来源:蜘蛛抓取(WebSpider)
时间:2017-07-14 06:12
标签:
apt 高级威胁监测系统
 上传我的文档
 下载
 收藏
该文档贡献者很忙,什么也没留下。
 下载此文档
正在努力加载中...
达州市2017年公需科目考试答案
下载积分:3000
内容提示:达州市2017年公需科目考试答案
文档格式:DOC|
浏览次数:79|
上传日期: 11:15:24|
文档星级:
全文阅读已结束,如果下载本文需要使用
 3000 积分
下载此文档
阅读此文档的用户还读了
达州市2017年公需科目考试答案
官方公共微信隔离网络高级威胁攻击预警分析报告 -
| 关注黑客与极客
隔离网络高级威胁攻击预警分析报告
共13532人围观
第一章 安全隔离网络高级威胁攻击简介
维基解密于2017年6月22
日解密了美国中央情报局(CIA)穹顶7(
Vault7 )网络武器库中的第十二批档案,分别是“野蛮袋鼠(Brutal Kangaroo)
” 和“激情猿猴(Emotional Simian
) ” 项目,被披露的档案中详细描述了美国情报机构如何远程隐蔽地入侵访问封闭的计算机网络或独立的安全隔离网络(Air-Gapped Devices
,从未连接过互联网的设备)。
一般金融机构、军事机构、核设施和能源基础行业等都会使用无法访问互联网的封闭网络以保护重要数字资产,重要数字资产处在隔离网络中,黑客无法直接攻击这些目标,传统的黑客渗透攻击手段都会失效。但隔离网络并不代表着绝对安全,它只能隔离计算机数字资产的网络访问,无法阻断物理介质传输数据和物理设备的接入,比如U
盘、光盘等物理数据存储介质,键盘、鼠标等硬件设备,非安全的硬件设备和数据传输介质进入隔离网络,极有可能成为黑客渗透入侵隔离网络的桥梁。
第二章 “震网三代”隔离网攻击流程简介
2010年6月,“震网
”病毒首次被发现,它被称为有史以来最复杂的网络武器,使用了4个
W indows 0day漏洞用于攻击伊朗的封闭网络中的核设施工控设备,我们定义它为“震网一代
” 。时隔 两年,2012年
5 月, “火焰”病毒利用了和
“ 震网一代 ”相同的Windows
漏洞作为网络武器攻击了多个国家,在一代的基础上新增了更多的高级威胁攻击技术和 0day漏洞,我们定义它为“震网二代
” 。 此次披露的CIA网络武器资料表明,其攻击封闭网络的方式和前两代
“ 震网 ”病毒的攻击方式相似,并使用了新的未知攻击技术,我们定义它为“
震网三代 ” 。下面会着重分析其对安全隔离网络的攻击手段,以供业界参考发现和防护此类高级威胁攻击。
此次披露的CIA网络武器主要针对微软Windows操作系统进行攻击,通过
USB存储介质对安全隔离网络进行渗透攻击和窃取数据:
1.&&&&&& 首先,它会攻击与目标相关联的可以连接互联网的计算机,在计算机中植入恶意感染程序。
2.&&&&&& 然后,凡是接入被感染计算机的USB存储设备(如: U
盘),都会被再次植入恶意程序,整个U盘将会变成一个数据中转站,同时也是一个新的感染源。
3.&&&&&& 接下来,如果这个被感染的U盘在封闭网络中被用于拷贝数据的话,
U盘就会感染封闭网络中的计算机,同时偷窃计算机中的数据并秘密保存在U盘中。
4.&&&&&& 最后,被感染的U盘一旦被带出隔离网络,连接到可以联网的计算机时,窃取的数据就会被传送回 CIA
更可怕的是,多台封闭网络中被感染的计算机彼此间会形成一个隐蔽的网络,用于数据交换和任务协作,并在封闭网络中持续潜伏攻击。
震网三代攻击演示视频:
第三章 “震网三代”隔离网攻击方式分析
攻击安全隔离网络的关键技术是针对USB存储设备的感染技术,在“震网一代”病毒中该技术使用的是Windows快捷方式文件解析漏洞(C
VE-/MS10-046),这个漏洞利用了Windows在解析快捷方式文件(例如.lnk文件)时的系统机制缺陷,可以使系统自动加载攻击者指定的
DLL文件,执行其中的恶意代码。该漏洞的利用效果稳定且隐蔽,具有非常强大的感染能力,将利用了漏洞的快捷方式文件置于USB存储设备(如
U 盘)中,无需任何用户交互,受害者只要打开设备就会被自动攻击控制电脑。
“震网二代”病毒使用了一种新的攻击隐蔽技术,参考下图中赛门铁克报告中的分析,攻击会使用一个文件夹,文件夹中放有desktop.ini
、target.lnk和mssecmgr.ocx三个文件。
“震网二代”病毒在desktop.ini文件中通过shellclassinfo字段设置classid,会将文件夹重定向到一个Junction文件夹,Junction是Windows(NTFS)特有的一种链接方式,和软链接类似,但Junction只针对文件夹,下面会再详细分析。受害者打开文件夹会触发target.lnk漏洞攻击执行恶意代码,同时还能够隐藏保护文件夹中的恶意文件和lnk漏洞文件。
维基解密曝光的CIA网络武器档案中描述了三种未知的Windows快捷方式文件漏洞攻击方法和一些漏洞攻击隐蔽技术,这三种未知的攻击分别是:Giraffe
Links(长颈鹿快捷文件)、Lachesis LinkFiles (拉克西斯快捷文件)和Riverjack(杰克河快捷方式文件), 疑似为微软于日公告修复的新的快捷方式文件解析漏洞&CVE-。下面我们先来介绍这三种安全隔离网络的攻击方式:
1.&&&&&& Giraffe Links(长颈鹿快捷文件攻击),该攻击特点是只要桌面进程显示了快捷方式文件就会自动加载dll执行恶意代码,可以成功攻击除开Windows XP系统以外的所有windows系统。这个攻击场景包含了所有的快捷方式场景,也就是无论是在U盘中的快捷方式文件还是系统中的快捷方式文件,只要电脑显示了快捷方式,就会被攻击。
图 “野蛮袋鼠(Brutal Kangaroo)” 文档片段
2.&&&&&& Lachesis LinkFiles (拉克西斯快捷文件攻击,“Lachesis”源自希腊神话中命运三女神之一),该攻击特点需要autorun.inf文件配合快捷方式文件,在U盘设备插入计算机系统时加载autorun.inf文件,然后自动加载dll执行恶意代码。这个攻击场景只限于U盘等USB存储设备插入电脑时,而且只能攻击Windows 7系统。
图 “野蛮袋鼠(Brutal Kangaroo)” 文档片段
3.&&&&&& Riverjack(杰克河快捷方式文件,“Riverjack“美国北卡罗来纳州一个地名),该攻击的特点是使用了Windows文件资源管理器的“库”功能进行隐蔽攻击,不需要显示快捷方式文件且可以隐藏快捷方式文件,可以攻击Windows 7,8,8.1系统,从技术角度分析由于Windows文件资源管理器的“库”功能只支持Windows 7及其以上的操作系统,所以这个功能和漏洞无关,是一个扩展的攻击隐蔽技术或漏洞利用保护技术。
图 “野蛮袋鼠(Brutal Kangaroo)” 文档片段
下面我们来着重分析下Riverjack(杰克河快捷方式文件)攻击方式,根据CIA档案我们发现该攻击隐蔽技术的细节,该攻击方式分为四个部分:快捷方式文件夹、Junction文件夹、“库”文件和快捷方式文件,前面三部分是攻击隐蔽技术,用正常的系统特性隐藏快捷方式文件的漏洞攻击,四个部分结合起来就成为了更难以被发现的高级威胁攻击,可以在被攻击系统中长期潜伏。
图 “野蛮袋鼠(Brutal Kangaroo)” 文档片段
首先,给将普通文件夹改名成设定成指定类型的classid,如&MyFolder&.&CLSID&,
它将会变成一个Junction Foldersrs。
图 “野蛮袋鼠(Brutal Kangaroo)” 文档片段
假设给文件夹设置一个不存在的classid名DDA-479D-A150-DC0}
图 “野蛮袋鼠(Brutal Kangaroo)” 文档片段
打开这个文件夹后,桌面进程会查询这个不存在的classid注册表键。
然后,如果直接设置这个注册表键值指向一个固定位置的dll文件,那么打开这个文件夹后会关联verclsid.exe&加载这个dll
执行代码。
同时,如果在用户启动目录中加入这个Junction文件夹,在电脑重启时也会触发加载这个dll文件执行代码。
接下来,CIA档案中还介绍了利用Windows Libray(库)文件的攻击隐藏技术,它是在Windows7及其以上系统中资源管理器一种新的快捷方式特性,它的本质是一个xml配置文件,可以支持指向上文分析的Junction文件夹,在xml文件中指定foldertype和knownfolder字段就可以构造恶意的”库”快捷方式。
最后,我们会发现野蛮袋鼠项目与震网一、二代病毒相比,利用系统特性更新了一些新的攻击技术,但仍然是以windows快捷方式文件解析漏洞为核心。在“震网一代“病毒中使用的核心漏洞是windows
快捷方式文件解析漏洞(CVE-/MS10-046),时隔
5 年后,安全研究员Michael Heerklotz绕过该漏洞补丁中的安全限制,发现了第二个windows
快捷方式文件解析 漏洞(CVE-/MS15-020&),此漏洞的技术细节一经披露就被黑客疯狂利用。近日,微软于日公告修复了第三个
快捷方式文件解析 漏洞&CVE-,但在6月13日的安全公告中并没有标明任何漏洞来源,也没有发现黑客在野外利用该漏洞。
奇怪的是在一周后维基解密曝光了CIA的网络武器“野蛮袋鼠(
Brutal Kangaroo)”和“
激情猿猴( Emotional Simian),根据上文我们的技术分析,再结合该项目档案中的项目开发时间节点,我们推测该项目利用的核心漏洞就是最新的CVE-。
第四章 “冲击钻”攻击技术简介
维基解密的创始人阿桑奇于2017年3月9日左右发布一段2分钟的视频专门解释了一个入侵安全隔离网的网络武器“冲击钻(HammerDrill)”,并在3月19日在维基解密网站公布了该项目详细开发文档。
“冲击钻(HammerDrill)”是通过劫持Windows系统上的光盘刻录软件,感染光盘这类数据传输介质的方式,以达到入侵隔离网络目的。在该项目的开发文档中详细介绍了感染光盘的步骤,下面我们来简要分析解读下:
1.&&&&&&&& 冲击钻会启动一个线程通过wmi接口来监控系统进程。
2.&&&&&&&& 如果在进程列表中发现NERO.EXE, NEROEXPRESS.EXE and NEROSTARTSMART.EXE三个进程名,就会往进程中注入一个恶意的dll文件,并劫持进程的读文件操作。
3.&&&&&&&& 如果发现光盘刻录软件读入了PE可执行文件,就篡改文件注入shellcode恶意代码。
最终,光盘刻录软件读取编辑的PE可执行文件都会被感染,这个光盘将成为一个恶意感染源,如果光盘被接入隔离网络使用,计算机操作人员不慎运行或安装了其中的软件,黑客也就成功渗透了隔离网络。由于资料只披露了HammerDrill2.0的开发笔记,没有利用高级的安全漏洞技术,但在技术上推测实际上可以作为“震网三代”的一个辅助攻击组件,配合震网三代感染光盘等软数据存储介质。
第五章 “BadUSB”攻击技术简介
在维基解密披露的CIA知识库文档中还介绍了“BadUSB”技术,实际上这是近年计算机安全领域最热门的攻击技术之一,黑客已经广泛利用了该技术。“BadUSB”主要是利用恶意的HID(Human InterfaceDevice,是计算机直接与人交互的设备,例如键盘、鼠标等)设备和无线网卡设备进行攻击,而与正常的普通的HID设备不同,这类设备被黑客定制小型化,外形和一个U盘没有任何差别。
类似的HID设备一旦插入电脑就会被模拟成键盘自动输入恶意代码运行,而NSA(美国国家安全局)的另外一个强大的无线间谍工具水蝮蛇一号(COTTONMOUTH-I),也是看起来像一个普通U盘,但实际上是一个恶意的小型电脑,在被披露的文档中介绍了它可以创建一个无线桥接网络接入到目标网络中,然后通过这个无线网络控制目标电脑。
所以,黑客仍然有可能通过恶意的USB设备入侵渗透隔离网络,但这类攻击并不具备震网三代病毒那样强大的自动感染传播能力。
第六章 安全隔离网络高级威胁攻击防御建议
防范震网三代(CVE-),广大用户和企事业单位应及时安装微软6月补丁修复漏洞。360安全卫士及天擎等产品也已针对震网三代的漏洞利用特征更新了防护规则,能够精准拦截和查杀震网三代攻击样本。
同时,在隔离网络中的计算机操作人员仍然需要提高安全意识,注意到封闭的隔离网络并不意味着绝对安全,对于高安全级别的隔离网络除了要修复系统和软件的安全漏洞,还要隔绝一切不被信任的外部数据存储介质和硬件设备。
第七章 参考
360追日团队(Helios Team)
360 追日团队(Helios Team)是360公司高级威胁研究团队,从事APT攻击发现与追踪、互联网安全事件应急响应、黑客产业链挖掘和研究等工作。团队成立于2014年12月,通过整合360公司海量安全大数据,实现了威胁情报快速关联溯源,独家首次发现并追踪了三十余个APT组织及黑客团伙,大大拓宽了国内关于黑客产业的研究视野,填补了国内APT研究的空白,并为大量企业和政府机构提供安全威胁评估及解决方案输出。
已公开APT相关研究成果
海莲花:数字海洋的游猎者 持续3年的网络空间威胁
007黑客组织及地下黑产活动分析报告
2015年中国高级持续性威胁APT研究报告
洋葱狗:交通能源的觊觎者 潜伏3年的定向攻击威胁
DarkHotel定向攻击样本分析
美人鱼行动:长达6年的境外定向攻击活动揭露
SWIFT之殇:针对越南先锋银行的黑客攻击技术初探
人面狮行动 中东地区的定向攻击活动
台湾第一银行ATM机“自动吐钱” 事件分析
摩诃草组织 来自南亚的定向攻击威胁
关于近期曝光的针对银行SWIFT系统攻击事件综合分析
蔓灵花攻击行动(简报)
2016年中国高级持续性威胁研究报告
双尾蝎 伸向巴以两国的毒针
微信公众号:360追日团队
*本文作者:360安全卫士,转载请注明来自
必须您当前尚未登录。
必须(保密)
360安全卫士官方账号
关注我们 分享每日精选文章中新金盾高持续性威胁防御平台(APT-2.0)-猎潜者
&&产品定位数字革命推动业务创新和经济增长已经成为新世纪的趋势,但是同时也带来了新威胁,在竞争激烈的市场下,以APT攻击为核心的攻击方式正在愈演愈烈,此类攻击发起者往往是雇佣的黑客团队,攻击手法非常高级,会使用到零日攻击、病毒、木马等组合攻击手段,从行为上看十分隐蔽,可以完美的绕过已有的基础安全设备;会给组织带来非常致命风险。面对日益复杂的攻击形式,单一的防护无法发现复杂的攻击行为,APT的防御必须围绕组织内部核心资产开展基于大数据模型的风险计算,通过对恶意文件、恶意攻击行为、高级组合攻击、基于业务的逻辑攻击进行模型分析计算,实时得出风险提示,通过专家在线、现场服务做到风险跟踪关闭,为组织核心资产提供有力的保障。APT平台是依托于中新网安研发的大数据平台建设的全新风险展示平台,多年来的安全服务能力和大数据算法研究能力铸造了当前平台的三大核心功能,包括对于未知文件的沙箱检测技术、国际常见黑客的攻击行为指纹技术以及通过大数据算法实现机械学习技术,通过三维立体的风险定位模型刻画了攻击行为的路线,有助于发现潜在和未来的安全攻击行为,最大限度保证核心数据资产不被黑客侵犯。& 功能特点 中新金盾高持续威胁防御系统,标准的整体机架式部署,采用“5+2+1”的产品架构,包括五大支撑引擎,两大服务体系,一大展现平台。支撑引擎1. 数据接收引擎数据接收引擎也就是我们俗称的探针,不仅能够支持接收传统网络中交换机镜像过来的流量,还支持以云化的方式部署,通过API接口调度和虚拟接口调度的方式,接收来自云端的数据流量。2. 行为分析引擎行为分析引擎能够对网络中数据包进行深度分析,涉及信息内容的权重、频次以及动作等,不仅能够实时的展现攻击者单次的攻击行为,还能够分析出某个时间段的攻击过程,对攻击者的攻击手法、渗透过程进行深度挖掘。3. 大数据分析引擎大数据分析引擎承载着原始攻击流量存储、资产行为数据存储、实施攻击行为和文件环境等功能,为整个数据挖掘提供挖掘框架,实现模型的训练,并且能够完成历史行为的深度自学习。4. 高效沙箱引擎高效沙箱引擎高度还原了真实的系统环境,支持还原多种文件类型,分析文件的行为,并对文件进行病毒查杀和木马检测。5. &机械学习引擎机械学习引擎是中新金盾高级持续威胁平台的业务分析核心,深度学习关注业务交易的核心深度识别业务的安全风险。服务体系1. 在线专家服务在线专家服务,能够给客户提供实时的技术问答和技术支持,包括产品操作,攻击行为处理等方面的问题。2. 现场支持服务现场支持服务除了帮助客户,解决产品的上线部署,公司还拥有优秀的应急响应小组,能够帮助客户及时处理,存在的潜在风险,保证业务的正常进行。展现平台以可视化的形式全方面的监控用户的资产,安全转台,基于用户行为、数据流量进行画像学习,并实现APT场景和案件的重构,动态的显示攻击者的攻击行为路线。核心技术沙箱技术zxsandbox是一款由中新网安自主研发的沙盒软件,用于自动化分析恶意软件,它通过虚拟机技术创建一个独立的运行环境运行恶意软件,从而监控恶意软件的行为。 1. 反虚拟机技术虚拟机环境存在一定的指纹特征,某些恶意软件在运行時,会针对这些指纹特性对当前运行的环境进行检测,一旦发现当前环境是虚拟机环境,则不触发,为了解决虚拟机指纹特征的问题,zxsandbox具有高保真特性,采用一些手段将运行环境伪造成真实的环境,来诱发恶意软件触发真实行为。 2. 高效灵活的文件类型识别zxsandbox具有多种模式匹配和文件类型规则,能够高效、灵活的识别文件类型;针对未知文件类型可快速补充规则进行识别,准确率达到95%以上。 3. 多种静态分析常规的静态分析方法主要是依靠病毒引擎,而zxsandbox针对不同的文件类型,添加了特定的检测方法,比如针对PDF文档,我们嵌入了js检查,剥离js脚本检测,并可根据需要对js脚本进行动态分析。 4. 高级内存分析zxsandbox可对受感染的内存镜像进行分析,主要包括系统的文件操作、注册表操作、加载模块分析、进程分析等。 5. 详细的网络行为记录zxsandbox能够详细记录沙盒中所有的网络信息,包括加密的信息。可以帮助发现恶意软件的下载动作、网页访问等行为。 6. 综合判断文件危害程度zxsandbox内置了很多恶意软件的行为特征规则,这些规则是对不同类型的恶意软件真实行为的总结,贯穿整个静态检测、内存分析、网络行为记录等检测过程。避免正常软件的正常行为被系统五保,从而综合的判断出文件的危害程度。多维动态行为检测猎潜者集成了IDS、WAF、杀毒软件的一些特性,能够多维度的对攻击行为进行检测,涉及到应用层攻击、系统层攻击以及数据库层面,目前的检测类型有18类,包括邮件攻击、沙箱检测、隐蔽信道逃逸检测、web应用层攻击、域渗透、远程控制等,并支持多维的攻击模式识别,能够检测由外网到内网发起的攻击,内部不同业务和安全域间的访问以及内网访问外网,防数据窃取回传的检测。5118人阅读
新型威胁分析与防范研究Last Modified @ by yepeng【摘要】本文通过对以APT为代表的新型威胁的实例研究,分析了新型威胁的攻击过程、技术特点、当前国内外的发展现状,给出了新型威胁的基本定义和描述,以及应对新型威胁的总体思路和具体具体手段。最后,本文还简要叙述了新型威胁自身的技术发展动向。1什么是新型威胁?网络安全,尤其是Internet互联网安全正在面临前所未有的挑战,这主要就是来自于有组织、有特定目标、持续时间极长的新型攻击和威胁,国际上有的称之为APT(Advanced Persistent Threat,高级持续性威胁)攻击,或者称之为“针对特定目标的攻击”。这些攻击统称为新型威胁。2011年美国NIST发布了《SP800-39管理信息安全风险》。其中,对APT进行了定义:拥有高级专家和丰富资源的敌对方使用多种攻击技术(包括网络的、物理的、欺骗性的)为达成其一系列目标而实施的一类威胁。通过在目标组织的IT基础设施中建立并扩展落脚点,这些目标通常包括窃取信息,破坏或抵制某项使命或任务,或者潜伏起来以便在未来的某个时候达成这些目标。APT为了达成其目标会持续较长的一段时间,会想方设法隐匿自己,会与外界保持一定程度的交互以执行其任务。一般认为,APT攻击就是一类特定的攻击,为了获取某个组织甚至是国家的重要信息,有针对性地进行的一系列攻击行为的整个过程。APT攻击利用了多种攻击手段,包括各种最先进的手段和社会工程学方法,一步一步的获取进入组织内部的权限。APT往往利用组织内部的人员作为攻击跳板。有时候,攻击者会针对被攻击对象编写专门的攻击程序,而非使用一些通用的攻击代码。此外,APT攻击具有持续性,甚至长达数年。这种持续体现在攻击者不断尝试各种攻击手段,以及在渗透到网络内部后长期蛰伏,不断收集各种信息,直到收集到重要情报。更加危险的是,这些新型的攻击和威胁主要就针对国家重要的基础设施和单位进行,包括能源、电力、金融、国防等关系到国计民生,或者是国家核心利益的网络基础设施。对于这些单位而言,尽管已经部署了相对完备的纵深安全防御体系,可能既包括针对某个安全威胁的安全设备,也包括了将各种单一安全设备整合起来的管理平台,而防御体系也可能已经涵盖了事前、事中和事后等各个阶段。但是,这样的防御体系仍然难以有效防止来自互联网的入侵和攻击,以及信息窃取等新型威胁(例如APT攻击,以及各类利用0day漏洞的攻击)。2新型威胁的国内外发展态势2.1国际2013年4月份Verizon发布的《2013年数据破坏调查报告》分析了全球47000多起数据破坏安全事故,621宗确认的数据泄漏案例,以及至少4400万份失窃的记录。《报告》指出有高达92%的数据破坏行为来自外部,有19%的数据破坏行为来自国家级别的行为,利用脆弱的或者窃取到的用户身份访问凭据进行入侵的行为占到了76%,而各种黑客行为和恶意代码依然是主要的信息破坏手段。报告将包括APT攻击在内的信息破坏的敌对方分为了有组织犯罪集团、国家或国家资助的组织、黑客活跃分子三类。根据FireEye发布的《2012年下半年高级威胁分析报告》,详细分析了APT攻击的发展态势。《报告》指出,平均一个组织和单位每三分钟就会遭受一次恶意代码攻击,特指带有恶意附件、或者恶意WEB链接、或者CnC通讯的邮件;在所有遭受攻击的企业和组织中,拥有核心关键技术的技术类企业占比最高;在定向钓鱼邮件(spear phishing email)中经常使用通用的商业术语,具有很大的欺骗性;92%的攻击邮件都使用zip格式的附件,剩下的格式还有pdf等。此外,国际上,尤其是美国着重炒作来自中国的APT攻击。最典型的是Mandiant公司发布的《对APT1组织的攻击行动的情报分析报告》,将APT1攻击行动的发起者直接定位到中国军方。在美国旧金山举办的RSA2013大会上,直接以中国APT攻击为主题的报告就有6个之多。其中有一个研讨会题为《中美的网络冲突和中国网络战研究》。演讲者是《二十一世纪的中国网络战》一书的作者。这个曾经在美国研读过中文的美国人从西方的视角来分析了中国的网络战战略、战术。以防范APT攻击为引子,各国纷纷加强国家级的网络空间安全研究、相关政策制定与发布。美国、加拿大、日本、欧盟各国、北约等国家和组织纷纷强化其网络空间安全的国家战略,其中就包括应对包括APT在内的国家级的敌对方的攻击。ENISA(欧洲网络与信息安全局)、北约CCDCOE(协作网络空间防御卓越中心)、兰德公司、欧洲智库SDA公司都对世界主要国家的网络空间安全战略思想、安全威胁特征、安全防御水平等进行了较为深入的对比分析与研究。各国对新型威胁的重视,也带动了整个网络空间安全市场的崛起。2012年6月份,MarketandMarket公司发布了一份市场分析报告,称到2017年,全球的网络空间安全市场将达到1200亿美元的规模,而在2011年市场价值已经有637亿美元。报告明确指出,网络空间安全未来将来首要应对的问题就是APT,此外还包括僵尸网络、传统蠕虫和病毒等。2.2国内根据CN-CERT发布的《2012年我国互联网网络安全态势综述》,我国面临的新型威胁攻击的形势还是比较严峻的。利用“火焰”病毒、“高斯”病毒、“红色十月”病毒等实施的高级可持续攻击(APT攻击)活动频现,对国家和企业的数据安全造成严重威胁。2012年,我国境内至少有4.1万余台主机感染了具有APT特征的木马程序。3新型威胁的实例说明下面列举几个典型的APT攻击实例,以便展开进一步分析。3.1Google极光攻击2010年的GoogleAurora(极光)攻击是一个十分著名的APT攻击。Google的一名雇员点击即时消息中的一条恶意链接,引发了一系列事件导致这个搜索引擎巨人的网络被渗入数月,并且造成各种系统的数据被窃取。这次攻击以Google和其它大约20家公司为目标,它是由一个有组织的网络犯罪团体精心策划的,目的是长时间地渗入这些企业的网络并窃取数据。该攻击过程大致如下:1)对Google的APT行动开始于刺探工作,特定的Google员工成为攻击者的目标。攻击者尽可能地收集信息,搜集该员工在Facebook、Twitter、LinkedIn和其它社交网站上发布的信息。2)接着攻击者利用一个动态DNS供应商来建立一个托管伪造照片网站的Web服务器。该Google员工收到来自信任的人发来的网络链接并且点击它,就进入了恶意网站。该恶意网站页面载入含有shellcode的JavaScript程序码造成IE浏览器溢出,进而执行FTP下载程序,并从远端进一步抓了更多新的程序来执行(由于其中部分程序的编译环境路径名称带有Aurora字样,该攻击故此得名)。3)接下来,攻击者通过SSL安全隧道与受害人机器建立了连接,持续监听并最终获得了该雇员访问Google服务器的帐号密码等信息。4)最后,攻击者就使用该雇员的凭证成功渗透进入Google的邮件服务器,进而不断的获取特定Gmail账户的邮件内容信息。3.2夜龙攻击夜龙攻击是McAfee在2011年2月份发现并命名的针对全球主要能源公司的攻击行为。该攻击的攻击过程是:1)外网主机如Web服务器遭攻击成功,多半是被SQL注入攻击;2)被黑的Web服务器被作为跳板,对内网的其他服务器或PC进行扫描;3)内网机器如AD服务器或开发人员电脑遭攻击成功,多半是被密码暴力破解;4)被黑机器被植入恶意代码,多半被安装远端控制工具(RAT),传回大量机敏文件(WORD、PPT、PDF等等),包括所有会议记录与组织人事架构图;5)更多内网机器遭入侵成功,多半为高阶主管点击了看似正常的邮件附件,却不知其中含有恶意代码。3.3超级工厂病毒攻击(震网攻击)著名的超级工厂病毒攻击为人所知主要源于2010年伊朗布什尔核电站遭到Stuxnet蠕虫的攻击的事件曝光。遭遇超级工厂病毒攻击的核电站计算机系统实际上是与外界物理隔离的,理论上不会遭遇外界攻击。坚固的堡垒只有从内部才能被攻破,超级工厂病毒也正充分的利用了这一点。超级工厂病毒的攻击者并没有广泛的去传播病毒,而是针对核电站相关工作人员的家用电脑、个人电脑等能够接触到互联网的计算机发起感染攻击,以此为第一道攻击跳板,进一步感染相关人员的移动设备,病毒以移动设备为桥梁进入“堡垒”内部,随即潜伏下来。病毒很有耐心的逐步扩散,一点一点的进行破坏。这是一次十分成功的APT攻击,而其最为恐怖的地方就在于极为巧妙的控制了攻击范围,攻击十分精准。在2011年,一种基于Stuxnet代码的新型的蠕虫Duqu又出现在欧洲,号称“震网二代”。Duqu主要收集工业控制系统的情报数据和资产信息,为攻击者提供下一步攻击的必要信息。攻击者通过僵尸网络对其内置的RAT进行远程控制,并且采用私有协议与CC端进行通讯,传出的数据被包装成jpg文件和加密文件。3.4RSA SecurID窃取攻击2011年3月,EMC公司下属的RSA公司遭受入侵,部分SecurID技术及客户资料被窃取。其后果导致很多使用SecurID作为认证凭据建立VPN网络的公司——包括洛克希德马丁公司、诺斯罗普公司等美国国防外包商——受到攻击,重要资料被窃取。在RSASecurID攻击事件中,攻击方没有使用大规模SQL注入,也没有使用网站挂马或钓鱼网站,而是以最原始的网路通讯方式,直接寄送电子邮件给特定人士,并附带防毒软体无法识别的恶意文件附件。其攻击工程大体如下:1)RSA有两组同仁们在两天之中分别收到标题为“2011 Recruitment Plan”的恶意邮件,附件是名为“2011 Recruitment plan.xls”的电子表格;2)很不幸,其中一位同仁对此邮件感到兴趣,并将其从垃圾邮件中取出来阅读,殊不知此电子表格其实含有当时最新的AdobeFlash的0day漏洞(CVE-);3)该主机被植入臭名昭著的PoisonIvy远端控制工具,并开始自C&C中继站下载指令进行任务;4)首批受害的使用者并非“位高权重”人物,紧接着相关联的人士包括IT与非IT等服务器管理员相继被黑;5)RSA发现开发用服务器(Stagingserver)遭入侵,攻击方随即进行撤离,加密并压缩所有资料(都是rar格式),并以FTP传送至远端主机,又迅速再次搬离该主机,清除任何踪迹。3.5Shady RAT攻击(暗鼠攻击)2011年8月份,McAfee/Symantec发现并报告了该攻击。该攻击在长达数年的持续攻击过程中,渗透并攻击了全球多达70个公司和组织的网络,包括美国政府、联合国、红十字会、武器制造商、能源公司、金融公司,等等。其攻击过程如下:1)攻击者通过社会工程学的方法收集被攻击目标的信息。2)攻击者给目标公司的某个特定人发送一些极具诱惑性的、带有附件的邮件例如邀请他参见某个他所在行业的会议,以他同事或者HR部门的名义告知他更新通讯录,请他审阅某个真实存在的项目的预算,等等。3)当受害人打开这些邮件,查看附件(大部分形如:Participant_Contacts.xls、2011 project budget.xls、Contact List -Update.xls、The budget justification.xls),受害人的EXCEL程序的FEATHEADER远程代码执行漏洞(Bloodhound.Exploit.306)被利用,从而被植入木马。实际上,该漏洞不是0day漏洞,但是受害人没有及时打补丁,并且,该漏洞只针对某些版本的EXCEL有效,可见被害人所使用的EXCEL版本信息也已经为攻击者所悉知。4)木马开始跟远程的服务器进行连接,并下载恶意代码。而这些恶意代码被精心伪装(例如被伪装为图片,或者HTML文件),不为安全设备所识别。5)借助恶意代码,受害人机器与远程计算机建立了远程Shell连接,从而导致攻击者可以任意控制受害人的机器。3.6Lurid攻击2011年9月22日,TrendMicro的研究人员公布了一起针对前独联体国家、印度、越南和中国等国家的政府部门、外交部门、航天部门,还有科研机构APT攻击——Lurid攻击。攻击者的主要是利用了CVE-和CVE-这两个已知的Adobe Reader漏洞,以及被压缩成RAR文件的带有恶意代码的屏幕保护程序。用户一旦阅读了恶意PDF文件或者打开了恶意屏幕保护程序,就会被植入木马。木马程序会变换多种花样驻留在受害人电脑中,并与C&C服务器进行通讯,收集的信息通常通过HTTP POST上传给C&C服务器。攻击者借助C&C服务器对木马下达各种指令,不断收集受害企业的敏感信息。3.7Nitro攻击2011年10月底,Symantec发布的一份报告公开了主要针对全球化工企业的进行信息窃取的Nitro攻击。该攻击的过程也十分典型:1)受害企业的部分雇员收到带有欺骗性的邮件;2)当受害人阅读邮件的时候,往往会看到一个通过文件名和图标伪装成一个类似文本文件的附件,而实际上是一个可执行程序;或者看到一个有密码保护的压缩文件附件,密码在邮件中注明,并且如果解压会产生一个可执行程序。3)只要受害人执行了附件中的可执行程序,就会被植入Poison Ivy后门程序。4)Poison Ivy会通过TCP 80端口与C&C服务器进行加密通讯,将受害人的电脑上的信息上传,主要是帐号相关的文件信息。5)攻击者在获取了加密的帐号信息后通过解密工具找到帐号的密码,然后借助事先植入的木马在受害企业的网络寻找目标、伺机行动、不断收集企业的敏感信息。6)所有的敏感信息会加密存储在网络中的一台临时服务器上,并最终上传到公司外部的某个服务器上,从而完成攻击。3.8Luckycat攻击2012年3月份,TrendMicro发布的报告中披露了一个针对印度和日本的航空航天、军队、能源等单位进行长时间的渗透和刺探的攻击行动,并命名为Luckycat。根据报告显示,这次攻击行动依然是通过钓鱼邮件开始的,例如针对日本目标的钓鱼邮件的内容大都跟福岛核电站的核辐射问题有关。然后就是利用了很多针对&pdf/rtf的漏洞,包括CVE-,CVE-,CVE-,CVE- ,CVE-等。渗透进去之后就是用C&C进行远程控制。而C&C服务器是通过VPS申请到的DNS域名。3.9火焰病毒攻击2012年5月份,一种比震网(Stuxnet)和毒酷(Duqu)更具杀伤力的病毒——火焰病毒(Flame)曝光。火焰病毒攻击首先主要是在中东地区传播。火焰既是病毒又是木马,既能够借助网络和U盘等进行传播,又能够通过C&C让攻击者可以远程控制。一旦电脑系统被感染,病毒将开始一系列复杂的行动,包括监测网络流量、获取截屏画面、记录音频对话、截获键盘输入等。被感染系统中所有的数据都能传到攻击者指定的遍布全球的服务器上去。3.10IXESHE攻击IXESHE(爱寿司)攻击行动是在2012年6月份披露出来的。该攻击主要针对的是东亚地区的政府、台湾的电子企业,以及一个德国的电信公司。攻击手法采用的是发送给特定目标的恶意邮件,里面的附件利用了多个当时的0day漏洞(包括CVE-和CVE-),以及其他多个已知漏洞。受害者在中招后就会开始与C&C进行联络,窃取信息。这些C&C服务器主要分布在台湾和美国。3.11High Roller攻击这个攻击的主要目标不是窃取信息,而是金融盗窃。2012年6月25日,McAfee联合GuardianAnalytics发布了一份白皮书,揭示了他们最新发现进行金融欺诈的High Roller行动。该行动已经入侵了欧美的60多家银行,窃取了7500万美元。根据报告,该攻击行动基于Zeus和SpyEye僵尸网络技术,并超越了这些技术,主要的创新是:绕过物理的密码芯片认证机制(例如USB key等双因素认证)、自动化的钱骡账户(也就是用于转移资金的中间账户)、基于服务器端的攻击(而一般的攻击都是从客户端发起的)。报告分析了3种经典的窃取过程,最典型的也是传统的客户端发发起的欺诈。首先,欺诈者给受害者发送定向钓鱼邮件(spear phishing email);受害者点击邮件中的链接后,受到0day或者Nday的漏洞利用攻击,被植入downloader木马;Downloader木马下载并安装Zeus或SpyEye客户端,加入僵尸网络。用户下次登录在线银行后,植入的恶意代码会检测相关的参数,诸如是哪个银行、什么版本、账户信息、账户余额等。这些信息会透过僵尸网络发送给&C&C服务器,然后C&C服务器会判断该受害者是否符合条件。如果符合条件,就会下发一组针对这个银行的WEB注射欺诈指令(js形式)给受害者。受害者再次登陆网银,就会遭受man-in-the-browser(浏览器中间人)攻击,也即是之前下载那组web注射指令的攻击,受害者会被引导到一个虚假的信息页面上(js生成的),然后会被告知“系统出错,需要等待”等等拖延用户操作时间的行为,让用户的操作暂停一会儿(例如1分钟),而实际上受害者机器上的恶意代码已经开始工作,并执行相关的转账指令,开始倒钱了。而这个过程中,攻击者精心编写的程序完全绕开了双因素认证等验证机制。而为了隐匿转账的过程,也用到了自动化的钱骡技术。另一个更加高级的欺诈是在上面基于客户端的欺诈的基础上发展出来的基于服务器的欺诈。这种方式的前面过程跟上面的是一样的,只是客户登录后会被告知等待的时间更长,例如告知客户系统故障,要求客户1到2天后重试。而在这1到2天的时间内欺诈者会使用窃取到的该受害者的凭据从另一台受控的服务器上仿冒受害者客户端登录网银,进行相关转账操作,而完全不需要受害者被动参与。3.12Xtreme RAT攻击2012年11月,TrendMicro曝光了一个关于针对以色列美国等国的基于Xtreme RAT的网络攻击。在这次攻击行动中,攻击者以DEBKA的名义发送给受害人(例如以色列警察局)一封邮件,题为“以色列国防军在加沙行动的报道和图片”,里面有个RAR文件。一旦受害人打开这个RAR文件,会有一个word文档,里面都是与邮件题目相符的新闻报道。但是同时,攻击者在这个RAR中植入了一个Xtreme RAT工具,只要一打开这个word,就中招了。以后,攻击者就能够利用这个RAT远程的窃取客户的相关资料和信息。3.13Beebus攻击2013年4月份,FireEye披露了一个名为Beebus的、重点针对航天和国防企业的持续性攻击行动。攻击依然是从邮件开始的。攻击者利用了3个PDF漏洞和2个WORD漏洞精心设计了一组极具迷惑性的PDF和WORD文档。这些文档名被包装成白皮书或者是著名公司发布的报告,作为附件连同邮件一并发送给受害人。受害人十分容易上当打开文档,而只要他/她的PDF或者WORD程序有符合的漏洞,那么就会中招,植入后门程序。后门程序采用DLL库的形式伪装自己,更不易被识别。木马后门在与攻击者的C&C服务器通讯也都是采用BASE64加密方式,并且将服务器域名伪装的比较看似比较正规(例如bee.businessconsults.net)。4新型威胁的综合分析综合分析以上典型的APT攻击,可以发现,当前的新型攻击主要呈现以下技术特点:1)攻击者的诱骗手段往往采用恶意网站,用钓鱼的方式诱使目标上钩。而企业和组织目前的安全防御体系中对于恶意网站的识别能力还不够,缺乏权威、全面的恶意网址库,对于内部员工访问恶意网站的行为无法及时发现;2)攻击者也经常采用恶意邮件的方式攻击受害者,并且这些邮件都被包装成合法的发件人。而企业和组织现有的邮件过滤系统大部分就是基于垃圾邮件地址库的,显然,这些合法邮件不在其列。再者,邮件附件中隐含的恶意代码往往都是0day漏洞,传统的邮件内容分析也难以奏效;3)还有一些攻击是直接通过对目标公网网站的SQL注入方式实现的。很多企业和组织的网站在防范SQL注入攻击方面缺乏防范;4)初始的网络渗透往往使用利用0day漏洞的恶意代码。而企业和组织目前的安全防御/检测设备无法识别这些0day漏洞攻击;5)在攻击者控制受害机器的过程中,往往使用SSL链接,导致现有的大部分内容检测系统无法分析传输的内容,同时也缺乏对于可以连接的分析能力;6)攻击者在持续不断获取受害企业和组织网络中的重要数据的时候,一定会向外部传输数据,这些数据往往都是压缩、加密的,没有明显的指纹特征。这导致现有绝大部分基于特征库匹配的检测系统都失效了;7)还有的企业部署了内网审计系统,日志分析系统,甚至是安管平台。但是这些更高级的系统主要是从内控与合规的角度来分析事件,而没有真正形成对外部入侵的综合分析。由于知识库的缺乏,客户无法从多个角度综合分析安全事件,无法从攻击行为的角度进行整合,发现攻击路径。因此,在APT这样的新型威胁面前,大部分企业和组织的安全防御体系都失灵了。保障网络安全亟需全新的思路和技术。5新型威胁的应对之策5.1总体思路2011年7月13日~14日,RSA与TechAmerica举办一次针对APT的闭门峰会。有大约100位CISO,CIO和CEO参加,涵盖政府、金融、制造、医药、技术、服务业等多个领域。在峰会上,与会专家总结了应对APT的10条共识:1)攻击手段已经从技术延伸到人。社会工程学是第一位的威胁向量。人成为了新的网络边界,只要给定恰当的上下文,任何人都可能成为钓鱼受害者。而传统的对人员进行安全意识培训的方法也不足以应付钓鱼攻击。2)组织必须学会在已经遭受攻击的情况下生存。阻止攻击者进来是不现实的,更现实的做法是规划好在攻击者已经进来后应该采取什么响应动作。组织应该将重点放在如何尽快关闭遭受破坏的时间窗口,降低损失上,例如隔离系统、阻止敏感信息外泄,以及回到诸如“最小特权”、“纵深防御”这些核心的IT安全原则上来。防御的关键在于找到本组织中最核心最的、最需要受到保护的资产,清楚地知道这些资产在哪儿,谁对他进行了访问,在出现攻击的时候如何将资产隔离(锁定);3)要提前监测出威胁必须依靠态势感知,尤其是需要更大范围的态势感知,不能只关注于自身网络中的态势,而要关注与自身网络相关的整个生态系统的态势。企业间合作共享十分重要。4)利用供应链发起攻击的情况正在抬头,供应链正在成为安全防御中的最薄弱环节,攻击者正在通过研究和收集可信供应商的弱点来发起攻击。而对供应商的安全检测是一个巨大的挑战。可以借助一些方法,例如信誉评级、第三方审计、外部监测等。5)应该是整个组织的事情,而非纯安全的事,并且要事先就制定好应对APT的突发事件响应程序/计划,并做好演练。6)定制化——作为APT的一个重要特点——是对传统的基于签名(特征)的检测方法的重大挑战。定制化即意味着攻击的目的性极强,并且利用0day包装出一个攻击的速度极快,而研究出这个漏洞的签名(特征)则慢得多。7)目前攻击方在实时情报共享方面做的比防御者更好。防御者在情报共享方面存在诸多障碍。而快速有效的是目前的第一要务。8)组织必须积极主动地去尽早发现攻击,并用各种方式破坏攻击链条(路径)。9)现在公开出来的APT攻击仅仅是冰山一角。同时,除了关注数据窃取,还要关注其他目的的APT攻击,例如poisoning, disruption,embarrassment&。10)简单的安全才是更好的安全。我们要简化我们的技术环境(IT基础架构),只有更好的理解资产、流程和端点(终端)才有机会进行真正的防御。使用最小的技术去达成一个目标。2012年8月,RSA发布了著名的报告——《当APT成为主流》。报告提及了现在组织和企业中现有的安全防护体系存在一些缺陷,导致很难识别APT攻击。现有的防护体系包括FW,AV,IDS/IPS,SIEM/SOC,以及CERT和组织结构,工作流程等等。都存在不足。报告指出,应对需要采取一种与以往不同的信息安全策略,这种策略被称作“高级方法”。他与传统的方法相比,更加注重对核心资产的保护、技术手段上更加注重检测技术、以数据为中心、分析日志更多是为了检测威胁、注重攻击模式的发现和描述、从情报分析的高度来分析威胁。《当APT成为主流》提出了7条建议:1)进行高级情报收集与分析–让情报成为战略的基石。2)建立智能监测机制–知道要寻找什么,并建立信息安全与网络监控机制,以寻找所要寻找之物。3)重新分配访问控制权–控制特权用户的访问。4)认真开展有实效的用户培训–培训用户以识别社会工程攻击,并迫使用户承担保证企业信息安全的个人责任。5)管理高管预期–确保最高管理层认识到,抗击高级持续性攻击的本质是与数字军备竞赛战斗。6)重新设计IT架构–从扁平式网络转变为分隔式网络,使攻击者难以在网络中四处游荡,从而难以发现最宝贵的信息。7)参与情报交换–分享信息安全威胁情报,利用其他企业积累的知识。Verizon发布的《2013年数据破坏调查报告》中则更加简明扼要的概括了应对APT的最高原则——知己、更要知彼,强调真正的主动安全是料敌先机,核心就是对安全威胁情报的分析与分享。5.2技术手段分析从具体的技术层面来说,为了应对APT攻击,新的技术也是层出不穷。从监测和检测的角度,为了识别APT,可以从APT攻击的各个环节进行突破,任一环节能够识别即可断开整个链条。根据APT攻击过程,我们可以从防范钓鱼攻击、识别邮件中的恶意代码、识别主机上的恶意代码、识别僵尸网络(C&C)通讯、监测网络数据渗出等多个环节入手。而不论从哪个环节入手,都主要涉及以下几类新型技术手段:5.2.1基于沙箱的恶意代码检测技术要检测恶意代码,最具挑战性的就是利用0day漏洞的恶意代码。因为是0day,就意味着没有特征,传统的恶意代码检测技术就此失效。沙箱技术通俗的讲就是构造一个模拟的执行环境,让可疑文件在这个模拟环境中运行起来,通过可疑文件触发的外在行为来判定是否是恶意代码。沙箱技术的模拟环境可以是真实的模拟环境,也可以是一个虚拟的模拟环境。而虚拟的模拟环境可以通过虚拟机技术来构建,或者通过一个特制程序来虚拟。5.2.2基于异常的流量检测技术传统的IDS都是基于特征(签名)的技术去进行DPI分析,有的也用到了一些简单DFI分析技术。面对新型威胁,DFI技术的应用需要进一步深化。基于Flow,出现了一种基于异常的流量检测技术,通过建立流量行为轮廓和学习模型来识别流量异常,进而识别0day攻击、C&C通讯,以及信息渗出。本质上,这是一种基于统计学和机器学习的技术。5.2.3全包捕获与分析技术应对APT攻击,需要做好最坏的打算。万一没有识别出攻击并遭受了损失怎么办?对于某些情况,我们需要全包捕获及分析技术(FPI)。借助天量的存储空间和大数据分析(BDA)方法,FPI能够抓取网络中的特定场合下的全量数据报文并存储起来,进行历史分析或者准实时分析。通过内建的高效索引机制及相关算法,协助分析师剖丝抽茧,定位问题。5.2.4信誉技术信誉技术早已存在,在面对新型威胁的时候,可以助其他检测技术一臂之力。无论是WEB URL信誉库、文件MD5码库、僵尸网络地址库,还是威胁情报库,都是检测新型威胁的有力武器。而信誉技术的关键在于信誉库的构建,这需要一个强有力的技术团队来维护。5.2.5综合分析技术所谓综合分析,就是在前述所有技术之上的,并且涵盖传统检测技术之上的,一个横向贯穿的分析。我们已经知道APT攻击是一个过程,是一个组合,如果能够将APT攻击各个环节的信息综合到一起,有助于确认一个APT攻击行为。综合分析技术要能够从零散的攻击事件背后透视出真正的持续攻击行为,包括组合攻击检测技术、大时间跨度的攻击行为分析技术、态势分析技术、情境分析技术,等等。5.2.6人的技能最后,要实现对新型攻击的防范,除了上述新的监测/检测技术之外,还需要依靠强有力的专业分析服务做支撑,通过专家团队和他们的最佳实践,不断充实安全知识库,进行即时的可疑代码分析、渗透测试、漏洞验证,等等。安全专家的技能永远是任何技术都无法完全替代的。6新型威胁的最新技术发展动向新型威胁自身也在不断发展进化,以适应新的安全监测、检测与防御技术带来的挑战。以下简要分析新型威胁采取的一些新技术。6.1精准钓鱼精准钓鱼是一种精确制导的钓鱼式攻击,比普通的定向钓鱼(spear phishing)更聚焦,只有在被攻击者名单中的人才会看到这个钓鱼网页,其他人看到的则是404 error。也就是说,如果你不在名单之列,看不到钓鱼网页。如此一来,一方面攻击的精准度更高,另一方面也更加保密,安全专家更难进行追踪(因为你不知道名单,且不在名单之列)。6.2高级隐遁技术高级隐遁技术这个术语最初源自2010年芬兰的Stonesoft公司(2013年5月被McAfee收购)的一个研究成果。高级隐遁技术(AET,Advanced Evasion Technology)是一种通过伪装和/或修饰网络攻击以躲避信息安全系统的检测和阻止的手段。高级隐遁技术是一系列规避安全检测的技术的统称,可以分为网络隐遁和主机隐遁,而网络隐遁又包括协议组合、字符变换、通讯加密、0day漏洞利用等技术。6.3沙箱逃避新型的恶意代码设计越来越精巧,想方设法逃避沙箱技术的检测。例如有的恶意代码只有在用户鼠标移动的时候才会被执行,从而使得很多自动化执行的沙箱没法检测到可疑行为。还有的沙箱用到了虚拟机方式来执行,那么恶意代码的制作者就会想办法去欺骗虚拟机。6.4水坑式攻击所谓“水坑攻击”,是指黑客通过分析被攻击者的网络活动规律,寻找被攻击者经常访问的网站的弱点,先攻下该网站并植入攻击代码,等待被攻击者来访时实施攻击。这种攻击行为类似《动物世界》纪录片中的一种情节:捕食者埋伏在水里或者水坑周围,等其他动物前来喝水时发起攻击猎取食物。
&&相关文章推荐
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
访问:693768次
积分:9713
积分:9713
排名:第1731名
原创:105篇
评论:1105条
阅读:77153
文章:24篇
阅读:68608
阅读:70001
文章:14篇
阅读:71534
