欢迎光临
我们一直在努力

当场阻断!高级持续威胁入侵某关键基础设施企业,被抓现行

以下文章来源于微步在线 ,作者ThreatBook

微步在线 .

ThreatBook微步在线,威胁发现与响应专家,中国下一代网络安全代表性企业,威胁情报领军品牌。

图源网络
“根据监测发现,有高级持续威胁攻击近期正对你单位实施攻击,请立即采取阻断及补救措施,避免造成严重后果,特此通知。”
这条来自监管单位的邮件,虽然只有短短50多字,但对企业的影响却是极度负面且破坏性的。到通知的企业不仅可能存在重大安全风险,而且说明该企业网络安全措施不到位,暴露了严重的安全问题
不过,在收到通报的瞬间,作为安全部门负责人的林辉并没有很紧张,反倒有些许轻松。原因很简单,这次高级持续威胁已在几日前就被发现,并且成功处理。

及时止损

9月6日,一个普通的周一。刚过午休时间,团队突然收到一条来自流量检测设备的告警:高级持续威胁,等级严重。而且,企业内部关键数据被盗,正向攻击者计算机回传数据。
更让林辉意外的是,这次遇到的竟然是一个高级持续威胁攻击——蔓灵花,一个长期针对中国、巴基斯坦等国的攻击团伙。该团伙以政府、军工、电力、核等单位为主要攻击目标,旨在窃取相关企业的敏感资料。
林辉通过微步在线威胁感知平台 TDP 监测到的情况,发现 APT 团伙已窃取到部分机密文档。所幸在 TDP 检测到高级持续威胁的同一时间,公司启用的互联网安全接入服务 OneDNS 也同时检测出威胁,并第一时间对攻击者的数据反连动作进行阻断,才最终及时止损。
“从没遇到过这种情况,有一种不知何处使劲的感觉。”林辉表示,为了保证彻底妥善的处理威胁,于是火速联系安全服务团队微步在线,寻求紧急支援。不到半个小时,微步在线MDR服务团队迅速赶到了林辉公司所在地。
这是林辉第一次遇到 APT 攻击,也是所负责的团队第一次遇到。“之前总是听国内外一些关键基础设施企业遭到 APT 攻击,没想到自己所在企业也沦为被攻击对象”,林辉表示,“我也是才知道,微步在线的分析师几天前就已经发现这个 APT 组织的相关情报,并且下发到了全网设备,没想到,几天后我们就中招了。”
图|微步在线威胁检测截图

艰难取证

“取证有利于我们后续的安全复盘,了解攻击者的攻击路径。对于这种高级的攻击手段,一般的企业安全团队,很难进一步取证”,林辉说道,“但通过外部专业的安全服务团队,取证的难度降低了很多,拿下战斗的胜算就更大了。
9月6日下午,微步在线团队,开始就整个攻击事件进行取证,还原整个攻击事件。但取证过程,成了另一个难点。由于高级威胁攻击组织不仅想方设法绕过安全检测,进攻路径非常隐秘,而且会在攻击结束后迅速清理掉攻击痕迹,以便长期潜伏于企业内部网络。对普通企业而言,APT 就像一个来去无踪的高手。
而这也的确是一场高水平的对抗。“在攻击之前,攻击者早已想好所有攻击路径,并且最大限度隐藏自己的完整路径。虽然不留痕迹是一种很高的境界,但总能找到一些蛛丝马迹。最关键的,就是定位那些未被发现的痕迹。”微步在线旗下微步情报局负责人樊兴华说道。
现场取证过程中,微步在线团队通过溯源分析,发现公司内网有多台主机被攻陷并被控制,而且关键系统的日志均被攻击者清理,未留下任何痕迹。更重要的是,攻击入口区域未被流量分析设备覆盖,分析师无法对攻击的入口点进行定位。不过,经过细致的分析与研判,微步在线团队最终通过 OneDNS 的访问时间,确定了最早的入侵主机,发现了攻击者的初始攻击入口:一封电子邮件
图源网络

漏洞难防


林辉说,取证的结果并不在自己的设想之内。作为一家小型关键基础设施企业,日常在安全技术层面的投入,在业内算是较为充分的。但对整个事件还原后,林辉仍有些不相信,所有的防御工事皆溃于一封邮件。
经过还原才发现,9月6日公司采购部门同事收到一封关于货物采购进度信息的邮件,邮件提示收件人下载附件查看详细货物信息。但就在采购同事点击附件的那一刻,攻击者立即执行木马程序。三个小时后,攻击者开始建立远控执行任务并进行回连,对外传输数据。
所幸的是,这封邮件引发的后续严重威胁,均被及时发现并阻断。
“非安全相关的人员一般不具备非常强的防范意识,并且 APT 攻击一般前期会进行详尽的调查与摸排。在锁定攻击目标后,攻击者会选择特定个人作为网络突破口,比如通过社会工程等,穷尽一切手段,了解被攻击者的情况,包括收件人的喜好,工作内容等。” 樊兴华说道,“这也是高级威胁攻击最常用的攻击手段。从攻击者的角度来说,攻击效率非常高。”

全员防御

相比传统攻击,高级持续攻击具有更高的复杂性与持续性,且攻击目标均为精心挑选的高价值目标。因此,像政府、金融、工业等关键部门的商业秘密、知识产权、用户及员工私人数据等敏感信息通常会成为组织者窃取的对象。
更为关键的是,APT 组织大多是资金充足、经验丰富的犯罪团伙,在选定攻击目标后,会花大量时间与资源,研究与识别目标企业的安全漏洞,精心设计攻击手段,避开已有安全措施,渗透进企业内网。这一切,对于一般的中小型企业而言,根本无法招架。
“事实上,基于我们的行业属性,我们早就意识到可能会被高级威胁盯上,所以我们在流量、终端及网络访问层均配置了相应的安全工具。从之前的效果来看,流量侧、网络访问侧的监控与阻断效果都非常有效,不过最后还是在人的身上栽了跟头。” 林辉说道。
用个更形象的比喻来说,这就像企业精心打造了一套地空防控体系。空中是流量检测,地面是防火墙与安全网络防护作为第一道防线,防线内还有终端进行日志分析,但有人却无意识从城墙上打开一扇小窗,把敌人放了进来。所有的防御瞬间就失去了价值。
“钓鱼攻击是APT常见的攻击手段,但除此之外攻击者还可能利用零日漏洞、水坑攻击、上下游攻击链等不同方式渗透进企业网络。这不仅需要高质量的流量监控、终端日志分析等,还需在日常安全运营中构建起一个牢固的全员防御体系。”樊兴华称,“所有的员工都应该是一块盾牌,将威胁挡在城墙之外。”
罗马不是一天建成的,在构建安全的道路上也没有人生下来就在罗马。攻击者是敌人,也是对手,能够敦促防御者不断向罗马靠近。林辉说,这次事件也给公司增添了几分底气,因为在收到上级通报邮件之前,公司就已妥善处理威胁,证明了企业在安全防御的投入与实力。




安全传送门

Free Trial

微步在线安全服务

威胁巡检、应急响应、重大驻场

……

欢迎联系我们




· END ·

点击下方名片,关注我们
觉得内容不错,就点下在看
如果不想错过新的内容推送,可以设为星标

赞(0) 打赏
未经允许不得转载:黑客技术网 » 当场阻断!高级持续威胁入侵某关键基础设施企业,被抓现行
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏