从上图我们分析可知,从攻击角度上,攻击者首先进行信息收集,根据信息做好入侵准备,然后通过社会工程吸引,注入木马等手段实现信息入侵,实现实时入侵,控制内网系统甚至是资产后,进行破坏或者进行有价值资产的窃取。整个攻击过程的核心技术主要有:漏洞利用、木马种植,基于供应链植入以及后门植入,种植后攻击者通过隐蔽的通道窃取数据。
常见的技术概念主要有:SHELLCODE、EXP、漏洞、木马、后门、隐蔽通道。
未来,针对APT攻击,作为安全防护人员首先要考虑的就是以上几个技术点。当然短期内很难用技术对抗传统间谍手段,但是我们只要能够把技术手段抬高到一定门槛,攻击者在APT新兴威胁上就不再占有这种成本的优势。
所以在以后的安全防护道路上,我们需要新的技术手段。
新兴威胁攻防对抗思考与展望
◆传统安全漏洞利用检测攻防
针对传统安全漏洞体系检测主要侧重IDS/IPS与增强杀毒两个方向,传统的检测点包含NDAY漏洞触发特征签名库识别与固定利用代码识别,它们都存在一定的漏洞误报率或者其他的问题。
方兴表示,现在的新型检测技术除了追求原来NDAY漏洞触发签名,还有深度内容识别。在他看来未来的APT还有很多新型的技术可以进行对抗(见下图),比如:对抗NDAY漏洞签名,在深度层面可以不断变化编码,进行加密。
展望漏洞利用(SHELLCODE)检测对抗
◆传统木马检测攻防
传统的木马检测方式包含:木马签名库识别恶意URL来源; 针对进程 、文件 、应用入口点的本地异常点检查;恶意功能和行为识别(本地)。
但是以上检测面临很多问题,在恶意工程上可以通过信任程序,专门加载底层控制绕过误报、人工识别。未来我们需要更多新型的对抗木马的技术,在此,方兴带我们展望了这场木马对抗战的未来。
