科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全如何对一场有针对性网络攻击进行全面分析

如何对一场有针对性网络攻击进行全面分析

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

在本文中,帕特里克•兰伯特利用一个典型的例子来对什么是有针对性网络攻击以及公司在处理类似事件时间应当如何进行有效分析与披露等问题进行了全面而翔实的说明。

来源:ZDNet安全频道 2013年1月21日

关键字: 网络攻击 安全防范 黑客入侵

  • 评论
  • 分享微博
  • 分享邮件

大家如果关注安全领域新闻的话,现在就应该看到了彭博资讯在本星期发布的关于可口可乐公司在2009年进行收购交易时遭遇黑客攻击但却从未公开的秘闻。这笔非常重要的交易涉及到以24亿美元的价格收购中国汇源果汁集团,但却由于未知原因而最终告吹。现在,多亏了刚刚发布的报告,我们了解到了很可能就是由于攻击造成泄露的与这项交易相关的内部机密信息。当然,目前我们并不清楚黑客入侵行为本身是否在导致这笔交易失败的过程中发挥了作用,但存在黑客涉及这种关键过程的可能性已经显得非常骇人。不过,回到当时,在联邦调查局就攻击事件询问可口可乐时,公司却没有选择公开披露该消息。

实际上,这样的情况并不罕见。去年的时间,黑客就攻击了英国天然气集团公司。尽管攻击频频发生,但公司依然坚持继续保密绝不公开。实际上,不仅针对个人信息的攻击变得越来越多,就连企业财务信息方面的也不会有所例外。不论是自告奋勇还是获得到其它竞争对手的支持,黑客攻击都可以造成商业交易以及并购被破坏。因此,公司感觉应该对遭遇攻击情况进行保密的想法也并不奇怪。不仅是投资者,甚至连公司高管都被包括在内了;只要掩盖掉相关信息,清理完受感染系统,公司就能够保持继续前进的态势了。而也正是这些类型的违规行为导致美国证券交易委员会在2011年专门出台了一份指导文件,告知公司在成为类似事件的受害者时需要采取的行动方式。

相形之下,上个月的时间,在此类网络重大事件应当如何处理方面,格鲁吉亚计算机紧急响应小组就给出了一份完美的答卷。该报告对2011年全国范围内针对报纸、网络日志以及政府站点发动的攻击情况进行了详细地描述。从这份全长27页的报告中,人们可以了解到安全研究团队调查获得的所有信息,以及390台系统遭到入侵以及破坏的问题是怎么发生的。重复一下,这场攻击并不是由仅仅希望找到快感的未成年人随机发起的。实际上,它针对的是政治活动家,试图通过破坏特定站点来达到影响持有特定政治观点人群的目标。举例来说,黑客选择攻击的是特定报纸网站,丑化处理的是具体主题的新闻报道。

这场攻击开始于2011年3月,第一种恶意软件实例是在窃取格鲁吉亚网站上的文件与证书时被发现。在这一年中,为了实现避开防火墙以及入侵检测系统的目标,病毒进行过多次更新,变得非常难于检测。到了12月的时间,被感染系统甚至达到了能够被远程控制的程度,恶意软件还具备了视频录制功能,并且能够进行常规键盘记录以及截图等操作。而所有这一切都起源于一个包含有针对ActiveX、PDF文件以及Java的不同类型零日漏洞的简单脚本,在被黑客利用攻击注入到新闻网站时引起的。

一旦恶意软件成功感染系统,就会检测计算机设置的时区是不是属于世界标准时间+3或世界标准时间+4的情况,而这也再次证明了它确实属于一场有针对性的攻击。接下来,恶意软件就会利用calc.exe(微软附件中自带的计算器程序)来对自身进行伪装,并向Internet Explorer浏览器中注入代码以便实现联络命令与控制服务器的目标。该软件使用的代码非常复杂,以至于可以达到同时利用不同网络地址对自身进行定期更新的程度。在报告的末尾,幕后调查团队给出了对攻击进行清除的解决方法;这其中就包括了阻止与命令与控制服务器的连接,与安全公司合作在入侵检测系统中添加有效的检测代码,同各执法机关保持紧密联系,联络托管商的滥用管理团队要求关闭这些服务器,以及取得有关日志文件进行全面深入分析。

实际上,如果公司遭遇到黑客攻击希望尽快摆脱由此带来的负面影响的话,这就属于一个极为典型并且非常值得遵循的例子。它可以说明,相比起从前,网络攻击不仅仅在变得更加复杂,而且也开始非常有针对性。尽管对于绝大部分非针对性的恶意软件威胁来说,公司当前的安全解决方案依然能够起到很好的效果。由于绝大多数公司在网络安全方面都没有进行很大的投入,而这就导致管理人员中存在自家网络安全无忧的幻想。但是,如果公司遭遇到的是针对具体数据的有针对性攻击的话,全面的防范就会变得极为困难;这也正是为什么进行恰当取证并进行公开披露将变得非常重要的根本原因所在。毕竟,对于系统管理员来说,这样做会比将威胁直接判定为非针对性攻击,进行简单的系统清除处理工作就了事带来的问题更大。如果所有事情看起来都非常可疑的话,人们就有可能永远也不会知道实际攻击会在什么时间到来。

无论管理的公司网络的实际规模是大还是小,维护者都需要对这些报告进行深入研究以获得极为宝贵的有效信息;毕竟,这其中并不仅仅包含了有针对性攻击的具体表现是什么,而且还涉及到在调查此类危险时间应当使用到的各种措施,以及在处理结束时需要披露出来的相关信息情况。但不幸的是,尽管绝大多数攻击就在进行当中,它依然属于几乎无人可知的情况。曾经担任美国国会在网络安全方面顾问一职的雅各布·奥尔科特是这样告诉彭博资讯的:“公司目前采取的的做法,依然是避免提供任何与发生在网络上的重大事件相关的信息”,结果就导致,“广大投资者对于正在发生的实际问题毫无概念。”

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章