定向网络攻击分析与防御
定义
定向网络攻击是针对特定的目标主体(比如用户、公司以及相关组织等)发起的一种网络攻击行为,直接目的是获取机密数据或者破坏关键设施。定向网络攻击通常会表现出以下几个重要特点:
- 典型目的主要是获取高额的政治回报或经济利益,因此攻击目标往往较为明确。
- 通过针对目标系统的已知或未知漏洞(尤其是0 day漏洞)展开攻击。
- 往往利用自定义的恶意软件或代码进行攻击感染。
- 具有高度的欺骗性和隐秘性。
APT VS 定向网络攻击
APT,即高级持续性威胁,是定向网络攻击的一种高级表现形式,属于非常先进的定向威胁。APT和定向网络攻击总体上差别不大,下表对两者之间的不同特性进行了比较。
| 攻击特性 | 定向网络攻击 | APT |
|---|---|---|
| 欺骗性 | 是 | 是 |
| 隐身性 | 是 | 是 |
| 数据泄露 | 是 | 是 |
| 维持访问 | 是 | 是 |
| 情报再利用 | 是 | 是 |
| 国家资助 | 可能 | 可能 |
| 漏洞攻击 | 利用已知/未知的漏洞 | 主要使用0 day漏洞攻击 |
| 持续性 | 取决于设计 | 是 |
| 参与方 | 个人或团队 | 团队 |
阶段组成
完成一次定向网络攻击,概括而论需要经历情报搜集、目标感染、系统漏洞攻击、数据泄露和保持控制共5个阶段。
情报搜集
情报搜集是定向网络攻击的开始阶段,攻击者会从不同渠道搜集有关目标的信息,通过对从这些信息中筛选出的弱点建模,最终确定针对这一目标的攻击计划。
目标感染
目标感染是攻击者实施攻击前的必需阶段,最基本的思路是利用社交工程学欺骗用户,从而达到将恶意程序安装到攻击目标系统上的效果。
系统漏洞攻击
攻击者一旦成功感染目标,恶意程序或代码就会利用目标系统或系统中应用软件上的漏洞进行攻击,进而控制目标系统的各项功能并执行未授权操作。
数据泄露
在攻击者控制下,从目标系统中窃取并传输所需的敏感数据。
保持控制
攻击者在保持隐蔽状态下,通过对目标系统的持续控制,获取同一网络中其他系统的访问权限,进而通过类似的过程制定对应的攻击计划以发动下一轮攻击。
防御工作
鉴于定向网络攻击的特性和发展状况,安全界做出了“定向网络攻击难以避免”这一假设。在这一假设成立的前提下,针对定向网络攻击的防御工作的重心将逐渐从攻击方法路径的识别和阻断转移到攻击过程的追踪溯源上来。
定向网络攻击追踪溯源(Target Cyber Attacks Attribution),是指在定向网络攻击的各个阶段,通过采取一定的技术手段确定攻击的目的、实施过程以及攻击者的身份。
追踪溯源模型
下面介绍刘潮歌等针对定向网络攻击提出的一种追踪溯源的层次化模型,主要包括网络服务、主机终端、文件数据、控制信道、行为特征和挖掘分析共6个层次。模型示意图如下:
主机终端和文件数据
这两个层次是整个模型体系中最接近防御者一端的部分,主要通过搭建一个与真实内网相似的虚拟环境并在其上预置虚假信息和漏洞来实现。其中,虚拟环境中的设备既包括攻击者实施攻击过程中使用的跳板资源,也包括最终的攻击目标主机。在探测到定向网络攻击之后,一方面可以通过主机层面的网络欺骗技术追踪溯源,另一方面则可以通过分析恶意样本和诱饵文档中与攻击者相关的线索实现追踪溯源。
网络服务
网络服务层对应于定向网络攻击中的情报搜集和目标感染阶段,在这一层次部署外网服务为攻击者提供理想的第一跳攻击目标,通过网络欺骗技术反向收集攻击者的有关信息,再通过Web追踪技术等来对攻击者进行追踪溯源。
控制信道
控制命令信道(C&C)起源于僵尸网络,实现控制者和僵尸主机之间的信息交互和传递,因此成为该攻击模式中最为关键的一环。定向网络攻击同样使用了控制命令信道作为多终端控制的重要手段。这一层次主要借助域名信息、C&C服务器和网络账号等元素获取攻击者在进行相关网络行为(如注册、登录等)时可能留下的有关线索进行追踪溯源。
行为特征
这一层次主要通过分析攻击者的社会行为,如利益相关性、TTP特征和作息规律等,判断攻击者的组织属性和身份特征,帮助追踪溯源。
挖掘分析
这一层次是最终确定攻击者身份极为重要的一环,目前主要基于已有的溯源线索和威胁情报等信息,借助人工智能和大数据技术,实现攻击者线索的关联和追溯,最终确定攻击者的身份。
参考文献
[1](美)Aditya K Sood,(美)Richard Enbody著.定向网络攻击 由漏洞利用与恶意软件驱动的多阶段攻击[M].北京:国防工业出版社.2016.
[2] 刘潮歌,方滨兴,刘宝旭,崔翔,刘奇旭.定向网络攻击追踪溯源层次化模型研究[J].信息安全学报,2019,4(04):1-18.