APT攻击实例研究与企业现有防御体系缺陷分析

　　5、 Shady RAT攻击

　　2011年8月份，McAfee/Symantec发现并报告了该攻击。该攻击在长达数年的持续攻击过程中，渗透并攻击了全球多达70个公司和组织的网络，包括美国政府、联合国、红十字会、武器制造商、能源公司、金融公司，等等。其攻击过程如下：

　　1) 攻击者通过社会工程学的方法收集被攻击目标的信息。

　　2) 攻击者给目标公司的某个特定人发送一些极具诱惑性的、带有附件的邮件例如邀请他参加某个他所在行业的会议，以他同事或者HR部门的名义告知他更新通讯录，请他审阅某个真实存在的项目的预算，等等。

　　3) 当受害人打开这些邮件，查看附件(大部分形如：Participant_Contacts.xls、2011 project budget.xls、Contact List -Update.xls、The budget justification.xls)，受害人的EXCEL程序的FEATHEADER远程代码执行漏洞(Bloodhound.Exploit.306)被利用，从而被植入木马。实际上，该漏洞不是0day漏洞，但是受害人没有及时打补丁，并且，该漏洞只针对某些版本的EXCEL有效，可见被害人所使用的EXCEL版本信息也已经为攻击者所悉知。

　　4) 木马开始跟远程的服务器进行连接，并下载恶意代码。而这些恶意代码被精心伪装(例如被伪装为图片，或者HTML文件)，不为安全设备所识别。

　　5) 借助恶意代码，受害人机器与远程计算机建立了远程Shell连接，从而导致攻击者可以任意控制受害人的机器。

　　综合分析以上典型的APT攻击，可以发现，现在的新型攻击主要呈现以下技术特点：

　　1) 攻击者的诱骗手段往往采用恶意网站，用钓鱼的方式诱使目标上钩。而企业和组织目前的安全防御体系中对于恶意网站的识别能力还不够，缺乏权威、全面的恶意网址库，对于内部员工访问恶意网站的行为无法及时发现;

　　2) 攻击者也经常采用恶意邮件的方式攻击受害者，并且这些邮件都被包装成合法的发件人。而企业和组织现有的邮件过滤系统大部分就是基于垃圾邮件地址库的，显然，这些合法邮件不在其列。再者，邮件附件中隐含的恶意代码往往都是0day漏洞，邮件内容分析也难以奏效;

　　3) 还有一些攻击是直接通过对目标公网网站的SQL注入方式实现的。很多企业和组织的网站在防范SQL注入攻击方面缺乏防范;

　　4) 初始的网络渗透往往使用利用0day漏洞的恶意代码。而企业和组织目前的安全防御/检测设备无法识别这些0day漏洞攻击;

　　5) 在攻击者控制受害机器的过程中，往往使用SSL链接，导致现有的大部分内容检测系统无法分析传输的内容，同时也缺乏对于可疑连接的分析能力;

　　6) 攻击者在持续不断获取受害企业和组织网络中的重要数据的时候，一定会向外部传输数据，这些数据往往都是压缩、加密的，没有明显的指纹特征。这导致现有绝大部分基于特征库匹配的检测系统都失效了;

　　7) 还有的企业部署了内网审计系统，日志分析系统，甚至是SOC安管平台。但是这些更高级的系统主要是从内控与合规的角度来分析事件，而没有真正形成对外部入侵的综合分析。由于知识库的缺乏，客户无法从多个角度综合分析安全事件，无法从攻击行为的角度进行整合，发现攻击路径。

　　8)受害人的防范意识还需要进一步提高。攻击者往往不是直接攻击最终目标人，而是透过攻击外围人员层层渗透。例如先攻击HR的人，或者首轮受害人的网络好友，再以HR受害人的身份去欺骗(攻击)某个接近最终目标人的过渡目标，再透过过渡目标人去攻击最终目标人(例如掌握了某些机密材料的管理员、公司高管、财务负责人等)。

　　因此，在APT这样的新型攻击面前，大部分企业和组织的安全防御体系都失灵了。保障网络安全亟需全新的思路和技术。