当前位置:首页 > 黑客服务 > 正文内容

如何利用欺骗防御技术应对APT检测

访客4年前 (2021-04-09)黑客服务558

了解APT攻击:

首先了解一下真实的APT攻击以及使用的技术,以海莲花APT组织针对我国和东南亚地区的定向攻击事件为例:

相关攻击武器:Denis家族木马、Cobalt Strike、CACTUSTORCH框架木马

相关漏洞:微软Office漏洞、MikroTik路由器漏洞、永恒之蓝漏洞

攻击入口:鱼叉邮件和水坑攻击

通过该事件可将APT攻击分为几个阶段:

信息收集阶段:有针对性的搜集特定组织的网络系统和员工信息。

单点定向突破:主要通过鱼叉邮件和水坑攻击(例如网页伪装成升级FLASH插件),得到一个通往内部的‘跳板’。

构建控制通道:攻击者创建从被控个人电脑到攻击者控制服务器之间的命令控制通道。

内部探测&横向移动:一般攻击者对首先入侵的‘跳板’并不感兴趣,所以需要进一步获取内部服务器或其它重要PC的权限或信息。

数据回传:在这一步骤一般就是将有意识地搜集各服务器上的重要数据资产,进行压缩、加密和打包进行回传以获取最大利益。

目前,很多企业采用多种网络安全防御技术检测攻击,如采用网络防火墙、IDS、应用防火墙、日志审计等措施,然而由于APT攻击的可持续性以及攻击者具有丰富的对抗常规安全设备的经验,导致这些检测已知漏洞攻击的方式难以有效的发现APT攻击 。本文将介绍如何利用欺骗防御技术,在攻击者进行第4个阶段时发现APT攻击并及时上报,防止产生进一步损失。

如何发现APT攻击

要评估对抗APT攻击的能力,最好的方式莫过于找一个真实存在的APT组织并收集其使用过的战术和攻击手段来进行‘沙盘演练’,本文选择了APT39[1]这个组织,它是一个专注于窃取个人信息的伊朗网络间谍组织,其使用过的部分战术和技术如下图所示:

图1:APT39组织使用技术汇总
[1] https://attack.mitre.org/groups/G0087/

接下来分类进行‘沙盘演练’,如上图从左到右一共有12个战术,一般可以从左到右随机挑选若干个战术形成一个完整的攻击序列,其中每个战术类别下又有若干个技术,一种战术可能使用多种技术。例如,攻击者可能同时尝试鱼叉式网络钓鱼攻击中的钓鱼附件和钓鱼链接。

这里可以利用APT39组织使用过的战术模拟出一条攻击序列:


图2:APT39攻击序列

1) 在初始访问(Initial Access)阶段,该组织使用的主要攻击手段为钓鱼附件(T1193[2]),具体方式为向员工发送带有诱惑性的office宏文档、可执行文件,PDF或存档文件等,这个阶段主要考验的是员工的安全意识。假设在这一阶段,APT39组织向收集到的公司员工邮箱内发送大量带有诱惑性的邮件,而某位员工点击了来源不明的邮件附件并打开,此时该员工电脑已经存在持续化的后门,由于欺骗防御技术是非侵入式的,所以并不能在这一阶段发现或阻断攻击。


图3:某邮件附件恶意样本执行步骤
[2] https://attack.mitre.org/techniques/T1193/

2) 在探测(Discovery)阶段,此时员工电脑上的后门已经可以通过从控制端接收的指令进行相应操作,包括但不限于:开启指定进程、向控制端上传文件、与控制端保持连接、创建指定服务、杀死指定进程、从控制端下载后续文件。在这一阶段,由于员工电脑保存的信息不具有价值,从而进行内网探测,而这一阶段该组织会使用BLUETORCH工具进行网络服务扫描(T1046[3]),而在网络服务扫描阶段,只要扫描到部署的感知节点,那么就会产生触碰告警(一般扫描特定或者少量端口),欺骗防御系统会将沦陷主机IP信息记录下来,通过策略的配置发送邮件给管理员,等待管理员的排查。由于此时的告警级别较低,管理员安全意识较低时可能会进行忽略。


图4:关于端口触碰的告警
[3] https://attack.mitre.org/techniques/T1046/

3) 在横向移动(Lateral Movement)阶段,此时APT39组织已经初步掌握部分内网信息,并根据端口开放等信息判断内网存在的服务种类,为扩大‘战果’,该组织会使用远程桌面协议(T1076[4])和远程服务(T1021[5])来尝试进行横向移动,欺骗防御系统可以启用RDP蜜罐、SSH和TELNET蜜罐分别对应这两个技术所涉及到的服务,而该组织仅根据端口开放情况并不能判断主机是不是真实资产,所以当该组织尝试连接高SSH、TELNET等高交互蜜罐,攻击者可以通过暴力破解的方式进入蜜罐,那么欺骗防御系统就会产生级别较高的告警,并根据策略配置发送邮件给管理员。


图5:对于攻击者连接SSH的告警详情
[4] https://attack.mitre.org/techniques/T1076/
[5] https://attack.mitre.org/techniques/T1021/

因为APT攻击的特性,决定了其在获取最大利益前不会轻易暴露,且进行APT攻击的人员一般具有对抗安全监测工具的经验,所以常规的边界防护软件不易发现APT攻击。欺骗防御系统由于其非侵入式的特点,使得它不能防御APT组织通过0day或钓鱼附件的形式进入内网,但是在探测(Discovery)和横向移动(Lateral Movement)两个阶段,攻击者极有可能触碰到欺骗防御系统的诱捕节点,这个概率会随着感知节点的覆盖范围和仿真度的提升而提升。

同时可在员工电脑中撒放面包屑诱饵,在APT组织通过某些方式获得员工控制权之后,很大可能会发现面包屑的存在,而只要面包屑足够真实(面包屑中的IP地址,密码等信息不要太过于简单),攻击者很有可能会对面包屑中记录的信息进行利用(登录等),此时就会将其引向感知节点进而被发现。总结下就是欺骗防御系统可以在攻击者进行第4个阶段时发现APT攻击并及时告警。

欺骗防御对抗APT攻击的特点和优势

提前发现:在网段中部署具有感知能力的诱捕节点,在APT的内部侦查和横向移动阶段就捕获到相应的行为,能在第一时间发现异常信息,从而提前采取措施降低损失的发生。

误报率低:建立在“正常的用户不会触碰诱捕节点,触碰诱捕节点的多半是非法用户或蠕虫”这一朴素但实用的理论基础上,误报率极低,极大的降低了安全运维成本。

容易发现新型威胁:基于行为而非规则来检测威胁,有助于发现一些 0day和变种的漏洞探测扫描行为,很好的应对了等保2.0中“在关键网络节点处,应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析”

不影响用户业务:旁路部署在实际的业务环境中,不影响用户的实际业务,并且蜜网做了相应的加固、隔离和逃逸检测,所以将威胁行为局限在蜜网里。

主动防御理念:除了部署大量的诱捕节点,诱饵和蜜网外,在政策允许的情况下可以对于攻击者可以采取反制行为(如反向监控等),获取攻击者相应的信息,进行溯源取证,实现了主动防御的理念。

扫描二维码推送至手机访问。

版权声明:本文由黑客接单发布,如需转载请注明出处。

本文链接:https://therlest.com/106801.html

分享给朋友:

“如何利用欺骗防御技术应对APT检测” 的相关文章

贾秀东个人资料简介(简历及图片)

贾秀东人物概况 本页面提供了贾秀东个人资料简介(简历及图片),贾秀东是谁?贾秀东个人简介资料完整设计了网页求职找工作编辑个人简历作品所需要的贾秀东网站常用模板元素,不保证贾秀东人物数据真实,任何问题请联系管理员调整。 贾秀东图片 贾秀东个人资料简介 贾秀东,中国国际问题研究所特聘研究员。1...

身份证信息被黑客盗取(黑客能把手机内身份证信息盗取吗)

一、身份证信息被黑客盗取(黑客能把手机内身份证信息盗取吗)方法总结 1、黑客通过手身份姓名能否窃取别人银行卡里。朋友你好,这个问题不是这样理解的的,黑客是通过你的这些信息,破易你的银行卡号支付密码来盗取你的财物的,一般你只要不乱点链接,不轻易在手机。黑客控制了手机,窃取了身份证号码手机号姓名等所有...

铁盖子可以放入高压锅蒸吗?装酱料的铁盖子,外面的涂层有些剥落,好

铁盖子可以放入高压锅蒸吗?装酱料的铁盖子,外面的涂层有些剥落,好 铁盖子可以放入高压锅蒸吗? 装酱料的铁盖子,外面的涂层有些剥落,好象也没锈,可以拿它盖严瓶子入高压锅蒸吗? 绝对不行!既危险又不卫生。盖住的瓶子在高压锅中加热,很容易形成压力差而爆炸;铁在高压锅中的水蒸汽作用下极易变成四氧化三...

西安电脑黑客接单_怎么能找入侵蚊香社的黑客

sudo apt install g++-4.4SplashData剖析的这500万被走漏的暗码主要是北美和西欧的用户,成人网站走漏的暗码不包含在剖析陈述中。 支撑(V4增强)所谓0day缝隙的在野运用,一般是进犯活动被捕获时,发现其运用了某些0day缝隙(进犯活动与进犯样本剖析自身也是0day缝隙...

小米10青春_小米10青春版长多少厘米

根据多日来官方的预热,搭载了一块6点57英寸三星,这样不断努力的小米。 而且又好用,小米10青春,内核不同小米。 外观设计属于小米10青春版的缺点,一亿像素的主摄直接碾压友商的5G旗舰,也都是小米旗下的产品,然而屏幕的黑边确实很感人,8GB+128GB版2499元,其中包含一颗潜望式长焦镜头,由此看...

图说兰州清真寺之兰州水上清真寺

圖說蘭州清真寺之蘭州水上清真寺讀書啊,我信赖但有朗朗書聲出破廬,遲早有一日有萬鯉躍龍門之奇象。 圖說蘭州清真寺是本人在2011年開始走訪,並在中穆網蘭州社區陸續發佈的走訪蘭州清真寺之系列。不知不覺六七年過去瞭,有的清真寺有瞭很大的變化,以是在此基礎上本人再次整理發佈,希望大傢足不出戶瞭解蘭州的...

评论列表

颜于酒废
2年前 (2022-07-10)

较低,管理员安全意识较低时可能会进行忽略。图4:关于端口触碰的告警[3] https://attack.mitre.org/techniques/T1046/3) 在横向移动(Latera

笙沉心児
2年前 (2022-07-10)

产生进一步损失。如何发现APT攻击要评估对抗APT攻击的能力,最好的方式莫过于找一个真实存在的APT组织并收集其使用过的战术和攻击手段来进行‘沙盘演练’,本文选择了APT39[1]这个组织,它是一个专注于窃取个人信息的伊朗网络间谍组织,其使用过的部分战术和技术如下图所示:图1:APT3

嘻友倦话
2年前 (2022-07-10)

covery)和横向移动(Lateral Movement)两个阶段,攻击者极有可能触碰到欺骗防御系统的诱捕节点,这个概率会随着感知节点的覆盖范围和仿真度的提升而提升。同时可在

依疚路岷
2年前 (2022-07-10)

] https://attack.mitre.org/techniques/T1076/[5] https://attack.mitre.org/techniques/T1021/因为APT攻击的特性,决定了其在获取最大利

痴者橘欢
2年前 (2022-07-10)

,极大的降低了安全运维成本。容易发现新型威胁:基于行为而非规则来检测威胁,有助于发现一些 0day和变种的漏洞探测扫描行为,很好的应对了等保2.0中“在关键网络节点处,应采取

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。