阻止高级持续攻击威胁.docVIP

阻止高级持续攻击威胁 　　2010年，以百度遭到域名劫持攻击为标志，所有中国的大型公司和网站都遭到了严重的安全威胁。DDOS攻击、病毒植入、域名劫持、机密信息丢失、管理权限外泄等成为企业最易遭受的黑客攻击。根据瑞星的估算，仅在2010年，黑客针对涉密网络的攻击高达10万次以上，其中90％的攻击IP地址来自国外，而美国、日本、韩国是排行最前的三个攻击来源地。 　　而在被攻击对象方面，软件系统不再是唯一选择，手机、u盘、移动硬盘、基础设施等都已经成为黑客的攻击目标或者跳板，企业急需量身定制全面、系统的整体安全解决方案。 　　在所有受攻击的企业和单位中，国家机关、涉密单位、科研院校、金融单位等涉及国家机密和资金安全的，遭到黑客攻击的技术含量和攻击频率远高于普通企业。甚至有涉密单位在一个月之内就遭到多个不同组织的近干次攻击窥测。 　　而与涉密单位相关的个人电脑、手机、u盘等私人物品，也往往会成为黑客攻击的突破口。例如，有些承担军队研究任务的院校，其研究人员的个人电脑也经常遭到攻击，攻击者企图通过对u盘、移动硬盘、手机的攻击，将其作为跳板，进而攻击涉密网络，一旦成功则会造成机密资料外泄的严重后果。 　　 　　对持续攻击的剖析 　　 　　有消息透露：Acme公司已完成一项对Landmark公司的战略性收购，关于此次收购的所有详情俩家公司均一言不发。如果收购进行下去，对于Acme最强劲的竞争对手来说无疑是个坏消息，其由此将会失去明显的市场优势。 　　那家竞争对手决定去做当今许多家公司在需要获得信息时都会做的事――通过电子方式去窃取信息。这家公司和一名黑帽黑客签订了协议，而这名受雇黑客现在有三个目标：尽可能发现更多的有关Lankmark的收购信息；尽可能窃取更多的竞争信息；以及最后一点――当然是别被抓住了。 　　恶毒的攻击者首先打算找到可提供进入Acme公司IT系统入口的目标。多亏有像Twitter、Facebook、LinkedIn等这样具有魔力的社交网络站点，为黑客提供了前所未有的便利。于是攻击者开始在线打窝钓鱼，寻找任何可能有用的人和信息。 　　幸运的是(对Acme公司而言或许是不幸)，在LinkedIn上没怎么有哪些信誉好的足球投注网站就发现了Keith，一位Acme公司安全分析师。Keith很喜欢发微博，一直喋喋不休关于他从黑帽回家后在家和孩子在一起的事情，这周末打算看什么电影，以及他对于Landmark收购一事的兴奋。 　　这一切为这位黑客建立起完成任务的第一个方法。一个熟悉的社交工程手法，利用Keith自己发布的关于自身的信息：“你好Keith，曾和你在黑帽共事我感到很开心。我想加你为我的LinkedIn网络好友”短信只需这么写一下一切就OK了。 　　那不是一封真正的LinkedIn电子邮件，而是一封特别做过手脚的电子邮件。当Keith点击那封假的LinkedIn邀请时，一个恶意软件已经在他的PC机上安装了，使黑客获得了他的工作站的全部访问权限以及他的网络资格。更不幸的是，Keith对此毫无察觉，而攻击者现在正在使用他的访问权限攻击他本应该帮助维持安全的网络。 　　因此现在攻击者，依托新发现的立足点，就可释放其全部枪炮火力，去挖掘任何有关Landmark收购的信息，和任何其它可能有用的竞争信息：他可对该台受入侵的工作站进行屏幕截图，以确定恶意软件已成功部署在他的目标内；他可从浏览器中检索存储的口令以备日后使用；他可运行一个软件清单程序，获悉这台遭侵入的机器上所有的应用；他可安装键盘记录器和网络嗅探器以捕获用户口令和其它活动，然后对它们进行检索。 　　在经过这些趣事后，攻击者现在又开始搜寻Keith当前的联系人清单，标出了几位VIP人物。他捕获了Keith当前加密的用户名和口令，现在他可通过这些偷来的资格直接进入另外的服务器并立即访问，甚至不需要解密或破解口令。牢记着自己的任务，这位攻击者随后打开了一个到Keith计算机的shell提示，试图发现他的计算机是否映射到某个网络驱动器上。 　　攻击者很幸运，他发现Keith的系统当前与网络驱动器相连。这件事需要Keith的系统能对端口进行扫描。通过扫描，这位攻击者将识别出可用端口，在系统上运行系统服务，并探查出网络分段。现在有了一张网络地图在手，这位攻击者来到先前在Keith的联系人清单中标识出的某个VIP处：Norman Devries，他是ACME公司的CEO。Devries无疑是可以访问收购数据的。我们的这位攻击者无需比之前多做什么，给这位CEO发过去一封电子邮件即可。这位CEO也点击了一个他不该点击的链接。一旦该行动完成，这位攻击者就可访问Landmark收购详情(5300万美元)，以及产品集成计划、即将发动的新服务和公司许多其它秘密。他之所以能做到这些是因为他能够站