有针对性的攻击是(或应该)是任何地方大型组织的重要关注点。精心设计的攻击分六个阶段进行,显示攻击者如何在目标内进展。
自从有针对性的攻击首次出现在威胁环境中已有好几年了,各种威胁和我们对他们的理解都已经发生了演变和成熟。从那时起我们学到了什么以及发生了什么变化?
在我们开始讨论有针对性攻击的不同组成部分之前,考虑使竞选活动成功的因素也很重要。公司遭到入侵的原因之一是因为他们的前线员工和他们的意识很弱。意思是,人的障碍作为抵御目标攻击的第一道防线是至关重要的。
目标攻击的六个组成部分代表逻辑的、结构化攻击中的不同步骤。然而,现实更加混乱。一旦阶段“完成”,并不意味着没有其他与该阶段相关的活动发生。 一个攻击的多个阶段可能同时进行:例如,在任何目标攻击中发生都会发生C&C通信。攻击者需要控制目标网络中正在进行的任何活动,因此C&C通信量自然会继续在攻击者和任何受损系统之间来回传递。
最好将每个组件视为同一攻击的不同方面。网络的不同部分可能同时面临攻击的不同方面。
这可能会对组织如何响应攻击产生重大影响。不能简单地假设因为在“早期”阶段检测到攻击没有进行“后期”阶段。适当的威胁响应计划应该考虑这个并做出相应的计划。
情报收集
任何有针对性攻击的第一阶段都涉及收集有关预定目标的信息。然而,大量可用于执行攻击的信息仅限于公司网络。因此,即使攻击已经在进行中,这个阶段也不会停止。从网络内获取的数据有助于提高任何持续攻击的效率。
除了信息之外,发现各个团队之间存在的连接以及扩展到目标组织之外的连接,还可以帮助攻击者确定更多攻击的良好目标。
入口点传统上有针对性的攻击使用鱼叉式网络钓鱼电子邮件来渗透目标组织的网络。虽然这仍然是一种有效的策略,但攻击者已经添加了其他方法来实现这一目标。
这些替代方案包括水坑攻击(即针对目标行业或组织经常访问的网站的攻击)。但是,除了初始入口点之外,攻击者还可以在目标网络中添加其他入口点。可以针对不同的员工或网络段来确保更完整的攻击。
此外,攻击者可以在横向移动过程中不断向各种系统添加后门,这可以作为已经受到攻击的组织的额外切入点。对于攻击者来说,如果检测到并删除了较旧的入口点,这些可能会非常有价值。
C&C通信为了有效地发起目标攻击,攻击者需要能够有效地控制目标网络中任何受到破坏的计算机。隐藏后门C&C通信的一些方法,但我们最近看到的另一个趋势是内部机器如何充当中间C&C服务器。攻击者将连接到此内部C&C服务器,然后将其传递给组织内的其他受感染计算机。
横向移动攻击者不断重复有针对性攻击的横向移动。在此过程中,还会发生一些与其他阶段(例如情报收集)分类的活动。此外,其他系统可能会后门作为额外的受损机器。
横向移动使用合法的系统管理工具来帮助隐藏其活动,并且有三个目标:升级目标网络中的可用权限,在目标网络内执行侦察,以及横向移动到网络内的其他机器。
这个方面可能是有针对性攻击最重复的一个方面; 此外,它也是最全面的,因为此步骤也可以包含目标攻击的其他阶段。进行内部侦察和信息收集,收集的任何“情报”可用于识别横向移动的潜在目标,以及可以找到的任何资产。
维护成功的针对性攻击是指在其背后的各方需要的情况下可以继续进行的攻击。与其他任何事情一样,攻击者需要对正在进行的攻击进行维护以保持其正常运行。这可以包括使用不同的后门和C&C服务器,或使用补丁来确保其他攻击者无法利用攻击中使用的相同漏洞。
数据泄露数据泄露是任何有针对性攻击的最终目标。但是,受感染的计算机并不总是包含有价值的信息,而某些系统可能不包含任何值得窃取的信息。
从网络安全解决方案的角度来看,渗透过程可能会“嘈杂”,因为它可能涉及在正常操作过程中无法找到的大量网络流量。攻击者试图“隐藏”泄漏流量的一种尝试是在以受控方式提取数据之前将大量被盗数据传输到组织内的机器。众所周知,在涉及PoS恶意软件的事件中会发生这种情况。
有针对性的攻击是当今任何组织的一个重大问题,并且在可预见的未来将继续如此。对于那些玩防守的人来说,了解威胁形势不断变化以创造必要的适当防御是非常重要的。
