Context Paper 中的 TrendLabs 安全 趋势科技 企业反击战 第四部分 构建智能威胁网
危害标志 防止公司的机密信息或核心信息泄露已成为各大企业和组织面临的最大挑战之一 1 由于攻击者始终将信息作为目标, 因此针对性攻击等威胁将继续影响这些企业和组织 2 根据攻击者的不同, 针对性攻击活动的最终目标也不同 不过, 实施这些活动的目的通常是窃取目标网络中的数据 此类威胁通常长期暗藏在网络中, 在各个系统和服务器之间横向移动, 对有价值的信息虎视眈眈 但这并不意味着, 攻击者不会在数据窃取时限到达前就发起攻击 尽管难以检测到网络中的针对性攻击, 但仍可找到一些蛛丝马迹, 从中可以发现正在实施的攻击或在未来可能被攻击的目标 因此, 企业构建自己的威胁情报极其重要, 这些威胁情报可纳入企业的安全基础架构, 从而规避针对性攻击所带来的风险 一旦攻击者侵入某个网络, 相关的组织就得争分夺秒进行反击 攻击者在网络中停留的时间越久, 获得的立足点就越多, 窃取到的信息就越多 在识别某些危害标志方面, 与订阅源 报告等 IT 源一样, 有关已知针对性攻击的公开可用报告也很有用 以下是过去用于识别网络内是否存在威胁的一些标记示例 标志位置危害标志图 1 中第 1 和第 2 阶段中的 计算机 注册表更改 文件更改 ( 例如文件的名称 完整路径 哈希 大小等 ) 事件日志条目 服务更改 ( 即添加和修改 ) 互斥体 Jim Gogolinski 趋势科技高级威胁 研究员 网络通信, 包括命令和控制 (C&C) 横向移动和数据隐蔽泄露活动, 如图 1 中的阶段 3 6 中所示 对于已公开报告的已知危害标志, 其网络出入流量指标包括 : 与水坑式攻击相关的 URL 一致和特定的 URL 路径 1 趋势科技 ( 中国 ) 有限公司 (2013). 保护公司数据的安全 ( Keeping Corporate Data Safe. ) 上次访问时间为 2014 年 2 月 17 日,http://apac.trendmicro.com/apac/enterprise/ security-suite-solutions/esdp- suite/infographic/index.html 2 趋势科技 ( 中国 ) 有限公司 /Trend Micro Incorporated (2013). 模糊界限 :2014 年及未来趋势科技安全预测 上次访问时间为 2014 年 3 月 4 日,http://about-threats.trendmicro.com/us/ security-predictions/2014/blurring-boundaries/ 2 Context Paper 中的 TrendLabs 安全
标志位置 危害标志 数据包标头 可识别的网络通信模式 使用异常端口和协议 图 1: 针对性攻击的各个阶段 利用威胁信息 尽管这些针对性攻击活动采用了新的恶意软件或可执行文件, 但因为 C&C 协议始终保持一致, 仍可在早期通过网络流量指标对其进行检测 与所使用的恶意软件相比, 这些协议的修改要困难得多 3 GhostNet 和 Nitro 等公开攻击活动以一致的标志使用恶意软件 因此, 通过检查和分析相关恶意软件产生的网络流量, 可以及早地检测到它们 由于各个行业整理并共享了此类信息, 威胁情报计划可收集和关联可用数据并将其发送给安全小组, 以纳入主动防御解决方案中 以下是如何使用过去某些攻击标志来识别企业网络可能遭受的渗透活动的真实示例 : Sykipot, 攻击对象为美国国防部智能卡, 早期曾使用 HTTP 与 C&C 服务器通信, 因此可以检测到 旧版本的 Sykipot 通过 HTTPS 通信, 但由于使用安全套接层 SSL 证书的某些元素, 因此仍可被检测到 3 Nart Villeneuve 和 James Bennett (2012). 通过网络流量分析检测 APT 活动 上次访问时间为 2014 年 3 月 4 日 http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/ white-papers/wp-detecting-apt-activity-with-network-traffic- analysis.pdf 3 Context Paper 中的 TrendLabs 安全
Enfal 或 Lurid 有多个版本, 可根据它们与 C&C 服务器的通信方式来检测其是否存在 4 尽管采用了不同的 URL 路径并使用了文件中的嵌入式命令, 但仍可根据它们使用的特定格式来进行识别 IXESHE, 通过 HTTP 通信, 与其 C&C 服务器通信时会采用特定格式并使用端口 80 8080 和 443 5 Taidoor 攻击活动从 2008 年开始就一直使用同一个网络流量指标 相关的恶意软件使用三个端口, 并通过 HTTP 进行通信 6 构建智能威胁网为何对企业至关重要 智能威胁网指任何与攻击者执行攻击活动时所用工具 策略和过程 (TTP) 相关的信息 7 安全分析师和研究人员可以通过技术指标和可用信息了解攻击者的操作方式并监控正在进行的攻击活动 利用有效的智能威胁网, 可尽早检测针对性攻击, 从而降低任何公司机密信息的泄露风险 内部威胁情报 企业应建立自己的威胁情报小组, 专门研究攻击者使用的漏洞和 TTP 这个小组在处理和了解驻留于网络的数据上起着至关重要的作用 此小组收集到的信息应提供给安全团队, 以将其纳入安全系统 此小组也可提供企业如何抵御网络威胁的建议 趋势科技高级威胁研究员 Jim Gogolinski 在他的论文 帮助公司抵御针对性攻击的建议 中介绍了如何使用威胁情报挫败潜在和正在进行的针对性攻击活动 8 4 Nart Villeneuve 和 David Sancho (2012). 可怕的下载软件 ( Lurid Downloader ) 上次访问时间为 2014 年 3 月 4 日,http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/ white- papers/wp_dissecting-lurid-apt.pdf 5 David Sancho Jessa dela Torre Matsukawa Bakuei Nart Villeneuve 和 Robert McArdle (2012). IXESHE:APT 攻击活动 上次访问时间为 2014 年 3 月 4 日 http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white- papers/ wp_ixeshe.pdf 6 趋势科技威胁研究团队 (2012). Taidoor 攻击活动 : 深度透视 上次访问时间为 2014 年 3 月 4 日,http://www.trendmicro.com/cloud-content/us/pdfs/ security-intelligence/white-papers/wp_the_taidoor_campaign.pdf 7 Nart Villeneuve.(2011). 针对性攻击的趋势 上次访问时间为 2014 年 3 月 4 日, http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/ wp_trends-in-targeted-attacks.pdf 8 Jim Gogolinski.(2013). 帮助公司抵御针对性攻击的建议 ( Suggestions to Help Companies with the Fight Against Targeted Attacks ) 上次访问时间为 2014 年 3 月 4 日,http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/ wp_trends-in-targeted-attacks.pdf 4 Context Paper 中的 TrendLabs 安全
外部威胁情报 外部威胁情报提供者指提供威胁情报交付内容的第三方, 如关于新的攻击活动和威胁的报告 他们也可提供订阅源或数据, 例如恶意 URL 和邮件标头等内容的清单 通过检测反映网络中攻击者活动的恶意内容 通信和行为, 趋势科技 深度威胁解决方案可保护企业和大型组织免遭针对性攻击 9 它采用自定义沙盒模拟和高级检测引擎, 可对提交的文件进行分类和分析 它还提供网络流量检测 高级威胁检测以及实时分析和报告功能, 从而在攻击者达到数据渗漏阶段之前降低针对性攻击构成的威胁 知识渊博的分析师 知识渊博的分析师们是针对性攻击防御的一个组成部分, 他们处理和研究从网络上收集的和通过网络传输的日志及数据 通过研究威胁情报, 他们能够提供各种防御策略, 应对企业可能遇到的任何安全威胁 因此, 威胁情报 知识渊博的分析师和安全解决方案三者结合, 有助于降低针对性攻击等威胁构成的风险 9 趋势科技 ( 中国 ) 有限公司 (2014). 趋势科技深度威胁解决方案 上次访问时间为 2014 年 3 月 4 日, http://www.trendmicro.com/cloud-content/us/pdfs/business/datasheets/ds_deep-discovery.pdf 5 Context Paper 中的 TrendLabs 安全
趋势科技法律声明本文提供的信息仅作常规信息和教育之用 不得且不应被解释为构成法律意见 本文所包含的信息可能不适用于所有情况, 且可能无法反映最新情况 如果没有基于特定事实和情况提出的法律意见, 不得依靠本文所包含的任何内容或将其作为行动依据, 此处的所有内容不作其他解释 趋势科技保留随时修改本文档内容的权利, 恕不另行通知 将任何材料翻译成其他语言仅为提供方便 不保证也不暗示翻译的准确性 如果出现任何涉及翻译准确性的问题, 请参考文档的原始语言官方版本 翻译中出现的任何不符之处或差异都不具约束力, 并且不具任何法律效力 虽然趋势科技会在合理的情形下, 提供本文的最新准确信息, 但我们不就其准确性 流通性或完整性作任何担保或发表任何声明 您同意自行承担关于浏览或使用和信赖本文档及其内容的风险 趋势科技不作任何明示或暗示的担保 对于因浏览 使用或无法使用, 或与使用本文档相关, 或内容中的任何错误或遗漏造成的任何后果 损失或损害, 包括直接的 间接的 特殊的 继发的 利润损失或特殊损失, 趋势科技或参与创建 制造或提供本文档的任何相关方均不承担任何责任 使用此信息即表示接受按 原样 使用 趋势科技 ( 中国 ) 有限公司 /Trend Micro Incorporated 是全球安全软件领域领军企业, 目前正努力打造一个交换数字信息零风险的世界 我们针对消费者 企业和政府的创新安全解决方案可保护移动设备 端点 网关 服务器和云上的信息 有关详细信息, 请访问 www.trendmicro.com 2013 趋势科技 ( 中国 ) 有限公司 保留所有权利 Trend Micro 和 Trend Micro t 球徽标是趋势科技 ( 中国 ) 有限公司 /Trend Micro Incorporated 的商标 所有其他产品或公司名称可能是其各自所有者的商标或注册商标