APT攻擊是近幾年來(lái)出現(xiàn)的一種高級(jí)攻擊，具有難檢測(cè)、持續(xù)時(shí)間長(zhǎng)和攻擊目標(biāo)明確等特征。本文中，小編帶你細(xì)數(shù)一下近年來(lái)比較典型的幾個(gè)APT攻擊，分析一下它們的攻擊過(guò)程。

Google極光攻擊

2010年的Google Aurora(極光)攻擊是一個(gè)十分著名的APT攻擊。Google的一名雇員點(diǎn)擊即時(shí)消息中的一條惡意鏈接，引發(fā)了一系列事件導(dǎo)致這個(gè)搜索引擎巨人的網(wǎng)絡(luò)被滲入數(shù)月，并且造成各種系統(tǒng)的數(shù)據(jù)被竊取。這次攻擊以Google和其它大約20家公司為目標(biāo)，它是由一個(gè)有組織的網(wǎng)絡(luò)犯罪團(tuán)體精心策劃的，目的是長(zhǎng)時(shí)間地滲入這些企業(yè)的網(wǎng)絡(luò)并竊取數(shù)據(jù)。

[[84140]]

該攻擊過(guò)程大致如下：

1) 對(duì)Google的APT行動(dòng)開(kāi)始于刺探工作，特定的Google員工成為攻擊者的目標(biāo)。攻擊者盡可能地收集信息，搜集該員工在Facebook、Twitter、LinkedIn和其它社交網(wǎng)站上發(fā)布的信息。

2) 接著攻擊者利用一個(gè)動(dòng)態(tài)DNS供應(yīng)商來(lái)建立一個(gè)托管偽造照片網(wǎng)站的Web服務(wù)器。該Google員工收到來(lái)自信任的人發(fā)來(lái)的網(wǎng)絡(luò)鏈接并且點(diǎn)擊它，就進(jìn)入了惡意網(wǎng)站。該惡意網(wǎng)站頁(yè)面載入含有shellcode的JavaScript程序碼造成IE瀏覽器溢出，進(jìn)而執(zhí)行FTP下載程序，并從遠(yuǎn)端進(jìn)一步抓了更多新的程序來(lái)執(zhí)行(由于其中部分程序的編譯環(huán)境路徑名稱(chēng)帶有Aurora字樣，該攻擊故此得名)。

3) 接下來(lái)，攻擊者通過(guò)SSL安全隧道與受害人機(jī)器建立了連接，持續(xù)監(jiān)聽(tīng)并最終獲得了該雇員訪問(wèn)Google服務(wù)器的帳號(hào)密碼等信息。

4) 最后，攻擊者就使用該雇員的憑證成功滲透進(jìn)入Google的郵件服務(wù)器，進(jìn)而不斷的獲取特定Gmail賬戶的郵件內(nèi)容信息。#p# 

超級(jí)工廠病毒攻擊(震網(wǎng)攻擊)

著名的超級(jí)工廠病毒攻擊為人所知主要源于2010年伊朗布什爾核電站遭到Stuxnet蠕蟲(chóng)的攻擊的事件曝光。

[[84141]]

遭遇超級(jí)工廠病毒攻擊的核電站計(jì)算機(jī)系統(tǒng)實(shí)際上是與外界物理隔離的，理論上不會(huì)遭遇外界攻擊。堅(jiān)固的堡壘只有從內(nèi)部才能被攻破，超級(jí)工廠病毒也正充分的利用了這一點(diǎn)。超級(jí)工廠病毒的攻擊者并沒(méi)有廣泛的去傳播病毒，而是針對(duì)核電站相關(guān)工作人員的家用電腦、個(gè)人電腦等能夠接觸到互聯(lián)網(wǎng)的計(jì)算機(jī)發(fā)起感染攻擊，以此為第一道攻擊跳板，進(jìn)一步感染相關(guān)人員的移動(dòng)設(shè)備，病毒以移動(dòng)設(shè)備為橋梁進(jìn)入“堡壘”內(nèi)部，隨即潛伏下來(lái)。病毒很有耐心的逐步擴(kuò)散，一點(diǎn)一點(diǎn)的進(jìn)行破壞。這是一次十分成功的APT攻擊，而其最為恐怖的地方就在于極為巧妙的控制了攻擊范圍，攻擊十分精準(zhǔn)。

在2011年，一種基于Stuxnet代碼的新型的蠕蟲(chóng)Duqu又出現(xiàn)在歐洲，號(hào)稱(chēng)“震網(wǎng)二代”。 Duqu主要收集工業(yè)控制系統(tǒng)的情報(bào)數(shù)據(jù)和資產(chǎn)信息，為攻擊者提供下一步攻擊的必要信息。攻擊者通過(guò)僵尸網(wǎng)絡(luò)對(duì)其內(nèi)置的RAT進(jìn)行遠(yuǎn)程控制，并且采用私有協(xié)議與CC端進(jìn)行通訊，傳出的數(shù)據(jù)被包裝成jpg文件和加密文件。#p# 

夜龍攻擊

夜龍攻擊是McAfee在2011年2月份發(fā)現(xiàn)并命名的針對(duì)全球主要能源公司的攻擊行為。

[[84142]]

該攻擊的攻擊過(guò)程是：

1) 外網(wǎng)主機(jī)如Web服務(wù)器遭攻擊成功，多半是被SQL注入攻擊;

2) 被黑的Web服務(wù)器被作為跳板，對(duì)內(nèi)網(wǎng)的其他服務(wù)器或PC進(jìn)行掃描;

3) 內(nèi)網(wǎng)機(jī)器如AD服務(wù)器或開(kāi)發(fā)人員電腦遭攻擊成功，多半是被密碼暴力破解;

4) 被黑機(jī)器被植入惡意代碼，多半被安裝遠(yuǎn)端控制工具(RAT)，傳回大量機(jī)敏文件(WORD、PPT、PDF等等)，包括所有會(huì)議記錄與組織人事架構(gòu)圖;

5) 更多內(nèi)網(wǎng)機(jī)器遭入侵成功，多半為高階主管點(diǎn)擊了看似正常的郵件附件，卻不知其中含有惡意代碼。

#p# 

RSA SecurID竊取攻擊

2011年3月，EMC公司下屬的RSA公司遭受入侵，部分SecurID技術(shù)及客戶資料被竊取。其后果導(dǎo)致很多使用SecurID作為認(rèn)證憑據(jù)建立VPN網(wǎng)絡(luò)的公司——包括洛克希德馬丁公司、諾斯羅普公司等美國(guó)國(guó)防外包商——受到攻擊，重要資料被竊取。在RSA SecurID攻擊事件中，攻擊方?jīng)]有使用大規(guī)模SQL注入，也沒(méi)有使用網(wǎng)站掛馬或釣魚(yú)網(wǎng)站，而是以最原始的網(wǎng)路通訊方式，直接寄送電子郵件給特定人士，并附帶防毒軟體無(wú)法識(shí)別的惡意文件附件。

[[84143]]

其攻擊過(guò)程大體如下：

1) RSA有兩組同仁們?cè)趦商熘蟹謩e收到標(biāo)題為“2011 Recruitment Plan”的惡意郵件，附件是名為“2011 Recruitment plan.xls”的電子表格;

2) 很不幸，其中一位同仁對(duì)此郵件感到興趣，并將其從垃圾郵件中取出來(lái)閱讀，殊不知此電子表格其實(shí)含有當(dāng)時(shí)最新的Adobe Flash的0day漏洞(CVE-2011-0609);

3) 該主機(jī)被植入臭名昭著的Poison Ivy遠(yuǎn)端控制工具，并開(kāi)始自C&C中繼站下載指令進(jìn)行任務(wù);

4) 首批受害的使用者并非“位高權(quán)重”人物，緊接著相關(guān)聯(lián)的人士包括IT與非IT等服務(wù)器管理員相繼被黑;

5) RSA發(fā)現(xiàn)開(kāi)發(fā)用服務(wù)器(Staging server)遭入侵，攻擊方隨即進(jìn)行撤離，加密并壓縮所有資料(都是rar格式)，并以FTP傳送至遠(yuǎn)端主機(jī)，又迅速再次搬離該主機(jī)，清除任何蹤跡。

#p#

暗鼠攻擊

2011年8月份，McAfee/Symantec發(fā)現(xiàn)并報(bào)告了該攻擊。該攻擊在長(zhǎng)達(dá)數(shù)年的持續(xù)攻擊過(guò)程中，滲透并攻擊了全球多達(dá)70個(gè)公司和組織的網(wǎng)絡(luò)，包括美國(guó)政府、聯(lián)合國(guó)、紅十字會(huì)、武器制造商、能源公司、金融公司，等等。

[[84144]]

其攻擊過(guò)程如下：

1) 攻擊者通過(guò)社會(huì)工程學(xué)的方法收集被攻擊目標(biāo)的信息。

2) 攻擊者給目標(biāo)公司的某個(gè)特定人發(fā)送一些極具誘惑性的、帶有附件的郵件例如邀請(qǐng)他參見(jiàn)某個(gè)他所在行業(yè)的會(huì)議，以他同事或者HR部門(mén)的名義告知他更新通訊錄，請(qǐng)他審閱某個(gè)真實(shí)存在的項(xiàng)目的預(yù)算，等等。

3) 當(dāng)受害人打開(kāi)這些郵件，查看附件(大部分形如：Participant_Contacts.xls、2011 project budget.xls、Contact List -Update.xls、The budget justification.xls)，受害人的EXCEL程序的FEATHEADER遠(yuǎn)程代碼執(zhí)行漏洞(Bloodhound.Exploit.306)被利用，從而被植入木馬。實(shí)際上，該漏洞不是0day漏洞，但是受害人沒(méi)有及時(shí)打補(bǔ)丁，并且，該漏洞只針對(duì)某些版本的EXCEL有效，可見(jiàn)被害人所使用的EXCEL版本信息也已經(jīng)為攻擊者所悉知。

4) 木馬開(kāi)始跟遠(yuǎn)程的服務(wù)器進(jìn)行連接，并下載惡意代碼。而這些惡意代碼被精心偽裝(例如被偽裝為圖片，或者HTML文件)，不為安全設(shè)備所識(shí)別。

5) 借助惡意代碼，受害人機(jī)器與遠(yuǎn)程計(jì)算機(jī)建立了遠(yuǎn)程Shell連接，從而導(dǎo)致攻擊者可以任意控制受害人的機(jī)器。

#p# 

Lurid攻擊

2011年9月22日，TrendMicro的研究人員公布了一起針對(duì)前獨(dú)聯(lián)體國(guó)家、印度、越南和中國(guó)等國(guó)家的政府部門(mén)、外交部門(mén)、航天部門(mén)，還有科研機(jī)構(gòu)APT攻擊——Lurid攻擊。

攻擊者的主要是利用了CVE-2009-4324和 CVE-2010-2883這兩個(gè)已知的Adobe Reader漏洞，以及被壓縮成RAR文件的帶有惡意代碼的屏幕保護(hù)程序。

用戶一旦閱讀了惡意PDF文件或者打開(kāi)了惡意屏幕保護(hù)程序，就會(huì)被植入木馬。木馬程序會(huì)變換多種花樣駐留在受害人電腦中，并與C&C服務(wù)器進(jìn)行通訊，收集的信息通常通過(guò)HTTP POST上傳給C&C服務(wù)器。攻擊者借助C&C服務(wù)器對(duì)木馬下達(dá)各種指令，不斷收集受害企業(yè)的敏感信息。

#p# 

Nitro攻擊

2011年10月底，Symantec發(fā)布的一份報(bào)告公開(kāi)了主要針對(duì)全球化工企業(yè)的進(jìn)行信息竊取的Nitro攻擊。

該攻擊的過(guò)程也十分典型：

1) 受害企業(yè)的部分雇員收到帶有欺騙性的郵件;

2) 當(dāng)受害人閱讀郵件的時(shí)候，往往會(huì)看到一個(gè)通過(guò)文件名和圖標(biāo)偽裝成一個(gè)類(lèi)似文本文件的附件，而實(shí)際上是一個(gè)可執(zhí)行程序;或者看到一個(gè)有密碼保護(hù)的壓縮文件附件，密碼在郵件中注明，并且如果解壓會(huì)產(chǎn)生一個(gè)可執(zhí)行程序。

3) 只要受害人執(zhí)行了附件中的可執(zhí)行程序，就會(huì)被植入Poison Ivy后門(mén)程序。

4) Poison Ivy會(huì)通過(guò)TCP 80端口與C&C服務(wù)器進(jìn)行加密通訊，將受害人的電腦上的信息上傳，主要是帳號(hào)相關(guān)的文件信息。

5) 攻擊者在獲取了加密的帳號(hào)信息后通過(guò)解密工具找到帳號(hào)的密碼，然后借助事先植入的木馬在受害企業(yè)的網(wǎng)絡(luò)尋找目標(biāo)、伺機(jī)行動(dòng)、不斷收集企業(yè)的敏感信息。

6) 所有的敏感信息會(huì)加密存儲(chǔ)在網(wǎng)絡(luò)中的一臺(tái)臨時(shí)服務(wù)器上，并最終上傳到公司外部的某個(gè)服務(wù)器上，從而完成攻擊。

#p# 

Luckycat攻擊

2012年3月份，TrendMicro發(fā)布的報(bào)告中披露了一個(gè)針對(duì)印度和日本的航空航天、軍隊(duì)、能源等單位進(jìn)行長(zhǎng)時(shí)間的滲透和刺探的攻擊行動(dòng)，并命名為L(zhǎng)uckycat。

[[84145]]

根據(jù)報(bào)告顯示，這次攻擊行動(dòng)依然是通過(guò)釣魚(yú)郵件開(kāi)始的，例如針對(duì)日本目標(biāo)的釣魚(yú)郵件的內(nèi)容大都跟福島核電站的核輻射問(wèn)題有關(guān)。然后就是利用了很多針對(duì) pdf/rtf的漏洞，包括CVE-2010-3333，CVE-2010-2883，CVE-2010-3654，CVE- 2011-0611，CVE-2011-2462等。滲透進(jìn)去之后就是用C&C進(jìn)行遠(yuǎn)程控制。而C&C服務(wù)器是通過(guò)VPS申請(qǐng)到的DNS域名。