鱷魚還是木頭?亞信安全提醒:APT攻擊防范要當(dāng)心“水坑”
責(zé)編:mhshi |2016-03-03 15:52:19就像是“鱷魚還是木頭”的寓言一樣,大多數(shù)APT攻擊并不會(huì)直接暴露真實(shí)面目,而是會(huì)很好的在用戶經(jīng)常訪問的可信網(wǎng)站上或是分支機(jī)構(gòu)中偽裝起來,等待粗心的企業(yè)用戶,這類的攻擊也被叫做 “水坑攻擊”(Water hole attack)。為了防范此類攻擊,亞信安全建議用戶改變“單點(diǎn)作戰(zhàn)”的傳統(tǒng)做法,更加重視威脅情報(bào)共享和定制化解決方案。
瞄準(zhǔn)企業(yè)網(wǎng)絡(luò)弱點(diǎn) “水坑攻擊”讓人防不勝防
水坑攻擊是APT攻擊的一種常用手段,黑客通過分析被攻擊者的網(wǎng)絡(luò)活動(dòng)規(guī)律,尋找被攻擊者經(jīng)常訪問的網(wǎng)站弱點(diǎn),入侵這些防御措施相對(duì)薄弱的服務(wù)器并植入惡意程序,當(dāng)用戶訪問了這些網(wǎng)站,就會(huì)遭受感染。就像是鱷魚捕食的慣用伎倆一樣,捕食者埋伏在水里,等待角馬喝水時(shí)發(fā)動(dòng)攻擊。
狡猾的黑客會(huì)繞過層層設(shè)防的主要入口,選擇企業(yè)的合作伙伴,或者是分支機(jī)構(gòu),在必經(jīng)之路上設(shè)置一個(gè)“水坑(陷阱)”,這讓普通用戶甚至是管理員都很難防范。這其中的典型案例就是美國(guó)連鎖超市TARGET的信息泄露事件。
在TARGET的泄露事件中,黑客通過研究其供應(yīng)鏈的各個(gè)環(huán)節(jié),選定了TARGET 的一家第三方供應(yīng)商為跳板,使用社交工程釣魚郵件竊取了該供應(yīng)商的用戶憑證,從而獲得進(jìn)入TARGET 網(wǎng)絡(luò)系統(tǒng)的權(quán)限。隨后,黑客通過在POS 系統(tǒng)中植入軟件,感染了所有刷卡機(jī),截取了刷卡機(jī)上的信用卡信息,最后成功入侵?jǐn)?shù)據(jù)中心,竊走了所有的用戶信息。
單點(diǎn)防御產(chǎn)品無力鑒別APT風(fēng)險(xiǎn)
針對(duì)“水坑攻擊”日漸猖獗的情況,亞信安全APT安全專家白日表示:”隨著互聯(lián)網(wǎng)+在各行各業(yè)的加速融合,許多企業(yè)網(wǎng)絡(luò)的邊界已經(jīng)模糊化,黑客利用“水坑攻擊”手段,以中小企業(yè)或合作伙伴為跳板,最終對(duì)大型企業(yè)發(fā)動(dòng)APT攻擊,增加了核心數(shù)據(jù)的保全難度。這種攻擊方式超越了單點(diǎn)防護(hù)產(chǎn)品的功能范疇,用戶需要在偵測(cè)能力上部署更先進(jìn)、更全面的防護(hù)手段。”
“水坑攻擊”和“路過式下載攻擊”有著很大區(qū)別,后者屬于一般性攻擊,很容易被發(fā)現(xiàn),而利用“水坑”發(fā)動(dòng)的APT攻擊則更加隱蔽。攻擊者還會(huì)利用網(wǎng)絡(luò)釣魚電子郵件、包含惡意代碼的下載包、零日漏洞來發(fā)動(dòng)攻擊,而傳統(tǒng)的防火墻、入侵檢測(cè)、安全網(wǎng)關(guān)、殺毒軟件和反垃圾郵件系統(tǒng)等主要是采用特征碼匹配檢測(cè)技術(shù)對(duì)網(wǎng)絡(luò)邊界和主機(jī)邊界進(jìn)行已知威脅檢測(cè),它們均缺乏對(duì)未知攻擊的檢測(cè)能力和對(duì)流量的深度分析能力。
有別于傳統(tǒng)設(shè)備的“單兵作戰(zhàn)”,亞信安全提供了深度威脅發(fā)現(xiàn)設(shè)備(TDA)、深度威脅安全網(wǎng)關(guān)(DE)、深度威脅郵件網(wǎng)關(guān)(DDEI)、深度威脅分析設(shè)備(DDAN)、深度威脅終端取證及行為分析系統(tǒng)(DDES )等產(chǎn)品構(gòu)成的深度威脅發(fā)現(xiàn)平臺(tái)(Deep Discovery,DD),該平臺(tái)可以與亞信安全其它的網(wǎng)關(guān)、虛擬化、服務(wù)器以及終端安全防護(hù)產(chǎn)品整合。另外,亞信安全還與趨勢(shì)科技全球15 個(gè)惡意軟件實(shí)驗(yàn)室、云安全智能保護(hù)網(wǎng)絡(luò)(Smart Protection Network)共享威脅信息 ,形成全覆蓋的偵測(cè)平臺(tái)。不論是傳統(tǒng)安全威脅,還是“水坑攻擊”都能從這里偵測(cè)并得到分析,同時(shí)還能清晰的描述攻擊路徑、定位到終端或個(gè)人,最終形成威脅的預(yù)警信息。
針對(duì)“水坑攻擊”重點(diǎn)對(duì)象,白日還表示:中小企業(yè)本身防護(hù)意識(shí)和能力比較薄弱,被攻擊的成功率也就很高,黑客往往會(huì)選擇這些對(duì)象進(jìn)行“挖坑”。另外,國(guó)內(nèi)大部分的企業(yè)對(duì)APT攻擊都停留在簡(jiǎn)單認(rèn)知的層面,只有很少的一部分用戶非常了解APT攻擊的危害。因此,威脅情報(bào)共享和定制化解決方案對(duì)于防止和識(shí)別針對(duì)性攻擊而言越來越重要,亞信安全將全力協(xié)助企業(yè)用戶遠(yuǎn)離此類風(fēng)險(xiǎn)。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營(yíng)
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢(shì)展望
- 國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國(guó)終止運(yùn)營(yíng):辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!