1. APT的简单介绍
APT全称:Advanced Persistent Threat 高级可持续威胁攻击。
指的是某组织对特定对象展开持续有效的攻击活动。
这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质,供应链和社会工程学等手段,实施先进的、持久的有效的威胁和攻击。
APT攻击是一个集合了多种常见攻击方式的综合攻击,综合多种攻击途径来尝试突破网络防御,通常是通过web或者电子邮件传递,利用应用程序或者操作系统的漏洞,利用传统的网络保护机制无法提供统一的防御。除了使用多种途径,高级定向攻击还采用多个阶段穿透一个网络,然后提取有价值的信息。使得它的攻击更不容易被发现。
2.APT 的攻击过程
①扫描探测:在APT攻击中,攻击者会花几个月甚至更长的时间对“目标”网络进行踩点,针对性地进行信息手机,目标网络环境探测,线上服务器的分布情况,应用程序的弱点分析,了解业务情况,员工信息等。
②攻击投送:在多数情况下,攻击者会向目标公司的员工发送邮件,诱骗其打开恶意附件,或者单击一个经过伪造的恶意URL,希望利用常见软件的0day漏洞,投送其恶意代码,一旦到位,恶意软件可能会复制自己,用微妙的改变使得每个实例都看起来不一样,并且伪装自己,以躲避扫描,也会关闭防病毒扫描引擎,经过清理后重新安装,或者潜伏数天或数周,恶意代码也能被携带在笔记本电脑、USB设备里,或者基于云的文件共享来感染一台主机,并且连接到网络时横向传播。
③漏洞利用:利用漏洞,达到攻击的目的,攻击者通过投送恶意代码,并且利用目标企业使用的软件中的漏洞执行自身,而如果漏洞利用成功的话,你的系统将收到感染。普通用户系统忘记打补丁是很常见的,所以塔恩很容易受到已知和位置的漏洞利用攻击,一般来说,通过使用零日攻击和社会工程技术,即使最新的主机也可以被感染,特别是当这个系统脱离企业网络后。
④木马植入:随着漏洞利用成功,更多的恶意软件的可执行文件一一击键记录器、木马后门、密码破解和文件采集程序被下载和安装。这意味着,犯罪分子现在已经建成了进入系统的长期控制机制。
⑤远程控制:一旦恶意软件安装,攻击者就已经从组织防御内部建立了一个控制点。攻击者最常安装的就是远程控制工具。这些远程控制工具是以反向连接模式建立的。其目的就是允许从外部控制员工电脑或服务器,即这些工具从位于中心的命令和控制服务器接受命令,然后执行命令,而不是远程得到命令,这种连接方法使其更难以检测,因为员工的机器是主动与命令和控制服务器通信而不是相反。
⑥横向渗透:攻击者首先突破的员工个人电脑并不是攻击者感兴趣的,它感兴趣的是组织内部其它包含重要资产的服务器。因此,攻击者将以员工个人电脑为跳板,在系统内部进行横向渗透攻陷更多的PC和服务器。攻击者采取的横向渗透方法包括口令窃听和漏洞攻击等。
⑦目标行动:也就是将敏感数据从被攻击的网络非法传输到由攻击者控制的外部系统。在发现有价值的数据后,APT攻击者往往要将数据收集到一个文档中,然后压缩并加密该文档。此操作可以使其隐藏内容,防止遭受深度的数据包检查和DLP技术的检测和阻止。然后将数据从受害系统偷运出去到由攻击者控制的外部。大多数公司都没有针对这些恶意传输的目的地分析出站流量。那些使用工具监控出站传输的组织也只是寻找“已知的”恶意地址和收到严格监管的数据。
3.APT的防御技术
防御APT攻击最有效的方法就是沙箱技术,通过沙箱技术构造一个隔离的威胁检测环境,然后将网络流量送入沙箱进行隔离分析并最终给出是否存在威胁的结论。如果沙箱检测到该流量为恶意流量,则可以通知FW实施阻断。
针对APT攻击的防御过程如下:
黑客(攻击者)向企业内网发出APT攻击,FW从网络流量中是被并提取需要进行APT检测的文件类型。
FW将攻击流量还原成文件送入沙箱进行威胁分析。
沙箱通过对文件进行威胁检测,然后将检测结果返回给FW。
FW获取检测结果后,实施相应的动作,如果沙箱分析出该文件是一种恶意攻击文件,FW则可以实施阻断操作,防止该文件进入企业内网,保护企业内网免遭攻击。
APT防御与反病毒的差异:
反病毒系统通常是将病毒文件的特征与病毒特征库进行对比来识别一个文件是否为病毒文件。这种防御方式具有一定的局限性,就是只能针对已知病毒进行防御,而无法是被未知攻击。
APT防御机制则有别于反病毒系统。APT防御系统中的沙箱可以看作是一个模拟真实网络建造的虚拟检测系统,未知文件放入沙箱以后将会被运行,沙箱中的收集程序会记录该文件被运行以后的行为。沙箱通过将未知文件的行为和沙箱独有的行为模式库进行匹配,最后给出该程序是否为恶意程序的定性结论。沙箱的行为模式库是通过分析大量的的病毒、漏洞、威胁特征,提炼出各种恶意行为的规律和模式,并形成一套判断规则,因此能提供准确的检测结果。
总体来看,反病毒系统是以被检测对象的特征来是被攻击对象,APT防御系统是以被检测对象的行为来识别攻击对象。
沙箱处理流程:
4.对称加密
对称加密指的就是加密和解密使用同一个秘钥,所以叫对称加密。对称加密只有一个秘钥,作为私钥。
加密过程:
加密: 原文+密钥 = 密文
解密:密文-密钥 = 原文
常见的对称加密算法: DES, AES, 3DES等
特点:
优点 - 算法简单,加解密容易,效率高,执行快。
缺点 - 相对来说不安全,只有一把钥匙,密文如果被拦截,且密钥被劫持,那么信息很容易被破译。
5.非对称加密
非对称加密指的是:加密和解密使用不同的秘钥,一把作为公开的公钥,另一把作为私钥。公钥加密的信息,只有私钥才能解密。
私钥加密的信息,只有公钥才能解密。
常见的给对称加密: RSA,ECC
区别:
对称加密算法,加解密的效率要高很多。但是缺陷在于对秘钥的管理上,以及在非安全信道中通讯时,密钥交换的安全性不能保障。所以在实际的网络环境中,会将两者混合使用。
特点:
优点- 安全,即使密文和公钥被拦截,但是由于无法获取到私钥,也就无法破译到密文。
缺点- 加密算法复杂,安全性依赖算法和密钥, 且加密和解密效率很低。
6.私密性的密码学应用
身份认证技术的应用:
身份认证:通过标识和鉴别用户身份,防止攻击者假冒合法用户来获取访问权限。
身份认证技术:在网络中确认操作者身份的过程而产生的有效解决方法。
如何确认信息的发送者一定是本人?
发送者是alice,使用非对称算法,生成私钥A,公钥B。
1. alice把公钥给bob
2. alice发送信息hello,world!
3. alice把发送的信息用对称加密算法加密到加密信息C。
4. alice把发送的hello,world!先用hash算法计算得到hash值D。
5. alice把hash值D用非对称加密计算得到E。E值就是用于身份验证的。
6. alice把C,E一起发给bob。
7. bob收到C,E值,先用非对称的公钥对E进行解密,如果能正常解开则证明C值是alice的。
在上述1中如果黑客换了Alice的公钥,那么就会出现身份认证漏洞。
解决的办法:
Alice把公钥给bob的环节能确保是安全的,一定是Alice给的。
想办法证明Alice的公钥一定是Alice的。
7.非对称加密解决身份认证问题的办法
使用公钥加密进行身份验证,其中使用发件人的私钥对消息进行签名,并且可以由有权访问发件人公钥的任何人验证。
发件人可以将消息与私钥结合起来,在消息上创建一个简短的数字签名。任何拥有发件人相应公钥的人都可以通过公钥解密后,将该消息与数字签名进行比较;如果签名与消息匹配,则验证消息的来源
8. 解决公钥身份认证问题的方法
通过公钥的“身份证”-----数字证书来认证
数字证书包含:
用户身份信息
用户公钥信息
身份验证机构的信息及签名数据
数字证书分类:
签名证书----身份验证,不可抵赖性。
加密证书----加密,完整性与机密性。
利用公钥技术简历的提供安全服务的基础设施。通过第三方的可信机构,CA认证中心把用户的公钥与用户的其他标识信息捆绑在一起放在用户证书中,在互联网上验证用户身份。
9. 简述SSL工作过程
客户端浏览器发送一个消息,表示要和网站简历安全SSL连接
网站服务器响应客户端请求,发给客户端两样东西:网站服务器自己的证书(内含网站的公钥)、一个随机值
客户端浏览器验证网站服务证书是否可信
客户端利用网站服务其发的随机值生成会话密钥
客户端浏览器和网站服务器开始协商加密算法和密钥长度
协商成功后,客户端浏览器利用网站的公钥将生成的会话密钥加密,然后传送给网站服务器。
网站服务器收到客户端发送的利用网站服务器自己公钥加密的会话密钥,然后用自己的私钥解密出会话密钥,由此得到了安全的会话密钥
网站服务器再随机生成一个信息,用解密后的会话密钥加密该随机信息后发送给客户端浏览器(目的是让客户端认证服务器)
浏览器收到随机信息后,用会话密钥解密出信息(自然就认证了服务器),接着浏览器用自己的私钥对此信息做数字签名,连带客户端自己的证书(内含公钥),一起发送给网站服务器(目的是服务器认证客户端)
无客户端认证的握手过程
有客户端认证的握手过程
会话恢复过程