<rt id="txl8k"></rt>

        1. <i id="txl8k"><del id="txl8k"><cite id="txl8k"></cite></del></i>
        2. 真情服務  厚德載物
          今天是:
          聯(lián)系我們

          市場部:0564-3227239
          技術(shù)部:0564-3227237
          財務部: 0564-3227034
          公司郵箱:lachs@126.com
          技術(shù)郵箱:cc1982@163.com
          地址:六安市淠望路103號

          技術(shù)分類
          推薦資訊
          當前位置:首 頁 > 技術(shù)中心 > 存儲設備 > 查看信息
          APT攻擊背后的秘密:攻擊時的漏洞利用
          作者:永辰科技  來源:IT168  發(fā)表時間:2014-2-27 12:24:10  點擊:2860

          APT攻擊背后的秘密:攻擊時的漏洞利用

          毫無疑問,如果讓攻擊者已經(jīng)順利進展到了這個階段,問題已經(jīng)很嚴重了,但是你仍然有機會。現(xiàn)在,攻擊者已經(jīng)傳送了附有惡意附件的電子郵件,如果成功的話,攻擊者將能夠利用你企業(yè)使用的軟件中的漏洞。而如果漏洞利用成功的話,你的系統(tǒng)將受到感染。然而,攻擊者在攻破你的防御后,可能會制造一些動靜。如果是這樣,關于他們攻擊方法和攻擊類型的證據(jù)可能位于網(wǎng)絡或系統(tǒng)日志中。另外,你的各種安全事件監(jiān)控器中可能包含攻擊的證據(jù)。

          如果攻擊者的漏洞利用沒有被發(fā)現(xiàn),你的勝算就會變的更小。據(jù)2013年Verizon數(shù)據(jù)泄漏調(diào)查顯示,66%的數(shù)據(jù)泄漏保持幾個月甚至更長時間都未被發(fā)現(xiàn)。即使泄漏事故被發(fā)現(xiàn),也主要是因為無關的第三方曝光。

          在漏洞利用后,攻擊者需要建立一個立足點,也就是安裝,也就大多數(shù)端點保護的關注點。攻擊者通常是通過在感染主機上安裝額外的工具來獲得立足點。

          攻擊者可能從初始切入點進入網(wǎng)絡中的其他系統(tǒng)或服務器。這種支點攻擊(Pivoting)能夠幫助攻擊者完成其總體目標,并確保他們不被發(fā)現(xiàn)。

          通常情況下,支點攻擊的成功是因為對網(wǎng)絡政策的漏洞利用,讓攻擊者能夠直接訪問一些系統(tǒng),這樣,他們就不需要利用另一個漏洞或惡意軟件。

          事件響應計劃主要用來攻擊者活動的安裝階段。因為防御措施已經(jīng)失敗,所以響應是唯一的選擇了。然而,只有在檢測到攻擊,才可能進行事件響應。假設漏洞利用階段沒有被檢測到,而攻擊者成功安裝惡意軟件后,該怎么辦?如果你幸運的話,你可以檢測到一些攻擊的證據(jù),并利用它們來推動事件響應過程。

          企業(yè)經(jīng)常忽視感染指標(Indicators of Compromise,IOC),因為它們通常隱藏在海量日志記錄數(shù)據(jù)中。沒有人有時間讀取數(shù)百或數(shù)千條數(shù)據(jù),這也是為什么經(jīng)常需要幾個星期或幾個月檢測到數(shù)據(jù)泄漏事故的原因。

          假設攻擊者瞄準一名員工,并攻擊了企業(yè)系統(tǒng),為了檢測到這種攻擊,關鍵是尋找異常情況,尋找似乎格格不入的東西。

          另一個例子是尋找隨機的意想不到的DNS請求。攻擊者往往會回調(diào)以利用其他工具,或者他們的有效載荷會發(fā)出外部請求。將DNS請求與已知惡意服務器、名聲不好的IP地址列表進行匹配,這樣做通常能夠檢測到攻擊,因為漏洞利用階段是攻擊者可能制造動靜的時期。

          那么,對于水坑攻擊呢?什么算是很好的IOC呢?這也將需要讀取大量日志數(shù)據(jù),但如果Web服務器日志充斥著500錯誤、權(quán)限錯誤或路徑錯誤,問題就嚴重了。因為這可能意味著SQL注入和跨站腳本攻擊等;蛘,500錯誤也可能是良性的。但當它們與數(shù)據(jù)庫錯誤同時出現(xiàn),或者來自單個應用程序或資源,則可能意味著攻擊。

          同樣地,觀察404錯誤,看看這些錯誤是如何被觸發(fā)。在很多情況下,web漏洞掃描儀或探測應用程序的機器人觸發(fā)了這些事件。最后,如果你發(fā)現(xiàn) shell腳本(例如r57或c99),通常是因為你已經(jīng)注意到了日志中的隨機GET或POST請求,這是很明顯的IOC。事實上,web服務器上的 shell是最糟糕的發(fā)現(xiàn),表明已經(jīng)出現(xiàn)數(shù)據(jù)泄漏。因為shell意味著攻擊者已經(jīng)控制著一切。

          在緩解措施方面,很多簽名提到的保護層仍然適用。事實上,其中一些保護層很適合于漏洞利用階段。例如,數(shù)據(jù)執(zhí)行保護(DEP)可以很好地防止惡意軟件在被感染主機上運行。

          雖然攻擊者可能能夠傳送惡意軟件,當受害者嘗試執(zhí)行它時,DEP將會阻止它。然而,還有大量惡意軟件變種和軟件漏洞利用會瞄準DEP,所以你不能僅僅依靠這種保護。

          白名單是另一個很好的緩解措施,但這種辦法有可能攔截合法(白名單)應用程序,也就是說,白名單也不能作為防止漏洞利用的唯一來源。

          反病毒控制(例如針對IP地址和軟件的聲譽檢查)是很好的防御措施,因為大多數(shù)AV軟件提供行為檢測。但AV并不是完美的解決方案,如果漏洞利用階段使用了未知的東西,AV可能會完全沒用;谥鳈C的IDS同樣是如此,但如果沒有部署這些技術(shù),情況會更糟。

          最后,對操作系統(tǒng)和第三方程序保持軟件更新和補丁修復,能夠很好地防止漏洞利用,并且能夠控制權(quán)限。最小特權(quán)原則是IT內(nèi)經(jīng)常忽視的工具,但這是個很好的工具。

            這些緩解措施的重點是,它們都不能完全阻止漏洞利用和安裝階段,但如果結(jié)合使用,防止嚴重攻擊的幾率將會增加。

           
           
           
          合作伙伴
          微軟中國 | 聯(lián)想集團 | IBM | 蘋果電腦 | 浪潮集團 | 惠普中國 | 深信服 | 愛數(shù)軟件 | 華為
          六安市永辰科技有限公司 版權(quán)所有 © Copyright 2010-2021 All Rights 六安市淠望路103號 最佳瀏覽效果 IE8或以上瀏覽器
          訪問量:3052833    皖ICP備11014188號-1
          日韩精品欧美专区国内精品,久久精品免费视频网,国产a级无码一区二区三区,久久精品国产只有精品1
          <rt id="txl8k"></rt>
          
          

                1. <i id="txl8k"><del id="txl8k"><cite id="txl8k"></cite></del></i>