在之前的兩篇文章中《APT攻擊背后的秘密:攻擊前的"敵情"偵察》《APT攻擊背后的秘密:攻擊性質(zhì)及特征分析》，我們介紹了APT攻擊的性質(zhì)、特征，以及攻擊前的"敵情"偵察。本篇文章，我們將繼續(xù)介紹APT攻擊時(shí)使用的武器和手段，這是真正開始發(fā)動(dòng)攻擊的階段，也是攻擊者需要通過的第一道"關(guān)卡"。

[[109059]]

正如在前面文章我們提到的，APT攻擊和普通攻擊之間的區(qū)別是目的，或者說背后操作者的具體目標(biāo)，而不是工具、策略或流程。

一般的攻擊主要依賴于數(shù)量，攻擊者會(huì)成百上千次的發(fā)送相同的鏈接或是惡意軟件，在大多數(shù)情況下，這個(gè)過程是自動(dòng)化的，攻擊者使用機(jī)器人或基于web腳本來推動(dòng)攻擊，如果攻擊了大量的潛在受害者，那么攻擊者可能獲得已經(jīng)獲得了一半的成功。而APT攻擊則會(huì)使用多個(gè)鏈接、不同類型的惡意軟件，并控制攻擊量，因此，APT攻擊很難被傳統(tǒng)的安全防御手段所發(fā)現(xiàn)。

啟動(dòng)攻擊

在偵察階段，攻擊者會(huì)收集盡可能多的關(guān)于目標(biāo)的信息，這些信息在攻擊開始階段將發(fā)揮重要作用。這些信息可以讓攻擊者能夠設(shè)計(jì)和開發(fā)一個(gè)惡意有效載荷，并選擇最好的方法來傳送。

對(duì)于攻擊工具包，有很多低成本的選擇，并且還可以隨后添加自定義模塊或功能。這些工具可以托管在任何位置，但攻擊者通常會(huì)將它們放在有著良好聲譽(yù)的合法域名，利用路過式下載攻擊。

水坑攻擊通常采用兩種攻擊方式。一種方式是通過網(wǎng)絡(luò)釣魚電子郵件將目標(biāo)帶到攻擊者的利用工具包。

另一種方式是瞄準(zhǔn)共享資源。這些資源通常對(duì)于目標(biāo)有著一定價(jià)值，并有良好的聲譽(yù)。對(duì)于這種這種方式來說，攻擊者沒有直接瞄準(zhǔn)目標(biāo)，而是感染目標(biāo)將要訪問的網(wǎng)站，等著目標(biāo)被感染。

我們需要了解水坑攻擊和路過式下載攻擊的區(qū)別，其中一種可用于發(fā)起一般攻擊，而這種攻擊很容易被發(fā)現(xiàn)，另一種則更加隱蔽。

攻擊者還會(huì)利用零日漏洞，但并非總是如此。當(dāng)使用零日漏洞時(shí)，主要原因是攻擊者攻擊目標(biāo)實(shí)現(xiàn)概率增加。這些目標(biāo)可能是安裝Paid-Per-Install惡意軟件、信息竊取、構(gòu)建僵尸網(wǎng)絡(luò)或間諜活動(dòng)。然而，利用現(xiàn)有漏洞要比零日漏洞更加容易，因?yàn)槠髽I(yè)和個(gè)人用戶經(jīng)常沒有修復(fù)系統(tǒng)和第三方軟件的漏洞。

回顧在偵察階段，還有一些其他信息可能幫助攻擊者展開攻擊。假設(shè)攻擊者發(fā)現(xiàn)可信業(yè)務(wù)合作伙伴網(wǎng)站中的漏洞，或者目標(biāo)企業(yè)的漏洞，攻擊將變得更加容易，因?yàn)楣粽呒瓤梢岳盟庸?，也可以利用單一的可信資源。在這種情況下，SQL注入、跨站腳本(XSS)等常見漏洞都可以攻擊者的切入點(diǎn)，默認(rèn)或有漏洞的服務(wù)器配置同樣如此。

此外，攻擊者會(huì)將精力集中在容易實(shí)現(xiàn)的目標(biāo)上，因此，內(nèi)部開發(fā)的有漏洞的應(yīng)用程序或添加到公司博客或內(nèi)網(wǎng)的第三方腳本，都可能用來發(fā)動(dòng)攻擊。最后，如果目標(biāo)企業(yè)使用的CMS或主機(jī)平臺(tái)已經(jīng)過時(shí)或未修復(fù)，這也會(huì)成為攻擊的關(guān)注點(diǎn)。

選擇目標(biāo)

一旦攻擊者確定了攻擊向量(其中包括有漏洞的平臺(tái)和攻擊類型)，他們將需要選擇一個(gè)受害者。在很多情況下，受害者其實(shí)已經(jīng)確定。但有時(shí)候，受害者是誰并不重要，攻擊者會(huì)攻擊盡可能多的目標(biāo)以提高其成功率。假設(shè)受害者還沒有選定，整體目標(biāo)是一個(gè)企業(yè)，那么，來自偵察階段的數(shù)據(jù)再次會(huì)變得有用。

請(qǐng)記住，攻擊者首先會(huì)瞄準(zhǔn)容易攻擊的目標(biāo)，企業(yè)內(nèi)最容易的目標(biāo)是服務(wù)臺(tái)工作人員，或者提供支付服務(wù)的員工，例如客戶服務(wù)代表或行政助理。因?yàn)檫@些人能夠訪問或聯(lián)系企業(yè)內(nèi)的其他人。在偵察階段，攻擊者能夠獲得這些人的信息，包括他們正在使用的軟件和硬件類型、社交網(wǎng)絡(luò)信息、公開的報(bào)告或其他工作、愛好或他們的個(gè)人信息。

企業(yè)內(nèi)的其他人也可能成為目標(biāo)，這主要是因?yàn)樗麄冊(cè)谄髽I(yè)內(nèi)的訪問權(quán)限和影響力。這些包括：首席執(zhí)行官、首席財(cái)務(wù)官、IT部門、QA和開發(fā)團(tuán)隊(duì)、銷售、營銷和公共關(guān)系團(tuán)隊(duì)。

傳送有效載荷

在建立有效載荷、選定攻擊目標(biāo)后，攻擊者需要開始傳送惡意載荷到目標(biāo)，他們選擇的傳送方法包括：

1. 路過式下載攻擊： 這種傳送方法讓攻擊者可以瞄準(zhǔn)更廣泛的受害者。這是一般犯罪的常用方法，例如信息竊取惡意軟件或僵尸網(wǎng)絡(luò)構(gòu)建惡意軟件。犯罪工具包是典型的傳送工具，因?yàn)樗鼈兛梢岳枚鄠€(gè)漏洞。

任何具有可利用漏洞的網(wǎng)站都可能受這種攻擊的影響。請(qǐng)記住，SQL注入攻擊可用于訪問存儲(chǔ)數(shù)據(jù)，也可以訪問感染數(shù)據(jù)庫中的身份驗(yàn)證詳細(xì)信息，進(jìn)一步推動(dòng)攻擊。此外，跨站腳本和文件包含漏洞將讓攻擊蔓延。當(dāng)惡意代碼注入到網(wǎng)站，攻擊者只需要等待受害者。在文件包含漏洞的情況下，如果攻擊者獲取對(duì)web服務(wù)器本身的控制，他們就可以攻擊其他區(qū)域以及服務(wù)器上的數(shù)據(jù)。

注意： 這就是分離和保護(hù)網(wǎng)段的原因。這能夠幫助降低數(shù)據(jù)泄漏期間連帶效應(yīng)的風(fēng)險(xiǎn)。如果對(duì)一個(gè)區(qū)域的訪問允許訪問所有其他區(qū)域，攻擊者的工作就變得更加容易了。

2. 水坑攻擊： 細(xì)粒度水坑攻擊不同于一般攻擊。雖然整個(gè)攻擊活動(dòng)可能讓其他不相關(guān)的人成為受害者，攻擊者對(duì)選定的一組人或特定人更感興趣。

這種攻擊的目標(biāo)可能是開發(fā)人員、QA、IT或銷售人員，因?yàn)檫@些人更可能使用論壇或其他社交環(huán)境來與同行交流或?qū)で髤f(xié)助。 SQL注入、文件包含和跨站腳本漏洞都將是主要切入點(diǎn)。如果攻擊者可以控制直接綁定到目標(biāo)網(wǎng)絡(luò)的服務(wù)器，那么，攻擊員工就成為了次要目標(biāo)。

3. 網(wǎng)絡(luò)釣魚(一般)： 一般網(wǎng)絡(luò)釣魚攻擊會(huì)瞄準(zhǔn)廣泛受害者。攻擊者可以通過這種方式散布大量惡意軟件，既快速又便宜，而且不需要太費(fèi)功夫。如果潛在受害者打開郵件附件，或者點(diǎn)擊惡意鏈接，在有效載荷安裝后，就說明攻擊成功了。網(wǎng)絡(luò)釣魚被用來傳播財(cái)務(wù)惡意軟件，而一般惡意軟件被用來竊取數(shù)據(jù)和構(gòu)建僵尸網(wǎng)絡(luò)，而這又被用來發(fā)送更多的垃圾郵件。

網(wǎng)絡(luò)釣魚活動(dòng)中使用的電子郵件地址可能來自各種來源，包括在偵察階段收集的數(shù)據(jù)，同時(shí)也可能來自數(shù)據(jù)庫泄漏事故公開披露的數(shù)據(jù)。一般網(wǎng)絡(luò)釣魚的目的是玩數(shù)字游戲，如果攻擊者發(fā)送惡意郵件到100萬地址，而安裝了1000個(gè)惡意軟件，那么，這將被視為一個(gè)巨大的成功。

4. 網(wǎng)絡(luò)釣魚(重點(diǎn)): 重點(diǎn)網(wǎng)絡(luò)釣魚攻擊，或者說魚叉式網(wǎng)絡(luò)釣魚，工作原理與一般網(wǎng)絡(luò)釣魚攻擊差不多，只是潛在受害者范圍小得多。魚叉式釣魚攻擊很適合于攻擊一個(gè)人或者一個(gè)小組，因?yàn)樵趥刹祀A段收集的數(shù)據(jù)能說服受害者做一些操作，例如打開惡意附件或點(diǎn)擊鏈接。

魚叉式網(wǎng)絡(luò)釣魚活動(dòng)很難被發(fā)現(xiàn)，特別是對(duì)于被動(dòng)的反垃圾郵件技術(shù)。魚叉式網(wǎng)絡(luò)釣魚獲得成功是因?yàn)?，受害者相信郵件中包含的信息，而且大多數(shù)人都認(rèn)為反垃圾郵件保護(hù)會(huì)抵御這種威脅。

總結(jié)

將APT攻擊阻止在萌芽時(shí)期很關(guān)鍵，因?yàn)槿绻隳茉谶@個(gè)階段阻止攻擊，那么，戰(zhàn)斗已經(jīng)贏了。然而，犯罪分子沒有這么容易對(duì)付。除非你部署了分層防御措施，完全阻止這種攻擊，說起來比做起來容易。下面我們看看抵御攻擊的方法：

入侵檢測(cè)系統(tǒng)(IDS)和入侵防御系統(tǒng)(IPS)是很好的保護(hù)層。然而，大多數(shù)只是部署了其中一個(gè)，而沒有都部署，最好的辦法就是同時(shí)部署這兩者。

IDS產(chǎn)品提供了可視性，但只有當(dāng)數(shù)據(jù)泄漏事故發(fā)生后才有效。如果企業(yè)能夠即時(shí)對(duì)IDS警報(bào)采取行動(dòng)，損失和損害可以得到緩解。在另一方面，IPS產(chǎn)品能夠有效發(fā)現(xiàn)和識(shí)別已知攻擊，但缺乏可視性。這兩個(gè)解決方案的缺點(diǎn)是它們所依賴的簽名。如果沒有更新簽名，你可能無法檢測(cè)攻擊者部署的最新攻擊技術(shù)。

反病毒保護(hù)通常能夠檢測(cè)很多漏洞利用工具包安裝的惡意軟件。但單靠AV簽名并沒什么用，所有AV產(chǎn)品都需要依賴于簽名保護(hù)。雖然AV供應(yīng)商提供各種保護(hù)，包括白名單和基于主機(jī)的IDS，但這些功能需要啟用和使用。

垃圾郵件過濾也是檢測(cè)和阻止大部分攻擊必不可少的方法，但企業(yè)不能只依賴反垃圾郵件保護(hù)。它們很容易出現(xiàn)誤報(bào)，無法阻擋一切攻擊，特別是當(dāng)攻擊者偽裝成白名單中的域名時(shí)。

補(bǔ)丁管理是另一個(gè)關(guān)鍵保護(hù)層，因?yàn)樗軌驊?yīng)對(duì)攻擊者最強(qiáng)的工具之一—漏洞利用工具包。然而，修復(fù)操作系統(tǒng)并不夠，還需要定期修復(fù)第三方軟件。

最后，還需要安全意識(shí)培訓(xùn)。企業(yè)應(yīng)該對(duì)用戶進(jìn)行培訓(xùn)來抵御最明顯的威脅，包括網(wǎng)絡(luò)釣魚攻擊。安全意識(shí)培訓(xùn)是持續(xù)的舉措，能夠直接解決企業(yè)面臨的風(fēng)險(xiǎn)。