1、攻击技术和工具
从公开披露的APT组织中分析发现,APT29组织具备极高的攻击技术水平,共掌握123项攻击技术且其中7项技术为该组织所独有。深入挖掘发现APT29其独有的攻击技术主要集中在获取初始权限之后的内网行为,包括:利用组策略首选项漏洞获取用户凭据(T1552.006)、利用已经窃取的账户密码信息进行MFA注册并接管MFA休眠账户(T1621)以及2022年才披露的“凭据跳跃”(Credential Hopping)技术,这些手法均极为少见且具备高度隐蔽性。
2、攻击行为和模式
本次APT研究年鉴基于公开情报数据,结合参考ATT&CK将APT攻击流程进行简单地抽象,大致分为6个攻击阶段,如下图。
APT组织的攻击策略主要体现在各阶段中使用的具体技术,如初始阶段从统计上看,70%的APT组织使用的各类钓鱼手法(附件、链接、社交媒体等钓鱼等),仅8%的组织通过暴露在互联网上的资产漏洞进行入侵。因此对于APT的初始阶段攻击仍将重点放在邮件防护上。
又如在命令与控制阶段(攻击者已经获取目标网络权限),相比2021年,越来越多组织利用合法Web服务(如Slack、Google Drive、Microsoft Graph、OneDrive、Dropbox等)将C2通讯流量隐藏其中。其次APT组织将编码加密后的C2信息存储在合法站点如:博客文章、推文、视频标题简介等,这样将C2配置信息隐藏在合法的Web请求中,也能十分便利地动态更新C2。由此可见APT组织与受控目标间的通讯不能只依靠传统异常流量检测思路,更需要结合业务场景进行深入分析。
3、攻击目标和受害者
我国在2022年遭受APT攻击22起,涉及APT组织16个。针对我国的APT组织主要集中在美国以及越南、印度等东南亚地区。其中披露最多的是APT-C-40,其次是老牌越南组织APT32。从行业分布看,APT组织攻击集中于政府、国防、科研等重要领域,结合报告中披露的攻击意图可以看出境外APT组织以窃取我国关键技术成果为主要目标。
4、APT组织间的关系
从2022年披露的组织情报数据分析发现,部分APT组织使用了恶意软件即服务(MaaS),如Tropical Scorpius和UAC-0132组织使用自定义后门分发Cuba勒索软件。MaaS的使用提高了APT组织的攻击效率,但同时为防守者提供了更多的特征信息进行追踪溯源。
5、防御策略
我们将APT组织画像特征以及基于情报和大数据的APT归因追踪技术集成到我们威胁情报平台(NTIPN),提供APT/恶意家族/攻击团伙活跃情况的实时监控以及攻击链场景还原分析,支持自动化的攻击组织分析周报输出。
结合APT组织研究年鉴中提到的APT攻击技术手段分析、入侵套路等内容,给用户提一些预防措施和建议:
1、多层次防御:采取多层次的安全措施,包括防火墙、入侵检测系统(IDS)和入侵防御系统(IPS)。这些工具可以监控和阻止异常流量和潜在攻击。
2、安全意识培训:培训员工识别社交工程和钓鱼攻击,并加强他们对安全最佳实践的认识。人员是网络安全防护的一个重要环节。
3、监控和审计:实施全面的网络流量监控和日志审计,以及实时监控安全事件。这样可以及早发现和响应异常行为。
4、加密和认证:使用强大的加密技术来保护数据的传输和存储。同时,采用双因素认证(2FA)或多因素认证(MFA)可以增加账户和系统的安全性。
5、及时更新和补丁:及时更新操作系统、应用程序和安全软件,确保系统处于最新和安全的状态。漏洞的修复和安全补丁的及时安装是防范攻击的关键。
6、威胁情报:定期获取和分析威胁情报,了解最新的攻击技术和APT组织的行为模式,以便更好地调整防御策略。
好好努力的工作,争取业绩更上一层楼
每天进步一点点
努力再多一点
厚德才能载物
好好的工作
厚德才能载物
好事多磨
............
诚信服务
