APT攻击案例分享与分析.pdf

APT 攻击案例分享与分析 摘要 对于本次课程大作业我采用方案二的形式，主要是对近几年才兴起的APT 攻 击模式的典型案例、攻击原理以及防范策略进行分析。APT 攻击是各种社会工程 学攻击与各类0day 漏洞利用的综合体。此次大作业主要侧重于APT 攻击模式的 分析，辅助介绍近两年来发生的几个APT 攻击的典型案例，包括极光行动、夜龙 攻击、RSA SecurID 窃取攻击、暗鼠行动等。 关键词：APT 攻击 社会工程学攻击 0day 漏洞 极光行动 1 引言 RSA 执行总裁ArtCoviello 在2011 年3 月15 日称，RSA 遭到黑客攻击，获取 认证的SecurID 相关信息被窃取。而这只是麻烦的开始。在这起数据泄露事件中， 黑客随后攻击了RSA 客户，包括洛克希德马丁公司。Coviello 的声明让高级持续 性威胁(APT)成为了一个流行词汇。 APT 一词最初由美国空军使用，现在演变为专指对网络不间断的攻击行为。 RSA 的数据泄露在去年第二季度为其母公司EMC 带来了5500 万美元的损失。 APT 在2011 年全面爆发。挪威国家安全局在11 月称，石油、天然气和防务 公司已经成为了这一复杂攻击的目标，这些公司的行业秘密和机密合同谈判等信 息均遭到了窃取。据称，有10 家挪威公司遭到了带有病毒的特制邮件的攻击， 而邮件中的病毒却不会触发反恶意软件探测系统。这样的案例还有愈演愈烈之势。 人们不禁要问，APT 是什么？能有如此巨大的破坏力？我们应该如何对付它？ 2 APT 攻击介绍 本部分主要对APT 攻击的定义、攻击特点、攻击基本原理做比价详细的介绍。 2.1 APT 简介 APT （Advanced Persistent Threat ），高级持续威胁，它是组织(特别是政府)或 者小团体利用先进的计算机网络攻击手段对特定高价值数据目标进行长期持续 1 / 11 2013/5/8 性网络侵害的攻击形式。 APT 攻击具有以下特点： 1、 针对特定的政府或企业为攻击目标，长时间地进行有计划、有组织的 网络攻击，以获取极具价值的情报信息。 2、 APT 攻击具有“先进”、“智能化”特征，当它的一种攻击方法不能奏 效时，就会尝试采用另一种攻击方法，直至达到预定攻击效果。 3、 APT 的另一特点是持续且隐蔽，能长期潜伏，具有一定的反侦测能力， 因此人们往往会被其低调而缓慢的行动所迷惑，以致遭受巨大损失后 才有所顿悟。 在 APT 攻击中，攻击者会花几个月甚至更长的时间对 目标网络进行踩点， 针对性地进行信息收集，目标网络环境探测，线上服务器分布情况，应用程序的 弱点分析，了解业务状况，员工信息等等。当攻击者收集到足够的信息时，就会 对目标网络发起攻击，我们需要了解的是，这种攻击具有明确的目的性与针对性。 发起攻击前，攻击者通常会精心设计攻击计划，与此同时，攻击者会根据收集到 的信息对目标网络进行深入的分析与研究，所以，这种攻击的成功率很高。当然， 它的危害也不言而喻。 2.2 APT 攻击原理 APT 攻击的原理相对于其他常见的网络攻击形式更为高级和先进，其高级性 主要体现在APT 在发动攻击之前，需要对攻击对象的业务流程和目标系统进行精 确的情报收集，在收集过程中，攻击者会主动挖掘被攻击对象受信系统和应用程 序的漏洞，在这些漏洞的基础上形成攻击者所需的 CC 网络，此种行为没有采 取任何可能触发警报或者引起怀疑的行动，因此更接近于融入被攻击者的系统或 程序。有人甚至认为；APT 攻击是各种社会工程学攻击与各类 0day 漏洞利用的 综合体。 典型的APT 攻击，通常会通过如下途径入侵到您的网络当中： 1、 通过SQL 注入等攻击手段突破面向外网的Web Server; 2 / 11 2013/5/8 2、 通过被入侵的Web Server 做跳板，对内网的其他服务器或桌