2012年目标攻击和APT高级持续性攻击

Sammi888

作者：趋势科技
经过整个 2012 年，我们研究了各式各样的目标攻击，包括好几个APT 高级持续性渗透攻击活动（例如 LuckyCat 和 Ixeshe），也更新了一些已经运行一段时间的攻击活动（例如 Lurid/Enfal 和 Taidoor）。信息安全群体在今年有很多关于目标攻击的精采研究发表，我将这些有意思的研究集结起来，分成六个我认为可以代表 2012 年目标攻击趋势的主题：



  

目标和工具
虽然在 2011 年，目标攻击几乎就等同于APT。在 2012 年出现了各式各样的攻击，特别是在中东地区，包括沙特阿拉伯的 Shamoon，Mahdi 攻击活动，GAUSS 和 Wiper/Flame，这些都被卡巴斯基所记录起来。还有一些攻击和中东地区冲突有关，最显著的是叙利亚、以色列和巴勒斯坦（参考 Norman 的研究分析）。APT 活动在 2012 年仍然是个重大的问题， Dell SecureWorks 发表了一份集结各种 APT 活动的报告，还有关于 Mirage 和 SinDigoo 的报告来阐述问题的影响范围。彭博社发表了一系列关于“Comment Crew”的文章，详细介绍了 APT 攻击活动的广度和影响。还有针对俄罗斯、台湾、韩国、越南、印度和日本的活动也相当活跃。除了目标地理位置的扩张之外，我们也看到了所针对技术的扩展，包括 Android 移动设备和 Mac 平台。来自 Citizen Lab 的 Seth Hardy 在 SecTor 上作了一场很棒的演讲，介绍了今年所新兴的各种 Mac 相关远程访问木马（SabPub、MacControl、IMULER/Revir 和 Dokster）。虽然我们在过去看过智能卡的相关攻击，不过感谢来自 Sykipot 和 AlienVault 的精采分析，提供蓄意用智能卡做目标攻击的技术细节。
隐匿性和持久性
这些是主要的趋势之一，根据 Mandiant 在 2012 年的文件，APT 活动之所以不只是恶意软件，正因为确保持久访问会使用正常应用程序（例如 VPN）。此外虽然许多进行中的 APT 攻击活动所用的恶意软件可以经由网络使用分析而检测到，微软发现一个旧的恶意软件组件会在 NDIS 层建立一个隐蔽后门，让检测变得更加困难。除了隐身在网络层，我们也看到在某些案例中，出现有数字签名的恶意软件让文件系统层的检测变得更加困难。有数字签名的恶意软件当然不是新伎俩，还有个大量被用在目标攻击上的远程访问木马（被称为 PlugX），使用一种 DLL 搜索路径劫持（这技术本身也不是新的）。
另一个出现在 Mandiant 报告中的 HiKit 工具会利用 DLL 搜索路径隐藏在文件系统层，同时会在网络层窃听进入流量（像是早期的远程访问木马），而非只是对外连接到命令和控制服务器。Flame 恶意软件则会利用 MD5 碰撞攻击，劫持 Windows Update 功能来传播。将隐匿性及持久性带到另一个境界。
社交工程陷阱
毫无意外地，鱼叉式网络钓鱼邮件仍然是目标攻击主要用来传递恶意软件的机制。但其他技术，例如“Watering Hole”攻击也让人极为注目。Shadowserver 发表了被他们称之为“策略性网站入侵”的研究分析，利用了 Java 和 Flash 的漏洞攻击码，而 RSA 报告中所提到的 VOHO 攻击活动也使用了相同的技术。但在 2012 年，另一个有趣的社交工程伎俩就是利用安全厂商对恶意软件的分析做为诱饵来传播恶意软件。不过鱼叉式网络钓鱼邮件和沦陷网站并不是唯一的攻击途径。实时通（被认为用在针对 Google 的 Aurora 攻击）也提供了另一条攻击路线。Skype 也被报导提到用在叙利亚冲突的 DarkComet RAT 攻击中。
攻击是最好的防御
在 2012 年，有个新兴的信息安全公司 Crowdstrike 提出了“攻击是最好的防御”概念，虽然这概念常被狭隘地理解为“黑回去”，但我却想从 David Dittrich 所谓的“主动响应连续”背景下来理解这件事。有各种战术可以应用，渗透，强迫下线（不管是通过技术手段、回报滥用行为、策反、点名和羞辱、法律机制或和执法单位合作）或是欺敌行动，好来进行反击，而不是只能“黑回去”。这些都是经常用来对付犯罪份子的行动，但也可以应用在这里。在一定程度上，针对基础设施的攻击，通常都是国家默许或国家资助的。所以这些措施以外的反击作法也很吸引人，因为有国家资助的案例通常是不适用于法律途径的，所以我们也开始看到这样的行动出现。在 2012 年的一个案例中，CERT-GOV-GE 不仅取得访问“Georbot”殭尸网络命令和控制服务器的能力，还诱使殭尸网络运营者去偷取一个恶意文件。执行之后，就让 CERT-GOV-GE 可以远程录下运营者的影像。
「超限」武器交易
这个备受争议的话题：贩卖零时差漏洞攻击码及搭配的恶意软件，在 2012 年已经是个公开的秘密。美国公民自由联盟的 Christopher Soghoian 在 VB2012 大会上用这个题目做了主题演讲。除了会买卖漏洞和攻击码外，也有恶意软件的交易是在政府授意下进行的。Morgan Marguis-Boire 发表了被称为 FinFisher 的产品（也可用来侦查智能手机）是如何被英国政府传播的相关资料。还有被意大利公司所传播的后门程序，据报导是被政府用来监控异议份子。另外 Dell SecureWorks 的 Joe Stewart 发现“一个由位在某亚洲国家（非中国）的私营计算机安全公司所经营的庞大网络间谍活动针对国外军事单位”，进一步说明了问题的严重程度。
资料销毁
虽然目标攻击通常是为了间谍活动目的，但有时也会有破坏性行为（看看 Stuxnet）。在 2012 年，卡巴斯基的报告中提到一个被称为 Wiper 的例子会破坏数据，还有 Shamoon（参考 Seculert 的分析）会针对中东的石油公司并摧毁数据，这恶意软件被认为用来破坏沙特阿拉伯和卡塔尔成千上万的计算机。而这样的间谍破坏行为可能还会继续下去。
2012 年是个目标攻击肆虐的一年，我认为 2013 年甚至可能更加严重。很快地，我就会发表我对 2013 年目标攻击的预测，敬请期待！

＠原文出处：The Trends in Targeted Attacks of 2012



本文版权为趋势科技所有，对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作！

爱趋势社区--下载/论坛/分享  http://www.iqushi.com

官方微博—拿礼品/分享最新IT资讯http://t.sina.com.cn/trendcloud

趋势科技CEO：陈怡桦EvaChen的微博http://weibo.com/evatrendmicro

oldgun123

官人的支持下   最近官人好活跃啊

留得残荷听雨声

用趋势  不怕毒

271200017

Norman真的很强大