工業(yè)控制系統(tǒng)攻擊中的APT
針對(duì)工業(yè)控制系統(tǒng)的攻擊,不論在規(guī)模宏大的網(wǎng)絡(luò)戰(zhàn)(Cyberwar),還是在一般的網(wǎng)絡(luò)犯罪(Cybercrime)中,都可以發(fā)現(xiàn) APT 的影子。
網(wǎng)絡(luò)戰(zhàn)中的 APT——Stuxnet
2010 年 6 月, 白俄 羅斯 VirusBlokAda 公司發(fā) 現(xiàn)了 一種 復(fù)雜 的惡意 程序 ——Stuxnet。2010 年 9 月 26 日,伊朗媒體報(bào)道,伊朗在建的布什爾核電站遭到Stuxnet 病毒的攻擊。這種病毒以核燃料離心機(jī)為目標(biāo),而伊朗幾乎每一個(gè)核燃料提純?cè)O(shè)備中都使用了這種離心機(jī)。最后 Stuxnet 感染了全球超過(guò) 45000 個(gè)網(wǎng)絡(luò),其中伊朗遭到的攻擊最為嚴(yán)重。
根據(jù)微軟安全漏洞公告和西門(mén)子向外界公開(kāi)的報(bào)告,Stuxnet 利用了微軟 Windows 操作系統(tǒng)中的 5 個(gè)漏洞(其中包括 MS10-046、 MS10-061 兩個(gè)零日漏洞和另兩個(gè)尚未修復(fù)的提權(quán)漏洞),以及西門(mén)子工業(yè)控制系統(tǒng)的 2 個(gè)漏洞,并盜用了 Realtek 和 JMicron 公司的多個(gè)數(shù)字簽名,可通過(guò)移動(dòng)存儲(chǔ)設(shè)備(例如 U 盤(pán))和局域網(wǎng)傳播。
(1) 首先感染可移動(dòng)存儲(chǔ)設(shè)備對(duì)物理隔離網(wǎng)絡(luò)實(shí)現(xiàn)“擺渡”攻擊;
(2) 然后利用快捷方式文件解析漏洞(MS10-046),傳播到內(nèi)部網(wǎng)絡(luò);
(3) 在內(nèi)部網(wǎng)絡(luò)中,通過(guò)快捷方式解析漏洞(MS10-046)、打印機(jī)后臺(tái)程序服務(wù)漏洞(MS10-061)、RPC 遠(yuǎn)程執(zhí)行漏洞(MS08-067),尋找安裝了 WinCC 軟件的主機(jī),并探測(cè)計(jì)算機(jī)是否連接一種由西門(mén)子公司制造、廣泛用于鈾濃縮設(shè)施(離心機(jī))的可編程序控制器;
(4) 最后,尋找一個(gè)特別型號(hào)的“變頻轉(zhuǎn)換器”,并對(duì)其數(shù)據(jù)進(jìn)行修改,使該設(shè)備轉(zhuǎn)速降低,從而無(wú)法生成濃縮鈾,而這種突然的降速會(huì)造成硬件的永久損壞。
這次事件促使西門(mén)子(Siemens)加大了對(duì)其工業(yè)控制系統(tǒng)產(chǎn)品安全性的重視程度,這也是現(xiàn)在西門(mén)子提供的工業(yè)控制系統(tǒng)相關(guān)漏洞數(shù)目偏多的原因。
網(wǎng)絡(luò)犯罪中的 APT——Nitro
2011 年 10 月底,賽門(mén)鐵克公司發(fā)布的一份報(bào)告公開(kāi)了主要針對(duì)全球化工企業(yè)進(jìn)行信息竊取的 Nitro 攻擊。從該攻擊的操作過(guò)程也可以發(fā)現(xiàn)非常典型的 APT 特征:
(1) 首先受害企業(yè)的部分雇員收到帶有欺騙性的魚(yú)叉式釣魚(yú)郵件,當(dāng)其中一個(gè)受害人閱讀郵件的時(shí)候,看到一個(gè)把文件名和圖標(biāo)偽裝成類(lèi)似文本文件形式的惡意可執(zhí)
行程序附件(該附件也可能是一個(gè)有密碼保護(hù)的壓縮文件,密碼在郵件中注明,解壓后也會(huì)產(chǎn)生一個(gè)可執(zhí)行程序);
(2) 該受害人執(zhí)行了附件中的可執(zhí)行程序后,被植入 Poison Ivy 后門(mén)程序,并通過(guò) TCP80 端口與 C&C 服務(wù)器進(jìn)行加密通訊,將受害人的電腦上的帳號(hào)相關(guān)的文件信息上傳;
(3) 然后攻擊者借助事先植入的木馬在受害企業(yè)的網(wǎng)絡(luò)尋找目標(biāo)、伺機(jī)行動(dòng)、不斷收集企業(yè)的敏感信息;
(4) 所有的敏感信息會(huì)加密存儲(chǔ)在內(nèi)部網(wǎng)絡(luò)中的一臺(tái)臨時(shí)服務(wù)器上,并最終上傳到公司外部的某個(gè)服務(wù)器上,從而完成攻擊。
Google極光攻擊
2010年的Google Aurora(極光)攻擊是一個(gè)十分著名的APT攻擊。Google的一名雇員點(diǎn)擊即時(shí)消息中的一條惡意鏈接,引發(fā)了一系列事件導(dǎo)致這個(gè)搜索引擎巨人的網(wǎng)絡(luò)被滲入數(shù)月,并且造成各種系統(tǒng)的數(shù)據(jù)被竊取。這次攻擊以Google和其它大約20家公司為目標(biāo),它是由一個(gè)有組織的網(wǎng)絡(luò)犯罪團(tuán)體精心策劃的,目的是長(zhǎng)時(shí)間地滲入這些企業(yè)的網(wǎng)絡(luò)并竊取數(shù)據(jù)。該攻擊過(guò)程大致如下:
1) 對(duì)Google的APT行動(dòng)開(kāi)始于刺探工作,特定的Google員工成為攻擊者的目標(biāo)。攻擊者盡可能地收集信息,搜集該員工在Facebook、Twitter、LinkedIn和其它社交網(wǎng)站上發(fā)布的信息。
2) 接著攻擊者利用一個(gè)動(dòng)態(tài)DNS供應(yīng)商來(lái)建立一個(gè)托管偽造照片網(wǎng)站的Web服務(wù)器。該Google員工收到來(lái)自信任的人發(fā)來(lái)的網(wǎng)絡(luò)鏈接并且點(diǎn)擊它,就進(jìn)入了惡意網(wǎng)站。該惡意網(wǎng)站頁(yè)面載入含有shellcode的JavaScript程序碼造成IE瀏覽器溢出,進(jìn)而執(zhí)行FTP下載程序,并從遠(yuǎn)端進(jìn)一步抓了更多新的程序來(lái)執(zhí)行(由于其中部分程序的編譯環(huán)境路徑名稱(chēng)帶有Aurora字樣,該攻擊故此得名)。
3) 接下來(lái),攻擊者通過(guò)SSL安全隧道與受害人機(jī)器建立了連接,持續(xù)監(jiān)聽(tīng)并最終獲得了該雇員訪問(wèn)Google服務(wù)器的帳號(hào)密碼等信息。
4) 最后,攻擊者就使用該雇員的憑證成功滲透進(jìn)入Google的郵件服務(wù)器,進(jìn)而不斷的獲取特定Gmail賬戶(hù)的郵件內(nèi)容信息。
夜龍攻擊
夜龍攻擊是McAfee在2011年2月份發(fā)現(xiàn)并命名的針對(duì)全球主要能源公司的攻擊行為。該攻擊的攻擊過(guò)程是:
1) 外網(wǎng)主機(jī)如Web服務(wù)器遭攻擊成功,黑客采用的是SQL注入攻擊;
2) 被黑的Web服務(wù)器被作為跳板,對(duì)內(nèi)網(wǎng)的其他服務(wù)器或PC進(jìn)行掃描;
3) 內(nèi)網(wǎng)機(jī)器如AD服務(wù)器或開(kāi)發(fā)人員電腦遭攻擊成功,多半是被密碼暴力破解;
4) 被黑機(jī)器被植入惡意代碼,并被安裝遠(yuǎn)端控制工具(RAT),并禁用掉被黑機(jī)器IE的代理設(shè)置,建立起
直連的通道,傳回大量機(jī)敏文件(WORD、PPT、PDF等等),包括所有會(huì)議記錄與組織人事架構(gòu)圖;
5) 更多內(nèi)網(wǎng)機(jī)器遭入侵成功,多半為高階主管點(diǎn)擊了看似正常的郵件附件,卻不知其中含有惡意代碼。
RSA SecurID竊取攻擊
2011年3月,EMC公司下屬的RSA公司遭受入侵,部分SecurID技術(shù)及客戶(hù)資料被竊取。其后果導(dǎo)致很多使用SecurID作為認(rèn)證憑據(jù)建立VPN網(wǎng)絡(luò)的公司——包括洛克希德馬丁公司、諾斯羅普公司等美國(guó)國(guó)防外包商——受到攻擊,重要資料被竊取。在RSA SecurID攻擊事件中,攻擊方?jīng)]有使用大規(guī)模SQL注入,也沒(méi)有使用網(wǎng)站掛馬或釣魚(yú)網(wǎng)站,而是以最原始的網(wǎng)絡(luò)通訊方式,直接寄送電子郵件給公司職員,并附帶防毒軟件無(wú)法識(shí)別的惡意文件附件。其攻擊過(guò)程大體如下:
1) 攻擊者給RSA的母公司EMC的4名員工發(fā)送了兩組惡意郵件。郵件標(biāo)題為“2011 Recruitment Plan”,寄件人是webmaster@Beyond.com,正文很簡(jiǎn)單,寫(xiě)著“I forward this file to you for review. Please open and view it.”;里面有個(gè)EXCEL附件名為“2011 Recruitment plan.xls”;
2) 很不幸,其中一位員工對(duì)此郵件感到興趣,并將其從垃圾郵件中取出來(lái)閱讀,殊不知此電子表格其實(shí)含有當(dāng)時(shí)最新的Adobe Flash的0day漏洞(CVE-2011-0609)。這個(gè)Excel打開(kāi)后啥也沒(méi)有,除了在一個(gè)表單的第一個(gè)格子里面有個(gè)“X”(叉)。而這個(gè)叉實(shí)際上就是內(nèi)嵌的一個(gè)Flash。
3) 該主機(jī)被植入臭名昭著的Poison Ivy遠(yuǎn)端控制工具,并開(kāi)始自BotNet的C&C服務(wù)器(位于good.mincesur.com)下載指令進(jìn)行任務(wù);
4) 首批受害的使用者并非“位高權(quán)重”人物,緊接著相關(guān)聯(lián)的人士包括IT與非IT等服務(wù)器管理員相繼被黑;
5) RSA發(fā)現(xiàn)開(kāi)發(fā)用服務(wù)器(Staging server)遭入侵,攻擊方隨即進(jìn)行撤離,加密并壓縮所有資料(都是rar格式),并以FTP傳送至遠(yuǎn)端主機(jī),又迅速再次搬離該主機(jī),清除任何蹤跡;
6)在拿到了SecurID的信息后,攻擊者就開(kāi)始對(duì)使用SecurID的公司(例如上述防務(wù)公司等)進(jìn)行攻擊了。
另一個(gè)與此攻擊類(lèi)似的攻擊事件是針對(duì)Comodo的頒發(fā)數(shù)字證書(shū)的系統(tǒng)攻擊,結(jié)果導(dǎo)致很多由Comodo簽發(fā)的偽造數(shù)字證書(shū),成為了攻擊者的強(qiáng)大武器。
超級(jí)工廠病毒攻擊(震網(wǎng)攻擊)
遭遇超級(jí)工廠病毒攻擊的核電站計(jì)算機(jī)系統(tǒng)實(shí)際上是與外界物理隔離的,理論上不會(huì)遭遇外界攻擊。堅(jiān)固的堡壘只有從內(nèi)部才能被攻破,超級(jí)工廠病毒也正充分的利用了這一點(diǎn)。超級(jí)工廠病毒的攻擊者并沒(méi)有廣泛的去傳播病毒,而是針對(duì)核電站相關(guān)工作人員的家用電腦、個(gè)人電腦等能夠接觸到互聯(lián)網(wǎng)的計(jì)算機(jī)發(fā)起感染攻擊,以此為第一道攻擊跳板,進(jìn)一步感染相關(guān)人員的U盤(pán),病毒以U盤(pán)為橋梁進(jìn)入“堡壘”內(nèi)部,隨即潛伏下來(lái)。病毒很有耐心的逐步擴(kuò)散,利用多種漏洞,包括當(dāng)時(shí)的一個(gè)0day漏洞,一點(diǎn)一點(diǎn)的進(jìn)行破壞。這是一次十分成功的APT攻擊,而其最為恐怖的地方就在于極為巧妙的控制了攻擊范圍,攻擊十分精準(zhǔn)。
Shady RAT攻擊
2011年8月份,McAfee/Symantec發(fā)現(xiàn)并報(bào)告了該攻擊。該攻擊在長(zhǎng)達(dá)數(shù)年的持續(xù)攻擊過(guò)程中,滲透并攻擊了全球多達(dá)70個(gè)公司和組織的網(wǎng)絡(luò),包括美國(guó)政府、聯(lián)合國(guó)、紅十字會(huì)、武器制造商、能源公司、金融公司,等等。其攻擊過(guò)程如下:
1) 攻擊者通過(guò)社會(huì)工程學(xué)的方法收集被攻擊目標(biāo)的信息。
2) 攻擊者給目標(biāo)公司的某個(gè)特定人發(fā)送一些極具誘惑性的、帶有附件的郵件例如邀請(qǐng)他參加某個(gè)他所在行業(yè)的會(huì)議,以他同事或者HR部門(mén)的名義告知他更新通訊錄,請(qǐng)他審閱某個(gè)真實(shí)存在的項(xiàng)目的預(yù)算,等等。
3) 當(dāng)受害人打開(kāi)這些郵件,查看附件(大部分形如:Participant_Contacts.xls、2011 project budget.xls、Contact List -Update.xls、The budget justification.xls),受害人的EXCEL程序的FEATHEADER遠(yuǎn)程代碼執(zhí)行漏洞(Bloodhound.Exploit.306)被利用,從而被植入木馬。實(shí)際上,該漏洞不是0day漏洞,但是受害人沒(méi)有及時(shí)打補(bǔ)丁,并且,該漏洞只針對(duì)某些版本的EXCEL有效,可見(jiàn)被害人所使用的EXCEL版本信息也已經(jīng)為攻擊者所悉知。
4) 木馬開(kāi)始跟遠(yuǎn)程的服務(wù)器進(jìn)行連接,并下載惡意代碼。而這些惡意代碼被精心偽裝(例如被偽裝為圖片,或者HTML文件),不為安全設(shè)備所識(shí)別。
5) 借助惡意代碼,受害人機(jī)器與遠(yuǎn)程計(jì)算機(jī)建立了遠(yuǎn)程Shell連接,從而導(dǎo)致攻擊者可以任意控制受害人的機(jī)器。
綜合分析以上典型的APT攻擊,可以發(fā)現(xiàn),現(xiàn)在的新型攻擊主要呈現(xiàn)以下技術(shù)特點(diǎn):
1) 攻擊者的誘騙手段往往采用惡意網(wǎng)站,用釣魚(yú)的方式誘使目標(biāo)上鉤。而企業(yè)和組織目前的安全防御體系中對(duì)于惡意網(wǎng)站的識(shí)別能力還不夠,缺乏權(quán)威、全面的惡意網(wǎng)址庫(kù),對(duì)于內(nèi)部員工訪問(wèn)惡意網(wǎng)站的行為無(wú)法及時(shí)發(fā)現(xiàn);
2) 攻擊者也經(jīng)常采用惡意郵件的方式攻擊受害者,并且這些郵件都被包裝成合法的發(fā)件人。而企業(yè)和組織現(xiàn)有的郵件過(guò)濾系統(tǒng)大部分就是基于垃圾郵件地址庫(kù)的,顯然,這些合法郵件不在其列。再者,郵件附件中隱含的惡意代碼往往都是0day漏洞,郵件內(nèi)容分析也難以奏效;
3) 還有一些攻擊是直接通過(guò)對(duì)目標(biāo)公網(wǎng)網(wǎng)站的SQL注入方式實(shí)現(xiàn)的。很多企業(yè)和組織的網(wǎng)站在防范SQL注入攻擊方面缺乏防范;
4) 初始的網(wǎng)絡(luò)滲透往往使用利用0day漏洞的惡意代碼。而企業(yè)和組織目前的安全防御/檢測(cè)設(shè)備無(wú)法識(shí)別這些0day漏洞攻擊;
5) 在攻擊者控制受害機(jī)器的過(guò)程中,往往使用SSL鏈接,導(dǎo)致現(xiàn)有的大部分內(nèi)容檢測(cè)系統(tǒng)無(wú)法分析傳輸?shù)膬?nèi)容,同時(shí)也缺乏對(duì)于可疑連接的分析能力;
6) 攻擊者在持續(xù)不斷獲取受害企業(yè)和組織網(wǎng)絡(luò)中的重要數(shù)據(jù)的時(shí)候,一定會(huì)向外部傳輸數(shù)據(jù),這些數(shù)據(jù)往往都是壓縮、加密的,沒(méi)有明顯的指紋特征。這導(dǎo)致現(xiàn)有絕大部分基于特征庫(kù)匹配的檢測(cè)系統(tǒng)都失效了;
7) 還有的企業(yè)部署了內(nèi)網(wǎng)審計(jì)系統(tǒng),日志分析系統(tǒng),甚至是SOC安管平臺(tái)。但是這些更高級(jí)的系統(tǒng)主要是從內(nèi)控與合規(guī)的角度來(lái)分析事件,而沒(méi)有真正形成對(duì)外部入侵的綜合分析。由于知識(shí)庫(kù)的缺乏,客戶(hù)無(wú)法從多個(gè)角度綜合分析安全事件,無(wú)法從攻擊行為的角度進(jìn)行整合,發(fā)現(xiàn)攻擊路徑。
8)受害人的防范意識(shí)還需要進(jìn)一步提高。攻擊者往往不是直接攻擊最終目標(biāo)人,而是透過(guò)攻擊外圍人員層層滲透。例如先攻擊HR的人,或者首輪受害人的網(wǎng)絡(luò)好友,再以HR受害人的身份去欺騙(攻擊)某個(gè)接近最終目標(biāo)人的過(guò)渡目標(biāo),再透過(guò)過(guò)渡目標(biāo)人去攻擊最終目標(biāo)人(例如掌握了某些機(jī)密材料的管理員、公司高管、財(cái)務(wù)負(fù)責(zé)人等)。
因此,在APT這樣的新型攻擊面前,大部分企業(yè)和組織的安全防御體系都失靈了。保障網(wǎng)絡(luò)安全亟需全新的思路和技術(shù)。
