2012年目标攻击和APT高级持续性攻击

2023-10-28 01:50

本文主要是介绍2012年目标攻击和APT高级持续性攻击,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

 

作者:趋势科技

经过整个2012 年,我们研究了各式各样的目标攻击,包括好几个APT 高级持续性渗透攻击活动(例如 LuckyCatIxeshe),也更新了一些已经运行一段时间的攻击活动(例如Lurid/EnfalTaidoor)。信息安全群体在今年有很多关于目标攻击的精采研究发表,我将这些有意思的研究集结起来,分成六个我认为可以代表2012 目标攻击趋势的主题:

 

 

目标和工具

虽然在2011 年,目标攻击几乎就等同于APT。在2012 年出现了各式各样的攻击,特别是在中东地区,包括沙特阿拉伯的ShamoonMahdi攻击活动GAUSSWiper/Flame,这些都被卡巴斯基所记录起来。还有一些攻击和中东地区冲突有关,最显著的是叙利亚以色列和巴勒斯坦(参考Norman 研究分析)。APT 活动在2012 年仍然是个重大的问题,Dell SecureWorks 发表了一份集结各种APT 活动的报告,还有关于Mirage SinDigoo的报告来阐述问题的影响范围。彭博社发表了一系列关于“CommentCrew”的文章,详细介绍了APT 攻击活动的广度和影响。还有针对俄罗斯台湾韩国越南印度和日本的活动也相当活跃。除了目标地理位置的扩张之外,我们也看到了所针对技术的扩展,包括Android移动设备和 Mac 平台。来自Citizen Lab Seth Hardy SecTor 上作了一场很棒的演讲,介绍了今年所新兴的各种Mac 相关远程访问木马(SabPubMacControlIMULER/RevirDokster)。虽然我们在过去看过智能卡的相关攻击,不过感谢来自SykipotAlienVault 的精采分析,提供蓄意用智能卡做目标攻击的技术细节。

隐匿性和持久性

这些是主要的趋势之一,根据Mandiant 2012 年的文件,APT 活动之所以不只是恶意软件,正因为确保持久访问会使用正常应用程序(例如VPN)。此外虽然许多进行中的APT 攻击活动所用的恶意软件可以经由网络使用分析而检测到,微软发现一个旧的恶意软件组件会在NDIS 层建立一个隐蔽后门,让检测变得更加困难。除了隐身在网络层,我们也看到在某些案例中,出现有数字签名的恶意软件让文件系统层的检测变得更加困难。有数字签名的恶意软件当然不是新伎俩,还有个大量被用在目标攻击上的远程访问木马(被称为PlugX),使用一种DLL 搜索路径劫持(这技术本身也不是新的)。

另一个出现在Mandiant 报告中的HiKit工具会利用DLL 搜索路径隐藏在文件系统层,同时会在网络层窃听进入流量(像是早期的远程访问木马),而非只是对外连接到命令和控制服务器。Flame 恶意软件则会利用MD5碰撞攻击劫持 Windows Update 功能来传播。将隐匿性及持久性带到另一个境界。

社交工程陷阱

毫无意外地,鱼叉式网络钓鱼邮件仍然是目标攻击主要用来传递恶意软件的机制。但其他技术,例如“WateringHole”攻击也让人极为注目。Shadowserver 发表了被他们称之为“策略性网站入侵”的研究分析,利用了Java Flash 的漏洞攻击码,而RSA 报告中所提到的 VOHO攻击活动也使用了相同的技术。但在2012 年,另一个有趣的社交工程伎俩就是利用安全厂商对恶意软件的分析做为诱饵来传播恶意软件。不过鱼叉式网络钓鱼邮件和沦陷网站并不是唯一的攻击途径。实时通(被认为用在针对Google Aurora 攻击)也提供了另一条攻击路线。Skype也被报导提到用在叙利亚冲突的 DarkCometRAT 攻击中。

攻击是最好的防御

2012 年,有个新兴的信息安全公司 Crowdstrike 提出了“攻击是最好的防御”概念,虽然这概念常被狭隘地理解为“黑回去”,但我却想从David Dittrich 所谓的“主动响应连续”背景下来理解这件事。有各种战术可以应用,渗透,强迫下线(不管是通过技术手段回报滥用行为策反点名和羞辱法律机制和执法单位合作)或是欺敌行动,好来进行反击,而不是只能“黑回去”。这些都是经常用来对付犯罪份子的行动,但也可以应用在这里。在一定程度上,针对基础设施的攻击,通常都是国家默许或国家资助的。所以这些措施以外的反击作法也很吸引人,因为有国家资助的案例通常是不适用于法律途径的,所以我们也开始看到这样的行动出现。在2012 年的一个案例中,CERT-GOV-GE 不仅取得访问“Georbot”殭尸网络命令和控制服务器的能力,还诱使殭尸网络运营者去偷取一个恶意文件。执行之后,就让CERT-GOV-GE 可以远程录下运营者的影像。

「超限」武器交易

这个备受争议的话题:贩卖零时差漏洞攻击码搭配的恶意软件,在2012 年已经是个公开的秘密。美国公民自由联盟的Christopher Soghoian VB2012 大会上用这个题目做了主题演讲。除了会买卖漏洞和攻击码外,也有恶意软件的交易是在政府授意下进行的。Morgan Marguis-Boire 发表了被称为FinFisher的产品(也可用来侦查智能手机)是如何被英国政府传播的相关资料。还有被意大利公司所传播的后门程序,据报导是被政府用来监控异议份子。另外Dell SecureWorks Joe Stewart 发现“一个由位在某亚洲国家(非中国)的私营计算机安全公司所经营的庞大网络间谍活动针对国外军事单位”,进一步说明了问题的严重程度。

资料销毁

虽然目标攻击通常是为了间谍活动目的,但有时也会有破坏性行为(看看Stuxnet)。在2012 年,卡巴斯基的报告中提到一个被称为Wiper的例子会破坏数据,还有Shamoon(参考Seculert 分析)会针对中东的石油公司并摧毁数据,这恶意软件被认为用来破坏沙特阿拉伯和卡塔尔成千上万的计算机。而这样的间谍破坏行为可能还会继续下去

2012 年是个目标攻击肆虐的一年,我认为2013年甚至可能更加严重。很快地,我就会发表我对2013 目标攻击的预测,敬请期待!

 

@原文出处:TheTrends in Targeted Attacks of 2012

 

 

这篇关于2012年目标攻击和APT高级持续性攻击的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/289861

相关文章

烟火目标检测数据集 7800张 烟火检测 带标注 voc yolo

一个包含7800张带标注图像的数据集,专门用于烟火目标检测,是一个非常有价值的资源,尤其对于那些致力于公共安全、事件管理和烟花表演监控等领域的人士而言。下面是对此数据集的一个详细介绍: 数据集名称:烟火目标检测数据集 数据集规模: 图片数量:7800张类别:主要包含烟火类目标,可能还包括其他相关类别,如烟火发射装置、背景等。格式:图像文件通常为JPEG或PNG格式;标注文件可能为X

系统架构师考试学习笔记第三篇——架构设计高级知识(20)通信系统架构设计理论与实践

本章知识考点:         第20课时主要学习通信系统架构设计的理论和工作中的实践。根据新版考试大纲,本课时知识点会涉及案例分析题(25分),而在历年考试中,案例题对该部分内容的考查并不多,虽在综合知识选择题目中经常考查,但分值也不高。本课时内容侧重于对知识点的记忆和理解,按照以往的出题规律,通信系统架构设计基础知识点多来源于教材内的基础网络设备、网络架构和教材外最新时事热点技术。本课时知识

速盾高防cdn是怎么解决网站攻击的?

速盾高防CDN是一种基于云计算技术的网络安全解决方案,可以有效地保护网站免受各种网络攻击的威胁。它通过在全球多个节点部署服务器,将网站内容缓存到这些服务器上,并通过智能路由技术将用户的请求引导到最近的服务器上,以提供更快的访问速度和更好的网络性能。 速盾高防CDN主要采用以下几种方式来解决网站攻击: 分布式拒绝服务攻击(DDoS)防护:DDoS攻击是一种常见的网络攻击手段,攻击者通过向目标网

Java基础回顾系列-第七天-高级编程之IO

Java基础回顾系列-第七天-高级编程之IO 文件操作字节流与字符流OutputStream字节输出流FileOutputStream InputStream字节输入流FileInputStream Writer字符输出流FileWriter Reader字符输入流字节流与字符流的区别转换流InputStreamReaderOutputStreamWriter 文件复制 字符编码内存操作流(

Java基础回顾系列-第五天-高级编程之API类库

Java基础回顾系列-第五天-高级编程之API类库 Java基础类库StringBufferStringBuilderStringCharSequence接口AutoCloseable接口RuntimeSystemCleaner对象克隆 数字操作类Math数学计算类Random随机数生成类BigInteger/BigDecimal大数字操作类 日期操作类DateSimpleDateForma

[数据集][目标检测]血细胞检测数据集VOC+YOLO格式2757张4类别

数据集格式:Pascal VOC格式+YOLO格式(不包含分割路径的txt文件,仅仅包含jpg图片以及对应的VOC格式xml文件和yolo格式txt文件) 图片数量(jpg文件个数):2757 标注数量(xml文件个数):2757 标注数量(txt文件个数):2757 标注类别数:4 标注类别名称:["Platelets","RBC","WBC","sickle cell"] 每个类别标注的框数:

Mysql高级篇(中)——索引介绍

Mysql高级篇(中)——索引介绍 一、索引本质二、索引优缺点三、索引分类(1)按数据结构分类(2)按功能分类(3) 按存储引擎分类(4) 按存储方式分类(5) 按使用方式分类 四、 索引基本语法(1)创建索引(2)查看索引(3)删除索引(4)ALTER 关键字创建/删除索引 五、适合创建索引的情况思考题 六、不适合创建索引的情况 一、索引本质 索引本质 是 一种数据结构,它用

YOLOv8/v10+DeepSORT多目标车辆跟踪(车辆检测/跟踪/车辆计数/测速/禁停区域/绘制进出线/绘制禁停区域/车道车辆统计)

01:YOLOv8 + DeepSort 车辆跟踪 该项目利用YOLOv8作为目标检测模型,DeepSort用于多目标跟踪。YOLOv8负责从视频帧中检测出车辆的位置,而DeepSort则负责关联这些检测结果,从而实现车辆的持续跟踪。这种组合使得系统能够在视频流中准确地识别并跟随特定车辆。 02:YOLOv8 + DeepSort 车辆跟踪 + 任意绘制进出线 在此基础上增加了用户

linux高级学习10

24.9.7学习目录 一.线程1.线程API 一.线程 线程与进程的关系: 线程是轻量级进程,也有PCB,只是各自不同,创建线程使用的底层函数和进程一样,都是clone进程可以蜕变成线程线程是最小的执行单位,进程是最小的分配资源单位 1.线程API (1)查看线程号 #include <pthread.h>pthread_t pthread_self(); (2)

[数据集][目标检测]智慧农业草莓叶子病虫害检测数据集VOC+YOLO格式4040张9类别

数据集格式:Pascal VOC格式+YOLO格式(不包含分割路径的txt文件,仅仅包含jpg图片以及对应的VOC格式xml文件和yolo格式txt文件) 图片数量(jpg文件个数):4040 标注数量(xml文件个数):4040 标注数量(txt文件个数):4040 标注类别数:9 标注类别名称:["acalcerosis","fertilizer","flower","fruit","grey