩組惡意郵件。郵件標(biāo)題為“2011 Recruitment Plan”，寄件人是webmaster@Beyond.com，正文很簡(jiǎn)單，寫著“I forward this file to you for review. Please open and view it.”;里面有個(gè)EXCEL附件名為“2011 Recruitment plan.xls”;

2) 很不幸，其中一位員工對(duì)此郵件感到興趣，并將其從垃圾郵件中取出來閱讀，殊不知此電子表格其實(shí)含有當(dāng)時(shí)最新的Adobe Flash的0day漏洞(CVE-2011-0609)。這個(gè)Excel打開后啥也沒有，除了在一個(gè)表單的第一個(gè)格子里面有個(gè)“X”(叉)。而這個(gè)叉實(shí)際上就是內(nèi)嵌的一個(gè)Flash。

3) 該主機(jī)被植入臭名昭著的Poison Ivy遠(yuǎn)端控制工具，并開始自BotNet的C&C服務(wù)器(位于 good.mincesur.com)下載指令進(jìn)行任務(wù);

4) 首批受害的使用者并非“位高權(quán)重”人物，緊接著相關(guān)聯(lián)的人士包括IT與非IT等服務(wù)器管理員相繼被黑;

5) RSA發(fā)現(xiàn)開發(fā)用服務(wù)器(Staging server)遭入侵，攻擊方隨即進(jìn)行撤離，加密并壓縮所有資料(都是rar格式)，并以FTP傳送至遠(yuǎn)端主機(jī)，又迅速再次搬離該主機(jī)，清除任何蹤跡;

6)在拿到了SecurID的信息后，攻擊者就開始對(duì)使用SecurID的公司(例如上述防務(wù)公司等)進(jìn)行攻擊了。

另一個(gè)與此攻擊類似的攻擊事件是針對(duì)Comodo的頒發(fā)數(shù)字證書的系統(tǒng)攻擊，結(jié)果導(dǎo)致很多由Comodo簽發(fā)的偽造數(shù)字證書，成為了攻擊者的強(qiáng)大武器。

4、 超級(jí)工廠病毒攻擊(震網(wǎng)攻擊)

遭遇超級(jí)工廠病毒攻擊的核電站計(jì)算機(jī)系統(tǒng)實(shí)際上是與外界物理隔離的，理論上不會(huì)遭遇外界攻擊。堅(jiān)固的堡壘只有從內(nèi)部才能被攻破，超級(jí)工廠病毒也正充分的利用了這一點(diǎn)。超級(jí)工廠病毒的攻擊者并沒有廣泛的去傳播病毒，而是針對(duì)核電站相關(guān)工作人員的家用電腦、個(gè)人電腦等能夠接觸到互聯(lián)網(wǎng)的計(jì)算機(jī)發(fā)起感染攻擊，以此為第一道攻擊跳板，進(jìn)一步感染相關(guān)人員的U盤，病毒以U盤為橋梁進(jìn)入“堡壘”內(nèi)部，隨即潛伏下來。病毒很有耐心的逐步擴(kuò)散，利用多種漏洞，包括當(dāng)時(shí)的一個(gè)0day漏洞，一點(diǎn)一點(diǎn)的進(jìn)行破壞。這是一次十分成功的APT攻擊，而其最為恐怖的地方就在于極為巧妙的控制了攻擊范圍，攻擊十分精準(zhǔn)。

5、 Shady RAT攻擊

2011年8月份，McAfee/Symantec發(fā)現(xiàn)并報(bào)告了該攻擊。該攻擊在長(zhǎng)達(dá)數(shù)年的持續(xù)攻擊過程中，滲透并攻擊了全球多達(dá)70個(gè)公司和組織的網(wǎng)絡(luò)，包括美國政府、聯(lián)合國、紅十字會(huì)、武器制造商、能源公司、金融公司，等等。其攻擊過程如下：

1) 攻擊者通過社會(huì)工程學(xué)的方法收集被攻擊目標(biāo)的信息。

2) 攻擊者給目標(biāo)公司的某個(gè)特定人發(fā)送一些極具誘惑性的、帶有附件的郵件例如邀請(qǐng)他參加某個(gè)他所在行業(yè)的會(huì)議，以他同事或者HR部門的名義告知他更新通訊錄，請(qǐng)他審閱某個(gè)真實(shí)存在的項(xiàng)目的預(yù)算，等等。

3) 當(dāng)受害人打開這些郵件，查看附件(大部分形如：Participant_Contacts.xls、2011 project budget.xls、Contact List -Update.xls、The budget justification.xls)，受害人的EXCEL程序的FEATHEADER遠(yuǎn)程代碼執(zhí)行漏洞(Bloodhound.Exploit.306)被利用，從而被植入木馬。實(shí)際上，該漏洞不是0day漏洞，但是受害人沒有及時(shí)打補(bǔ)丁，并且，該漏洞只針對(duì)某些版本的EXCEL有效，可見被害人所使用的EXCEL版本信息也已經(jīng)為攻擊者所悉知。

4) 木馬開始跟遠(yuǎn)程的服務(wù)器進(jìn)行連接，并下載惡意代碼。而這些惡意代碼被精心偽裝(例如被偽裝為圖片，或者HTML文件)，不為安全設(shè)備所識(shí)別。

5) 借助惡意代碼，受害人機(jī)器與遠(yuǎn)程計(jì)算機(jī)建立了遠(yuǎn)程Shell連接，從而導(dǎo)致攻擊者可以任意控制受害人的機(jī)器。

綜合分析以上典型的APT攻擊，可以發(fā)現(xiàn)，現(xiàn)在的新型攻擊主要呈現(xiàn)以下技術(shù)特點(diǎn)：

1) 攻擊者的誘騙手段往往采用惡意網(wǎng)站，用釣魚的方式誘使目標(biāo)上鉤。而企業(yè)和組織目前的安全防御體系中對(duì)于惡意網(wǎng)站的識(shí)別能力還不夠，缺乏權(quán)威、全面的惡意網(wǎng)址庫，對(duì)于內(nèi)部員工訪問惡意網(wǎng)站的行為無法及時(shí)發(fā)現(xiàn);

2) 攻擊者也經(jīng)常采用惡意郵件的方式攻擊受害者，并且這些郵件都被包裝成合法的發(fā)件人。而企業(yè)和組織現(xiàn)有的郵件過濾系統(tǒng)大部分就是基于垃圾郵件地址庫的，顯然，這些合法郵件不在其列。再者，郵件附件中隱含的惡意代碼往往都是0day漏洞，郵件內(nèi)容分析也難以奏效;

3) 還有一些攻擊是直接通過對(duì)目標(biāo)公網(wǎng)網(wǎng)站的SQL注入方式實(shí)現(xiàn)的。很多企業(yè)和組織的網(wǎng)站在防范SQL注入攻擊方面缺乏防范;

4) 初始的網(wǎng)絡(luò)滲透往往使用利用0day漏洞的惡意代碼。而企業(yè)和組織目前的安全防御/檢測(cè)設(shè)備無法識(shí)別這些0day漏洞攻擊;

5) 在攻擊者控制受害機(jī)器的過程中，往往使用SSL鏈接，導(dǎo)致現(xiàn)有的大部分內(nèi)容檢測(cè)系統(tǒng)無法分析傳輸?shù)膬?nèi)容，同時(shí)也缺乏對(duì)于可疑連接的分析能力;

6) 攻擊者在持續(xù)不斷獲取受害企業(yè)和組織網(wǎng)絡(luò)中的重要數(shù)據(jù)的時(shí)候，一定會(huì)向外部傳輸數(shù)據(jù)，這些數(shù)據(jù)往往都是壓縮、加密的，沒有明顯的指紋特征。這導(dǎo)致現(xiàn)有絕大部分基于特征庫匹配的檢測(cè)系統(tǒng)都失效了;

7) 還有的企業(yè)部署了內(nèi)網(wǎng)審計(jì)系統(tǒng)，日志分析系統(tǒng)，甚至是SOC安管平臺(tái)。但是這些更高級(jí)的系統(tǒng)主要是從內(nèi)控與合規(guī)的角度來分析事件，而沒有真正形成對(duì)外部入侵的綜合分析。由于知識(shí)庫的缺乏，客戶無法從多個(gè)角度綜合分析安全事件，無法從攻擊行為的角度進(jìn)行整合，發(fā)現(xiàn)攻擊路徑。

8)受害人的防范意識(shí)還需要進(jìn)一步提高。攻擊者往往不是直接攻擊最終目標(biāo)人，而是透過攻擊外圍人員層層滲透。例如先攻擊HR的人，或者首輪受害人的網(wǎng)絡(luò)好友，再以HR受害人的身份去欺騙(攻擊)某個(gè)接近最終目標(biāo)人的過渡目標(biāo)，再透過過渡目標(biāo)人去攻擊最終目標(biāo)人(例如掌握了某些機(jī)密材料的管理員、公司高管、財(cái)務(wù)負(fù)責(zé)人等)。

因此，在APT這樣的新型攻擊面前，大部分企業(yè)和組織的安全防御體系都失靈了。保障網(wǎng)絡(luò)安全亟需全新的思路和技術(shù)。

huanghui