你有没有想过高级持续性攻击(APT)者究竟为什么如此难以检测到?因为这些高级持续性威胁(APT)攻击者使用的是目标主机上现有的工具,通过常用网络端口,并将他们的命令控制(C&C)通信隐藏在HTML注释中。
“他们试图瞒天过海!”对这些攻击进行取证调查研究的HBGary首席科学家Shawn Bracken表示,“应该注意到他们对目标企业使用的行为阻断和分析非常熟悉。”
这些攻击者没有采取任何可能触发警报或者引起怀疑的行动,而是试图融入系统。“他们安装的工具都是专门不会与入侵防御系统发生冲突的工具,并且他们使用的是合法的已发布的API,试图不引起任何怀疑。”
这意味着使用目标操作系统中存在的真正的系统管理工具,并且越来越多地使用HTML用于控制命令通信。至少有三个高级持续性攻击团队,包括Operation Shady RAT campaign背后的攻击者,都是用了这样的技术来掩盖他们的通信。“但你不能阻止所有包含注释的网站,”Bracken表示。
戴尔安全工作反威胁部门的恶意软件研究主管Joe Stewart表示,在网页使用加密HTML注释在一段时间内已经成为高级持续攻击的一部分。“这个技术已经被用了好几年了,我相信,那些跟踪高级持续攻击活动的安全研究人员早就意识到这一点,”Stewart表示,“知道HTML注释可能被利用可以帮助检测高级持续攻击流量,然而,只有特定恶意软件会使用特定HTML注释,其他都有各自不同的格式,因此很难察觉。”
它的工作原理是这样的:攻击者利用互联网某个地方的web服务器或者社交网络站点,例如博客网站。然后攻击者将他的编码指令作为隐藏注释藏在这个网站中,而RAT会定期检查这个页面。
“我们已经看到了两种情况:攻击者将使用SQL诸如攻击渗透到受感染的web服务器,然后将他的注释隐藏在这个服务器中,”HBGary首席执行官Greg Hoglund表示。
RAT有一个硬编码DNS名称来连接,这个名称随后会被修改为与被感染网站相匹配的IP地址,“所有RAT进行出站连接,并获取指令,”他表示。
第二种情况是,攻击者使用合法的社交网络媒体或者应用程序网站,例如Google BlogSpot来将他们隐藏指令藏在HTML注释中,Hoglund表示。这些指令通常是配置指令,例如指示一台机器连接到受害者网络特定机器以及打开一个TCP连接。这就为攻击者提供了到那台机器的互动连接,“并且他获取了命令行访问权限,”Hoglund说到。
即使这些远程访问工具没有故意隐藏起来:“它们完全不会被察觉,看起来就像是正常软件。”
因此,如果你可以找到HTML注释,你就可以找出在哪台机器上安装了RAT,但是也有可能在网络种存在大量RAT程序。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
翻译
相关推荐
-
APT团伙是如何利用Windows热修复的?
高级持续性威胁(APT)团伙Platinum一直滥用Windows的热修复功能来攻击南亚和东南亚的政府组织和机构。这个APT团伙利用这个功能(Windows Server 2003中推出)将恶意代码注入到正在运行的进程中。那么,这些热修复攻击的工作原理是什么,我们应该如何应对?
-
APT攻击防范要当心“水坑”
大多数APT攻击并不会直接暴露真实面目,而是会很好的在用户经常访问的可信网站上或是分支机构中伪装起来,等待粗心的企业用户,这类的攻击也被叫做 “水坑攻击”……
-
高级持续性威胁(APT)剖析与防护
高级持续性威胁(APT)的目标是访问企业网络、获取数据,并长期地秘密监视目标计算机系统。这种威胁很难检测和清除,因为它看起来并不象是恶意软件,却深入到企业的计算系统中。此外,APT的设计者和发动者为逃避检测还会不断地改变其代码,从而持续地监视和指引其活动。那么,企业是否就拿这种威胁束手无策了呢?当然不是的。
-
APT来袭 趋势科技携“3C”战略迎战
根据IDC的统计,2014年是安全领域不堪回首的一年,全球至少八万家公司被黑,2122家公司被迫公开承认。面对新兴攻击APT等,企业该如何应对?