经过了整个2012年,我们研究了各式各样的目标攻击,包括好几个APT进阶持续性威胁攻击活动,也更新了一些已经运行一段时间的攻击活动(像Lurid/Enfal和Taidoor )。资安社群在今年有许多关于目标攻击的精采研究发表,我将这些有意思的研究集结起来,分成六个我认为可以代表2012年目标攻击趋势的主题:
目标和工具
虽然在2011年,目标攻击几乎就等同于APT进阶持续性威胁,在2012年出现了各式各样的攻击,特别是在中东地区,包括沙乌地阿拉伯的Shamoon,Mahdi攻击活动,GAUSS和Wiper/Flame,这些都被卡巴斯基所记录起来。还有一些攻击和中东地区冲突有关,最显著的是叙利亚、以色列和巴勒斯坦。APT活动在2012年仍然是个重大的问题,Dell SecureWorks发表了一份集结各种APT活动的报告,还有关于Mirage和SinDigoo的报告来阐述问题的影响范围。彭博社发表了一系列关于「Comment Crew」的文章,详细介绍了APT攻击活动的广度和影响。还有针对俄罗斯、台湾、韩国、越南、印度和日本的活动也相当活跃。除了 目标地理位置的扩张之外,我们也看到了所针对技术的扩展,包括Android行动设备和Mac平台。来自Citizen Lab的Seth Hardy在SecTor上作了一场很棒的演讲,介绍了今年所新兴的各种Mac相关远端存取木马(RAT)。虽然我们在过去看过智慧卡的相关攻击,不过感谢来自Sykipot和AlienVault的精采分析,提供蓄意用智慧卡做目标攻击的技术细节。
隐匿性和持久性
这些是主要的趋势之一,根据Mandiant在2012年的文件,APT活动之所以不只是恶意软件,正因为确保持久存取会使用正常应用程序(例如VPN)。此外,虽然许多进行中的APT攻击活动所用的恶意软件可以经由网络流量分析而侦测,微软发现一个旧恶意软件组件会在NDIS(网络驱动程序介面规范)层建立一个隐蔽的后门,让侦测变得更加困难。除了 隐身在网络层,我们也看到在某些案例中,出现有数位签章的恶意软件让档案系统层级的侦测变得更加困难。有数位签章的恶意软件当然不是新伎俩,还有个大量被用在目标攻击上的远端存取木马(被称为PlugX),使用一种DLL搜寻路径劫持(这技术本身也不是新的) 。
另一个出现在Mandiant报告中的HiKit工具也会利用DLL搜寻路径隐藏在档案系统层级,同时会在网络层窃听进入流量(像是早期的远端存取木马),而非只是对外连接到命令和控制伺服器。Flame恶意软件则会利用MD5碰撞攻击,劫持 Windows Update功能来散播。将隐匿性及持久性带到另一个境界。
社交工程陷阱
毫无意外地,鱼叉式网络钓鱼邮件仍然是目标攻击主要用来传递恶意软件的机制。但其他技术,像是「Watering Hole」攻击也让人极为注目。Shadowserver发表了被他们称之为「策略性网站入侵的研究分析,利用了Java和Flash的漏洞攻击码,而RSA报告中所提到的VOHO攻击活动,也使用了相同的技术。但在2012年,另一个有趣的社交工程伎俩就是利用安全厂商对恶意软件的分析做为诱饵,来传播恶意软件。不过,鱼叉式网络钓鱼邮件和沦陷网站并不是唯一的攻击途径。即时通(被认为用在针对Google的Aurora攻击)也提供了另一条攻击路线。Skype也被报导提到用在叙利亚冲突的DarkComet RAT攻击内。
毫无意外地,鱼叉式网络钓鱼邮件仍然是目标攻击主要用来传递恶意软件的机制。但其他技术,像是「Watering Hole」攻击也让人极为注目。Shadowserver发表了被他们称之为「策略性网站入侵的研究分析,利用了Java和Flash的漏洞攻击码,而RSA报告中所提到的VOHO攻击活动,也使用了相同的技术。但在2012年,另一个有趣的社交工程伎俩就是利用安全厂商对恶意软件的分析做为诱饵,来传播恶意软件。不过,鱼叉式网络钓鱼邮件和沦陷网站并不是唯一的攻击途径。即时通(被认为用在针对Google的Aurora攻击)也提供了另一条攻击路线。Skype也被报导提到用在叙利亚冲突的DarkComet RAT攻击内。
攻击是最好的防御
在2012年,有个新兴资安公司– Crowdstrike提出了「攻击是最好的防御」概念,虽然这概念常被狭隘地理解为「骇回去」,但我却想从David Dittrich所谓的「 主动回应连续」背景下来理解这件事。有各种战术可以应用,渗透,强迫下线(不管是通过技术手段、回报滥用行为、策反、点名和羞辱、法律机制或和执法单位合作)或是欺敌行动,好来进行反击,而不是只能「骇回去」。这些都是经常用来对付犯罪份子的行动,但也可以应用在这里。在一定程度上,针对基础设施的攻击,通常都是国家默许或国家资助的。所以这些措施以外的反击作法也很吸引人,因为有国家资助的案例通常是不适用于法律途径的,所以我们也开始看到这样的行动出现。在2012年的一个案例中,CERT-GOV-GE不仅取得存取「Georbot」僵尸网络命令和控制伺服器的能力,还诱使僵尸网络运营者去偷取一个恶意档案。执行之后,就让CERT-GOV-GE可以远端录下运营者的影像。
「超限」武器交易
这个备受争议的话题– 贩卖零时差漏洞攻击码及搭配的恶意软件,在2012年已经是个公开的秘密。美国公民自由联盟的Christopher Soghoian在VB2012大会上用这题目做了主题演讲。除了 会买卖漏洞和攻击码之外,也有恶意软件的交易是在政府授意下。Morgan Marguis-Boire发表了被称为FinFisher的产品(也可用来侦查智慧型手机)是如何被英国政府散播的相关资料。还有被义大利公司所散播的后门程序,据报导是被政府用来监控异议份子。另外Dell SecureWorks的Joe Stewart 发现「一个由位在某亚洲国家(非中国)的私营电脑安全公司所经营的庞大网络间谍活动针对国外军事单位」,进一步说明了问题的严重程度。
资料销毁
虽然目标攻击通常是为了间谍活动目的,但有时它们也会有破坏性行为(看看Stuxnet)。在2012年,卡巴斯基的报告中提到一个被称为Wiper的例子会去破坏资料,还有Shamoon(参考Seculert的分析)会针对中东的石油公司并摧毁资料,这恶意软件被认为用来破坏沙乌地阿拉伯和卡达成千上万的电脑。而这样的间谍破坏行为可能还会继续下去。
2012年是个目标攻击肆虐的一年,我认为2013年甚至可能更加严重。很快地,我就会发表我对2013年目标攻击的预测,敬请期待!
@原文出处:The Trends in Targeted Attacks of 2012
