企業高級威脅攻擊的典型特征與影響
隨著移動通信、云計算、大數據以及物聯網技術的發展,新一代網絡攻擊技術也在持續演進,0day、無文件攻擊等使今天的網絡攻擊變得更加隱蔽;不斷更新的變種使木馬、病毒、蠕蟲等惡意文件難以識別和檢測;而網絡攻擊即服務使高級攻擊的門檻變得更低。
傳統的安全防護能力正在不斷減弱,勒索服務、供應鏈攻擊成了當今網絡安全威脅的新常態。高級威脅攻擊就像一把高懸在頭頂的“達摩克利斯之劍 ”,讓很多企業在數字化轉型中感到不安。
圖 1 企業面臨的高級威脅攻擊
為了幫助我國企業用戶更好地應對高級威脅挑戰,安全牛日前開展了《2021企業高級威脅防護能力構建指南》專項報告研究。通過對近百家國內企業用戶的現場訪談和問卷調研,安全牛研究團隊認為:以APT為代表的高級威脅攻擊已經開始對我國企業用戶產生較大影響,需要企業安全管理者對此給予足夠的重視并做好應對準備。
主要原因包括:
第一,今天的攻擊者已經具備較全面的情報收集能力和智能大數據分析能力,可以更有針對性的選用攻擊工具和方法;
第二,目前的高級威脅攻擊會使用系統化的攻擊工具,其特點表現為樣本多變、持久化、對抗性強、橫向移動&權限提升、網絡連接。
圖 2 攻擊技術特點
我們對企業級高級威脅攻擊的主要特點進行了梳理和總結:
- 在樣本變化方面,由PE文件逐漸向腳本文件轉化,落盤文件向無文件轉化;
- 在持久化攻擊方面,入侵者通過某種手段拿到服務器的控制權之后,通過在服務器上放置一些后門(腳本、進程、連接之類),來方便他以后持久性的入侵;
- 在對抗性方面,攻擊者會定制化的進行惡意代碼目錄和文件名的偽裝,或使用一定密鑰長度的加密算法繞過安全設備檢查,甚至檢測主機環境信息修改文件創建時間,使攻擊行為不易被發現,甚至發現了也沒有有效的處置措施;
- 在橫向移動&權限提升方面,通過橫向移動,攻擊者可以拿到域控權限,進而控制域環境下的全部機器,獲得敏感資源的訪問權限;
- 在網絡連接方面,內網主機一旦被攻破,攻擊者就會下發木馬類工具并試圖建立C&C的反向連接,用于后期的信息收集。
調研發現,針對企業的高級攻擊技術手段具有較為明顯的時間性特征。2016年之前的高級威脅攻擊檢測主要集中于高級躲避技術、高級持續性威脅、僵尸網絡、特洛伊木馬(RAT)、主動威脅和惡意文檔。同時期典型的高級威脅攻擊技術還包括郵件釣魚、水坑攻擊等。而2017年以后,針對應用的攻擊越發明顯,定向勒索、郵件釣魚手段的使用只增不減。同時,利用社會熱點事件、供應鏈和遠程辦公、內存馬攻擊、無文件攻擊等手段逐漸成為新安全熱點。
圖 3高級威脅典型的攻擊技術
本次報告中,我們還對企業遭受高級威脅攻擊時的影響進行了調查,結果顯示:目前企業在應對高級威脅的防護能力方面普遍不足,并且防護意識薄弱;在防護失效情況下,高級威脅攻擊所產生的影響通常非常嚴重并且不可逆。由于高級威脅攻擊的目的性和針對性特別強,因此其攻擊目的一旦達成,受害企業不僅會遭受經濟上的直接損失,還會間接影響到企業未來發展,甚至危害到我國相關行業的整體發展與利益實現。
圖4 高級威脅的影響
我國企業正處于數字化轉型的關鍵時期,當日常業務全面數字化以后,需要對高級威脅攻擊有更好的認知和應對準備。安全牛將在后續研究中,繼續解讀企業在應對高級威脅攻擊時面臨的挑戰,研究高級威脅攻擊防護能力如何構建,探索提供相關領域的最佳實踐經驗。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
