本文目录一览:
APT黑客组织为何又盯上数字货币?
近日,腾讯御见威胁情报中心监测到疑似朝鲜的黑客组织Lazarus再度活跃,利用最新Flash漏洞CVE-2018-4878频繁发起攻击,通过传播暗藏FALLCHILL远程控制木马的恶意doc文档进行鱼叉攻击,对象主要为国外数字货币交易所。
从Adobe漏洞致谢公告来看,CVE-2018-4878漏洞的野外攻击样本最早是由韩国计算机应急响应小组(KR-CERT)发现。而KR-CERT也表示,来自朝鲜的黑客组织已经成功利用这个0Day 漏洞发起攻击,与Lazarus主要攻击目标一致,进一步验证了Lazarus组织就是本次攻击活动的发起者。
虽然该攻击目前尚未在我国发现,但国内用户仍不可放松警惕。腾讯安全联合实验室反病毒实验室负责人、腾讯电脑管家安全专家马劲松提醒政府、企业等用户,切勿随意打开来历不明的邮件附件,同时建议安装腾讯电脑管家等安全软件,可有效抵御不法分子的攻击。
《腾讯安全2017年度互联网安全报告》指出,2018年由数字加密货币而起的犯罪活动或将呈现高发态势。据国外安全公司的调查显示,本次发起攻击的Lazarus组织与2017年美国国防承包商、美国能源部门及英国、韩国等比特币交易所被攻击等事件有关。2017年席卷全球的“WannaCry”勒索病毒安全事件也被怀疑是该组织所为。
据公开资料介绍,Lazarus(T-APT-15)组织是来自朝鲜的APT组织,该组织长期对韩国、美国进行渗透攻击,此外还对全球的金融机构进行攻击。尽管Lazarus组织的攻击活动不断地被披露,但是该组织从未停止攻击的脚步,同时还把攻击目标不断扩大,包括能源、军事、政府等部门专项金融机构,尤其是数字货币交易所等,该组织堪称全球金融机构的最大威胁。
Lazarus组织擅长使用邮件钓鱼进行鱼叉攻击,同时武器库强大,具有使用0day漏洞发起攻击的能力。本次攻击依然采用该组织最常用的鱼叉攻击,通过内嵌恶意文档对目标进行攻击。不法分子十分狡猾,将邮件文档伪装成协议、最流行的加密货币交易所的安全分析、IT安全等热点内容,具有极强的迷惑性和诱惑性,以此吸引用户下载运行。
腾讯安全反病毒实验室经过分析溯源发现,该恶意文档卸载的载荷为FALLCHILL远程控制木马最新变种。FALLCHILL木马是朝鲜的黑客组织Lazarus开发并使用的木马,最早出现于2017年初。该木马能够实现远程文件操作、远程进程操作、远程信息获取、自卸载等各种功能,用户一旦中招,电脑重要信息将面临极大威胁。
APT是什么?
APT是Advanced Packaging Tool的缩写,是一款强大的包管理工具,也可以称作机制。使用Debian及其衍生版本的GNU/Linux用户一定对apt不陌生。在GNU/Linux中,对包的维护有多种方式。比如DebianGNU/Linux的dpkg(apt是dpkg的前端),比如RedHat的RPM。tarball方式需要由于定制性很高,因而笔者认为这不是有序的包管 理方式,所以不在此篇谈及。如果您对此感兴趣也可以阅读tarball方式安装软件。多种包管理机制各有千秋;笔者比较喜欢apt的管理方式——懒人的方式。使用这种方式,用 户可以十分轻松地从指定的源获得丰富的软件,并对这些软件进行诸如安装、升级、卸载等工作;甚至使用apt对整个系统进行升级。要使用apt最好有网络环境。最好的意思是:倘有网络事情就变得异乎寻常的轻松,否则可 能要稍微麻烦些。先讲麻烦的事情吧——从cdrom安装文件。因为cdrom独特的性质——只读,我们当然只能对包进行安装的工作了。当然,如果用户使用了可写的光介质更新的数据再来更新Debian系统的话,我也没有异议。如果要把cdrom加入到apt的源(/etc/apt/source.list)中,可以使用apt-cdrom add命令 。本篇的重点在基于网络的使用。大家处在不同的地区,使用不同的网络,如何找到一个快速的源是很多朋友关心的一个问题。也有很多朋友在bbs或者maillist中贴出了他们使用的源。不过正如我在本段伊始所说,不同的人使用同一个源可能会有不同的速度。如何得到一个快速的源呢?使用apt-spy命令。默认的情况下系统中并没有这个命令,可以使用apt-get install apt-spy命令来安装。安装过后,要现更新apt-spy中的资源列表,使用命令apt-spy update。更新之后,利用apt-spy来找寻速度最快的源。使用命令apt-spy -a asia -d testing。-a是告诉apt-spy在亚洲这个地区搜索。-d是指定搜索testing的源。DebianGNU/Linux的发行包含三个版本:stable,unstable,testing。这有些类似FreeBSD的版本组织形式。stable是稳定版;unstable版有很多实验性质的新特性,不过这个版本也是不稳定的;testing介乎二者之间。笔者使用testing。apt-spy更新了源的地址之后,可以使用apt-get update来更新源了。在日常的管理中,可以不定期地使用apt-update来更新源,以获得新的软件包或者某个软件的升级。apt-get upgrade用来更新系统中已经安装了的软件包。在使用这个命令的同时,可以添加-u参数。这样用户就能看到哪些包裹将会被升级。如果想要知道是否有某个软件的apt资源,可以使用apt-cache search foo来查找相关的软件(foo为需要查找的软件)。不过颇为类似FreeBSD中ports的make seach key="foo",在结果中总是包含有大量的信息———确切的或者类似的。所以如果希望搜索的结果更加准确可 以使用grep之类的软件对搜索的输出进行过滤。
“APT”是什么意思?
APT(Advanced Persistent Threat)是指高级持续性威胁。
APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。
利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式,APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用0day漏洞进行攻击。
先认识再防范:如何抵御APT攻击
据或者知识产权信息的威胁。而准确地说,高级持续性威胁(Advanced Persistent Threat)是指组织(特别是政府)或者小团体使用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。 本文中,我们将看看APT(高级持续性威胁)是如何演变的以及你需要如何抵御这种类型的威胁。 哪些人受到威胁? 一些网络管理员看完APT的定义后,得出的结论是他们的网络并没有受到威胁。中小型企业怎么可能成为大型网络犯罪团伙或国家的攻击对象?实际上,APT刚开始主要是政府机构为国防需要采取的攻击手段,后来APT攻击者将他们的范围扩大到了攻击公司,例如谷歌,但并不是只有大型高科技公司才会成为攻击目标。虽然对于APT攻击者而言,政府机构或者涉及国家安全或者国防承包项目的大型跨国企业更具吸引力,但企业规模并不是关键,因为近来,很多小公司也开始负责存储情报片段数据来获得政治或经济利益。还有那些处于一定职位,能够访问情报信息的个人也可能成为攻击目标。 即使是在安全方面投入血本的大型企业仍然可能受到APT攻击,通过各种不同的手段,例如有时候只需要简单地利用尚未修补的已知漏洞。在企业环境中,政策通常会规定新的补丁在部署到生产机器前必须进行全面的测试,这样做无疑可以避免不兼容的问题,但这却让你的系统处于威胁之中。在其他情况下,无线安全漏洞、智能手机桥接,甚至云供应商网络渗透都可能为APT攻击者敞开大门。 任何规模的公司,只要员工可以访问网站、使用电子邮件(尤其是HTML邮件)、传输文件等,就有可能受到APT威胁,这些活动可以被利用来传输APT组件,例如恶意软件可以通过路过式下载、感染附件或文件进行传输。即使是部署了强大的边缘保护的企业仍然无法逃过APT攻击,例如通过内部接入被感染的可移动驱动器(U盘、闪存卡)、其他地方被感染的笔记本电脑等。 APT采取怎样的形式? 高级持续性攻击的“高级”是指,这种攻击形式的攻击者有一个基于特定战略的缜密的计划,即使他们使用的是相对简单的机制来实施。换句话说,APT攻击者不一定是娴熟的黑客,他们可以利用互联网上现成的脚本,和修改别人的恶意软件,或者他们可以创建自定义恶意软件来攻击特定目标。通常,他们使用许多不同攻击类型来攻击同一目标,并且不断来回攻击,也就是所谓的“持续性”。并且,这种攻击通常是以隐形且低调的方式进行的,APT攻击者都是隐形专家,他们采取措施来掩盖他们的踪迹,避免在日志中留下入侵的证据。 APT攻击者也使用社会工程技术和/或招募内部人员来获取有效登录凭证。分支机构通常没有总部那么严格的安全防范措施,因此有时会被利用来通过远程访问向目标系统植入恶意软件。一旦安装了恶意软件,攻击者就能够从任何地方访问和控制你的系统,或者采用自动化程序,这样恶意软件就会将你的重要数据发送给攻击者。 APT攻击者选择使用何种工具主要取决于他们的攻击目标是什么以及其网络配置和安全状况。这里有个简单的比喻:窃贼可能可以使用信用卡打开简单锁的房门,但是如果所有门都是呆锁,他就要找不同的工具来进去了。同样的,APT攻击者通常会尽可能使用最简单的工具来进行攻击。为什么要浪费一个定制的先进工具在不必要的工作上呢?而且这种工具只会给APT攻击者留下马脚。 APT攻击者经常利用僵尸网络,僵尸网络能够给他们提供更多资源来发动攻击,并且很难追踪到攻击的源头。虽然僵尸网络经常与垃圾邮件联系在一起,但它们可以用于多种类型的攻击。一个简单的命令和控制服务器就可以控制位于数百个不同公司的电脑,这些电脑上的恶意软件可以不断更新,一直“领先于”你的检测工具。即使你的公司不是APT攻击的目标,你的网络也可能在你不知情的情况下被用来作为犯罪工具:作为僵尸网络的一部分,用来攻击其他网络。 检测APT 必须明确的是,APT并不是一种特定攻击方法,它描述了“谁、什么和为什么”而没有说明“如何”。市面上并没有商业解决方案可以真正检测或者抵御APT,然而,APT却沦为了众多安全供应商的营销短语和流行用语(虽然他们甚至不知道它的含义)。 针对已知攻击的解决方案可能无法检测先进的APT攻击,因为这种攻击是以“隐形模式”进行的。检测APT需要一个良好的监控解决方案,能够识别和分析服务器和客户端的微妙变化和异常。无论攻击者的犯罪计划多么缜密,他必然会留下点踪迹,也就是刑事调查中的痕迹证据,这种证据并不明显,甚至可能是肉眼看不见的。在数字世界中,APT攻击者为了发动攻击(进入网络、植入恶意软件、复制数据)肯定会在系统的某处留下一些模糊的踪迹。你的安全软件必须能够识别这些标记,将其作为潜在恶意活动的指示。与手动检查文件相比,软件不仅更快而且更有效,因为APT攻击者通常会使用这样的诡计:恶意程序文件名与常见Windows文件类似。软件可以识别文件名的细微区别(例如使用大写I代替小写L等),而肉眼很难识别。 一旦发现了异常行为,就会引发对受感染机器进行更进一步的检查。另一个关键要素是及时通知,这样的话,就可以尽快对机器进行全面检查,而且应该及时保存APT攻击的证据,因为聪明的APT攻击者会尝试删除他们的踪迹以避免被检测到。 软件是检测网络中异常的最好工具,而APT检测的另一方面则需要人为因素,也就是指你可以收集关于网络犯罪的最新情况。正如传统恐怖分子通常会通过 “聊天框”来发出信号,APT攻击者可能会通过不同的通信渠道发出信号,说明攻击正在计划中或者已经取得进展等。但你并不需要安排一个人来拦截和分析这些聊天信息,但是你需要清楚网络犯罪世界发生了什么事情。 保护你的网络 很多抵御APT攻击的防御措施与你可能已经部署的用来抵御一般恶意软件和入侵威胁的措施相同。良好的防病毒和防恶意软件是很重要的,但同样重要的是,你要明白在APT攻击中,渗透者的资源通常要比那些一般攻击者要多得多。这意味着他们可以雇佣专门的程序员随时来创建或者修改恶意软件,根本没有安全供应商创建了定义,也就是零日威胁。 根据定义,APT是一种有针对性的攻击,公司的公共事业和声誉都可能导致公司成为APT攻击目标。因此声誉/品牌监控和管理可以是抵御这种攻击的重要因素。“邪恶公司(Evil corporations)”和那些立场(政治立场、社会立场或其他)不受APT攻击者欢迎的公司很可能成为攻击目标。而在某些情况下,处于某一行业(油公司、银行等)就足以让你成为攻击对象。然而,你可以通过精心培养公司的公众形象来减少风险。
apt攻击是什么
APT攻击
高级持续性威胁(Advanced Persistent Threat,APT),威胁着企业的数据安全。APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。
APT入侵客户的途径多种多样,主要包括以下几个方面。
——以智能手机、平板电脑和USB等移动设备为目标和攻击对象继而入侵企业信息系统的方式。
——社交工程的恶意邮件是许多APT攻击成功的关键因素之一,随着社交工程攻击手法的日益成熟,邮件几乎真假难辨。从一些受到APT攻击的大型企业可以发现,这些企业受到威胁的关键因素都与普通员工遭遇社交工程的恶意邮件有关。黑客刚一开始,就是针对某些特定员工发送钓鱼邮件,以此作为使用APT手法进行攻击的源头。
——利用防火墙、服务器等系统漏洞继而获取访问企业网络的有效凭证信息是使用APT攻击的另一重要手段。
总之,高级持续性威胁(APT)正在通过一切方式,绕过基于代码的传统安全方案(如防病毒软件、防火墙、IPS等),并更长时间地潜伏在系统中,让传统防御体系难以侦测。
“潜伏性和持续性”是APT攻击最大的威胁,其主要特征包括以下内容。
——潜伏性:这些新型的攻击和威胁可能在用户环境中存在一年以上或更久,他们不断收集各种信息,直到收集到重要情报。而这些发动APT攻击的黑客目的往往不是为了在短时间内获利,而是把“被控主机”当成跳板,持续搜索,直到能彻底掌握所针对的目标人、事、物,所以这种APT攻击模式, 实质上是一种“恶意商业间谍威胁”。
——持续性:由于APT攻击具有持续性甚至长达数年的特征,这让企业的管理人员无从察觉。在此期间,这种“持续性”体现在攻击者不断尝试的各种攻击手段,以及渗透到网络内部后长期蛰伏。
——锁定特定目标:针对特定政府或企业,长期进行有计划性、组织性的窃取情报行为,针对被锁定对象寄送几可乱真的社交工程恶意邮件,如冒充客户的来信,取得在计算机植入恶意软件的第一个机会。
——安装远程控制工具:攻击者建立一个类似僵尸网络Botnet的远程控制架构,攻击者会定期传送有潜在价值文件的副本给命令和控制服务器(CC Server)审查。将过滤后的敏感机密数据,利用加密的方式外传。
