一场不对等的战争

一场不对等的战争——APT 实例分析

演讲者方兴

方兴（ flashsky ）

国内漏洞挖掘领域最顶尖研究人员。2003 年全球第一个分析预警了微软历史上最严重的安全漏洞 LSD RPC DCOM 缓冲区溢出安全漏洞（ MS03-026 ，该漏洞触发了包括冲击波在内的数十种蠕虫）。

2004 年发布了 <WINDOWS 内核缓冲区利用远程利用技术 > 的技术演讲，这也是全球第一个WINDOWS 内核远程利用技术的文章。

2006 年被美国微软应急响应中心特聘为安全专家。

APT 当前形势

APT 攻防分析及发展态势

APT 攻击技术分析

下一代威胁： APT 攻击事件

是他们的安全体系不够好吗？

对安全还不够重视吗？

下一代威胁：其他关联定向攻击

攻击者通过邮件、定向挂马发起利用 0DAY 或改造可对抗的 NDAY配合可免杀的木马，辅助一定的社会工程，向大量目标发起

受害者

这种攻击针对中小企业或个人，往往不是攻击者的最终目标，是攻击者用来做情报收集、供应链渗透、社工欺骗，跳板、或者撒网打鱼用途但企业被关联攻击也会导致严重后果

下一代威胁：对手与手段单机时代少量信息资产依赖IT 与网络

PC 与网络时代大量信息资产与少量实体资产依赖 IT 与网络

云与物联网时代大量信息资产与传统的实体资产依赖 IT 与网络

爱好者、恶作剧、证明能力（灰帽）技术高超，但很少破坏，单兵为主

破坏者、商业犯罪（黑帽）大范围无针对性攻击， NDAY 为主，单兵或小团队为主

组织、国家级对抗（专业黑客和部队）针对性攻击，武器级手段，配合情报与社工，团队为主

下一代威胁目标• 国家

– 情报 / 破坏 / 控制 / 扰乱 / 科研• 国计民生行业

– 情报 / 破坏 / 控制 / 扰乱 / 科研• 大型企业和组织

– 敏感信息 / 商密 / 知识产权 / 供应链跳板 / 资产• 中小企业和组织

– 敏感信息 / 知识产权 / 供应链跳板• 个人

– 敏感信息 / 社工跳板– 重要个人目标

APT 攻击危害评估

我们不是旁观者

APT 当前形势



攻击者入侵生命周期

每年全球漏洞公布情况

2010 年 4651 个漏洞2011 年 4155 个漏洞2012 年 5297 个漏洞2013 年（截止 6 月）2096 个漏洞漏洞严重程度以 Adobe 居首

新型攻击呈爆发式增长趋势

尴尬的传统检测技术

http://www.sans.org/reading_room/whitepapers/intrusion/beating-ips_34137

传统检测技术为什么检测不到 APT

FW

IDS/IPS

AV/HIPS审计加固风评

权限与安全策略

基于已知知识：已知安全漏洞与缺陷已知木马行为与特征已知攻击行为明文内容限定的权限

难以应对未知安全漏洞与缺陷未知木马行为与特征未知攻击行为加密内容社会工程

加密等基础安全设施与信任

美政府被爆利用顶级互联网公司监视公民

同时曝光的巧言计划：NSA 收集了通过骨干网收发电子邮件或浏览互联网的计算机和设备的元数据，包含全球大量计算机操作系统、浏览器和 Java 的版本。美国情报机构可以利用这些数据去攻击计算机和手机，刺探用户信息。

棱镜计划 (PRISM) 是一项由美国国家安全局 (NSA)自 2007 年起开始实施的绝密电子监听计划。该计划的正式名号为“ US-984XN”。美国可以监控境内大站点的数据

PRISM(棱镜 ) 的机密项目，直接利用 9 大美国顶级互联网公司的中央服务器，提取音频、视频、照片、电子邮件、文件和连接日志，以便帮助分析师追踪个人用户的动向和联系人。根据该项目的花名册

PRISM棱镜门事件的提示美国已经针对国内展开了多年的入侵（ TAO ）《外交政策》报导，美国国家安全局下设的绝密电子窃听机构 TAO （ Office of Tailored Access Operations ），成功侵入中国的电脑和电信系统已有 15 年之久， TAO 的使命很简单：秘密侵入目标锁定的外国电脑和电信系统，破解密码，窃取储存在电脑硬盘上的数据，复制电子邮件和文本通信系统之间的所有信息和数据。如果总统下令， TAO 也负责发起网络攻击，使美国得以摧毁或损害外国电脑和电信系统。

美国可以通过路由控制数据信息斯诺登认为， NSA在全球展开了超过 6.1万次黑客行动，包括位于中国香港和中国大陆的目标。“我们会入侵网络主干，例如大型互联网路由器，这些设施会为数以万计的电脑提供通讯服务。但我们不会逐一入侵每台电脑。”

1 FIRST组织和 APCERT

组织了解到韩国主要广播电视台KBS、MBC、 YTN，以及韩国新韩银行（ ShinNan

Bank）、农协银行（ NongHyup Bank）等部分金融机构疑似遭受黑客攻击，相关网络与信息系统突然出现瘫痪

？月中事件调查出炉，报导说朝鲜至少用了 8 个月来策划这次攻击，成功潜入韩国金融机构 1500 次，以部署攻击程序，受害计算机总数达 48000 台，这次攻击路径涉及韩国 25 个地点、海外 24 个地点，部分地点与朝鲜之前发动网络攻击所使用的地址相同。黑客所植入的恶意软件共有 76 种，其中 9 种具有破坏性，其余恶意软件仅负责监视与入侵之用。

APT 攻击 -韩国 320 事件

攻击行为分析邮件植入木马病毒传播病毒在 3月 20日下午 2 ：00以后激活taskkill /F /IM pasvc.exe [AhnLab client]taskkill /F /IM Clisvc.exeVista以上系统覆盖文件、其他的破坏引导扇区shutdown -r -t 0

韩国 320 事件攻击行为分析

APT 当前形势



2011 《网络空间行动战略》 2013 奥巴马签署 932.b 预算法案美国动向

• 主要内容– 信息网络威胁指针对政府或私人实体的系统或网络的漏洞或努

力破坏系统或网络或盗窃或盗用私人或政府的信息，知识产权，或个人身份信息的意图或发起的攻击事件信息

– 要求私营部门实体和政府共享网络威胁情报• 进程

– 2011 年众议院情报委员会成员、共和党议员迈克 ·罗杰斯提案– 2012 年 4月众议院通过，被奥巴马否据– 2013 年 1月复提，参议院听证提出 3000亿美金损失– 2013 年 2月mandiant apt1 报告– 2013 年 3月奥巴马签署《关于提升关键基础设施网络安全的决

定》的行政令

《网络情报共享和保护法案》（ CISPA ）

• 美国网络战司令部司令部正在新增 40支网络队伍，其中 13支重点任务是在美国网络遭受攻击时，向其他国家发起进攻性网络攻击。

• 美国网络司令部 2013 年将扩编为接近 5,000 人，年度预算达到 34亿美元。该司令部 2010 年建立时仅有 1,000 人

• 爱因斯坦计划： 1 收集日志， 2以 IDS 为主， 3以内容检测为主，针对邮件做深度内容检测（ 70% APT 攻击通过邮件发起）

军事 - 美国

• 投资– 2012 年一年，美国有 6.5亿美金创业基金投资到新

型网络安全威胁解决的创业公司• 新型公司和方向– Fireeye ：累计获取了 1亿美金投资，包括 cia 下属

的 infoq ，动态威胁检测技术– Mandiant ：获得 7000万美金投资，蜜罐和取证技术– CrowdStrike ：半年获得 2600万美金投资，主动攻击

和 APT 检测– Cylance ：工控保护。– Bromium ：移动手机保护– Shapesecurity ：企业 XSS 和钓鱼攻击

产业

我们的问题• 政策–自主与可控（安全）–现实：基础设施大量依赖国外• 在不可信组件之上构建可信系统

– 分权 / 加密– 危害感知能力 / 监控体系– 惩罚 / 制衡

• 产业– 新的安全威胁解决技术扶持与应用

THANKS

一场不对等的战争

Documents

Transcript of 一场不对等的战争