国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

Tags：應用安全(1006)APT攻擊(35)服務器(140)　　

　　對企業(yè)的治理者和CSO們而言，高級可延續(xù)性威脅(APT)是他們的惡夢。對APT報復打擊，企業(yè)很難做到禁止，應對這類報復打擊凡是需要明白的響應和恢復打算，如許做的目標是削減侵害和損掉。因為一旦發(fā)現(xiàn)APT勾當，這凡是意味著已為時已晚。在本文中，我們將和大年夜家切磋APT報復打擊的全過程，讓大年夜家體味APT報復打擊，不在對它害怕。

　　但是，安然專業(yè)人士知道當應對有針對性報復打擊時，需要利用不合的手藝和計謀，對他們而言，這里還有戰(zhàn)役的機緣。

　　報復打擊性質(zhì)及特點闡發(fā)

　　對良多企業(yè)帶領(lǐng)而言，APT側(cè)重于單個報復打擊，利用高級報復打擊編制，以獲得敏感信息或核心數(shù)據(jù)。報復打擊者獲得信息后，便可以出售或利用這些信息來獲得某種類型的(經(jīng)濟、社會、軍事等方面)好處。在這類事務背后的介入者多是進行間諜勾當?shù)膰?，或在重大年夜產(chǎn)品發(fā)布會或并購之前想要占優(yōu)勢的商業(yè)競爭敵手。

　　需要寄望的是，在這類環(huán)境下商業(yè)競爭敵手或是國度其實不會直接報復打擊你，這些報復打擊者會報復打擊第三方，并操縱他們來倡議報復打擊和治理報復打擊勾當。這也是APT報復打擊很難禁止的啟事，企業(yè)可以抓到進行直接報復打擊的黑客并禁止他們，但找到報復打擊本源美滿是另外一回事。

　　別的，一些通俗的收集罪犯也在利用這些用來策動APT報復打擊的編制，所以在大年夜大都環(huán)境下，稱他們?yōu)楦呒増髲痛驌羝鋵嵅坏卯?。別的，常常被人們用來描述APT報復打擊的零日縫隙操縱能力，也不該該作為APT的較著特點。各類收集罪犯都在操縱零日縫隙，因為這類東西可以或許帶領(lǐng)他們實現(xiàn)更高程度的成功。

　　有針對性APT報復打擊和通俗收集報復打擊之間的辨別在于目標或是整體方針，而不是他們利用的東西、計謀或法度。安然供給商可能不會茍同，但當你看看那些APT報復打擊和導致敏感記實或企業(yè)奧秘丟掉而沒有回類為APT的事務，辨別在哪里？

　　APT勾當背后的報復打擊者其實不會利用收集巫術(shù)來實現(xiàn)他們的方針。他們操縱根基報復打擊編制(例如社會工程、歹意軟件、軟件縫隙、web縫隙和公開課用的東西)來完成其報復打擊。他們與一般報復打擊者的辨別是，他們有資金撐持，并且有明白的任務方針。他們會盡一切力量來實現(xiàn)其方針，不管花多長時候。標題問題是，當觸及到安然性和防御擺設(shè)時，良多企業(yè)沒有太太正視，使他們輕松被射中。

　　APT相干的勾當其實不是報復打擊，它們是有針對性的延續(xù)勾當。這些勾當背后的把持者會破鈔大年夜量時候和經(jīng)歷并擬定具體打算，讓他們不但可以或許拜候企業(yè)收集和數(shù)據(jù)，還可以或許保持其拜候權(quán)限達數(shù)年之久。

　　在2009年，Lockheed Martin公司發(fā)布了一份關(guān)于APT防御的***，此中介紹了這些高級報復打擊勾當?shù)奶攸c，和若何操縱現(xiàn)有根本舉措措施來沖擊這些勾當。這份***中寫道：“因為傳統(tǒng)的基于縫隙的做法其實不敷好，我們需要體味這類威脅本身、它的意圖、能力和把持模式?！?/P>

　　報復打擊前的"敵情"窺伺

　　1、小我資料：人是最虧弱的環(huán)節(jié)

　　良多時辰，導致企業(yè)遭到報復打擊的信息凡是是沒有獲得足夠正視和呵護的信息。這多是德律風號碼、電子郵件目次表、文檔中的元數(shù)據(jù)，和企業(yè)高管的全名和公司成長史等。

　　此中有些信息可以經(jīng)由過程公共記實和收集搜刮找到，但有時局實并不是如斯。公開的小我或企業(yè)的信息被稱為開源諜報(OSINT)，因為任何人都可以避免費公開地獲得這些信息。標題問題是，對大年夜大都來講，來自單一來歷的可用OSINT數(shù)量凡是很是少。

　　因為這類稀缺性，良多收集罪犯會鏈接信息，即整合良多小數(shù)據(jù)直到獲得完全信息。黑客組織Anonymous在策動報復打擊前，就是操縱“dox”來匯集關(guān)于小我或事物的信息，這些“dox”就是信息鏈。但是，不只是黑客和犯法分子，安然專家也會采取這類做法，包含法律機構(gòu)。

　　這些向公家供給的信息包含：營業(yè)陳述、新聞報導、企業(yè)網(wǎng)站、社交媒體賬戶(小我和專業(yè))和來自商業(yè)火伴的相干信息。

　　經(jīng)由過程這些信息，報復打擊者將體味其報復打擊方針和啟事;更首要的是，他們將知道若何報復打擊這些方針，而不需要進行額外的布景研究。

　　談到?jīng)]有遭到呵護的數(shù)據(jù)，讓我們先看看元數(shù)據(jù)。

　　2、元數(shù)據(jù)：進進企業(yè)的隱躲的鑰匙

　　在這里，元數(shù)據(jù)是指嵌進在文檔和圖象中的信息。我們其實不是在談論美國***局匯集的元數(shù)據(jù)。大年夜大都人都不知道他們上傳到網(wǎng)上的圖片不但包含圖象拍攝位置，并且還包含準確的時候戳，和硬件信息。對文檔(從PDF到PPT)中的元數(shù)據(jù)，報復打擊者可以獲得軟件產(chǎn)品名稱和版本、文檔作者的名字、收集位置、IP地址等。

　　體味元數(shù)據(jù)是很首要的，因為在窺伺階段，報復打擊者匯集的第一個信息是可公開獲得的文檔。以下是操縱元數(shù)據(jù)的很好的例子。在2011年，有人代表Anonymous上傳了1.2GB torrent文件，讓良多人相信美國商會、美國立法交換委員會(ALEC)、公共政策麥基諾中間蒙受了數(shù)據(jù)泄漏。過后發(fā)現(xiàn)，這些機構(gòu)的文檔并沒有被盜竊，只是利用FOCA匯集的文檔信息。

　　在屬于美國商會的文檔集中，有194個Word文檔(.doc和.docx)、724個PDF文檔、59個PPT文檔(.ppt和.pptx)和12個Excel文檔(.xls 和 .xlsx)。 經(jīng)由過程查抄此中的元數(shù)據(jù)，發(fā)現(xiàn)了293個名稱，此中大年夜部門是收集ID。當然只有23個電子郵件地址泄漏，但其實報復打擊者可以輕松獲得其他地址，因為良多美國商會人員的信息可以經(jīng)由過程OSINT發(fā)現(xiàn)。這些元數(shù)據(jù)還包含文件夾路徑和本地系統(tǒng)路徑和web辦事器路徑。還有共享收集打印器的位置和名稱。

　　在軟件方面，美國商會的數(shù)據(jù)中列出了超越100個軟件名稱。當然良多軟件產(chǎn)品是在成立文檔時記實的名稱，但鑒于良多企業(yè)仍然在利用傳統(tǒng)軟件，這也是報復打擊者的貴重數(shù)據(jù)。

　　一樣首要的是IP地址，和肯定企業(yè)在運行Windows XP、Windows Server 2000和Windows Server 2003。當然有些數(shù)據(jù)沒有更新，但大年夜量這類信息可以作為報復打擊企業(yè)的解纜點。

　　FOCA可以幫忙企業(yè)發(fā)現(xiàn)元數(shù)據(jù)，還有良多可用資本可幫忙企業(yè)治理和刪除元數(shù)據(jù)。

　　3、手藝信息：進侵根本舉措措施

　　當然報復打擊者會利用OSINT來尋覓暗藏的線索，他們也會查看方針企業(yè)網(wǎng)站利用的利用法度和腳本。報復打擊者會探測方針企業(yè)的全部收集中的縫隙，利用法度和腳本其實不是獨一的報復打擊面，它們只是最等閑獲得的線索。

　　如前所述，報復打擊者可以或許知道方針企業(yè)利用的軟件類型，還有IP地址、web辦事器規(guī)格(例如平臺版本)、虛擬主機信息和硬件類型。

　　平臺版本號碼可以幫忙員工找出存在的縫隙，當對硬件，這些信息可以用來定位默許登錄信息。而對腳本和網(wǎng)站開辟，報復打擊者可以被動掃描***機縫隙、跨站腳本、SQL注進和其他縫隙。

　　手藝窺伺的另外一種路子是供給鏈。良多企業(yè)常常會公開其營業(yè)合作火伴，這給報復打擊者供給了另外一個可操縱的線索。試想一下：假定代辦署理商的賬戶被攻破，這將對你的企業(yè)有何影響?

　　有時辰最好的編制就是簡單的列出信息，下面是報復打擊者在窺伺勾當中可能尋覓的信息：

　　OSINT數(shù)據(jù)

　　▍可下載文件

　　·這為報復打擊者供給了直接的信息和匯集元數(shù)據(jù)的機緣

　　▍員工照片和企業(yè)勾當照片

　　·這為報復打擊者供給了直接的信息和匯集元數(shù)據(jù)的機緣

　　▍人員名單和帶領(lǐng)層信息

　　·體味誰是誰，并成立企業(yè)內(nèi)部的關(guān)系

　　▍項目和產(chǎn)品數(shù)據(jù)

　　·當搜刮報復打擊面和布景信息時很有效

　　▍B2B關(guān)系

　　·這類數(shù)據(jù)被用來成立供給鏈關(guān)系和發(fā)賣渠道以便以后縫隙操縱

　　▍員工的具體信息

　　·這包含社交媒體的小我和公共數(shù)據(jù)

　　▍軟件數(shù)據(jù)

　　·方針企業(yè)內(nèi)利用的軟件類型

　　構(gòu)建完全的小我資料

　　完全小我資料包含：全名、地址(過往和此刻)、德律風號碼(小我和工作)、出世日期、社會安然號碼、 ISP的數(shù)據(jù)(IP地址、供給商)、用戶名、暗碼、公共記實數(shù)據(jù)(稅收、信貸汗青、法令記實)、歡愉愛好、最喜好的餐館、片子、冊本等等。

　　報復打擊者會試圖匯集所有這些信息，每次報復打擊勾當需要的信息量都不合。但是，信息量越大年夜，報復打擊者成功的概率就越大年夜。

　　構(gòu)建完全的手藝資料

　　手藝資料信息包含：收集地圖、從元數(shù)據(jù)獲得的手藝具體信息、IP地址、可用硬件和軟件信息、把持系統(tǒng)具體信息、平臺開辟數(shù)據(jù)和驗證辦法。

　　有了這些信息，報復打擊者可以操縱小我資料數(shù)據(jù)并對準辦事臺。知道ID是若何成立的可以幫忙報復打擊者體味電子郵件地址是若何成立，更便利地進行垂釣報復打擊、猜想地址或初步溝通。報復打擊者還可以搜索把持系統(tǒng)、第三方軟件和平臺數(shù)據(jù)的縫隙或默許拜候。

　　數(shù)據(jù)匯集資本：

　　在窺伺階段，這些網(wǎng)站被用來匯集小我資料信息，每個新信息城市給報復打擊者帶來更多可操縱信息。社交媒體信息會供給名字和圖片。

　　報復打擊者知道往哪里尋覓數(shù)據(jù)。按照不合方針，報復打擊者會為信息或信息辦事付款。但是，請寄望，這其實不是周全的資本清單，只是常常會提到的資本。

　　Google (www.谷歌.com)

　　小我/企業(yè)搜刮

　　這些網(wǎng)站供給了對小我用戶、企業(yè)和二者之間聯(lián)系的公共信息。

　　Zoom Info (www.zoominfo.com)

　　PIPL (www.pipl.com)

　　Intelius (www.intelius.com)

　　Muckety (www.muckety.com)

　　其他搜刮資本

　　Web Archive (www.archive.org)

　　GeoIP (www.geoiptool.com )

　　Robtex (www.robtex.com)

　　KnowEm (www.knowem.com)

　　ImageOps (http://imgops.com)

　　SHODAN (www.shodanhq.com)

　　清算匯集的數(shù)據(jù)

　　在窺伺階段清算所有匯集到的各類信息，保舉的東西是Maltego。Maltego是一個OSINT東西，黑客、法律機構(gòu)和安然專家利用它來治理信息鏈。它供給對數(shù)據(jù)的可視化概覽，可以或許幫忙清算用戶、組織、機構(gòu)、收集信息之間的聯(lián)系關(guān)系。

　　常見東西和軟件

　　對在窺伺階段報復打擊者利用的東西，凡是很等閑獲得且易于把持，包含這些：

　　SQLMap (http://sqlmap.org)

　　BackTrack Linux (http://www.backtrack-linux.org)

　　Metasploit (http://metasploit.org)

　　4、總結(jié)

　　避免窺伺幾近是不成能的。你可以減緩一些報復打擊，但互聯(lián)網(wǎng)本身的性質(zhì)意味著信息會以這類或那種情勢存在，并且，最終將被報復打擊者發(fā)現(xiàn)。對減緩辦法，下面是需要考慮的工作。

　　監(jiān)控日記記實和闡發(fā)利用法度中異常下載流量岑嶺。

　　決不承諾內(nèi)部端口(內(nèi)網(wǎng))、文檔或存儲中間從收集外部拜候。經(jīng)由過程受限制IP或企業(yè)VPN和ACL政策治理對這些資本的拜候。別的，杰出的IAM(身份和拜候治理)也能夠作為不錯的防御。啟用多身分身份驗證，有效治理過時的賬戶和暗碼。

　　一樣地，監(jiān)控收集中的ICMP流量。別的，不雅察對收集子網(wǎng)的掃描。這很罕有，并且相當較著，但這確切會產(chǎn)生。對看似隨便的端口進行查抄。

　　對OSINT，另外一個防馭手藝是限制公開顯示的信息量;包含德律風簿、員工名單、過于具體的人員和帶領(lǐng)介紹、項目打算、營業(yè)和渠道合作火伴和客戶名單。

　　當然這些數(shù)據(jù)其實不是出格首要，但這些數(shù)據(jù)可以供給遍及的報復打擊面。如前所述，過濾元數(shù)據(jù)也是關(guān)頭的減緩辦法。但是，對這些數(shù)據(jù)的限制需要經(jīng)由過程風險評估來肯定，這需要所有營業(yè)范疇的介入。

　　還要寄望標語提取，這是報復打擊者體味企業(yè)手藝減緩常常利用的易于利用的手藝。在報復打擊者進行窺伺后，下一個步調(diào)將是兵器化和交付。本系列的第二部門將研究這個方面和解決編制。

　　報復打擊時的兵器與手段

　　正如前面我們提到的，APT報復打擊和通俗報復打擊之間的辨別是目標，或說背后把持者的具體方針，而不是東西、策略或流程。

　　一般的報復打擊首要依托于數(shù)量，報復打擊者會成百上千次的發(fā)送不異的鏈接或是歹意軟件，在大年夜大都環(huán)境下，這個過程是主動化的，報復打擊者利用機械人或基于web腳本來鞭策報復打擊，假定報復打擊了大年夜量的暗藏受害者，那么報復打擊者可能獲得已獲得了一半的成功。而APT報復打擊則會利用多個鏈接、不合類型的歹意軟件，并節(jié)制報復打擊量，是以，APT報復打擊很難被傳統(tǒng)的安然防馭手段所發(fā)現(xiàn)。

　　1、啟動報復打擊

　　在窺伺階段，報復打擊者會匯集盡可能多的關(guān)于方針的信息，這些信息在報復打擊開端階段將闡揚首要感化。這些信息可讓報復打擊者可以或許設(shè)計和開辟一個歹意有效載荷，并選擇最好的編制來傳送。

　　對報復打擊東西包，有良多低成本的選擇，并且還可以隨后添加自定義模塊或功能。這些東西可以托管在任何位置，但報復打擊者凡是會將它們放在有著杰出名譽的合法域名，操縱路過式下載報復打擊。

　　水坑報復打擊凡是采取兩種報復打擊編制。一種編制是經(jīng)由過程收集垂釣電子郵件將方針帶到報復打擊者的操縱東西包。

　　另外一種編制是對準共享資本。這些資本凡是對方針有著一訂價值，并有杰出的名譽。對這類這類編制來講，報復打擊者沒有直接對準方針，而是傳染方針將要拜候的網(wǎng)站，等著方針被傳染。

　　我們需要體味水坑報復打擊和路過式下載報復打擊的辨別，此中一種可用于倡議一般報復打擊，而這類報復打擊很等閑被發(fā)現(xiàn)，另外一種則加倍埋沒。

　　報復打擊者還會操縱零日縫隙，但并不是老是如斯。當利用零日縫隙時，首要啟事是報復打擊者報復打擊方針實現(xiàn)概率增加。這些方針多是安裝Paid-Per-Install歹意軟件、信息盜取、構(gòu)建僵尸收集或間諜勾當。但是，操縱現(xiàn)有縫隙要比零日縫隙加倍等閑，因為企業(yè)和小我用戶常常沒有修復系統(tǒng)和第三方軟件的縫隙。

　　回顧在窺伺階段，還有一些其他信息可能幫忙報復打擊者展開報復打擊。假定報復打擊者發(fā)現(xiàn)可托營業(yè)合作火伴網(wǎng)站中的縫隙，或方針企業(yè)的縫隙，報復打擊將變得加倍等閑，因為報復打擊者既可以操縱水坑報復打擊，也能夠操縱單一的可托資本。在這類環(huán)境下，SQL注進、跨站腳本(XSS)等常見縫隙都可以報復打擊者的切進點，默許或有縫隙的辦事器建設(shè)一樣如斯。

　　別的，報復打擊者會將精力集中在等閑實現(xiàn)的方針上，是以，內(nèi)部開辟的有縫隙的利用法度或添加到公司博客或內(nèi)網(wǎng)的第三方腳本，都可能用來策動報復打擊。最后，假定方針企業(yè)利用的CMS或主機平臺已顛末時或未修復，這也會成為報復打擊的存眷點。

　　2、選擇方針

　　一旦報復打擊者肯定了報復打擊向量(此中包含有縫隙的平臺和報復打擊類型)，他們將需要選擇一個受害者。在良多環(huán)境下，受害者其實已肯定。但有時辰，受害者是誰其實不首要，報復打擊者會報復打擊盡可能多的方針以進步其成功率。假定受害者還沒有選定，整體方針是一個企業(yè)，那么，來自窺伺階段的數(shù)據(jù)再次會變得有效。

　　請記住，報復打擊者起首會對準等閑報復打擊的方針，企業(yè)內(nèi)最等閑的方針是辦事臺工作人員，或供給付出辦事的員工，例如客戶辦事代表或行政助理。因為這些人可以或許拜候或聯(lián)系企業(yè)內(nèi)的其他人。在窺伺階段，報復打擊者可以或許獲得這些人的信息，包含他們正在利用的軟件和硬件類型、社交收集信息、公開的陳述或其他工作、歡愉愛好或他們的小我信息。

　　企業(yè)內(nèi)的其他人也可能成為方針，這主如果因為他們在企業(yè)內(nèi)的拜候權(quán)限和影響力。這些包含：首席履行官、首席財務官、IT部門、QA和開辟團隊、發(fā)賣、營銷和公共關(guān)系團隊。

　　3、傳送有效載荷

　　在成立有效載荷、選定報復打擊方針后，報復打擊者需要開端傳送歹意載荷到方針，他們選擇的傳送編制包含：

　　1. 路過式下載報復打擊： 這類傳送編制讓報復打擊者可以對準更遍及的受害者。這是一般犯法的常常利用編制，例如信息盜取歹意軟件或僵尸收集構(gòu)建歹意軟件。犯法東西包是典型的傳送東西，因為它們可以操縱多個縫隙。

　　任何具有可操縱縫隙的網(wǎng)站都可能受這類報復打擊的影響。請記住，SQL注進報復打擊可用于拜候存儲數(shù)據(jù)，也能夠拜候傳染數(shù)據(jù)庫中的身份驗證具體信息，進一步鞭策報復打擊。別的，跨站腳本和文件包含縫隙將讓報復打擊舒展。當歹意代碼注進到網(wǎng)站，報復打擊者只需要等候受害者。在文件包含縫隙的環(huán)境下，假定報復打擊者獲得對web辦事器本身的節(jié)制，他們便可以報復打擊其他區(qū)域和辦事器上的數(shù)據(jù)。

　　寄望： 這就是分手和呵護網(wǎng)段的啟事。這可以或許幫忙降落數(shù)據(jù)泄漏期間連帶效應的風險。假定對一個區(qū)域的拜候承諾拜候所有其他區(qū)域，報復打擊者的工作就變得加倍等閑了。

　　2. 水坑報復打擊： 細粒度水坑報復打擊不合于一般報復打擊。當然全部報復打擊勾當可能讓其他不相干的人成為受害者，報復打擊者對選定的一組人或特定人更感歡愉愛好。

　　這類報復打擊的方針多是開辟人員、QA、IT或發(fā)賣人員，因為這些人更可能利用論壇或其他社友情況來與同業(yè)交換或?qū)で髤f(xié)助。 SQL注進、文件包含和跨站腳本縫隙都將是首要切進點。假定報復打擊者可以節(jié)制直接綁定到方針收集的辦事器，那么，報復打擊員工就成了次要方針。

　　3. 收集垂釣(一般)： 一般收集垂釣報復打擊會對準遍及受害者。報復打擊者可以經(jīng)由過程這類編制漫衍大年夜量歹意軟件，既快速又便宜，并且不需要太費工夫。假定暗藏受害者打開郵件附件，或點擊歹意鏈接，在有效載荷安裝后，就申明報復打擊成功了。收集垂釣被用來傳播財務歹意軟件，而一般歹意軟件被用來盜取數(shù)據(jù)和構(gòu)建僵尸收集，而這又被用來發(fā)送更多的垃圾郵件。

　　收集垂釣勾當中利用的電子郵件地址可能來自各類來歷，包含在窺伺階段匯集的數(shù)據(jù)，同時也可能來自數(shù)據(jù)庫泄漏變亂公開透露的數(shù)據(jù)。一般收集垂釣的目標是玩數(shù)字游戲，假定報復打擊者發(fā)送歹意郵件到100萬地址，而安裝了1000個歹意軟件，那么，這將被視為一個巨大年夜的成功。

　　4. 收集垂釣(重點): 重點收集垂釣報復打擊，或說魚叉式收集垂釣，工作道理與一般收集垂釣報復打擊差不多，只是暗藏受害者范圍小良多。魚叉式垂釣報復打擊很合適于報復打擊一小我或一個小組，因為在窺伺階段匯集的數(shù)據(jù)能說服受害者做一些把持，例如打開歹意附件或點擊鏈接。

　　魚叉式收集垂釣勾當很難被發(fā)現(xiàn)，出格是對被動的反垃圾郵件手藝。魚叉式收集垂釣獲得成功是因為，受害者相信郵件中包含的信息，并且大年夜大都人都覺得反垃圾郵件呵護會抵抗這類威脅。

　　4、總結(jié)

　　將APT報復打擊禁止在萌芽期間很關(guān)頭，因為假定你能在這個階段禁止報復打擊，那么，戰(zhàn)役已贏了。但是，犯法分子沒有這么等閑對。除非你擺設(shè)了分層防御辦法，完全禁止這類報復打擊，說起來比做起來等閑。下面我們看看抵抗報復打擊的編制：

　　進侵檢測系統(tǒng)(IDS)和進侵防御系統(tǒng)(IPS)是很好的呵護層。但是，大年夜大都只是擺設(shè)了此中一個，而沒有都擺設(shè)，最好的編制就是同時擺設(shè)這二者。

　　IDS產(chǎn)品供給了可視性，但只有當數(shù)據(jù)泄漏變亂產(chǎn)生后才有效。假定企業(yè)可以或許即時對IDS警報采納步履，損掉和侵害可以獲得減緩。在另外一方面，IPS產(chǎn)品可以或許有效發(fā)現(xiàn)和辨認已知報復打擊，但貧乏可視性。這兩個解決方案的錯誤謬誤是它們所依托的簽名。假定沒有更新簽名，你可能沒法檢測報復打擊者擺設(shè)的最新報復打擊手藝。

　　反病毒呵護凡是可以或許檢測良多縫隙操縱東西包安裝的歹意軟件。但單靠AV簽名并沒甚么用，所有AV產(chǎn)品都需要依托于簽名呵護。當然AV供給商供給各類呵護，包含白名單和基于主機的IDS，但這些功能需要啟用和利用。

　　垃圾郵件過濾也是檢測和禁止大年夜部門報復打擊必不成少的編制，但企業(yè)不克不及只依托反垃圾郵件呵護。它們很等閑呈現(xiàn)誤報，沒法反對一切報復打擊，出格是當報復打擊者假裝成白名單中的域名時。

　　補丁治理是另外一個關(guān)頭呵護層，因為它可以或許應對報復打擊者最強的東西之一—縫隙操縱東西包。但是，修復把持系統(tǒng)其實不敷，還需要按期修復第三方軟件。

　　最后，還需要安然意識培訓。企業(yè)應當對用戶進行培訓來抵抗最較著的威脅，包含收集垂釣報復打擊。安然意識培訓是延續(xù)的步履，可以或許直接解決企業(yè)面對的風險。

　　報復打擊時的縫隙操縱

　　毫無疑問，假定讓報復打擊者已順利進展到了這個階段，標題問題已很嚴重了，可是你仍然有機緣。此刻，報復打擊者已傳送了附有歹意附件的電子郵件，假定成功的話，報復打擊者將可以或許操縱你企業(yè)利用的軟件中的縫隙。而假定縫隙操縱成功的話，你的系統(tǒng)將遭到傳染。但是，報復打擊者在攻破你的防御后，可能會制造一些動靜。假定是如許，關(guān)于他們報復打擊編制和報復打擊類型的證據(jù)可能位于收集或系統(tǒng)日記中。別的，你的各類安然事務監(jiān)控器中可能包含報復打擊的證據(jù)。

　　假定報復打擊者的縫隙操縱沒有被發(fā)現(xiàn)，你的勝算就會變的更小。據(jù)2013年Verizon數(shù)據(jù)泄漏查詢拜訪顯示，66%的數(shù)據(jù)泄漏保持幾個月乃至更長時候都未被發(fā)現(xiàn)。即便泄漏變亂被發(fā)現(xiàn)，也主如果因為無關(guān)的第三方暴光。

　　在縫隙操縱后，報復打擊者需要成立一個安身點，也就是安裝，也就大年夜大都端點呵護的存眷點。報復打擊者凡是是經(jīng)由過程在傳染主機上安裝額外的東西來獲得安身點。

　　報復打擊者可能從初始切進點進進收集中的其他系統(tǒng)或辦事器。這類支點報復打擊(Pivoting)可以或許幫忙報復打擊者完成其整體方針，并確保他們不被發(fā)現(xiàn)。

　　凡是環(huán)境下，支點報復打擊的成功是因為對收集政策的縫隙操縱，讓報復打擊者可以或許直接拜候一些系統(tǒng)，如許，他們就不需要操縱另外一個縫隙或歹意軟件。

　　事務響應打算首要用來報復打擊者勾當?shù)陌惭b階段。因為防御辦法已掉敗，所以響應是獨一的選擇了。但是，只有在檢測到報復打擊，才可能進行事務響應。假定縫隙操縱階段沒有被檢測到，而報復打擊者成功安裝歹意軟件后，該如何辦？假定你榮幸的話，你可以檢測到一些報復打擊的證據(jù)，并操縱它們來鞭策事務響應過程。

　　企業(yè)常常忽視傳染指標(Indicators of Compromise，IOC)，因為它們凡是隱躲在海量日記記實數(shù)據(jù)中。沒有人有時候讀取數(shù)百或數(shù)千條數(shù)據(jù)，這也是為甚么常常需要幾個禮拜或幾個月檢測到數(shù)據(jù)泄漏變亂的啟事。

　　假定報復打擊者對準一名員工，并報復打擊了企業(yè)系統(tǒng)，為了檢測到這類報復打擊，關(guān)頭是尋覓異常環(huán)境，尋覓仿佛格格不進的東西。

　　另外一個例子是尋覓隨機的意想不到的DNS要求。報復打擊者常常會回調(diào)以操縱其他東西，或他們的有效載荷會發(fā)出外部要求。將DNS要求與已知歹意辦事器、名聲不好的IP地址列表進行匹配，如許做凡是可以或許檢測到報復打擊，因為縫隙操縱階段是報復打擊者可能制造動靜的期間。

　　那么，對水坑報復打擊呢？甚么算是很好的IOC呢？這也將需要讀取大年夜量日記數(shù)據(jù)，但假定Web辦事器日記充滿著500弊端、權(quán)限弊端或路徑弊端，標題問題就嚴重了。因為這可能意味著SQL注進和跨站腳本報復打擊等?；?，500弊端也多是良性的。但當它們與數(shù)據(jù)庫弊端同時呈現(xiàn)，或來自單個利用法度或資本，則可能意味著報復打擊。

　　一樣地，不雅察404弊端，看看這些弊端是若何被觸發(fā)。在良多環(huán)境下，web縫隙掃描儀或探測利用法度的機械人觸發(fā)了這些事務。最后，假定你發(fā)現(xiàn)shell腳本(例如r57或c99)，凡是是因為你已寄望到了日記中的隨機GET或POST要求，這是很較著的IOC。事實上，web辦事器上的shell是最糟的發(fā)現(xiàn)，表白已呈現(xiàn)數(shù)據(jù)泄漏。因為shell意味著報復打擊者已節(jié)制著一切。

　　在減緩辦法方面，良多簽名提到的呵護層仍然合用。事實上，此中一些呵護層很合適于縫隙操縱階段。例如，數(shù)據(jù)履行呵護(DEP)可以很好地避免歹意軟件在被傳染主機上運行。

　　當然報復打擊者可能可以或許傳送歹意軟件，當受害者測驗測驗履行它時，DEP將會禁止它。但是，還有大年夜量歹意軟件變種和軟件縫隙操縱會對準DEP，所以你不克不及僅僅依托這類呵護。

　　白名單是另外一個很好的減緩辦法，但這類編制有可能反對合法(白名單)利用法度，也就是說，白名單也不克不及作為避免縫隙操縱的獨一來歷。

　　反病毒節(jié)制(例如針對IP地址和軟件的名譽查抄)是很好的防御辦法，因為大年夜大都AV軟件供給行動檢測。但AV其實不是完美的解決方案，假定縫隙操縱階段利用了未知的東西，AV可能會完全沒用?；谥鳈C的IDS一樣是如斯，但假定沒有擺設(shè)這些手藝，環(huán)境會更糟。

　　最后，對把持系統(tǒng)和第三編軌制保持軟件更新和補丁修復，可以或許很好地避免縫隙操縱，并且可以或許節(jié)制權(quán)限。最小特權(quán)原則是IT內(nèi)常常忽視的東西，但這是個很好的東西。

　　這些減緩辦法的重點是，它們都不克不及完全禁止縫隙操縱和安裝階段，但假定連絡利用，避免嚴重報復打擊的概率將會增加。

　　報復打擊時的號令和節(jié)制

　　報復打擊者已完成了窺伺、兵器化和傳送和縫隙操縱和安裝階段，此刻的標題問題是，你是直接報復打擊方針仍是為報復打擊者供給報復打擊機緣？這個標題問題標謎底將決定你若何應對C2階段。

　　正如前面提到的，被動報復打擊(即你不是直接報復打擊方針)很被動。是以，當終端因為路過式下載報復打擊或歹意郵件附件被傳染時，安裝過程很是等閑檢測。但有時辰路過式報復打擊會操縱縫隙操縱東西包，而這只需要很少的用戶交付，也可能沒法被檢測。

　　前面的文章中也提到過，被動報復打擊勾當首要取決于報復打擊量。當報復打擊者匯集了身份驗證和財務信息(一般報復打擊的首要方針)后，報復打擊者需要為每臺傳染主機成立一個C2通道。在這類環(huán)境下，沒有變種和流量限制，只有對數(shù)千臺傳染主機的一個聯(lián)系點。

　　C2階段主如果關(guān)于通信，但要記住，C2階段其實不包含數(shù)據(jù)傳輸。C2階段是成立通信通道，承諾報復打擊者與外部溝通。

　　被動報復打擊是主動化的。主動化可以幫忙報復打擊者實現(xiàn)報復打擊量，因為幾近不需要交互。但是，這類主動化意味著他們可能被發(fā)現(xiàn)。當企業(yè)內(nèi)50個系統(tǒng)與不異未知主機通信，可能會被寄望到。

　　有針對性的報復打擊則更具體，幾近沒有主動化。報復打擊者將會發(fā)出號令，并利用特定的東西。有針對性報復打擊的所有勾當都是有目標的，并會盡力回避窺伺，盡可能保持低調(diào)。

　　當你的企業(yè)淪為被動報復打擊受害者，報復打擊者利用的主動化東西沒法回避現(xiàn)有安然節(jié)制緩和解辦法的檢測，因為它們制造了太多動靜。是以，企業(yè)應當盡快禁止這類報復打擊。

　　需要寄望的是，被動報復打擊采取主動化編制是因為，這些報復打擊勾當背后的把持者更側(cè)重報復打擊量，而不是節(jié)制。假定他們的歹意軟件或其他有效載荷被發(fā)現(xiàn)和禁止，這并沒甚么大年夜不了，他們可以頓時轉(zhuǎn)移到其他受害者。

　　但是，假定企業(yè)淪為有針對性報復打擊的受害者，這意味著報復打擊者將會在企業(yè)內(nèi)找到安身點，并會繞開安然節(jié)制或避免安然節(jié)制來避免被發(fā)現(xiàn)。別的，報復打擊者還會試圖成立后門法度到其他系統(tǒng)，成立更多切進點，以防此中一個切進點被發(fā)現(xiàn)。是以，在企業(yè)的事務響應打算中，一個很好的經(jīng)驗法例是，假定你看到一個后門法度，這意味著還暗藏著其他后門法度。

　　“堅實的”C2是指報復打擊者可以動態(tài)調(diào)劑其法度，增加事務響應者手動檢測的難度，乃至不成能。這也是數(shù)據(jù)泄漏變亂很長時候才被發(fā)現(xiàn)的啟事。

　　正如第三篇文章中所述，報復打擊者常常會回調(diào)以獲得額外的東西，或利用有效載荷發(fā)出外部要求。這些傳染指標可以或許清晰地揭露C2勾當，因為與正常收集流量比擬，這些有些異常。

　　是以，企業(yè)應當對比DNS要乞降已知歹意辦事器列表，或過濾有著不良名譽的IP地址，以應對這類類型的流量。在縫隙操縱和安裝階段后，C2階段是報復打擊者少數(shù)制造動靜的期間。但是，當這些流量被主動化檢測標識表記標幟時，則表白是被動報復打擊。

　　如許想，假定報復打擊勾當背后的把持者在利用C2通道或從已知歹意來歷下載有效載荷，你的企業(yè)多是報復打擊者的方針之一。在另外一方面，有針對性報復打擊勾當背后的把持者會謹嚴避免被檢測。他們會將C2流量隱躲在正常通信通道內(nèi)。

　　在C2成立后，報復打擊者就成功了一半。一般被動報復打擊是主動化的，動靜很大年夜，并且會當即策動報復打擊，而有針對性報復打擊則會暗藏數(shù)天、數(shù)周乃至數(shù)月。是以，在C2階段，流量監(jiān)控是關(guān)頭防御辦法。假定可以或許連絡前面提到的防御辦法，你就成立了一個強有力的分層呵護。

　　只要準確建設(shè)和保護(包含按期更新)，IPS和IDS系統(tǒng)可作為第一層防御。然后，企業(yè)需要ACL法則來經(jīng)由過程防火墻限制進站和出站連接。但是，還需要限制防火墻法則中例外的數(shù)量，并且需要對這些例外進行緊密密切檢測，或在不需要時撤消。在有針對性報復打擊期間，你的安然法則和政策可能被用來針對你，出格是當它們過時或不受監(jiān)管時。

　　最后，企業(yè)應當監(jiān)控收集上流量的移動環(huán)境，更首要的是，監(jiān)控移動到外部的流量。同時，存眷紅色標識表記標幟的事務，例如點竄HTTP表頭，和到未知IP地址或域名的連接。加密流量是被動報復打擊和有針對性報復打擊勾當利用的常常利用技能，在這類環(huán)境下，C2可能更難被發(fā)現(xiàn)，但也不是沒有可能。你可以查找自簽名證書和未經(jīng)核準或非尺度加密利用。

　　報復打擊后期的數(shù)據(jù)滲出

　　數(shù)據(jù)滲出是APT報復打擊的最后一步，假定報復打擊者完成這一步，你企業(yè)將面對巨大年夜損掉。在方針數(shù)據(jù)被肯定后，這些數(shù)據(jù)將被復制并經(jīng)由過程C2通道移出收集，或可能被復制到收集中的另外一區(qū)域，然后再被移出。從這一點來看，企業(yè)應當?shù)乳e發(fā)現(xiàn)被動報復打擊和有針對性報復打擊。

　　正如前面提到的，被動報復打擊動靜很大年夜，分層防御辦法很等閑發(fā)現(xiàn)這類報復打擊。另外一方面，有針對性報復打擊完全相反。

　　有針對性報復打擊勾當背后的報復打擊者會盡可能保持低調(diào)，所以不成能呈現(xiàn)大年夜范圍數(shù)據(jù)轉(zhuǎn)儲。在有針對性報復打擊中，我們會看到數(shù)據(jù)假裝成正常流量經(jīng)由過程C2通道分開收集。

　　在前面C2文章中，我們談到了機緣報復打擊凡是會操縱有著不良名譽的通信信道。對每個傳染的主機，報復打擊者會利用了不異的等閑辨認的通道。

　　這類機緣報復打擊會將數(shù)據(jù)滲出到其他國度的數(shù)據(jù)中間的辦事器，本地法令可能沒有避免這類數(shù)據(jù)利用。在這些環(huán)境下，你不要指看ISP供給幫忙。所以，假定你不禁止數(shù)據(jù)分開收集，即便你發(fā)現(xiàn)數(shù)據(jù)的滲出，這類信息從法令上看也沒多大年夜用處。

　　有針對性報復打擊會報復打擊合法辦事器來存儲數(shù)據(jù)。在良多環(huán)境下，受傳染的辦事器治理員可能不知道他們正在托管不屬于本身的數(shù)據(jù)，而當他們意想到有甚么不合弊端勁時，報復打擊者已早已離往。

　　在滲出階段，最好的防御辦法就是感知。你需要知道哪些數(shù)據(jù)進出你的收集，監(jiān)控出站流量和進站流量都很首要。

　　DLP解決方案也能夠用于應對滲出階段。假定建設(shè)獲得，DLP產(chǎn)品可以幫忙監(jiān)控收集流量，并節(jié)制流量。它們可以或許發(fā)現(xiàn)未經(jīng)授權(quán)的加密，被動和有針對性報復打擊會操縱加密來隱躲通信。還可以或許發(fā)現(xiàn)異常流量模式。

　　別的，監(jiān)控用戶賬戶勾當也能夠作為防御辦法，有些合法賬戶可能呈現(xiàn)異常勾當。

　　在C2階段利用的防御辦法一樣可用于滲出階段，包含按照IP地址、IPS和IDS系統(tǒng)(可以調(diào)劑為監(jiān)控所有階段的勾當)和利用防火墻法則(節(jié)制哪些法度承諾發(fā)送流量到外部)禁止拜候。這些法則還可以利用到工作站或網(wǎng)段。

　　假定你捕獲到滲出過程，日記記實將成為事務響應的關(guān)頭資本，因為日記可以或許肯定產(chǎn)生了甚么、若何產(chǎn)生等。凡是環(huán)境下，在被動或有針對性報復打擊中，肯定報復打擊者是很首要的，但實際上這是不成能的，這個標題問題我們主如果靠猜想而不是事實。

　　不管采取何種防御辦法，最好的編制是在變亂產(chǎn)生前禁止變亂。這恰是澳大年夜利亞旌旗燈號理事會(ASD)的首要工作，其收集不竭有報復打擊者試圖拜候敏感信息。ASD采取了四種防御辦法，并指定它們作為其收集的強迫性要求。這四個強迫性辦法包含：

　　1. 利用法度白名單

　　2. 第三方軟件補丁治理

　　3. 把持系統(tǒng)補丁治理

　　4. 權(quán)限治理(限制利用域或本地治理員權(quán)限的用戶數(shù)量)

　　在本系列文章的開端，我們切磋了有針對性報復打擊和被動報復打擊的目標的辨別，和這些報復打擊者的整體方針。東西、計謀和法度其實不首要。你的企業(yè)更有可能成為機緣報復打擊的受害者，而不是受平易近族國際幫助的有針對性報復打擊的受害者。

　　應對這兩種報復打擊的最好編制就是分層防御。感知和可視性是快速反應和削減損掉的關(guān)頭。當然延續(xù)性報復打擊勾當最終會成功，但我們可以進步報復打擊者的難度，和削減損掉。關(guān)頭是要衡量風險，擬定合適企業(yè)需求的安然打算，不要驚駭APT。