《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 賠本買賣還是另有隱情:一場針對美國頂級安全公司的APT攻擊

賠本買賣還是另有隱情:一場針對美國頂級安全公司的APT攻擊

2020-12-10
來源:互聯(lián)網(wǎng)安全內參
關鍵詞: 火眼 APT攻擊

  12月8日,,美國頂級安全公司火眼發(fā)布通告稱,公司網(wǎng)絡被“擁有一流網(wǎng)絡攻擊能力”的國家黑客組織所突破,。攻擊組織利用前所未有的技術組合,,滲透進入火眼公司內網(wǎng),盜取了火眼的網(wǎng)絡武器庫——紅隊測試工具,,可被用于在世界范圍內入侵高價值的目標,。

  《紐約時報》甚至將這一事件稱為:自2016年美國國家安全局(NSA)網(wǎng)絡武器被竊取以來,,已發(fā)現(xiàn)的最大規(guī)模網(wǎng)絡武器盜竊事件,。微軟安全架構師也認為此次事件堪比方程式組織被攻擊。

  通過對火眼被攻擊事件的研究,,奇安信CERT安全專家發(fā)現(xiàn):除非另有隱情,,這次的APT攻擊很可能是一場“賠本買賣”——這場國家級黑客組織花費巨大技術成本進行的APT攻擊,可能沒有達到獲取高價值信息的戰(zhàn)略目標,,不排除卷土重來的可能,。

  高成本的國家級黑客攻擊

  對此次事件所展示的攻擊能力,火眼首席執(zhí)行官凱文·曼迪亞(Kevin Mandia)甚至用其25年所遭遇的頂級攻擊來形容:

  從攻擊者的行為,、操作的隱蔽性和使用的技術來看,,整個過程可以說是對火眼公司量身定制,攻擊的背后無疑是國家背景的黑客組織,。

  在本輪攻擊中,,黑客竭盡所能隱藏起自己的行跡:他們創(chuàng)建了數(shù)千個互聯(lián)網(wǎng)協(xié)議地址,其中不少是美國本土地址,,而且此前從未被用于實際攻擊,。利用這些地址,黑客幾乎可以徹底隱藏在燈影之下,。

  凱文·曼迪亞指出,,攻擊方似乎在“攻擊行動”方面接受過嚴格的訓練,表現(xiàn)出極強的“紀律性與專注度”,。行動隱秘且使用了應對安全工具和取證檢查的多種方法,。谷歌、微軟及其他參與網(wǎng)絡安全調查的企業(yè)也表示,,其中涉及不少此前從未出現(xiàn)過的技術,。

  此次攻擊引起了FBI的介入調查。FBI確認稱此次黑客入侵確實屬于國家支持行動,,但并沒有挑明具體是哪個國家,。FBI網(wǎng)絡部門副主任Matt Gorham提到,“FBI正在介入調查,。初步跡象表明,,攻擊者的攻擊水平與技術成熟度堪與民族國家比肩,。” 根據(jù)FBI隨后將案件移交給對俄專家的行為可以推測,,攻擊方可能來自俄方,。

  黑客組織的戰(zhàn)略目標可能并未實現(xiàn)

  分析一場APT攻擊,至少分為戰(zhàn)略,、戰(zhàn)術和技術三個層次,,從技術和戰(zhàn)術層面來說,黑客組織投入了高額成本,,也獲得了攻擊活動的勝利,,但戰(zhàn)略意圖如果僅僅是為了竊取現(xiàn)在公開的這一網(wǎng)絡武器庫,顯得經(jīng)不起推敲,。

  與NSA泄露的專門網(wǎng)絡武器不同,,此次火眼外泄的紅隊工具由惡意軟件構成,主要包括用于自動偵察的簡單腳本,,以及類似于 CobaltStrike 和 Metasploit 等公開技術的整個框架,供火眼進行各類攻擊模擬,,并沒有 0day 漏洞,。

  奇安信CERT安全專家發(fā)現(xiàn):所泄露的工具包括從簡單的自動化腳本到復雜如 Cobalt Strike/Metasploit 的攻擊類框架。通過對火眼于 red_team_tool_countermeasures 倉庫中發(fā)布的各檢測規(guī)則文件與清單文件內容進行甄別發(fā)現(xiàn):多數(shù)可明確識別的工具為開源工具(或其修改版本)及擁有常規(guī)功能的工具,,未見明顯的高能力,、高價值、高危險性的私有工具,、攻擊框架。所涉及的漏洞中,,60%以上的漏洞,奇安信CERT均已發(fā)布過安全通報,;剩余漏洞影響到的軟件,、平臺在國內較為罕見,其實際的威脅完全可以忽略,。

  奇安信威脅情報中心也基于火眼發(fā)布的文件,,從奇安信樣本庫中進行了掃描,,發(fā)現(xiàn)火眼的紅隊會模仿其他APT組織的攻擊手法進行攻擊。

微信圖片_20201210140304.png

 微信圖片_20201210140306.jpg

  奇安信CERT安全專家認為,,火眼本身在網(wǎng)絡威脅檢測,、郵件威脅檢測、終端威脅檢測等領域具備世界頂級水平,,入侵火眼公司的網(wǎng)絡顯然需要極高的技術成本,。

  作為服務大型企業(yè),、政府機構和關鍵基礎設施的美國一流安全公司,,火眼最有價值的信息包括客戶信息、威脅情報等核心技術資料,,以及未公開的APT報告和證據(jù),,但根據(jù)火眼透露的信息:攻擊者試圖訪問“與某些政府客戶有關的信息”,但目前尚無證據(jù)證明客戶信息已被盜,。

微信圖片_20201210140309.png

  一個結論和三個假設

  奇安信CERT安全專家認為,,從目前披露出的信息看,與黑客組織攻擊所付出的高昂成本相比,,除非另有隱情,,這場攻擊無疑是一樁賠本買賣,不能排除該黑客組織會卷土重來,。

  是否另有隱情,?可能存在三種假設:

  攻擊組織獲取了高價值信息,但火眼尚未發(fā)現(xiàn)或公開

  攻擊活動被火眼發(fā)現(xiàn)并終止,,及時止損

  攻擊者僅僅掌握了一部分紅隊的行動機器,,無法取得更大進展。

  無論是否另有隱情,,火眼公司被成功入侵再次說明,,沒有攻不破的網(wǎng)絡,在網(wǎng)絡攻擊面前,,不存在絕對的安全,。

  奇安信威脅情報中心負責人表示,由于一些APT組織攻擊手法并不復雜,,容易被其他攻擊者進行模仿,,這種假旗行為需要提防。

  目前,,基于奇安信威脅情報中心的威脅情報數(shù)據(jù)的全線產(chǎn)品,,包括奇安信威脅情報平臺(TIP)、天擎,、天眼高級威脅檢測系統(tǒng),、奇安信NGSOC等,都已經(jīng)支持對火眼紅隊樣本的精確檢測,。(Ti.qianxin.com)

 微信圖片_20201210140321.png

  了解火眼紅隊測試工具的檢測規(guī)則及樣本分析,,請點擊閱讀原文奇安信威脅情報中心詳細分析,。

 

本站內容除特別聲明的原創(chuàng)文章之外,轉載內容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點,。轉載的所有的文章、圖片,、音/視頻文件等資料的版權歸版權所有權人所有,。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯(lián)系確認版權者。如涉及作品內容,、版權和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。