怎樣利用欺騙防御技術(shù)應(yīng)對(duì)APT檢測(cè)

怎樣利用欺騙防御技術(shù)應(yīng)對(duì)APT檢測(cè)，很多新手對(duì)此不是很清楚，為了幫助大家解決這個(gè)難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來(lái)學(xué)習(xí)下，希望你能有所收獲。

了解APT攻擊：

首先了解一下真實(shí)的APT攻擊以及使用的技術(shù)，以海蓮花APT組織針對(duì)我國(guó)和東南亞地區(qū)的定向攻擊事件為例：

相關(guān)攻擊武器：Denis家族木馬、Cobalt Strike、CACTUSTORCH框架木馬

相關(guān)漏洞：微軟Office漏洞、MikroTik路由器漏洞、永恒之藍(lán)漏洞

攻擊入口：魚(yú)叉郵件和水坑攻擊

通過(guò)該事件可將APT攻擊分為幾個(gè)階段：

信息收集階段：有針對(duì)性的搜集特定組織的網(wǎng)絡(luò)系統(tǒng)和員工信息。

單點(diǎn)定向突破：主要通過(guò)魚(yú)叉郵件和水坑攻擊（例如網(wǎng)頁(yè)偽裝成升級(jí)FLASH插件），得到一個(gè)通往內(nèi)部的‘跳板’。

構(gòu)建控制通道：攻擊者創(chuàng)建從被控個(gè)人電腦到攻擊者控制服務(wù)器之間的命令控制通道。

內(nèi)部探測(cè)&橫向移動(dòng)：一般攻擊者對(duì)首先入侵的‘跳板’并不感興趣，所以需要進(jìn)一步獲取內(nèi)部服務(wù)器或其它重要PC的權(quán)限或信息。

數(shù)據(jù)回傳：在這一步驟一般就是將有意識(shí)地搜集各服務(wù)器上的重要數(shù)據(jù)資產(chǎn)，進(jìn)行壓縮、加密和打包進(jìn)行回傳以獲取最大利益。

目前，很多企業(yè)采用多種網(wǎng)絡(luò)安全防御技術(shù)檢測(cè)攻擊，如采用網(wǎng)絡(luò)防火墻、IDS、應(yīng)用防火墻、日志審計(jì)等措施，然而由于APT攻擊的可持續(xù)性以及攻擊者具有豐富的對(duì)抗常規(guī)安全設(shè)備的經(jīng)驗(yàn)，導(dǎo)致這些檢測(cè)已知漏洞攻擊的方式難以有效的發(fā)現(xiàn)APT攻擊 。本文將介紹如何利用欺騙防御技術(shù)，在攻擊者進(jìn)行第4個(gè)階段時(shí)發(fā)現(xiàn)APT攻擊并及時(shí)上報(bào)，防止產(chǎn)生進(jìn)一步損失。

如何發(fā)現(xiàn)APT攻擊

要評(píng)估對(duì)抗APT攻擊的能力，最好的方式莫過(guò)于找一個(gè)真實(shí)存在的APT組織并收集其使用過(guò)的戰(zhàn)術(shù)和攻擊手段來(lái)進(jìn)行‘沙盤(pán)演練’，本文選擇了APT39[1]這個(gè)組織，它是一個(gè)專(zhuān)注于竊取個(gè)人信息的伊朗網(wǎng)絡(luò)間諜組織，其使用過(guò)的部分戰(zhàn)術(shù)和技術(shù)如下圖所示：

圖1：APT39組織使用技術(shù)匯總
[1] https://attack.mitre.org/groups/G0087/

接下來(lái)分類(lèi)進(jìn)行‘沙盤(pán)演練’，如上圖從左到右一共有12個(gè)戰(zhàn)術(shù)，一般可以從左到右隨機(jī)挑選若干個(gè)戰(zhàn)術(shù)形成一個(gè)完整的攻擊序列，其中每個(gè)戰(zhàn)術(shù)類(lèi)別下又有若干個(gè)技術(shù)，一種戰(zhàn)術(shù)可能使用多種技術(shù)。例如，攻擊者可能同時(shí)嘗試魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊中的釣魚(yú)附件和釣魚(yú)鏈接。

這里可以利用APT39組織使用過(guò)的戰(zhàn)術(shù)模擬出一條攻擊序列：

圖2：APT39攻擊序列

1） 在初始訪(fǎng)問(wèn)（Initial Access）階段，該組織使用的主要攻擊手段為釣魚(yú)附件（T1193[2]），具體方式為向員工發(fā)送帶有誘惑性的office宏文檔、可執(zhí)行文件，PDF或存檔文件等，這個(gè)階段主要考驗(yàn)的是員工的安全意識(shí)。假設(shè)在這一階段，APT39組織向收集到的公司員工郵箱內(nèi)發(fā)送大量帶有誘惑性的郵件，而某位員工點(diǎn)擊了來(lái)源不明的郵件附件并打開(kāi)，此時(shí)該員工電腦已經(jīng)存在持續(xù)化的后門(mén)，由于欺騙防御技術(shù)是非侵入式的，所以并不能在這一階段發(fā)現(xiàn)或阻斷攻擊。

圖3：某郵件附件惡意樣本執(zhí)行步驟
[2] https://attack.mitre.org/techniques/T1193/

2） 在探測(cè)（Discovery）階段，此時(shí)員工電腦上的后門(mén)已經(jīng)可以通過(guò)從控制端接收的指令進(jìn)行相應(yīng)操作，包括但不限于：開(kāi)啟指定進(jìn)程、向控制端上傳文件、與控制端保持連接、創(chuàng)建指定服務(wù)、殺死指定進(jìn)程、從控制端下載后續(xù)文件。在這一階段，由于員工電腦保存的信息不具有價(jià)值，從而進(jìn)行內(nèi)網(wǎng)探測(cè)，而這一階段該組織會(huì)使用BLUETORCH工具進(jìn)行網(wǎng)絡(luò)服務(wù)掃描（T1046[3]），而在網(wǎng)絡(luò)服務(wù)掃描階段，只要掃描到部署的感知節(jié)點(diǎn)，那么就會(huì)產(chǎn)生觸碰告警（一般掃描特定或者少量端口），欺騙防御系統(tǒng)會(huì)將淪陷主機(jī)IP信息記錄下來(lái)，通過(guò)策略的配置發(fā)送郵件給管理員，等待管理員的排查。由于此時(shí)的告警級(jí)別較低，管理員安全意識(shí)較低時(shí)可能會(huì)進(jìn)行忽略。

圖4：關(guān)于端口觸碰的告警
[3] https://attack.mitre.org/techniques/T1046/

3） 在橫向移動(dòng)（Lateral Movement）階段，此時(shí)APT39組織已經(jīng)初步掌握部分內(nèi)網(wǎng)信息，并根據(jù)端口開(kāi)放等信息判斷內(nèi)網(wǎng)存在的服務(wù)種類(lèi)，為擴(kuò)大‘戰(zhàn)果’，該組織會(huì)使用遠(yuǎn)程桌面協(xié)議（T1076[4]）和遠(yuǎn)程服務(wù)（T1021[5]）來(lái)嘗試進(jìn)行橫向移動(dòng)，欺騙防御系統(tǒng)可以啟用RDP蜜罐、SSH和TELNET蜜罐分別對(duì)應(yīng)這兩個(gè)技術(shù)所涉及到的服務(wù)，而該組織僅根據(jù)端口開(kāi)放情況并不能判斷主機(jī)是不是真實(shí)資產(chǎn)，所以當(dāng)該組織嘗試連接高SSH、TELNET等高交互蜜罐，攻擊者可以通過(guò)暴力破解的方式進(jìn)入蜜罐，那么欺騙防御系統(tǒng)就會(huì)產(chǎn)生級(jí)別較高的告警，并根據(jù)策略配置發(fā)送郵件給管理員。

圖5：對(duì)于攻擊者連接SSH的告警詳情
[4] https://attack.mitre.org/techniques/T1076/
[5] https://attack.mitre.org/techniques/T1021/

因?yàn)锳PT攻擊的特性，決定了其在獲取最大利益前不會(huì)輕易暴露，且進(jìn)行APT攻擊的人員一般具有對(duì)抗安全監(jiān)測(cè)工具的經(jīng)驗(yàn)，所以常規(guī)的邊界防護(hù)軟件不易發(fā)現(xiàn)APT攻擊。欺騙防御系統(tǒng)由于其非侵入式的特點(diǎn)，使得它不能防御APT組織通過(guò)0day或釣魚(yú)附件的形式進(jìn)入內(nèi)網(wǎng)，但是在探測(cè)（Discovery）和橫向移動(dòng)（Lateral Movement）兩個(gè)階段，攻擊者極有可能觸碰到欺騙防御系統(tǒng)的誘捕節(jié)點(diǎn)，這個(gè)概率會(huì)隨著感知節(jié)點(diǎn)的覆蓋范圍和仿真度的提升而提升。

同時(shí)可在員工電腦中撒放面包屑誘餌，在APT組織通過(guò)某些方式獲得員工控制權(quán)之后，很大可能會(huì)發(fā)現(xiàn)面包屑的存在，而只要面包屑足夠真實(shí)（面包屑中的IP地址，密碼等信息不要太過(guò)于簡(jiǎn)單），攻擊者很有可能會(huì)對(duì)面包屑中記錄的信息進(jìn)行利用（登錄等），此時(shí)就會(huì)將其引向感知節(jié)點(diǎn)進(jìn)而被發(fā)現(xiàn)?？偨Y(jié)下就是欺騙防御系統(tǒng)可以在攻擊者進(jìn)行第4個(gè)階段時(shí)發(fā)現(xiàn)APT攻擊并及時(shí)告警。

欺騙防御對(duì)抗APT攻擊的特點(diǎn)和優(yōu)勢(shì)

提前發(fā)現(xiàn)：在網(wǎng)段中部署具有感知能力的誘捕節(jié)點(diǎn)，在APT的內(nèi)部偵查和橫向移動(dòng)階段就捕獲到相應(yīng)的行為，能在第一時(shí)間發(fā)現(xiàn)異常信息，從而提前采取措施降低損失的發(fā)生。

誤報(bào)率低：建立在“正常的用戶(hù)不會(huì)觸碰誘捕節(jié)點(diǎn)，觸碰誘捕節(jié)點(diǎn)的多半是非法用戶(hù)或蠕蟲(chóng)”這一樸素但實(shí)用的理論基礎(chǔ)上，誤報(bào)率極低，極大的降低了安全運(yùn)維成本。

容易發(fā)現(xiàn)新型威脅：基于行為而非規(guī)則來(lái)檢測(cè)威脅，有助于發(fā)現(xiàn)一些 0day和變種的漏洞探測(cè)掃描行為，很好的應(yīng)對(duì)了等保2.0中“在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處，應(yīng)采取技術(shù)措施對(duì)網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析”

不影響用戶(hù)業(yè)務(wù)：旁路部署在實(shí)際的業(yè)務(wù)環(huán)境中，不影響用戶(hù)的實(shí)際業(yè)務(wù)，并且蜜網(wǎng)做了相應(yīng)的加固、隔離和逃逸檢測(cè)，所以將威脅行為局限在蜜網(wǎng)里。

主動(dòng)防御理念：除了部署大量的誘捕節(jié)點(diǎn)，誘餌和蜜網(wǎng)外，在政策允許的情況下可以對(duì)于攻擊者可以采取反制行為（如反向監(jiān)控等），獲取攻擊者相應(yīng)的信息，進(jìn)行溯源取證，實(shí)現(xiàn)了主動(dòng)防御的理念。

看完上述內(nèi)容是否對(duì)您有幫助呢？如果還想對(duì)相關(guān)知識(shí)有進(jìn)一步的了解或閱讀更多相關(guān)文章，請(qǐng)關(guān)注億速云行業(yè)資訊頻道，感謝您對(duì)億速云的支持。