萬盛學電腦網

 萬盛學電腦網 >> 安全資訊防護 >> APT攻擊解決方案

APT攻擊解決方案

    隨著信息技術的高速發展,人類的生活跟網絡緊密地聯系在了一塊兒。在電子商務,網絡支付極其發展的今天,各種安全問題也隨之而來。網絡安全, 已成為當今世界越來越關心的話題之一。近年來,APT高級持續性威脅便成為信息安全圈子人人皆知的"時髦名詞".對於像Google、Facebook、 Twitter、Comodo等深受其害的公司而言,APT無疑是一場噩夢。於是,引發了行業以及安全從業者對現有安全防御體系的深入思考。

    在APT攻擊中,攻擊者會花幾個月甚至更長的時間對"目標"網絡進行踩點,針對性地進行信息收集,目標網絡環境探測,線上服務器分 布情況,應用程序的弱點分析,了解業務狀況,員工信息等等。當攻擊者收集到足夠的信息時,就會對目標網絡發起攻擊,我們需要了解的是,這種攻擊具有明確的 目的性與針對性。發起攻擊前,攻擊者通常會精心設計攻擊計劃,與此同時,攻擊者會根據收集到的信息對目標網絡進行深入的分析與研究,所以,這種攻擊的成功 率很高。當然,它的危害也不言而喻。要預防這種新型的,攻擊手法極其靈活的網絡攻擊,首先,應該對這種攻擊進行深入的探討、研究,分析APT攻擊可能會發 生的網絡環節或者業務環節等;其次要對我們自己的網絡進行深入的分析,了解網絡環境中存在的安全隱患,從而具有針對性地進行防護。

    下圖是個比較典型的網絡拓撲簡圖:

    (圖一)

    參照這個網絡拓撲,結合近幾年發生的APT攻擊,我們來分析下APT攻擊。

    1)2010年,Google被攻擊事件:

    攻擊者收集了Google員工的信息,偽造了一封帶有惡意鏈接的郵件,以信任人的身份發給了Google員工,致使該員工的浏覽器被溢出,接著,攻擊者獲取了該員工主機的權限,並持續監聽該員工與Google服務器建立的連接,最終導致服務器淪陷。前不久發生的Facebook被攻擊事件,與這個極為相似。

    2)2011年美國《華爾街日報》報道的一個安全事件:

    攻擊者通過SQL注入漏洞,入侵了外網邊緣的WEB服務器,然後以WEB服務器為跳板,對內外進行嗅探、掃描,進而入侵了內外AD服務器。攻擊者在已拿到 權限的主機裡種了自己的木馬,以公司領導的名義給員工發送了一封帶有惡意附件的郵件,最終導致大量公司內網主機權限被攻擊者所擁有。

    3)RSA SecurID被竊取事件:

    2011年3月,EMC公司下屬的RSA公司遭受入侵,部分SecurID技術及客戶資料被竊取。其後果導致很多使用SecurID作為認證憑據建立VPN網絡的公司受到攻擊,重要資料被竊取。

    通過以往的APT攻擊實例,我們可以總結出,通常,典型的APT攻擊會通過如下途徑入侵到您的網絡當中:

    1.通過WEB漏洞突破面向外網的Web Server.

    2.通過被入侵的Web Server做為跳板,對內網的其他服務器或桌面終端進行嗅探、掃描,並為進一步入侵做准備。

    3.通過密碼爆破或者發送欺詐郵件,獲取管理員帳號,並最終突破AD服務器或核心開發環境,被攻擊者的郵箱自動發送郵件副本給攻擊者。

    4.通過植入惡意軟件,如木馬、後門、Downloader等,回傳大量的敏感文件(WORD、PPT、PDF、CAD文件等)。

copyright © 萬盛學電腦網 all rights reserved