APT攻击,即进阶持续性渗透攻击 (Advanced Persistent Threat, APT)或目标攻击,被设计用来在目标网络里躲避现有的管理政策和解决方案,因此要侦测它们是一大挑战。正如我们在之前关于APT 攻击常见五个误解的文章中所强调过的,没有放诸四海皆准的解决方案可以用来对付它;企业需在所需要的地方都放置传感器好加以防护,同时IT也要有足够的设备来识别网络的异常情况,并采取相应的措施。
然而,要及早发现异常状况,IT管理者需要知道首先要看到什么。由于攻击通常会设计成只有很少或几乎没有痕迹可循,重要的是要知道哪里可以找到入侵的可能指标。在此,我们将列出IT管理者所需要密切监视的网络部分以发觉任何入侵的迹象。
一、检查被注入的DNS记录
攻击者经常会篡改DNS记录以确保到他们的幕后操纵(简称C&C)联机不会被封锁,IT管理者可以检查记录中可能被攻击者注入的迹象,如未知网域加入IP地址、最近注册的未知网域、看起来像是随机字符的网域、以及出现模仿知名网域的域名。
二、稽查和审核登录失败或不规则的账号
一旦攻击者能够进入网络和建立与其C&C的通讯,下一步通常是在网络内横向移动。攻击者会去找出ActiveDirectory、邮件或文件服务器,并攻击服务器漏洞来加以存取。然而,因为管理者会修补并防护重要服务器的漏洞,攻击者可能会尝试暴力破解管理者账号。对于IT管理者来说,登录记录是这一行为最好的参考数据。检查失败的登录尝试,以及在不寻常时间内的成功登录,可以显示攻击者试图在网络内移动。
三、研究安全解决方案的警报
有时候,安全解决方案会标示看来无害的工具为可疑,而使用者会忽略这警报,因为该档案可能对使用者来说很熟悉或无害。然而,我们在许多案例中发现出现警报意味着网络中有攻击者。攻击者可能使用恶意设计的黑客工具,甚至是来自Sysinternals套件的合法工具来执行系统或网络检查作业。如果这些非恶意工具并非预安装在用户计算机里的话,有些安全解决方案会标示出来。IT管理者必须问,为什么使用者会使用这些工具,如果没有充分的理由,IT管理者可能撞见了攻击者的横向移动。
四、检查是否有奇怪的大文件
在系统内发现未知的大文件需要加以检查,因为里面可能包含了从网络中窃取的数据。攻击者通常在将文件取出前会先储存在目标系统内,往往通过“看起来正常"的文件名和文件类型来加以隐藏。IT管理者可以通过文件管理程序来检查。
五、稽查和审核网络日志中的异常联机
持续地稽查和审核网络监控日志非常重要,因为它可以帮助识别网络中的异常联机。想做到这一点,就需要IT管理者对于其网络和任何时间内会发生的活动都了如指掌。只有通过对网络内"正常“状况的了解,才能够识别出异常。例如,发生在应该是空闲时间内的网络活动就可能是攻击的迹象。
六、异常协定
和异常联机有关,IT管理者还需要检查这些联机所用的协议,特别是那些来自网络内部的联机。攻击者通常会选择使用在网络内被允许的协议,所以检查联机很重要,即便它们使用的是一般的协议。
七、电子邮件活动增加
IT管理者可以检查邮件日志,看看是否有个别使用者出现奇怪的高峰期。电子邮件活动突然爆大量时就要检查该使用者是否被卷入针对性钓鱼攻击。有时候,如果攻击者研究发现一名员工将去参加某个重要会议,就会在会议前三个月就开始寄送钓鱼邮件。这也是另一种线索。
仔细阅读这份列表,想必IT管理者会觉得有一大堆艰苦的事情等着去做,不能否认,防范APT针对性网络攻击的确是项艰巨的任务。但为攻击做好准备的成本和解决一次攻击的成本相比划算得多,所以作为公司防御的第一线,IT管理者做好万全准备是很重要的。
解决对策
传统的防毒黑名单做法不再足以保护企业网络对付针对性攻击。为了减少此安全威胁所带来的风险,企业需要实现客制化防御,这是种采用进阶威胁侦测技术和共享入侵指标(IoC)情报的安全解决方案,用来侦测、分析和响应标准安全产品所看不见的攻击。