Websense發(fā)現(xiàn)新的高級(jí)持續(xù)性威脅(APT)
Websense公司安全研究主管Alex Watson去年在研究了來(lái)自Windows錯(cuò)誤報(bào)告(WER)的1600萬(wàn)崩潰報(bào)告后,發(fā)現(xiàn)了利用零日漏洞發(fā)起的高級(jí)持續(xù)性威脅(APT)。
你最近發(fā)現(xiàn)了針對(duì)移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商和政府機(jī)構(gòu)的針對(duì)性攻擊,你是如何發(fā)現(xiàn)的?
我們當(dāng)時(shí)正在試圖研究如何檢測(cè)威脅的問題,例如侵入企業(yè)網(wǎng)絡(luò)的有針對(duì)性攻擊。現(xiàn)在部署的網(wǎng)絡(luò)安全系統(tǒng)主要是基于來(lái)自供應(yīng)商的額外信息以及基于簽名的防御。這意味著,現(xiàn)在的安全系統(tǒng)能夠很好地發(fā)現(xiàn)已知威脅,但在過去一年我們所看到的的例子中,網(wǎng)絡(luò)犯罪組織很愿意花費(fèi)必要的資源和事件來(lái)避免PF、防火墻或防病毒系統(tǒng)的檢測(cè)。
你如何利用Windows錯(cuò)誤報(bào)告(WER)來(lái)發(fā)現(xiàn)以前未知的威脅?
微軟利用這些報(bào)告來(lái)優(yōu)先排序漏洞修復(fù),以及確定應(yīng)用程序是否故障,而我們利用這些崩潰報(bào)告來(lái)發(fā)現(xiàn)持續(xù)攻擊、漏洞利用活動(dòng)、代碼或注入攻擊。當(dāng)你插入U(xiǎn)SB設(shè)備設(shè)備到你的電腦,報(bào)告會(huì)發(fā)送到微軟,其中詳細(xì)介紹你的電腦,但大多數(shù)企業(yè)都沒有意識(shí)到這些報(bào)告被發(fā)出去。
你測(cè)試了哪些漏洞利用?
我們進(jìn)行了一些案例研究,以探討我們?nèi)绾卫卯惓;顒?dòng)來(lái)發(fā)現(xiàn)已知攻擊。我們查看了過去一年中最流行的攻擊之一,即CVE-2013-3893(非常強(qiáng)大的IE漏洞利用,被用于臺(tái)灣和日本的針對(duì)性攻擊中),我們看到這個(gè)漏洞被用于針對(duì)高價(jià)值組織,但他們使用的基礎(chǔ)設(shè)施、shell代碼和模糊技術(shù)并沒有達(dá)到實(shí)際漏洞利用的水平,這讓我們懷疑這是唯一利用這個(gè)漏洞的群體。
你如何描述這種攻擊?
這是一種有針對(duì)性的攻擊,攻擊者首先發(fā)送電子郵件到企業(yè)內(nèi)選定的人群。我們假設(shè)是15個(gè)人,這些應(yīng)用程序中至少有一個(gè)會(huì)出現(xiàn)故障,從而出現(xiàn)我們能夠檢測(cè)的程序崩潰,而其他可能會(huì)成功。我們逆向了這些漏洞利用,發(fā)現(xiàn)了崩潰點(diǎn),并為崩潰報(bào)告創(chuàng)建了指紋(在漏洞利用失敗的情況下)。
然而,我們搜索了4個(gè)月內(nèi)的1600萬(wàn)份報(bào)告,最后發(fā)現(xiàn)來(lái)自四個(gè)不同企業(yè)的五份報(bào)告符合我們的指紋。我們查看了這些企業(yè),特別是其中兩個(gè)(移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商和政府機(jī)構(gòu))是高價(jià)值目標(biāo)。他們都有Houdini H-Worm(遠(yuǎn)程訪問木馬)。
你發(fā)現(xiàn)了其他攻擊嗎?
我們還收集了來(lái)自銷售點(diǎn)(POS)應(yīng)用程序的應(yīng)用崩潰報(bào)告,例如POSRAM惡意軟件針對(duì)的應(yīng)用程序。對(duì)這些崩潰日志信息的分析顯示,攻擊者可能向其pos.exe應(yīng)用程序注入了代碼,這類似于其他POS惡意軟件使用的載體。如果你從應(yīng)用程序開發(fā)人員來(lái)看這個(gè)問題,這是非常糟糕的崩潰,因?yàn)檫@是別人的代碼,而不是你自己的代碼。
從安全角度來(lái)看,這讓我們相信可能出現(xiàn)代碼注入攻擊。因此,如果有惡意產(chǎn)品瞄準(zhǔn)你的POS應(yīng)用程序,而這個(gè)惡意程序崩潰了,那么,它可能很快會(huì)讓你的網(wǎng)絡(luò)崩潰。
安全企業(yè)應(yīng)如何應(yīng)對(duì)這些攻擊?
隨著攻擊者提高其入侵技術(shù),安全行業(yè)需要擺脫基于簽名的防御,添加更多圍繞異常活動(dòng)和網(wǎng)絡(luò)行為的情報(bào)監(jiān)控系統(tǒng)。
