APT攻击特征及案例分析课件.ppt

1、网络信息安全形势、热点、APT攻击 特征及案例分析XX -教授重庆邮电大学企业信息化研究中心重庆网安计算机技术服务中心2013年5月9日一、目前我国互联网网络安全形势（一）基础网络防护能力明显提升，但安全隐患不容忽视。一）基础网络防护能力明显提升，但安全隐患不容忽视。 （二）政府网站篡改类安全事件显著减少，网站用户信息泄（二）政府网站篡改类安全事件显著减少，网站用户信息泄漏引发社会高度关注。漏引发社会高度关注。 （三）我国遭受境外的网络攻击持续增多。（三）我国遭受境外的网络攻击持续增多。 （四）网上银行面临的钓鱼威胁愈演愈烈。（四）网上银行面临的钓鱼威胁愈演愈烈。 （五）工业控制系统安全事件呈

2、现增长态势（五）工业控制系统安全事件呈现增长态势 。 （六）手机恶意程序现多发态势。（六）手机恶意程序现多发态势。 （七）木马和僵尸网络活动越发猖獗。（七）木马和僵尸网络活动越发猖獗。 （八）应用软件漏洞呈现迅猛增长趋势。（八）应用软件漏洞呈现迅猛增长趋势。 （九）（九）DDoS攻击仍然呈现频率高、规模大和转嫁攻击的特点。攻击仍然呈现频率高、规模大和转嫁攻击的特点。 （一）基础网络防护能力明显提升，但安全隐患不容忽视 n 根据工信部组织开展的 通信网络安全防护检查情况， 基础电信运营企业的网络安全防护意识和水平较 往 年均有所提高， 对网络安全防护工作的重视程度进一步加大，网络安全防护管理水平

3、明显提升，对非传统安全的防护能力显著增强， 网络安全防护达标率稳步提高，各企业网络安全防护措施总体达标率为 98.78% ，较 2011 年前呈逐年稳步上升趋势。 但是，基础电信运营企业的部分网络单元仍存在比较高的风险。如域名解析系统（ DNS） 、 移动通信网和 IP 承载网的网络单元存在风险 。n 涉及基础电信运营企业的信息安全漏洞数量较多。 据国家信息安全漏洞共享平台（ CNVD ）收录的漏洞统计，发现涉及电信运营企业网络设备（如路由器、交换机等）的漏洞203 个，其中高危漏洞73个； 发现直接面向公众服务的零日DNS漏洞23个, 应用广泛的域名解析服务器软件 Bind9 漏洞 7 个。

4、涉及基础电信运营企业的攻击形势严峻。据国家计算机网络应急技术处理协调中心（ CNCERT ）监测，近年每天发生的分布式拒绝服务攻击（ DDoS ）事件中平均约有 7% 的事件涉及到基础电信运营企业的域名系统或服务。 2011 年 7 月 15 日域名注册服务机构三五互联 DNS 服务器遭受 DDoS 攻击，导致其负责解析的大运会官网域名在部分地区无法解析。 8 月18日晚和 19 日晚，新疆某运营商 DNS 服务器也连续两次遭到拒绝服务攻击，造成局部用户无法正常使用互联网。（二）政府网站篡改类安全事件显著减少，网站用户 信息泄漏引发社会高度关注 n 据 CNCERT监测，中国大陆被篡改的政府网

5、站大约为 2000-3000个，比往 年大幅下降 39.4% 。 但从整体来看，近年网站安全情况并未改善，还有一定恶化趋势，接收的网络安全事件 ( 不含漏洞 )中，网站安全类事件占到 61.7% ；被植入网站后门的境内网站已为12513 个。 涉及网站相关的漏洞占 22.7%，较往年大幅上升。 网站安全问题进一步引发网站用户信息和数据的安全问题。 n CSDN 、天涯等网站发生用户信息泄露事件引起社会广泛关注，被公开的疑似泄露数据库 26 个，涉及帐号、密码信息 2.78 亿条，严重威胁了互联网用户的合法权益和互联网安全。根据调查和研判发现，我国部分网站的用户信息仍采用明文的方式存储， 相关漏

6、洞修补不及时，安全防护水平较低。(三）我国遭受境外的网络攻击持续增多 n 抽样监测发现，境外有近 4.7万个 IP 地址作为木马或僵尸网络控制服务器参与控制我国境内主机，其控制的境内主机数量已由近500万增加至近890万，呈现大规模化趋势。其中位于日本（ 22.8%）、美国（ 20.4% ）和韩国（ 7.1%）的控制服务器 IP数量居前三位。 n 在网站安全方面，境外黑客对境内1116个网站实施了网页篡改；境外 11851个 IP通过植入后门对境内10593个网站实施远程控制；仿冒境内银行网站的服务器IP有95.8%位于境外，其中美国仍然排名首位共有481个 IP（占72.1%） 仿冒了境内2

7、943个银行网站的站点，中国香港（占17.8%）和韩国（占2.7%）分列二、三位。 总体来看，近年位于美国、日本和韩国的恶意 IP地址对我国的威胁最为严重。另据工业和信息化部互联网网络安全信息通报成员单位报送的数据，在我国实施网页挂马、网络钓鱼等不法行为所利用的恶意域名约有 65%在境外注册。 这些情况表明我国面临的境外网络攻击和安全威胁越来越严重。 （四）网上银行面临的钓鱼威胁愈演愈烈 n 随着我国网上银行的蓬勃发展，广大网银用户成为黑客实施网络攻击的主要目标。全国范围大面积爆发了假冒中国银行网银口令卡升级的骗局，据报道此次事件中有客户损失超过百万元。 据CNCERT监测，近年针对网银用户名

8、和密码、网银口令卡的网银大盗、Zeus等恶意程序较往年更加活跃 , 已发现针对我国网银的钓鱼网站域名3841个。 全年要接收网络钓鱼事件举报 5459件，较 往 年增长近 2.5 倍。 （五）工业控制系统安全事件呈现增长态势 n 继2010 年伊朗布舍尔核电站遭到 Stuxnet 病毒攻击后， 2011年美国伊利诺伊州一家水厂的工业控制系统遭受黑客入侵导致其水泵被烧毁并停止运作，11月Stuxnet 病毒转变为专门窃取工业控制系统信息的 Duqu 木马。 n CNVD已 收录了100 余个对我国影响广泛的工业控制系统软件安全漏洞，较往 年大幅增长近 10 倍，涉及西门子、北京亚控和北京三维力控

9、等国内外知名工业控制系统制造商的产品。相关企业虽然能够积极配合 CNCERT 处治安全漏洞，但在处治过程中部分企业也表现出产品安全开发能力不足的问题。 （六）手机恶意程序现多发态势n 随着移动互联网生机勃勃的发展，黑客也将其视为攫取经济利益的重要目标。CNCERT已捕获移动互联网恶意程序 6249个。其中，恶意扣费类恶意程序数量最多，为1317个，占21.08% ，其次是恶意传播类、信息窃取类、流氓行为类和远程控制类。 n 从手机平台来看，约有60.7%的恶意程序针对Symbian 平台，针对Android平台的恶意程序较往年大幅增加，有望迅速超过 Symbian平台。 n 近年境内约超过71

10、2万个上网的智能手机曾感染手机恶意程序，严重威胁和损害手机用户的权益。 （七）木马和僵尸网络活动越发猖獗 n CNCERT 已发现近 890 万余个境内主机 IP地址感染了木马或僵尸程序，较 往 年大幅增加 78.5% 。其中，感染窃密类木马的境内主机 IP 地址为 5.6 万余个，国家、企业以及网民的信息安全面临严重威胁。 n 根据工业和信息化部互联网网络安全信息通报成员单位报告，位于较高水平的黑客在疯狂制造新的恶意程序的同时，也在想方设法逃避监测和打击，例如，越来越多的黑客采用在境外注册域名、频繁更换域名指向 IP 等手段规避安全机构的监测和处治。 （八）应用软件漏洞呈现迅猛增长趋势 n

11、CNVD 共收集整理并公开发布信息安全漏洞 5547 个，其中，高危漏洞有 2164 个。在所有漏洞中，涉及各种应用程序的最多，占 62.6% ，涉及各类网站系统的漏洞位居第二， 占 22.7% ，而涉及各种操作系统的漏洞则排到第三位，占 8.8% 。 n 除发布预警外， CNVD还重点协调处治了大量威胁严重的漏洞，涵盖网站内容管理系统、电子邮件系统、工业控制系统、 网络设备、网页浏览器、手机应用软件等类型以及政务、电信、银行、民航等重要部门。上述事件暴露了厂商在产品研发阶段对安全问题重视不够，质量控制不严格，发生安全事件后应急处治能力薄弱等问题。由于相关产品用户群体较大，因此一旦某个产品被黑

12、客发现存在漏洞， 将导致大量用户和单位的信息系统面临威胁。 这种规模效应也吸引黑客加强了对软件和网站漏洞的挖掘和攻击活动。（九）DDoS 攻击仍然呈现频率高、规模大和转嫁攻击的特点 n DDoS 仍然是影响互联网安全的主要因素之一，表现出三个特点： 一是DDoS 攻击事件发生频率高，且多采用虚假源 IP 地址。据CNCERT 抽样监测发现，我国境内日均发生攻击总流量超过 1G 的较大规模的 DDoS 攻击事件 365 起。其中，TCP SYN FLOOD 和 UDP FLOOD 等常见虚假源 IP 地址攻击事件约占 70% ，对其溯源和处治难度较大。 二是在经济利益驱使下的有组织的 DDoS

13、攻击规模十分巨大，难以防范。例如针对浙江某游戏网站的攻击持续了数月， 综合采用了DNS 请求攻击、UDP FLOOD 、TCP SYN FLOOD 、 HTTP 请求攻击等多种方式，攻击峰值流量达数10Gbps。 三是受攻击方恶意将流量转嫁给无辜者的情况屡见不鲜。 2011年多家省部级政府网站都遭受过流量转嫁攻击，且这些流量转嫁事件多数是由游戏私服网站争斗引起。二、网络安全值得关注的热点问题 （一） 网站安全面临的形势可能更加严峻，网站中集中存储的用户信息将成为黑客窃取的重点。由于很多社交网站、论坛等网站的安全性差，其中存储的用户信息极易被窃取，黑客在得手之后会进一步研究利用所窃取的个人信息，

14、 结合社会工程学攻击网上交易等重要系统，可能导致更严重的财产损失。 （二）随着移动互联网应用的丰富和3G 、 wifi 网络的快速发展，针对移动互联网智能终端的恶意程序也将继续增加， 智能终端将成为黑客攻击的重点目标。由于 Android 手机用户群的快速增长和 Android 应用平台允许第三方应用发布的特点，运行 Android操作系统的智能移动终端将成为黑客关注的重点。 （三）随着我国电子商务的普及，网民的理财习惯正逐步向网上交易转移，针对网上银行、证券机构和第三方支付的攻击将急剧增加。针对金融机构的恶意程序将更加专业化、复杂化，可能集网络钓鱼、 网银恶意程序和信息窃取等多种攻击方式为一

15、体，实施更具威胁的攻击。 （四）APT攻击将更加盛行，网络窃密风险加大。 APT 攻击具有极强的隐蔽能力和针对性，传统的安全防护系统很难防御。美国等西方发达国家已将APT攻击列入国家网络安全防御战略的重要环节， 近 年APT攻击将更加系统化和成熟化，针对重要和敏感信息的窃取，有可能成为我国政府、企业等重要部门的严重威胁。 （五）随着 ICANN 正式启动新通用顶级域名（ gTLD ）业务，新增的大量 gTLD 及其多语言域名资源，将给域名滥用者或欺诈者带来更大的操作空间。 ICANN （ The Internet Corporation for Assigned Names and Numbe

16、rs ）互联网名称与数字地址分配机构是一个非营利性的国际组织，成立于 1998 年 10 月，是一个集合了全球网络界商业、技术及学术各领域专家的非营利性国际组织，负责互联网协议（ IP ）地址的空间分配、协议标识符的指派、通用顶级域名（ gTLD ）以及国家和地区顶级域名（ ccTLD ）系统的管理、以及根服务器系统的管理。 （六）随着宽带中国战略开始实施，国家下一代互联网启动商用试点，以及无线城市的大规模推进和云计算大范围投入应用， IPv6 网络安全、无线网安全和云计算系统及数据安全等方面的问题将会越来越多地呈现出来。 （七）工业控制系统信息安全工作将全面展开。 随着计算机和网络技术的发展

17、，尤其是信息化和工业化深度融合以及物联网的快速推进，工业控制系统产品广泛采用通用协议、通用硬件和通用软件，越来越多地以各种方式与公共网络连接，病毒、木马等威胁正在向工业控制系统扩散。为了应对工业控制系统信息安全日益严峻的形势，工业和信息化部日前印发关于加强工业控制系统信息安全管理的通知(工信部451号文)，要求各地区、各有关部门、有关国有大型企业充分认识工业控制系统信息安全的重要性和紧迫性，切实加强工业控制系统信息安全管理，以保障工业生产运行安全、国家经济安全和人民生命财产安全。三、APT攻击的特征及案例分析 （一）APT攻击的定义 APT即高级可持续威胁（ Advanced Persiste

18、nt Threat ），也称为定向威胁，是指某组织对某一特定对象展开的持续有效的攻击活动和威胁。这种攻击活动具有极强的隐蔽性和针对性，通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。黑客个人的行为一般不能构成APT攻击，因为通常情况下没有足够的资源来开展这种先进且复杂的攻击活动。 （1）持续性： 攻击者为了重要的目标长时间持续攻击直到攻破为止。攻击成功用上一年到三年，攻击成功后持续潜伏五年到十年的案例都有。这种持续性攻击下，让攻击完全处于动态发展之中，而当前我们的防护体系都是强调静态对抗能力很少有防护者有动态对抗能力，因此防护者或许能挡住一时的攻击

19、，但随时间的发展，系统不断有新的漏洞被发现，防御体系也会存在一定的空窗期：比如设备升级、应用需要的兼容性测试环境等等，最终导致系统的失守。（二）APT攻击的主要特征 （2）终端性： 攻击者虽然针对的是重要的资产目标，但是入手点却是终端为主。再重要的目标，也是由终端的人来访问的。而人在一个大型组织里，是难以保证所有人的安全能力与安全意识都处于一个很高水准之上的。而做好每个人的终端防护比服务器端防护要困难很多。通过SQL注入攻击了WEB服务器，一般也是希望利用他攻击使用这些WEB服务器的终端用户作为跳板渗透进内网。（二）APT攻击的主要特征 （3）广谱信息收集性：攻击者会花上很长的时间和资源，依靠

20、互联网搜集，主动扫描，甚至真实物理访问方式，收集被攻击目标的信息，主要包括：组织架构，人际关系，常用软件，常用防御策略与产品，内部网络部署等信息。（4）针对性：攻击者会针对收集到的常用软件，常用防御策略与产品，内部网络部署等信息，搭建专门的环境，用于寻找有针对性安全漏洞，测试特定的木马是否能饶过检测。（二）APT攻击的主要特征（二）APT攻击的主要特征（5）未知性： 攻击者依据找到的针对性安全漏洞，特别是0DAY，根据应用本身构造专门的触发攻击的代码。并编写符合自己攻击目标，但能饶过现有防护者检测体系的特种木马。这些0DAY漏洞和特种木马，都是防护者或防护体系所不知道的。（二）APT攻击的主要

21、特征（6）渗透性社工： 攻击者为了让被攻击者目标更容易信任，往往会先从被攻击者目标容易信任的对象着手，比如攻击一个被攻击者目标的电脑小白好友或家人，或者被攻击者目标使用的内部论坛，通过他们的身份再对组织内的被攻击者目标发起0DAY攻击，成功率会高很多。再利用组织内的已被攻击成功的身份再去渗透攻击他的上级，逐步拿到对核心资产有访问权限的目标。（二）APT攻击的主要特征(7)隐蔽合法性： 攻击者访问到重要资产后，往往通过控制的客户端，分布使用合法加密的数据通道，将信息窃取出来，以饶过我们的审计和异常检测的防护。(8)长期潜伏与控制： 攻击者长期控制重要目标获取的利益更大。一般都会长期潜伏下来，控制

22、和窃取重要目标。当然也不排除在关键时候破坏型爆发。三、案例分析 目前APT攻击发布细节出来的案例，基本都是以美国公布的。但是不代表APT攻击只针对欧美，主要原因在于，美国由于IT技术的发达成为APT攻击的首要目标，而且很多高科技公司也是民营的，而美国公司把针对安全事件发生后的调查和公布看作一种公司的诚信行为，而其他很多国家因为被攻击后更习惯捂盖子的做法公开的很少。另一个原因是，美国在APT检测和防御技术上具备一定的先进性,使他们具备针对部分APT攻击能及时发现，因此可以在攻击一开始时就配合取证了解完整的攻击过程与手法，而其他国家在这方面比较落后，发现时都是后期阶段，只能清除而很难分析取证溯源了

23、解整个攻击过程与手法了。APT攻击案例中比较著名的有：1）针对GOOGLE等三十多个高科技公司的极光攻击： 攻击者通过FACEBOOK上的好友分析，锁定了GOOGLE公司的一个员工和他的一个喜欢摄影的电脑小白好友。攻击者入侵并控制了电脑小白好友的机器，然后伪造了一个照片服务器，上面放置了IE的0DAY攻击代码，以电脑小白的身份给GOOGLE员工发送IM消息邀请他来看最新的照片，其实URL指向了这个IE 0DAY的页面。GOOGLE的员工相信之后打开了这个页面然后中招，攻击者利用GOOGLE这个员工的身份在内网内持续渗透，直到获得了GMAIL系统中很多敏感用户的访问权限。窃取了MAIL系统中的敏

24、感信息后，攻击者通过合法加密信道将数据传出。事后调查，不止是GOOGLE中招了，三十多家美国高科技公司都被这一APT攻击搞定，甚至包括赛门铁克这样牛比的安全厂商。APT攻击案例中比较著名的有：2）针对美国能源部的夜龙攻击： 攻击者首先收集了很多能源部门的WEB服务器的SQL注射的漏洞，攻击并控制了这些WEB服务器。但这并不是攻击者想要的，攻击者在这些WEB站点上一些供内部人员访问的页面上放置了针对IE和OFFICE应用的0DAY挂马攻击代码，因为针对内部站点的，靠挂马检测难以检测，传播范围不大，而且上来的都基本是目标。于是很快搞定了一些个人终端，渗透进能源部门的内网。窃取和控制了大量的有价值的

25、主机。APT攻击案例中比较著名的有：3）针对RSA窃取SECURID令牌种子的攻击： 攻击者首先搞定了RSA一个外地的小分支机构人员的邮箱或主机，然后以这个人员的身份，向RSA的财务主管发了一封财务预算的邮件请求RSA的财务主管进行审核，内部附属了一个EXCEL的附件，但是里面嵌入了一个FLASH的0DAY利用代码。RSA的财务主管认为可信并是自己的工作职责，因此打开了这个EXCEL附件，于是攻击者成功控制了RSA的财务主管，再利用RSA的财务主管的身份逐步渗透，最后窃取走了SECURID令牌种子，通过IE的代理传回给控制者，RSA发现被入侵后一直不承认SECURID令牌种子也被窃取走，直到攻

26、击者利用窃取的SECURID令牌种子攻击了多个美国军工企业RSA才承认SECURID令牌种子被偷走。APT攻击案例中比较著名的有：4）针对伊朗核电站的震网攻击： 伊朗核电站是一个物理隔离的网络，因此攻击者首先获得了一些核电站工作人员和其家庭成员的信息，针对这些家庭成员的主机发起了攻击，成功控制了这些家庭用的主机，然后利用4个WINDOWS的0DAY漏洞，可以感染所有接入的USB移动介质以及通过USB移动介质可以攻击接入的主机。终于靠这种摆渡攻击渗透进了防护森严物理隔离的伊朗核电站内部网络，最后再利用了3个西门子的0DAY漏洞，成功控制了控制离心机的控制系统，修改了离心机参数，让其发电正常但生产

27、不出制造核武器的物质，但在人工检测显示端显示一切正常。成功的将伊朗制造核武器的进程拖后了几年。APT攻击案例中比较著名的有： 还有一些属于APT攻击范畴但细节比较少或者攻击时就被发现的案例：1）洛克-马丁：攻击者使用PDF 0DAY嵌入到邮件中发送给内部人员发起攻击，但被检测出来，但洛克-马丁未公布是如何检测到这个PDF 0DAY的2）VERISIGN：VERISIGN今年承认内部发现被黑客攻击成功，但当时在现在离任的高级管理人员都不知道这件事，VERISIGN坚持自己用于可信站点签名的根证书还是安全的，但是又没证据证明。如果VERISIGN的根证书和RSA的SECURID令牌种子一样已被窃取

28、，这意味着攻击者以后可以扮演任何一个可信站点，可以针对加密链路发起中间人攻击而不被察觉。APT攻击案例中比较著名的有：3）NASA：NASA承认去年至少有13次被黑客成功入侵且窃取走了许多核心机密，但具体的攻击细节没有披露。4）韩国农协银行：据一些未公开的分析过程是攻击者利用社工，将一张免费的网络电影观看券（韩国网上看电影是需要付费的）给了负责韩国农协银行内部系统开发的IBM外包团队的项目经理，项目经理使用了工作的笔记本去访问这个电影的URL中招，攻击者利用此台笔记本作跳板，成功控制了韩国农协银行的所有重要系统并窃走信息。然后长期在银行备份时恶意破坏备份但显示备份成功，最后来了一次总爆发，将所有数据删除后撤退。韩国农协银行试图用备份恢复系统发现最近的备份都被破坏，导致大量数据无法同步，损失惨重。 当然还有一些被报道出来的APT攻击案例，这里就不列举。但总体来看，APT攻击始终依赖于： 1）攻击者对被攻击者的信息了解，这是制定社工和攻击策略的前提； 2）有针对性的0DAY漏洞，这是突破当前防护体系和有一些安全意识的人员的利器； 3）有针对性的木马和行为的对抗，特别是杀毒，HIPS，网络审计产品的对抗 谢谢！谢谢！ 2013年年4月月9日日