260 likes | 455 Views
一场不对等的战争. ——APT 实例分析 演讲者 方兴. 方 兴 ( flashsky ). 国内漏洞挖掘领域最顶尖研究人员 。 2003 年全球第一个分析预警 了微软历史上最严重的安全漏洞 LSD RPC DCOM 缓冲区溢出安全 漏洞( MS03-026 ,该漏洞触发了包括冲击波在内的数十种蠕虫)。 2004 年发布了 <WINDOWS 内核缓 冲区利用远程利用技术 > 的技术演讲,这也是全球第一个 WINDOWS 内核远程利用技术的文章。 2006 年被美国微软应急响应中心特聘为安全专家。. APT 当前形势. APT 攻击技术分析. APT 攻防分析及发展态势.
E N D
一场不对等的战争 ——APT实例分析 演讲者 方兴
方 兴(flashsky) • 国内漏洞挖掘领域最顶尖研究人员。2003年全球第一个分析预警 了微软历史上最严重的安全漏洞 LSD RPC DCOM缓冲区溢出安全漏洞(MS03-026,该漏洞触发了包括冲击波在内的数十种蠕虫)。 • 2004年发布了<WINDOWS内核缓 冲区利用远程利用技术>的技术演讲,这也是全球第一个WINDOWS内核远程利用技术的文章。 • 2006年被美国微软应急响应中心特聘为安全专家。
APT当前形势 APT攻击技术分析 APT攻防分析及发展态势
下一代威胁:APT攻击事件 是他们的安全体系不够好吗?对安全还不够重视吗?
下一代威胁:其他关联定向攻击 这种攻击针对中小企业或个人,往往不是攻击者的最终目标,是攻击者用来做情报收集、供应链渗透、社工欺骗,跳板、或者撒网打鱼用途 但企业被关联攻击也会导致严重后果 通过邮件、定向挂马发起 利用0DAY或改造可对抗的NDAY配合可免杀的木马,辅助一定的社会工程,向大量目标发起 攻击者 受害者
下一代威胁:对手与手段 云与物联网时代 大量信息资产与传统的实体资产依赖IT与网络 PC与网络时代 大量信息资产与少量实体资产依赖IT与网络 单机时代 少量信息资产依赖IT与网络 组织、国家级对抗 (专业黑客和部队) 针对性攻击,武器级手段,配合情报与社工,团队为主 爱好者、恶作剧、证明能力(灰帽) 技术高超,但很少破坏,单兵为主 破坏者、商业犯罪 (黑帽) 大范围无针对性攻击,NDAY为主,单兵或小团队为主
下一代威胁目标 • 国家 • 情报/破坏/控制/扰乱/科研 • 国计民生行业 • 情报/破坏/控制/扰乱/科研 • 大型企业和组织 • 敏感信息/商密/知识产权/供应链跳板/资产 • 中小企业和组织 • 敏感信息/知识产权/供应链跳板 • 个人 • 敏感信息/社工跳板 • 重要个人目标
APT当前形势 APT攻击技术分析 APT攻防分析及发展态势
每年全球漏洞公布情况 2010年4651个漏洞 2011年4155个漏洞 2012年5297个漏洞 2013年(截止6月)2096个漏洞 漏洞严重程度 以Adobe居首
尴尬的传统检测技术 http://www.sans.org/reading_room/whitepapers/intrusion/beating-ips_34137
传统检测技术为什么检测不到APT 基于已知知识: 已知安全漏洞与缺陷 已知木马行为与特征 已知攻击行为 明文内容 限定的权限 难以应对 未知安全漏洞与缺陷 未知木马行为与特征 未知攻击行为 加密内容 社会工程 审 计 加 固 风 评 权限与安全策略 AV/HIPS IDS/IPS FW 加密等基础安全设施与信任
美政府被爆利用顶级互联网公司监视公民 棱镜计划(PRISM)是一项由美国国家安全局(NSA)自2007年起开始实施的绝密电子监听计划。该计划的正式名号为“US-984XN”。美国可以监控境内大站点的数据 PRISM(棱镜)的机密项目,直接利用9大美国顶级互联网公司的中央服务器,提取音频、视频、照片、电子邮件、文件和连接日志,以便帮助分析师追踪个人用户的动向和联系人。根据该项目的花名册 同时曝光的巧言计划: NSA收集了通过骨干网收发电子邮件或浏览互联网的计算机和设备的元数据,包含全球大量计算机操作系统、浏览器和Java的版本。美国情报机构可以利用这些数据去攻击计算机和手机,刺探用户信息。
PRISM棱镜门事件的提示 美国已经针对国内展开了多年的入侵(TAO) 《外交政策》报导,美国国家安全局下设的绝密电子窃听机构TAO(Office of Tailored Access Operations),成功侵入中国的电脑和电信系统已有15年之久,TAO的使命很简单:秘密侵入目标锁定的外国电脑和电信系统,破解密码,窃取储存在电脑硬盘上的数据,复制电子邮件和文本通信系统之间的所有信息和数据。如果总统下令,TAO也负责发起网络攻击,使美国得以摧毁或损害外国电脑和电信系统。 美国可以通过路由控制数据信息 斯诺登认为,NSA在全球展开了超过6.1万次黑客行动,包括位于中国香港和中国大陆的目标。“我们会入侵网络主干,例如大型互联网路由器,这些设施会为数以万计的电脑提供通讯服务。但我们不会逐一入侵每台电脑。”
APT攻击-韩国320事件 1 FIRST组织和APCERT组织了解到韩国主要广播电视台KBS、MBC、YTN,以及韩国新韩银行(ShinNan Bank)、农协银行(NongHyup Bank)等部分金融机构疑似遭受黑客攻击,相关网络与信息系统突然出现瘫痪 ?月中事件调查出炉,报导说朝鲜至少用了 8 个月来策划这次攻击,成功潜入韩国金融机构 1500 次,以部署攻击程序,受害计算机总数达 48000 台,这次攻击路径涉及韩国 25 个地点、海外 24 个地点,部分地点与朝鲜之前发动网络攻击所使用的地址相同。黑客所植入的恶意软件共有 76 种,其中 9 种具有破坏性,其余恶意软件仅负责监视与入侵之用。
韩国320事件攻击行为分析 • 攻击行为分析 • 邮件植入木马 • 病毒传播 • 病毒在3月20日下午2:00以后激活 • taskkill /F /IM pasvc.exe [AhnLab client] • taskkill /F /IM Clisvc.exe • Vista以上系统覆盖文件、其他的破坏引导扇区 • shutdown -r -t 0
APT当前形势 APT攻击技术分析 APT攻防分析及发展态势
美国动向 2013奥巴马签署932.b预算法案 2011《网络空间行动战略》
《网络情报共享和保护法案》(CISPA) • 主要内容 • 信息网络威胁指针对政府或私人实体的系统或网络的漏洞或努力破坏系统或网络或盗窃或盗用私人或政府的信息,知识产权,或个人身份信息的意图或发起的攻击事件信息 • 要求私营部门实体和政府共享网络威胁情报 • 进程 • 2011年众议院情报委员会成员、共和党议员迈克·罗杰斯提案 • 2012年4月众议院通过,被奥巴马否据 • 2013年1月复提,参议院听证提出3000亿美金损失 • 2013年2月mandiant apt1报告 • 2013年3月奥巴马签署《关于提升关键基础设施网络安全的决定》的行政令
军事-美国 • 美国网络战司令部司令部正在新增40支网络队伍,其中13支重点任务是在美国网络遭受攻击时,向其他国家发起进攻性网络攻击。 • 美国网络司令部2013年将扩编为接近5,000人,年度预算达到34亿美元。该司令部2010年建立时仅有1,000人 • 爱因斯坦计划:1收集日志,2以IDS为主,3以内容检测为主,针对邮件做深度内容检测(70% APT攻击通过邮件发起)
产业 • 投资 • 2012年一年,美国有6.5亿美金创业基金投资到新型网络安全威胁解决的创业公司 • 新型公司和方向 • Fireeye:累计获取了1亿美金投资,包括cia下属的infoq,动态威胁检测技术 • Mandiant:获得7000万美金投资,蜜罐和取证技术 • CrowdStrike:半年获得2600万美金投资,主动攻击和APT检测 • Cylance:工控保护。 • Bromium:移动手机保护 • Shapesecurity:企业XSS和钓鱼攻击
我们的问题 • 政策 • 自主与可控(安全) • 现实:基础设施大量依赖国外 • 在不可信组件之上构建可信系统 • 分权/加密 • 危害感知能力/监控体系 • 惩罚/制衡 • 产业 • 新的安全威胁解决技术扶持与应用