未知威胁整体解决方案v10.docx
- 文档编号:594023
- 上传时间:2023-04-29
- 格式:DOCX
- 页数:26
- 大小:1.70MB
未知威胁整体解决方案v10.docx
《未知威胁整体解决方案v10.docx》由会员分享,可在线阅读,更多相关《未知威胁整体解决方案v10.docx(26页珍藏版)》请在冰点文库上搜索。
未知威胁整体解决方案v10
未知威胁整体解决方案
█文档编号
█密级
█版本编号
V1.0
█日期
360企业安全集团
█版权说明
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外。
所有版权均属360企业安全集团所有,受到有关产权及版权法保护。
任何个人、机构未经360企业安全集团的书面授权许可,不得以任何方式复制或引用本文的任何片段。
█适用性说明
本模板用于撰写360企业安全集团中各种正式文件、包括技术手册、标书、白皮书、会议通知、公司制度等文档使用。
1.背景
近年来,具备国家和组织背景的APT攻击日益增多,例如:
2010年攻击伊朗核电站的“震网病毒”、针对Google邮件服务器的“极光攻击”、2013年韩国金融和电视媒体网络被大面积入侵而瘫痪等等,2014年APT攻击的主要目标行业是金融和政府,分别高达84%和77%。
中国是APT(AdvancedPersistentThreats,高级持续性威胁)攻击的受害国,国内多个省、市受到不同程度的影响,其中北京、广东是重灾区,行业上教育科研、政府机构是APT攻击的重点关注领域。
截至2015年11月底,360威胁情报中心监测到的针对中国境内科研教育、政府机构等组织机构发动APT攻击的境内外黑客组织累计29个,其中15个APT组织曾经被国外安全厂商披露过,另外14个为360独立发现并监测到的APT组织。
在这29个APT组织中,针对中国境内目标的攻击最早可以追溯到2007年,而2015年9月以后仍然处于活跃状态的APT组织至少有9个。
统计显示,仅仅在2015年这12个月中,这些APT组织发动的攻击行动,至少影响了中国境内超过万台电脑,攻击范围遍布国内31个省级行政区。
以下是360威胁情报中心监控到的针对中国攻击的部分APT组织列表,其中OceanLotus(APT-C-00)、APT-C-05、APT-C-06、APT-C-12是360截获的APT组织及行动。
排序
APT组织
APT行动
首先报告厂商
已知最早活动时间
监测最近
活动时间
1
APT28
APT28、OperationRussianDoll
FireEye
2007年
2014年7月
2
Darkhotel
Darkhotel
Kaspersky
2007年
2015年11月
3
APT-C-05
APT-C-05
360
2007年
2015年11月
4
APT-C-12
APT-C-12
360
2011年
2015年11月
5
OceanLotus(APT-C-00)
OceanLotus
360
2011年
2015年11月
6
APT-C-06
APT-C-06
360
2011年
2015年11月
7
OperationAridViper
OperationAridViper
TrendMicro
2012年
2014年12月
8
DesertFalcon
DesertFalcon
Kaspersky
2013年
2014年11月
9
Carberp
Anunak
FOXIT
2013年
2015年6月
10
ScanBox
ScanBox
AlienVault
2014年
2015年5月
表1针对中国攻击的部分APT组织列表
从2015年的统计来看,针对科研教育机构发起的攻击次数最多,占到了所有APT攻击总量的37.4%;其次是政府机构,占27.8%;能源企业排第三,占9.1%。
其他被攻击的重要领域还包括军事系统、工业系统、商业系统、航天系统和交通系统等。
图1APT组织主要攻击行业分布
2012年4月起至今,某境外黑客组织对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。
该组织主要通过鱼叉攻击和水坑攻击等方法,配合多种社会工程学手段进行渗透,向境内特定目标人群传播免杀木马程序,秘密控制部分政府人员、外包商和行业专家的电脑系统,窃取系统中相关领域的机密资料。
根据该组织的某些攻击特点,360公司将其命名为OceanLotus(海莲花)。
在安全形势不断恶化的今天,中国重要企业和政府用户所处的特殊位置,经常会面临来自APT攻击的威胁,虽然企业的安全管理人员已经在网络中的各个位置部署了大量的安全设备,但仍然会有部分威胁绕过所有防护直达企业内部,对重要数据资产造成泄漏、损坏或篡改等严重损失。
2.存在问题
2.1.传统防护手段面临失效
高级持续性威胁(AdvancedPersistentThreat,简称APT)是一种可以绕过各种传统安全检测防护措施,通过精心伪装、定点攻击、长期潜伏、持续渗透等方式,伺机窃取网络信息系统核心资料和各类情报的攻击方式。
事实证明,传统安全设备已经无法抵御复杂、隐蔽的APT攻击。
针对伊朗核设施的“震网攻击”、针对跨过能源公司的“夜龙攻击”、针对Google邮件服务器的“极光攻击”、针对RSASecureID的攻击、针对美国政府和国际组织的“暗鼠行动”、美国国家航空航天局(NASA)喷气推动实验室核心资料被窃取、韩国金融和电视媒体网络被大面积入侵而瘫痪,几乎所有的被曝光的APT攻击无一例外都是以入侵者的全面成功而结束,在这些已公开的APT攻击中,依靠传统安全设备的防御体系均被轻易绕过而失去防御能力。
在某些APT攻击的案例(如震网攻击、夜龙攻击)中,传统安全防御设备甚至在长达数年的持续攻击中毫无察觉。
无需过多讨论,APT攻击在事关各国民生命脉的能源、电力、金融、政治、军事、核设施等关键领域造成的史无前例,难以评估的严重损失的事实已经清楚告诉我们:
传统安全设备无法抵御网络攻击的核武器:
APT。
传统安全防御体系的框架一般包括:
接入控制、安全隔离、边界检测/防御、终端防御、网络审计、访问控制等,所涉及的安全产品包括:
防火墙、IDS/IPS、杀毒软件、桌面管理软件、网络审计、双因素认证Token等。
从传统安全防御体系的设备和产品可以看到,这些产品遍布网络2~7层的数据分析,其中,与APT攻击相关的7层设备主要是IDS、IPS、审计,而负责7层检测IDS、IPS采用经典的CIDF检测模型,该模型最核心的思想就是依靠攻击特征库的模式匹配完成对攻击行为的检测。
反观APT攻击,其采用的攻击手法和技术都是未知漏洞(0day)、未知恶意代码等未知行为,在这种情况下,依靠已知特征、已知行为模式进行检测的IDS、IPS在无法预知攻击特征、攻击行为模式的情况下,理论上就已无法检测APT攻击。
2.1.1.多变的攻击手段
一次APT攻击就像军事上针对特定目标的定点打击或间谍渗透,其中很关键的步骤就是入侵过程,其中分为所谓的载荷投递与突防利用。
从下图内容看,鱼叉式钓鱼邮件攻击和水坑式攻击属于载荷投递的过程,而漏洞利用就是突防利用的过程。
图2APT攻击组织的主要入侵方式
(一)载荷投递的成本
从上图最顶端是鱼叉邮件攻击,是APT攻击中使用最为频繁的投递载体,攻击者无论是发动一次精良的鱼叉邮件攻击,还是普通的刺探邮件,成本是上图这四项中最低的。
攻击者只需知道目标邮箱地址即可发动一次攻击,当然携带的攻击程序有可能是PE二进制可执行程序,也可能是漏洞文档,也可能是一个被作为水坑攻击的网站URL。
而针对中国的攻击中大多数都是直接携带PE二进制可执行程序,这不仅与APT组织发动攻击的成本有关系,而且与被攻击目标本身的强弱有直接关系。
一次APT攻击的成功与否主要取决于APT组织针对目标的意图(Intent)和达到相关意图的能力(Capability),而不取决于目标本身的强与弱,目标本身的强弱只是决定了APT组织采用的攻击方式。
针对中国的鱼叉邮件攻击主要是携带PE二进制可执行程序,这一现象也从侧面反应出中国相关目标领域的安全防御措施、以及人员的安全意识比较欠缺。
上图的第二层是水坑式攻击,发动水坑攻击较鱼叉攻击,其成本主要高在需要一个目标用户经常关注的网站的权限。
水坑攻击中的网站我们也可以理解为一个载体,上面可以放置PE二进制木马(即需要用户交互下载安装执行),也可以放置漏洞文件(即不需要用户交互直接下载安装执行)。
(二)突防利用的成本
上图最底端的两层:
已知漏洞和0day漏洞,漏洞在APT组织中是最为耗费成本的,尤其是0day漏洞。
只有当具备高价值的目标且已知漏洞攻击在目标环境无效,攻击者才会启用0day漏洞。
而在针对中国的攻击中,我们更多看到的是APT组织选择如1day或Nday的已知漏洞,但这并不代表APT组织不具备持有0day漏洞的能力。
在APT-C-00和APT-C-059组织的攻击中,我们都捕获到了0day漏洞,在APT-C-05组织发动的0day漏洞攻击中,只是对特定几个目标发动了攻击,且启用时间很短。
APT组织主要以邮件作为投递载体,邮件的标题、正文和附件都可能携带恶意代码。
在用户提供的原始邮件中,目前主要的方式是附件是漏洞文档、附件是二进制可执行程序和正文中包含指向恶意网站的超链接这三种,前两种更为主流。
下图是携带二进制可执行程序,可执行程序多为“.exe”和“.scr”扩展名。
一般这类可执行程序均进行压缩,以压缩包形态发送。
从我们发现的事件中存在极少数采用压缩包加密后发送的情况,这种一般通过正文或其他方式将压缩包密码提供给目标用户。
图3针对科研机构的鱼叉邮件(APT-C-05)
此外APT组织还经常以水坑攻击的方式诱使目标用户下载安装病毒文件,从而达到控制目标用户终端进而窃取其网络内部的机密信息的目的。
APT-C-00中两种水坑攻击
A方式
替换目标网站可信程序(捆绑即时通、证书驱动)
Windows
对目标网站插入恶意JS代码(伪装AdobeFlash更新程序)
Windows
MacOSX
B方式
替换目标网站指定链接(倾向新闻公告类信息)
Windows
表2APT-C-00中两种水坑攻击
A方式:
APT-C-00组织首先通过渗透入侵的攻击方式非法获得某机构的文档交流服务器的控制权,接着,在服务器后台对网站上的“即时通”和“证书驱动”两款软件的正常安装文件捆绑了自己的木马程序,之后,当有用户下载并安装即时通或证书驱动软件时,木马就有机会得到执行。
攻击者还在被篡改的服务器页面中插入了恶意的脚本代码,用户访问网站时,会弹出提示更新Flash软件,但实际提供的是伪装成Flash升级包的恶意程序,用户如果不慎下载执行就会中招。
B方式:
APT-C-00组织入侵网站以后修改了网站的程序,在用户访问公告信息时会被重定向到一个攻击者控制的网站,提示下载某个看起来是新闻的文件,比如在新疆522暴恐事件的第二天网站就提示和暴恐事件相关的新闻,并提供“乌鲁木齐7时50分发生爆炸致多人伤亡.rar”压缩包给用户下载,而该压缩包文件内含的就是APT-C-00组织的RAT。
这些由黑色产业链或国家驱动的APT攻击通常都具备强大的攻击手段和技术,且手法多样,在一次攻击过程中经常采用多种手段和技术混合使用,包括:
社会工程学攻击、0day漏洞利用、免杀木马、定制化工具、逃逸技术等,寻找企业内部安全薄弱环节,所以可以屡屡得手、很难被发现。
2.1.2.攻击隐蔽性强
在大部分APT攻击中,攻击者针对不同的攻击目标会采用不同的策略,并在攻击前有针对性的进行信息收集,准备特定的攻击工具,攻击发起的整个过程时间可长可短,少则数小时,多则潜伏数月、数年,由于这些攻击均会使用高级免杀技术以逃避传统安全设备的特征检测,隐蔽性极强。
APT组织主要通过以下几种方式对恶意软件的投递进行精心伪装:
1)自身伪装
攻击者除了对鱼叉邮件的正文、标题等文字内容精心构造以外,其余大量伪装构造主要针对附件文件,尤其是二进制可执行程序。
主要从文件名、文件扩展名和文件图标等方面进行伪装,具体参看下表所示:
相关伪装项
具体内容
文件名
1、与邮件内容、诱饵文档内容相符的文件名。
2、超长文件名,其目的是隐藏文件扩展名。
文件扩展名
1、双扩展名,采用RLO7伪装扩展名。
伪装的文档扩展名以“.doc”等微软office系列为主,另外伪装的图片扩展名以“.jpg”等为主。
2、双扩展名,不采用RLO方式。
文件图标
1、文档图标,以微软office系列中的word、excel文档图标为主。
2、文件夹图标。
3、图片图标。
表3自身伪装相关具体内容
2)快捷方式(.lnk)攻击
利用快捷方式(.lnk)攻击是除利用漏洞以外使用最多的一种攻击方式,具体如下:
图4压缩包解压后相关文件截图(APT-C-02组织)
从相关攻击事件中来看,这种攻击方式主要还是以邮件为攻击前导,附件是压缩包文件(如上图,解压后的文件)。
当用户点击相关快捷方式图标(文档或文件夹的),会执行“cmd.exe/csystem.ini”,其中system.ini是可执行木马。
这类攻击手法非常具有迷惑性,一般用户很难区分压缩包内是否存在恶意可执行程序。
3)捆绑合法应用程序
APT组织除了基于RAT本身进行自身伪装以外,还会将RAT植入到合法应用程序中,攻击者会针对不同的目标群体选择不同的合法应用程序。
APT组织名称
被捆绑的合法应用程序
涉及人群
APT-C-00
AcunetixWebVulnerabilityScanner(WVS)7
网络安全行业等
APT-C-00
国内某办公软件
政府机构、事业单位等
APT-C-00
即时通、证书驱动
政府机构等
APT-C-01
微软更新程序
一般用户
APT-C-06
MicrosoftVisioProfessional2013
非特定行业办公人员等
表4捆绑合法应用程序的部分列表
2.1.3.攻击目标明确
APT组织主要目的是窃取目标机器内的情报数据,一旦攻击获得成功,首先会收集目标机器相关基本信息,进一步会大量窃取目标机器上的敏感数据,如果横向移动达到效果,则是窃取目标网络其他机器的敏感数据。
APT组织从中国科研、政府机构等领域窃取了大量敏感数据,对国家安全已造成严重的危害。
其中APT-C-05组织是一个针对中国攻击的境外APT组织,也是我们至今捕获到针对中国攻击持续时间最长的一个组织,该组织主要针对中国政府、军事、科技和教育等重点单位和部门,相关攻击行动最早可以追溯到2007,至今还非常活跃。
也就是从2007年开始APT-C-05组织进行了持续8年的网络间谍活动。
APT组织关注的敏感文档,除了主流的微软Office文档,更关注中国本土的WPSOffice相关文档,其中APT-C-05和APT-C-12组织都会关注以“.wps”扩展名的文档,这也是由于WPSOffice办公软件的用户一般分布在国内政府机构或事业单位。
APT组织长时间潜伏窃取了大量敏感数据是我们可以看到的危害,另外从APT组织对目标所属行业领域的熟悉、对目标作业环境的掌握,以及符合目标习惯偏好,这些适应中国本土化“量身定制”的攻击行动完全做到有的放矢,则让我们更是不寒而栗。
在安全形势极不乐观环境下,如何摆脱传统思路,寻求精确的APT攻击检测方法是亟需解决的问题。
2.2.免杀木马无法检测
木马(Trojan),也称木马病毒,是通过特定的程序(木马程序)来控制另一台计算机的软件。
木马通常有两个可执行程序:
一个是控制端,另一个是被控制端。
"木马"程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不"刻意"地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种主机。
在APT攻击中使用的木马通常为“免杀木马”,这类木马会利用加冷门壳、加花指令、改程序入口点、修改内存特征码等免杀技巧来避免自身被杀毒软件所查杀,
在OceanLotus(海莲花)事件中,境外黑客组织就使用了多款免杀木马,这些木马的感染者遍布国内29个省级行政区和境外的36个国家。
OceanLotus免杀木马采用包括文件伪装、随机加密和自我销毁等一系列复杂的攻击技术与安全软件进行对抗,成功逃过传统安全防御体系的检测,盗走相关单位的机密信息。
APT攻击经常利用漏洞来躲避杀毒软件检测,如APT-C-00组织中利用国内某视频应用0day漏洞,利用该溢出漏洞,恶意代码能直接在白进程中执行,所以杀毒软件不会拦截。
同时APT组织所使用的木马软件为了避免被杀毒软件检测并查杀还采用了大量对抗手法,其中针对国内的安全软件主要包括:
360卫士、360杀毒、瑞星杀毒、金山毒霸、金山卫士、QQ软件管家、东方微点等。
在对抗的过程中如果发现杀毒软件,恶意代码会选择放弃执行后续的功能代码,或者会选择绕过杀毒软件的检测。
由此可见,如何检测免杀木马是应对APT攻击需要面对的一个问题。
2.3.大量内网数据无法有效利用
APT攻击通常都会在内网的各个角落留下蛛丝马迹,真相往往隐藏在网络的流量中。
传统的安全事件分析思路是遍历各个安全设备的告警日志,尝试找出其中的关联关系。
但根据上文的分析,由于APT攻击的隐蔽性和特殊性,传统安全设备通常都无法对APT攻击的各个阶段进行有效的检测,也就无法产生相应的告警,安全人员花费大量精力进行告警日志分析往往都是徒劳无功。
如果采用全流量采集的思路,一方面是存储不方便,每天产生的全流量数据会占用过多的存储空间,组织通常没有足够的资源来支撑长时间的存储;另一方面是全流量数据包含了结构化数据、非结构化数据,涵盖了视频、图片、文本等等多种格式,无法直接进行格式化检索,安全人员也就无法从海量的数据中找到有价值的信息。
因此,如何以恰当的方式长时间保存对安全分析有价值的流量数据,是检测、回溯APT攻击必须解决的问题。
3.方案思路
首先看一下威胁的分类,目前大多数传统安全产品是基于特征检测技术的,能够识别出已知的威胁,比如已公开的CVE漏洞利用、已入库的病毒木马样本等。
而绕过防护体系的恶意威胁、免杀木马、0Day漏洞利用、APT等未知威胁,则是本方案重点要解决的问题。
图威胁金字塔
3.1.未知威胁检测思路
对未知威胁管理的第一步,必然是要发现威胁。
参考Gartner对高级威胁检测技术的分类,包括了以下五个方面:
由此可见未知威胁检测有几个关键点:
1.检测应当同时覆盖网络流量和终端行为。
因为单纯从网络流量或者终端行为中看到的信息并不全面,比如从网络流量中可以识别样本外联行为,如果恶意样本通过U盘等途径进入终端并且处于潜伏期时,是无法从网络流量中识别出来的。
2.要保存本地历史数据,并且应当尽量完整。
传统的安全检测产品如IDS,在进行溯源分析时会发现,只有命中规则的行为才会生成告警,而其他的流量信息都被当做正常行为丢弃了,造成威胁溯源的困难,并且难以取证。
因此未知威胁的发现,应当有历史全量数据的支撑,才能为威胁关联分析和事件取证提供充分的依据。
3.要对应用负载进行深度检测。
一次成功的APT攻击,通常都会利用到免杀木马,并且可能有很多的变种。
一个新制作的样本可能并不携带恶意代码,能顺利通过第一道检测在终端上运行起来,然后通过创建新的变种或者通过下载器从互联网上下载攻击代码。
因此需要对数据包里的payload进行深度检测分析。
360未知威胁检测的思路如下图所示:
3.2.未知威胁响应拦截思路
在识别出未知威胁之后,接下来思考如何进行威胁的处置。
先看一个典型的未知威胁攻击手法。
对于一个受害企业来讲,威胁主要是从网络边界和终端两个入口进入到内网的,同时数据泄露也主要是从网络边界和终端出去的。
因此在识别到未知威胁之后,如何能通过终端和网关处的一些联动配合,拦截掉威胁进出的路径,是本方案要解决的问题。
360未知威胁响应拦截的思路如下图所示:
3.3.未知威胁溯源思路
企业安全管理员在安全分析时常会面临这样的场景,发现内网有终端在向外网IP传数据,跟踪到这个IP后就不知道怎么办了,也无法判断这是一次独立偶然事件,还是一次有组织的APT攻击。
原因是缺少互联网数据的支撑。
而攻击者在互联网上总会留下痕迹,如何通过这些线索,来还原出攻击的全貌,那就需要对互联网大数据进行挖掘和分析,借助第三方的威胁情报来对未知威胁进行溯源。
3.4.整体思路
根据上述分析,未知威胁管理应当形成一个闭环体系,本方案的整体思路如下图所示:
⏹检测:
持续、实时地对网络和终端数据进行采集和威胁检测;
⏹响应:
基于威胁,针对实时状态关联分析,生成安全响应任务自动执行;
⏹拦截:
根据情报策略在终端和网关层面进行威胁主动拦截;
⏹溯源:
快速定位威胁来源,固化数据证据。
4.方案设计
4.1.方案架构
360未知威胁整体解决方案以本地大数据分析平台为大脑,通过对网络、终端的数据采集,结合云端威胁情报进行威胁分析,识别未知威胁并提供响应策略,指导终端和网关进行威胁响应和拦截。
同时能够利用大数据搜索技术在本地全量数据中进行威胁的快速溯源。
方案的整体架构如下图所示:
4.1.1.云端威胁情报
4.1.1.1.大数据
360天眼依托360公司对5亿PC终端和6亿移动终端实时保护产生的海量大数据,以及全球最大的IP、DNS、URL、文件黑白名单四大信誉数据库,拥有全球独一无二的安全大数据优势,同时可以对互联网上活跃的任何一次未被发现的攻击进行记录。
360目前在云端拥有海量的安全数据。
DNS库拥有90亿DNS解析记录,超过100个外部数据源获取数据;样本库总样本95亿,每天新增900万;360URL库每天处理100亿条,每天拦截用户访问钓鱼数超过1.4亿URL;主防库,覆盖5亿客户端,总日志数189000亿,每天新增380亿;漏洞库,总漏洞数超过47万, 平均每天新增400个。
这些数据给未知威胁发现和APT攻击检测提供了完全真实网络环境下的大量数据支撑。
4.1.1.2.数据处理
通过DNS解析记录、WHOIS信息、样本信息、文件行为日志等内容,360天眼实验室在云端共搜集了200PB与安全相关的数据,并针对所有这些信息使用了机器学习、深度学习、重沙箱集群、关联分析等分析手段,PB级的搜索引擎的全网抓取数据、可视化的分析数据,以及其他多个维度的互联网大数据进行关联分析和历史检索,再结合一个专家运营团队不断的通过不同的攻击思路挖掘大量数据。
依赖于以上不断运营,360天眼实验室掌握发现了国内最多的APT攻击组织信息、并不断的跟踪相关信息,海莲花(OceanLotus)报告便是其中成果。
所有此类成果都是经过人工确认的准确结果,基本杜绝了误报的情况,同时360可以依赖于海量数据对攻击背景做出准确和充足的判定。
4.1.1.3.确认未知威胁
360无线安全研究院、360网络安全研究院、360网络攻防实验室、360漏洞研究实验室等以顶尖研究资源为基础的多个国内高水平安全研究实验室为未知威胁的最终确认提供专业高水平的技术支撑,所有大数据分析出的未知威胁都会通过专业的人员进行人工干预,做到精细分析,确认攻击手段攻击对象以及攻击的目的,通过人工智能结合大数据知识以及攻击者的多个维度特征还原出攻击者的全貌,包括程序形态,不同编码风格和不同攻击原理的同源木马程序,恶意服务器(C&C)等,通过全貌特征‘跟踪’攻击者,持续的发现未知威胁,最终确保发现的未知威胁的准确性。
4.1.1.4.情报交付
为了将360云端的攻击发现成果传递到企业侧,360天眼系统将所有与攻击相关的信息,如攻击团体
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 未知 威胁 整体 解决方案 v10