订阅移动开发RSS CSDN首页> 移动开发

默安科技:伊朗对以色列网络攻击的几点分析

发表于1秒前| 次阅读| 来源新闻资讯| 0 条评论| 作者新闻资讯

摘要:以色列政府26 日成功破获一起针对 120 个目标的重大网络攻击案件。专家认为,这起网络攻击事件由伊朗政府支持的黑客组织 OilRig APT (又名 Helix Kitten,NewsBeef )发起,该组织从 2015 年以来一直处于活跃状态。

以色列政府26 日成功破获一起针对 120 个目标的重大网络攻击案件。专家认为,这起网络攻击事件由伊朗政府支持的黑客组织 OilRig APT (又名 Helix Kitten,NewsBeef )发起,该组织从 2015 年以来一直处于活跃状态。

以色列网络防御机构表示,该黑客组织自 4 月 19 日至 24 日期间攻击以色列各界人士约 250 人,其中主要包括政府机构、高科技企业、医疗机构与教育机构。此外,黑客还针对著名的本古里安大学系统进行深入研究,伪造其服务器地址向受害者发送垃圾邮件、传播恶意软件。

调查显示,黑客主要利用 Microsoft RCE 漏洞 (CVE-2017-0199)发起攻击。这一攻击并不需要用户交互,只需诱使用户打开特制的 Word 文件即可执行任意命令、从而控制用户系统。

防御的前提需要知己知彼

安全是一个动态博弈过程,攻击者采用各种手发起进攻,防御者利用各种措施阻挡攻击。针对APT这种持续的、全方面、最善于利用各种0DAY漏洞的网络攻击,需要有战争的指挥思维,按照《孙子兵法》的诱敌深入、逐个击破的策略。而有效防御的前提是采集有质量的攻击分析和信息,生成高逼真度的警报,如何采集并产生情报呢?

APT防御六招:蜜罐、沙箱、阻断、检测、内部防范和情报

蜜罐:塑造一个仿真的网络环境

蜜罐就是诱饵,用于欺骗攻击者暴露身份。蜜罐可以构建欺骗攻击者活动的需求,对欺骗要素进行管理,将欺骗要素部署到网络系统中。此外,蜜罐还可以把欺骗元素整合到系统现有的安全工具中,并且使这些工具变得更有价值。

换句话说,蜜罐给攻击者制造了一个看似真实的网络环境。在这个环境中,各项设备目标其实是虚构的,而攻击者的的所有路径都会留下签名指纹。而当威胁的嫌疑人在网络中做出第一个动作时,蜜罐根据指纹签名就能够有效识别出威胁。

沙箱:让攻击手段原形毕露

当攻击者发现网络缺陷执行攻击命令时,实际上是在一个沙箱/蜜罐中运行。攻击着和恶意软件对诱饵执行命令,将导致攻击者和恶意软件留下设备指纹、收集法律数据、创建签名。这可以对恶意软件免疫,以及识别0-day。

仿真阻断:牵着攻击者的鼻子走

攻击者的创新是不断提高的,部分攻击者可能会识别出蜜罐,针对此需要动用高级的诱饵,假装防御系统阻止想突破系统边界的攻击者,一旦欺骗诱饵被触及,系统发出高逼真度的警报。同时,阻止攻击者转移攻击对象。说白了,让攻击者按照防御者写的脚本继续走。

检测:提高警报的准确性

由于蜜罐不是系统网络的常规部分,因此在正常的日常活动中不易被合法用户触及.。所以需要防御系统有准确性、及时的检测。以避免误报和警觉疲劳。

这种使用网络欺骗的功能完全取决于所产生的警报的保真度。比如,可以提供相当冗长的警报(例如,每次在诱骗端口扫描),但也可被调整到只提供最相关的警报,如执行代码的一个诱饵。这大大减少了警报的数量,同时仍然保持攻击者活动的可见性。由此大幅减少攻击者应急检测时间,高保真的警报,不需要处理或分析。

内部威胁:防范内鬼的必要性

内部恶意很难察觉,此,有必要对内网实行有步骤的内部威胁有效识别。对内部人员有吸引力的地方生成欺骗是必要的。一些可能的选择是:设立 SMB分享、放置诱饵数据文件,在数据库植入假记录。

威胁情报:知己知彼有备无患

许多安全工具都难以有效运行,或者需要大量的资金和资源支持。这些安全工具产生大量的信息,如警报和原始数据。

携带高保真信息的安全增强工具可以收获更多的价值,欺骗诱饵元素可以有效诱导攻击者和代码或攻击者执行的恶意。

APT防御的几点心得

蜜罐技术是一个满足多方面需要的复杂领域,包含快速攻击检测、攻击源定位,供应链保护,高级攻击者识别等等,它不仅是非常有用和强大的,而且需要大量资源而逐步引入到系统。

幻盾是默安科技首创的一款基于攻击混淆与欺骗技术的威胁情报产品。通过在黑客必经之路上构造陷阱,混淆其攻击目标,精确感知黑客攻击的行为。可阻断和隔离攻击,并溯源黑客身份及攻击意图,形成黑客攻击情报。

该产品可用于保护易受黑客入侵攻击的业务系统,特别在电商、金融、证券、运营商等包含大量用户数据、资金等敏感信息的业务环境中。通过构建用户威胁

0
0